home *** CD-ROM | disk | FTP | other *** search

---

/ Unix System Administration Handbook 1997 October / usah_oct97.iso / rfc / 1800s / rfc1825.txt

< prev

next >

Wrap

Text File  |  1995-08-07  |  57KB  |  1,236 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7. Network Working Group                                        R. Atkinson
8. Request for Comments: 1825                     Naval Research Laboratory
9. Category: Standards Track                                    August 1995
10.  
11.  
12.             Security Architecture for the Internet Protocol
13.  
14. Status of this Memo
15.  
16.    This document specifies an Internet standards track protocol for the
17.    Internet community, and requests discussion and suggestions for
18.    improvements.  Please refer to the current edition of the "Internet
19.    Official Protocol Standards" (STD 1) for the standardization state
20.    and status of this protocol.  Distribution of this memo is unlimited.
21.  
22. 1. INTRODUCTION
23.  
24.    This memo describes the security mechanisms for IP version 4 (IPv4)
25.    and IP version 6 (IPv6) and the services that they provide.  Each
26.    security mechanism is specified in a separate document.  This
27.    document also describes key management requirements for systems
28.    implementing those security mechanisms.  This document is not an
29.    overall Security Architecture for the Internet and is instead focused
30.    on IP-layer security.
31.  
32. 1.1 Technical Definitions
33.  
34.    This section provides a few basic definitions that are applicable to
35.    this document.  Other documents provide more definitions and
36.    background information [VK83, HA94].
37.  
38.    Authentication
39.            The property of knowing that the data received is the same as
40.            the data that was sent and that the claimed sender is in fact
41.            the actual sender.
42.  
43.    Integrity
44.            The property of ensuring that data is transmitted from source
45.            to destination without undetected alteration.
46.  
47.    Confidentiality
48.            The property of communicating such that the intended
49.            recipients know what was being sent but unintended
50.            parties cannot determine what was sent.
51.  
52.    Encryption
53.            A mechanism commonly used to provide confidentiality.
54.  
55.  
56.  
57.  
58. Atkinson                    Standards Track                     [Page 1]
59.  
60. RFC 1825              Security Architecture for IP           August 1995
61.  
62.  
63.    Non-repudiation
64.            The property of a receiver being able to prove that the sender
65.            of some data did in fact send the data even though the sender
66.            might later desire to deny ever having sent that data.
67.  
68.    SPI
69.            Acronym for "Security Parameters Index".  An unstructured
70.            opaque index which is used in conjunction with the
71.            Destination Address to identify a particular Security
72.            Association.
73.  
74.    Security Association
75.            The set of security information relating to a given network
76.            connection or set of connections.  This is described in
77.            detail below.
78.  
79.    Traffic Analysis
80.            The analysis of network traffic flow for the purpose of
81.            deducing information that is useful to an adversary.
82.            Examples of such information are frequency of transmission,
83.            the identities of the conversing parties, sizes of packets,
84.            Flow Identifiers used, etc. [Sch94].
85.  
86. 1.2 Requirements Terminology
87.  
88.    In this document, the words that are used to define the significance
89.    of each particular requirement are usually capitalised.  These words
90.    are:
91.  
92.    - MUST
93.  
94.       This word or the adjective "REQUIRED" means that the item is an
95.       absolute requirement of the specification.
96.  
97.    - SHOULD
98.  
99.       This word or the adjective "RECOMMENDED" means that there might
100.       exist valid reasons in particular circumstances to ignore this
101.       item, but the full implications should be understood and the case
102.       carefully weighed before taking a different course.
103.  
104.    - MAY
105.  
106.       This word or the adjective "OPTIONAL" means that this item is
107.       truly optional.  One vendor might choose to include the item
108.       because a particular marketplace requires it or because it
109.       enhances the product, for example; another vendor may omit the
110.       same item.
111.  
112.  
113.  
114. Atkinson                    Standards Track                     [Page 2]
115.  
116. RFC 1825              Security Architecture for IP           August 1995
117.  
118.  
119. 1.3 Typical Use
120.  
121.    There are two specific headers that are used to provide security
122.    services in IPv4 and IPv6.  These headers are the "IP Authentication
123.    Header (AH)" [Atk95a] and the "IP Encapsulating Security Payload
124.    (ESP)" [Atk95b] header.  There are a number of ways in which these IP
125.    security mechanisms might be used.  This section describes some of
126.    the more likely uses.  These descriptions are not complete or
127.    exhaustive.  Other uses can also be envisioned.
128.  
129.    The IP Authentication Header is designed to provide integrity and
130.    authentication without confidentiality to IP datagrams.  The lack of
131.    confidentiality ensures that implementations of the Authentication
132.    Header will be widely available on the Internet, even in locations
133.    where the export, import, or use of encryption to provide
134.    confidentiality is regulated.  The Authentication Header supports
135.    security between two or more hosts implementing AH, between two or
136.    more gateways implementing AH, and between a host or gateway
137.    implementing AH and a set of hosts or gateways.  A security gateway
138.    is a system which acts as the communications gateway between external
139.    untrusted systems and trusted hosts on their own subnetwork.  It also
140.    provides security services for the trusted hosts when they
141.    communicate with the external untrusted systems.  A trusted
142.    subnetwork contains hosts and routers that trust each other not to
143.    engage in active or passive attacks and trust that the underlying
144.    communications channel (e.g., an Ethernet) isn't being attacked.
145.  
146.    In the case where a security gateway is providing services on behalf
147.    of one or more hosts on a trusted subnet, the security gateway is
148.    responsible for establishing the security association on behalf of
149.    its trusted host and for providing security services between the
150.    security gateway and the external system(s).  In this case, only the
151.    gateway need implement AH, while all of the systems behind the
152.    gateway on the trusted subnet may take advantage of AH services
153.    between the gateway and external systems.
154.  
155.    A security gateway which receives a datagram containing a recognised
156.    sensitivity label, for example IPSO [Ken91], from a trusted host
157.    should take that label's value into consideration when
158.    creating/selecting an Security Association for use with AH between
159.    the gateway and the external destination.  In such an environment, a
160.    gateway which receives a IP packet containing the IP Encapsulating
161.    Security Payload (ESP) should add appropriate authentication,
162.    including implicit (i.e., contained in the Security Association used)
163.    or explicit label information (e.g., IPSO), for the decrypted packet
164.    that it forwards to the trusted host that is the ultimate
165.    destination.  The IP Authentication Header should always be used on
166.    packets containing explicit sensitivity labels to ensure end-to-end
167.  
168.  
169.  
170. Atkinson                    Standards Track                     [Page 3]
171.  
172. RFC 1825              Security Architecture for IP           August 1995
173.  
174.  
175.    label integrity.  In environments using security gateways, those
176.    gateways MUST perform address-based IP packet filtering on
177.    unauthenticated packets purporting to be from a system known to be
178.    using IP security.
179.  
180.    The IP Encapsulating Security Payload (ESP) is designed to provide
181.    integrity, authentication, and confidentiality to IP datagrams
182.    [Atk95b]. The ESP supports security between two or more hosts
183.    implementing ESP, between two or more gateways implementing ESP, and
184.    between a host or gateway implementing ESP and a set of hosts and/or
185.    gateways.  A security gateway is a system which acts as the
186.    communications gateway between external untrusted systems and trusted
187.    hosts on their own subnetwork and provides security services for the
188.    trusted hosts when they communicate with external untrusted systems.
189.    A trusted subnetwork contains hosts and routers that trust each other
190.    not to engage in active or passive attacks and trust that the
191.    underlying communications channel (e.g., an Ethernet) isn't being
192.    attacked.  Trusted systems always should be trustworthy, but in
193.    practice they often are not trustworthy.
194.  
195.    Gateway-to-gateway encryption is most valuable for building private
196.    virtual networks across an untrusted backbone such as the Internet.
197.    It does this by excluding outsiders.  As such, it is often not a
198.    substitute for host-to-host encryption, and indeed the two can be and
199.    often should be used together.
200.  
201.    In the case where a security gateway is providing services on behalf
202.    of one or more hosts on a trusted subnet, the security gateway is
203.    responsible for establishing the security association on behalf of
204.    its trusted host and for providing security services between the
205.    security gateway and the external system(s).  In this case, only the
206.    gateway need implement ESP, while all of the systems behind the
207.    gateway on the trusted subnet may take advantage of ESP services
208.    between the gateway and external systems.
209.  
210.    A gateway which receives a datagram containing a recognised
211.    sensitivity label from a trusted host should take that label's value
212.    into consideration when creating/selecting a Security Association for
213.    use with ESP between the gateway and the external destination.  In
214.    such an environment, a gateway which receives a IP packet containing
215.    the ESP should appropriately label the decrypted packet that it
216.    forwards to the trusted host that is the ultimate destination.  The
217.    IP Authentication Header should always be used on packets containing
218.    explicit sensitivity labels to ensure end-to-end label integrity.
219.  
220.  
221.  
222.  
223.  
224.  
225.  
226. Atkinson                    Standards Track                     [Page 4]
227.  
228. RFC 1825              Security Architecture for IP           August 1995
229.  
230.  
231.    If there are no security gateways present in the connection, then two
232.    end systems that implement ESP may also use it to encrypt only the
233.    user data (e.g., TCP or UDP) being carried between the two systems.
234.    ESP is designed to provide maximum flexibility so that users may
235.    select and use only the security that they desire and need.
236.  
237.    Routing headers for which integrity has not been cryptographically
238.    protected SHOULD be ignored by the receiver.  If this rule is not
239.    strictly adhered to, then the system will be vulnerable to various
240.    kinds of attacks, including source routing attacks [Bel89] [CB94]
241.    [CERT95].
242.  
243.    While these documents do not specifically discuss IPv4 broadcast,
244.    these IP security mechanisms MAY be used with such packets.  Key
245.    distribution and Security Association management are not trivial for
246.    broadcast applications.  Also, if symmetric key algorithms are used
247.    the value of using cryptography with a broadcast packet is limited
248.    because the receiver can only know that the received packet came from
249.    one of many systems knowing the correct key to use.
250.  
251. 1.4 Security Associations
252.  
253.    The concept of a "Security Association" is fundamental to both the IP
254.    Encapsulating Security Payload and the IP Authentication Header.  The
255.    combination of a given Security Parameter Index (SPI) and Destination
256.    Address uniquely identifies a particular "Security Association".  An
257.    implementation of the Authentication Header or the Encapsulating
258.    Security Payload MUST support this concept of a Security Association.
259.    An implementation MAY also support other parameters as part of a
260.    Security Association.  A Security Association normally includes the
261.    parameters listed below, but might include additional parameters as
262.    well:
263.  
264.    - Authentication algorithm and algorithm mode being used with
265.      the IP Authentication Header [REQUIRED for AH implementations].
266.  
267.    - Key(s) used with the authentication algorithm in use with
268.      the Authentication Header [REQUIRED for AH implementations].
269.  
270.    - Encryption algorithm, algorithm mode, and transform being
271.      used with the IP Encapsulating Security Payload [REQUIRED for
272.      ESP implementations].
273.  
274.    - Key(s) used with the encryption algorithm in use with the
275.      Encapsulating Security Payload [REQUIRED for ESP implementations].
276.  
277.  
278.  
279.  
280.  
281.  
282. Atkinson                    Standards Track                     [Page 5]
283.  
284. RFC 1825              Security Architecture for IP           August 1995
285.  
286.  
287.    - Presence/absence and size of a cryptographic synchronisation or
288.      initialisation vector field for the encryption algorithm [REQUIRED
289.      for ESP implementations].
290.  
291.    - Authentication algorithm and mode used with the ESP transform
292.      (if any is in use) [RECOMMENDED for ESP implementations].
293.  
294.    - Authentication key(s) used with the authentication algorithm
295.      that is part of the ESP transform (if any) [RECOMMENDED for
296.      ESP implementations].
297.  
298.    - Lifetime of the key or time when key change should occur
299.      [RECOMMENDED for all implementations].
300.  
301.    - Lifetime of this Security Association [RECOMMENDED for all
302.      implementations].
303.  
304.    - Source Address(es) of the Security Association, might be a
305.      wildcard address if more than one sending system shares the
306.      same Security Association with the destination [RECOMMENDED
307.      for all implementations].
308.  
309.    - Sensitivity level (for example, Secret or Unclassified)
310.      of the protected data [REQUIRED for all systems claiming
311.      to provide multi-level security, RECOMMENDED for all other systems].
312.  
313.    The sending host uses the sending userid and Destination Address to
314.    select an appropriate Security Association (and hence SPI value).
315.    The receiving host uses the combination of SPI value and Destination
316.    Address to distinguish the correct association.  Hence, an AH
317.    implementation will always be able to use the SPI in combination with
318.    the Destination Address to determine the security association and
319.    related security configuration data for all valid incoming packets.
320.    When a formerly valid Security Association becomes invalid, the
321.    destination system(s) SHOULD NOT immediately reuse that SPI value and
322.    instead SHOULD let that SPI value become stale before reusing it for
323.    some other Security Association.
324.  
325.    A security association is normally one-way.  An authenticated
326.    communications session between two hosts will normally have two
327.    Security Parameter Indexes in use (one in each direction).  The
328.    combination of a particular Security Parameter Index and a particular
329.    Destination Address uniquely identifies the Security Association.
330.    The Destination Address may be a unicast address or a multicast group
331.    address.
332.  
333.  
334.  
335.  
336.  
337.  
338. Atkinson                    Standards Track                     [Page 6]
339.  
340. RFC 1825              Security Architecture for IP           August 1995
341.  
342.  
343.    The receiver-orientation of the Security Association implies that, in
344.    the case of unicast traffic, the destination system will normally
345.    select the SPI value.  By having the destination select the SPI
346.    value, there is no potential for manually configured Security
347.    Associations that conflict with automatically configured (e.g., via a
348.    key management protocol) Security Associations.  For multicast
349.    traffic, there are multiple destination systems but a single
350.    destination multicast group, so some system or person will need to
351.    select SPIs on behalf of that multicast group and then communicate
352.    the information to all of the legitimate members of that multicast
353.    group via mechanisms not defined here.
354.  
355.    Multiple senders to a multicast group MAY use a single Security
356.    Association (and hence Security Parameter Index) for all traffic to
357.    that group.  In that case, the receiver only knows that the message
358.    came from a system knowing the security association data for that
359.    multicast group.  A receiver cannot generally authenticate which
360.    system sent the multicast traffic when symmetric algorithms (e.g.,
361.    DES, IDEA) are in use.  Multicast traffic MAY also use a separate
362.    Security Association (and hence SPI) for each sender to the multicast
363.    group .  If each sender has its own Security Association and
364.    asymmetric algorithms are used, then data origin authentication is
365.    also a provided service.
366.  
367. 2. DESIGN OBJECTIVES
368.  
369.    This section describes some of the design objectives of this security
370.    architecture and its component mechanisms.  The primary objective of
371.    this work is to ensure that IPv4 and IPv6 will have solid
372.    cryptographic security mechanisms available to users who desire
373.    security.
374.  
375.    These mechanisms are designed to avoid adverse impacts on Internet
376.    users who do not employ these security mechanisms for their traffic.
377.    These mechanisms are intended to be algorithm-independent so that the
378.    cryptographic algorithms can be altered without affecting the other
379.    parts of the implementation.  These security mechanisms should be
380.    useful in enforcing a variety of security policies.
381.  
382.    Standard default algorithms (keyed MD5, DES CBC) are specified to
383.    ensure interoperability in the global Internet.  The selected default
384.    algorithms are the same as the standard default algorithms used in
385.    SNMPv2 [GM93].
386.  
387.  
388.  
389.  
390.  
391.  
392.  
393.  
394. Atkinson                    Standards Track                     [Page 7]
395.  
396. RFC 1825              Security Architecture for IP           August 1995
397.  
398.  
399. 3. IP-LAYER SECURITY MECHANISMS
400.  
401.    There are two cryptographic security mechanisms for IP.  The first is
402.    the Authentication Header which provides integrity and authentication
403.    without confidentiality [Atk95a].  The second is the Encapsulating
404.    Security Payload which always provides confidentiality, and
405.    (depending on algorithm and mode) might also provide integrity and
406.    authentication [Atk95b].  The two IP security mechanisms may be used
407.    together or separately.
408.  
409.    These IP-layer mechanisms do not provide security against a number of
410.    traffic analysis attacks.  However, there are several techniques
411.    outside the scope of this specification (e.g., bulk link encryption)
412.    that might be used to provide protection against traffic analysis
413.    [VK83].
414.  
415. 3.1 AUTHENTICATION HEADER
416.  
417.    The IP Authentication Header holds authentication information for its
418.    IP datagram [Atk95a].  It does this by computing a cryptographic
419.    authentication function over the IP datagram and using a secret
420.    authentication key in the computation.  The sender computes the
421.    authentication data prior to sending the authenticated IP packet.
422.    Fragmentation occurs after the Authentication Header processing for
423.    outbound packets and prior to Authentication Header processing for
424.    inbound packets.  The receiver verifies the correctness of the
425.    authentication data upon reception.  Certain fields which must change
426.    in transit, such as the "TTL" (IPv4) or "Hop Limit" (IPv6) field,
427.    which is decremented on each hop, are omitted from the authentication
428.    calculation.  However the omission of the Hop Limit field does not
429.    adversely impact the security provided.  Non-repudiation might be
430.    provided by some authentication algorithms (e.g., asymmetric
431.    algorithms when both sender and receiver keys are used in the
432.    authentication calculation) used with the Authentication Header, but
433.    it is not necessarily provided by all authentication algorithms that
434.    might be used with the Authentication Header.  The default
435.    authentication algorithm is keyed MD5, which, like all symmetric
436.    algorithms, cannot provide non-repudiation by itself.
437.    Confidentiality and traffic analysis protection are not provided by
438.    the Authentication Header.
439.  
440.    Use of the Authentication Header will increase the IP protocol
441.    processing costs in participating systems and will also increase the
442.    communications latency.  The increased latency is primarily due to
443.    the calculation of the authentication data by the sender and the
444.    calculation and comparison of the authentication data by each
445.    receiver for each IP datagram containing an Authentication Header
446.    (AH).
447.  
448.  
449.  
450. Atkinson                    Standards Track                     [Page 8]
451.  
452. RFC 1825              Security Architecture for IP           August 1995
453.  
454.  
455.    The Authentication Header provides much stronger security than exists
456.    in most of the current Internet and should not affect exportability
457.    or significantly increase implementation cost.  While the
458.    Authentication Header might be implemented by a security gateway on
459.    behalf of hosts on a trusted network behind that security gateway,
460.    this mode of operation is not encouraged.  Instead, the
461.    Authentication Header should be used from origin to final
462.    destination.
463.  
464.    All IPv6-capable hosts MUST implement the IP Authentication Header
465.    with at least the MD5 algorithm using a 128-bit key.  IPv4-systems
466.    claiming to implement the Authentication Header MUST implement the IP
467.    Authentication Header with at least the MD5 algorithm using a 128-bit
468.    key [MS95].  An implementation MAY support other authentication
469.    algorithms in addition to keyed MD5.
470.  
471. 3.2 ENCAPSULATING SECURITY PAYLOAD
472.  
473.    The IP Encapsulating Security Payload (ESP) is designed to provide
474.    integrity, authentication, and confidentiality to IP datagrams
475.    [Atk95b].  It does this by encapsulating either an entire IP datagram
476.    or only the upper-layer protocol (e.g., TCP, UDP, ICMP) data inside
477.    the ESP, encrypting most of the ESP contents, and then appending a
478.    new cleartext IP header to the now encrypted Encapsulating Security
479.    Payload.  This cleartext IP header is used to carry the protected
480.    data through the internetwork.
481.  
482. 3.2.1 Description of the ESP Modes
483.  
484.    There are two modes within ESP.  The first mode, which is known as
485.    Tunnel-mode, encapsulates an entire IP datagram within the ESP
486.    header.  The second mode, which is known as Transport-mode,
487.    encapsulates an upper-layer protocol (for example UDP or TCP) inside
488.    ESP and then prepends a cleartext IP header.
489.  
490. 3.2.2 Usage of ESP
491.  
492.    ESP works between hosts, between a host and a security gateway, or
493.    between security gateways. This support for security gateways permits
494.    trustworthy networks behind a security gateway to omit encryption and
495.    thereby avoid the performance and monetary costs of encryption, while
496.    still providing confidentiality for traffic transiting untrustworthy
497.    network segments.  When both hosts directly implement ESP and there
498.    is no intervening security gateway, then they may use the Transport-
499.    mode (where only the upper layer protocol data (e.g., TCP or UDP) is
500.    encrypted and there is no encrypted IP header).  This mode reduces
501.    both the bandwidth consumed and the protocol processing costs for
502.    users that don't need to keep the entire IP datagram confidential.
503.  
504.  
505.  
506. Atkinson                    Standards Track                     [Page 9]
507.  
508. RFC 1825              Security Architecture for IP           August 1995
509.  
510.  
511.    ESP works with both unicast and multicast traffic.
512.  
513. 3.2.3 Performance Impacts of ESP
514.  
515.    The encapsulating security approach used by ESP can noticeably impact
516.    network performance in participating systems, but use of ESP should
517.    not adversely impact routers or other intermediate systems that are
518.    not participating in the particular ESP association.  Protocol
519.    processing in participating systems will be more complex when
520.    encapsulating security is used, requiring both more time and more
521.    processing power.  Use of encryption will also increase the
522.    communications latency.  The increased latency is primarily due to
523.    the encryption and decryption required for each IP datagram
524.    containing an Encapsulating Security Payload.  The precise cost of
525.    ESP will vary with the specifics of the implementation, including the
526.    encryption algorithm, key size, and other factors.  Hardware
527.    implementations of the encryption algorithm are recommended when high
528.    throughput is desired.
529.  
530.    For interoperability throughout the worldwide Internet, all
531.    conforming implementations of the IP Encapsulating Security Payload
532.    MUST support the use of the Data Encryption Standard (DES) in
533.    Cipher-Block Chaining (CBC) Mode as detailed in the ESP
534.    specification.  Other confidentiality algorithms and modes may also
535.    be implemented in addition to this mandatory algorithm and mode.
536.    Export and use of encryption are regulated in some countries [OTA94].
537.  
538. 3.3 COMBINING SECURITY MECHANISMS
539.  
540.    In some cases the IP Authentication Header might be combined with the
541.    IP Encapsulating Security Protocol to obtain the desired security
542.    properties.  The Authentication Header always provides integrity and
543.    authentication and can provide non-repudiation if used with certain
544.    authentication algorithms (e.g., RSA).  The Encapsulating Security
545.    Payload always provides integrity and confidentiality and can also
546.    provide authentication if used with certain authenticating encryption
547.    algorithms.  Adding the Authentication Header to a IP datagram prior
548.    to encapsulating that datagram using the Encapsulating Security
549.    Protocol might be desirable for users wishing to have strong
550.    integrity, authentication, confidentiality, and perhaps also for
551.    users who require strong non-repudiation.  When the two mechanisms
552.    are combined, the placement of the IP Authentication Header makes
553.    clear which part of the data is being authenticated.  Details on
554.    combining the two mechanisms are provided in the IP Encapsulating
555.    Security Payload specification [At94b].
556.  
557.  
558.  
559.  
560.  
561.  
562. Atkinson                    Standards Track                    [Page 10]
563.  
564. RFC 1825              Security Architecture for IP           August 1995
565.  
566.  
567. 3.4 OTHER SECURITY MECHANISMS
568.  
569.    Protection from traffic analysis is not provided by any of the
570.    security mechanisms described above.  It is unclear whether
571.    meaningful protection from traffic analysis can be provided
572.    economically at the Internet Layer and it appears that few Internet
573.    users are concerned about traffic analysis.  One traditional method
574.    for protection against traffic analysis is the use of bulk link
575.    encryption.  Another technique is to send false traffic in order to
576.    increase the noise in the data provided by traffic analysis.
577.    Reference [VK83] discusses traffic analysis issues in more detail.
578.  
579. 4. KEY MANAGEMENT
580.  
581.    The Key Management protocol that will be used with IP layer security
582.    is not specified in this document.  However, because the key
583.    management protocol is coupled to AH and ESP only via the Security
584.    Parameters Index (SPI), we can meaningfully define AH and ESP without
585.    having to fully specify how key management is performed.  We envision
586.    that several key management systems will be usable with these
587.    specifications, including manual key configuration.  Work is ongoing
588.    within the IETF to specify an Internet Standard key management
589.    protocol.
590.  
591.    Support for key management methods where the key management data is
592.    carried within the IP layer is not a design objective for these IP-
593.    layer security mechanisms.  Instead these IP-layer security
594.    mechanisms will primarily use key management methods where the key
595.    management data will be carried by an upper layer protocol, such as
596.    UDP or TCP, on some specific port number or where the key management
597.    data will be distributed manually.
598.  
599.    This design permits clear decoupling of the key management mechanism
600.    from the other security mechanisms, and thereby permits one to
601.    substitute new and improved key management methods without having to
602.    modify the implementations of the other security mechanisms.  This
603.    separation of mechanism is clearly wise given the long history of
604.    subtle flaws in published key management protocols [NS78, NS81].
605.    What follows in this section is a brief discussion of a few
606.    alternative approaches to key management.  Mutually consenting
607.    systems may additionally use other key management approaches by
608.    private prior agreement.
609.  
610. 4.1 Manual Key Distribution
611.  
612.    The simplest form of key management is manual key management, where a
613.    person manually configures each system with its own key and also with
614.    the keys of other communicating systems.  This is quite practical in
615.  
616.  
617.  
618. Atkinson                    Standards Track                    [Page 11]
619.  
620. RFC 1825              Security Architecture for IP           August 1995
621.  
622.  
623.    small, static environments but does not scale.  It is not a viable
624.    medium-term or long-term approach, but might be appropriate and
625.    useful in many environments in the near-term.  For example, within a
626.    small LAN it is entirely practical to manually configure keys for
627.    each system.  Within a single administrative domain it is practical
628.    to configure keys for each router so that the routing data can be
629.    protected and to reduce the risk of an intruder breaking into a
630.    router.  Another case is where an organisation has an encrypting
631.    firewall between the internal network and the Internet at each of its
632.    sites and it connects two or more sites via the Internet.  In this
633.    case, the encrypting firewall might selectively encrypt traffic for
634.    other sites within the organisation using a manually configured key,
635.    while not encrypting traffic for other destinations.  It also might
636.    be appropriate when only selected communications need to be secured.
637.  
638. 4.2 Some Existing Key Management Techniques
639.  
640.    There are a number of key management algorithms that have been
641.    described in the public literature.  Needham & Schroeder have
642.    proposed a key management algorithm which relies on a centralised key
643.    distribution system [NS78, NS81].  This algorithm is used in the
644.    Kerberos Authentication System developed at MIT under Project Athena
645.    [KB93].  Diffie and Hellman have devised an algorithm which does not
646.    require a centralised key distribution system [DH76].  Unfortunately,
647.    the original Diffie-Hellman technique is vulnerable to an active "man
648.    in the middle" attack [Sch93, p. 43-44].  However, this vulnerability
649.    can be mitigated by using signed keys to authentically bootstrap into
650.    the Diffie-Hellman exchange [Sch93, p. 45].
651.  
652. 4.3 Automated Key Distribution
653.  
654.    Widespread deployment and use of IP security will require an
655.    Internet-standard scalable key management protocol.  Ideally such a
656.    protocol would support a number of protocols in the Internet protocol
657.    suite, not just IP security.  There is work underway within the IETF
658.    to add signed host keys to the Domain Name System [EK94] The DNS keys
659.    enable the originating party to authenticate key management messages
660.    with the other key management party using an asymmetric algorithm.
661.    The two parties would then have an authenticatible communications
662.    channel that could be used to create a shared session key using
663.    Diffie-Hellman or other means [DH76] [Sch93].
664.  
665. 4.4 Keying Approaches for IP
666.  
667.    There are two keying approaches for IP.  The first approach, called
668.    host-oriented keying, has all users on host 1 share the same key for
669.    use on traffic destined for all users on host 2.  The second
670.    approach, called user-oriented keying, lets user A on host 1 have one
671.  
672.  
673.  
674. Atkinson                    Standards Track                    [Page 12]
675.  
676. RFC 1825              Security Architecture for IP           August 1995
677.  
678.  
679.    or more unique session keys for its traffic destined for host 2; such
680.    session keys are not shared with other users on host1.  For example,
681.    user A's ftp session might use a different key than user A's telnet
682.    session.  In systems claiming to provide multi-level security, user A
683.    will typically have at least one key per sensitivity level in use
684.    (e.g., one key for UNCLASSIFIED traffic, a second key for SECRET
685.    traffic, and a third key for TOP SECRET traffic).  Similarly, with
686.    user-oriented keying one might use separate keys for information sent
687.    to a multicast group and control messages sent to the same multicast
688.    group.
689.  
690.    In many cases, a single computer system will have at least two
691.    mutually suspicious users A and B that do not trust each other.  When
692.    host-oriented keying is used and mutually suspicious users exist, it
693.    is sometimes possible for user A to determine the host-oriented key
694.    via well known methods, such as a Chosen Plaintext attack.  Once user
695.    A has improperly obtained the key in use, user A can then either read
696.    user B's encrypted traffic or forge traffic from user B.  When user-
697.    oriented keying is used, certain kinds of attack from one user onto
698.    another user's traffic are not possible.
699.  
700.    IP Security is intended to be able to provide Authentication,
701.    Integrity, and Confidentiality for applications operating on
702.    connected end systems when appropriate algorithms are in use.
703.    Integrity and Confidentiality can be provided by host-oriented keying
704.    when appropriate dynamic key management techniques and appropriate
705.    algorithms are in use.  However, authentication of principals using
706.    applications on end-systems requires that processes running
707.    applications be able to request and use their own Security
708.    Associations.  In this manner, applications can make use of key
709.    distribution facilities that provide authentication.
710.  
711.    Hence, support for user-oriented keying SHOULD be present in all IP
712.    implementations, as is described in the "IP Key Management
713.    Requirements" section below.
714.  
715. 4.5 Multicast Key Distribution
716.  
717.    Multicast key distribution is an active research area in the
718.    published literature as of this writing.  For multicast groups having
719.    relatively few members, manual key distribution or multiple use of
720.    existing unicast key distribution algorithms such as modified
721.    Diffie-Hellman appears feasible.  For very large groups, new scalable
722.    techniques will be needed.  The use of Core-Based Trees (CBT) to
723.    provide session key management as well as multicast routing might be
724.    an approach used in the future [BFC93].
725.  
726.  
727.  
728.  
729.  
730. Atkinson                    Standards Track                    [Page 13]
731.  
732. RFC 1825              Security Architecture for IP           August 1995
733.  
734.  
735. 4.6 IP Key Management Requirements
736.  
737.    This section defines key management requirements for all IPv6
738.    implementations and for those IPv4 implementations that implement the
739.    IP Authentication Header, the IP Encapsulating Security Payload, or
740.    both.  It applies equally to the IP Authentication Header and the IP
741.    Encapsulating Security Payload.
742.  
743.    All such implementations MUST support manual configuration of
744.    Security Associations.
745.  
746.    All such implementations SHOULD support an Internet standard Security
747.    Association establishment protocol (e.g., IKMP, Photuris) once such a
748.    protocol is published as an Internet standards-track RFC.
749.  
750.    Implementations MAY also support other methods of configuring
751.    Security Associations.
752.  
753.    Given two endpoints, it MUST be possible to have more than one
754.    concurrent Security Association for communications between them.
755.    Implementations on multi-user hosts SHOULD support user granularity
756.    (i.e., "user-oriented") Security Associations.
757.  
758.    All such implementations MUST permit the configuration of host-
759.    oriented keying.
760.  
761.    A device that encrypts or authenticates IP packets originated other
762.    systems, for example a dedicated IP encryptor or an encrypting
763.    gateway, cannot generally provide user-oriented keying for traffic
764.    originating on other systems.  Such systems MAY additionally
765.    implement support for user-oriented keying for traffic originating on
766.    other systems.
767.  
768.    The method by which keys are configured on a particular system is
769.    implementation-defined.  A flat file containing security association
770.    identifiers and the security parameters, including the key(s), is an
771.    example of one possible method for manual key distribution.  An IP
772.    system MUST take reasonable steps to protect the keys and other
773.    security association information from unauthorised examination or
774.    modification because all of the security lies in the keys.
775.  
776. 5. USAGE
777.  
778.    This section describes the possible use of the security mechanisms
779.    provided by IP in several different environments and applications in
780.    order to give the implementer and user a better idea of how these
781.    mechanisms can be used to reduce security risks.
782.  
783.  
784.  
785.  
786. Atkinson                    Standards Track                    [Page 14]
787.  
788. RFC 1825              Security Architecture for IP           August 1995
789.  
790.  
791. 5.1 USE WITH FIREWALLS
792.  
793.    Firewalls are not uncommon in the current Internet [CB94].  While
794.    many dislike their presence because they restrict connectivity, they
795.    are unlikely to disappear in the near future.  Both of these IP
796.    mechanisms can be used to increase the security provided by
797.    firewalls.
798.  
799.    Firewalls used with IP often need to be able to parse the headers and
800.    options to determine the transport protocol (e.g., UDP or TCP) in use
801.    and the port number for that protocol.  Firewalls can be used with
802.    the Authentication Header regardless of whether that firewall is
803.    party to the appropriate Security Assocation, but a firewall that is
804.    not party to the applicable Security Association will not normally be
805.    able to decrypt an encrypted upper-layer protocol to view the
806.    protocol or port number needed to perform per-packet filtering OR to
807.    verify that the data (e.g., source, destination, transport protocol,
808.    port number) being used for access control decisions is correct and
809.    authentic.  Hence, authentication might be performed not only within
810.    an organisation or campus but also end to end with remote systems
811.    across the Internet.  This use of the Authentication Header with IP
812.    provides much more assurance that the data being used for access
813.    control decisions is authentic.
814.  
815.    Organisations with two or more sites that are interconnected using
816.    commercial IP service might wish to use a selectively encrypting
817.    firewall.  If an encrypting firewall were placed between each site of
818.    a company and the commercial IP service provider, the firewall could
819.    provide an encrypted IP tunnel among all the company's sites.  It
820.    could also encrypt traffic between the company and its suppliers,
821.    customers, and other affiliates.  Traffic with the Network
822.    Information Center, with public Internet archives, or some other
823.    organisations might not be encrypted because of the unavailability of
824.    a standard key management protocol or as a deliberate choice to
825.    facilitate better communications, improved network performance, and
826.    increased connectivity.  Such a practice could easily protect the
827.    company's sensitive traffic from eavesdropping and modification.
828.  
829.    Some organisations (e.g., governments) might wish to use a fully
830.    encrypting firewall to provide a protected virtual network over
831.    commercial IP service.  The difference between that and a bulk IP
832.    encryption device is that a fully encrypting firewall would provide
833.    filtering of the decrypted traffic as well as providing encryption of
834.    IP packets.
835.  
836.  
837.  
838.  
839.  
840.  
841.  
842. Atkinson                    Standards Track                    [Page 15]
843.  
844. RFC 1825              Security Architecture for IP           August 1995
845.  
846.  
847. 5.2 USE WITH IP MULTICAST
848.  
849.    In the past several years, the Multicast Backbone (MBONE) has grown
850.    rapidly.  IETF meetings and other conferences are now regularly
851.    multicast with real-time audio, video, and whiteboards.  Many people
852.    are now using teleconferencing applications based on IP Multicast in
853.    the Internet or in private internal networks.  Others are using IP
854.    multicasting to support distributed simulation or other applications.
855.    Hence it is important that the security mechanisms in IP be suitable
856.    for use in an environment where multicast is the general case.
857.  
858.    The Security Parameters Indexes (SPIs) used in the IP security
859.    mechanisms are receiver-oriented, making them well suited for use in
860.    IP multicast [Atk95a, Atk95b].  Unfortunately, most currently
861.    published multicast key distribution protocols do not scale well.
862.    However, there is active research in this area.  As an interim step,
863.    a multicast group could repeatedly use a secure unicast key
864.    distribution protocol to distribute the key to all members or the
865.    group could pre-arrange keys using manual key distribution.
866.  
867. 5.3 USE TO PROVIDE QOS PROTECTION
868.  
869.    The recent IAB Security Workshop identified Quality of Service
870.    protection as an area of significant interest [BCCH].  The two IP
871.    security mechanisms are intended to provide good support for real-
872.    time services as well as multicasting.  This section describes one
873.    possible approach to providing such protection.
874.  
875.    The Authentication Header might be used, with appropriate key
876.    management, to provide authentication of packets.  This
877.    authentication is potentially important in packet classification
878.    within routers.  The IPv6 Flow Identifier might act as a Low-Level
879.    Identifier (LLID).  Used together, packet classification within
880.    routers becomes straightforward if the router is provided with the
881.    appropriate keying material.  For performance reasons the routers
882.    might authenticate only every Nth packet rather than every packet,
883.    but this is still a significant improvement over capabilities in the
884.    current Internet.  Quality of service provisioning is likely to also
885.    use the Flow ID in conjunction with a resource reservation protocol,
886.    such as RSVP [ZDESZ93].  Thus, the authenticated packet
887.    classification can be used to help ensure that each packet receives
888.    appropriate handling inside routers.
889.  
890. 5.4 USE IN COMPARTMENTED OR MULTI-LEVEL NETWORKS
891.  
892.    A multi-level secure (MLS) network is one where a single network is
893.    used to communicate data at different sensitivity levels (e.g.,
894.    Unclassified and Secret) [DoD85] [DoD87].  Many governments have
895.  
896.  
897.  
898. Atkinson                    Standards Track                    [Page 16]
899.  
900. RFC 1825              Security Architecture for IP           August 1995
901.  
902.  
903.    significant interest in MLS networking [DIA].  The IP security
904.    mechanisms have been designed to support MLS networking.  MLS
905.    networking requires the use of strong Mandatory Access Controls
906.    (MAC), which ordinary users are incapable of controlling or violating
907.    [BL73].  This section pertains only to the use of these IP security
908.    mechanisms in MLS environments.
909.  
910.    The Authentication Header can be used to provide strong
911.    authentication among hosts in a single-level network.  The
912.    Authentication Header can also be used to provide strong assurance
913.    for both mandatory access control decisions in multi-level networks
914.    and discretionary access control decisions in all kinds of networks.
915.    If explicit IP sensitivity labels (e.g., IPSO) [Ken91] are used and
916.    confidentiality is not considered necessary within the particular
917.    operational environment, the Authentication Header is used to provide
918.    authentication for the entire packet, including cryptographic binding
919.    of the sensitivity level to the IP header and user data.  This is a
920.    significant improvement over labeled IPv4 networks where the label is
921.    trusted even though it is not trustworthy because there is no
922.    authentication or cryptographic binding of the label to the IP header
923.    and user data.  IPv6 will normally use implicit sensitivity labels
924.    that are part of the Security Association but not transmitted with
925.    each packet instead of using explicit sensitivity labels.  All
926.    explicit IP sensitivity labels MUST be authenticated using either
927.    ESP, AH, or both.
928.  
929.    The Encapsulating Security Payload can be combined with appropriate
930.    key policies to provide full multi-level secure networking.  In this
931.    case each key must be used only at a single sensitivity level and
932.    compartment.  For example, Key "A" might be used only for sensitive
933.    Unclassified packets, while Key "B" is used only for Secret/No-
934.    compartments traffic, and Key "C" is used only for Secret/No-Foreign
935.    traffic.  The sensitivity level of the protected traffic MUST NOT
936.    dominate the sensitivity level of the Security Association used with
937.    that traffic.  The sensitivity level of the Security Association MUST
938.    NOT dominate the sensitivity level of the key that belongs to that
939.    Security Association.  The sensitivity level of the key SHOULD be the
940.    same as the sensitivity level of the Security Association.  The
941.    Authentication Header can also have different keys for the same
942.    reasons, with the choice of key depending in part on the sensitivity
943.    level of the packet.
944.  
945.    Encryption is very useful and desirable even when all of the hosts
946.    are within a protected environment.  The Internet-standard encryption
947.    algorithm could be used, in conjunction with appropriate key
948.    management, to provide strong Discretionary Access Controls (DAC) in
949.    conjunction with either implicit sensitivity labels or explicit
950.    sensitivity labels (such as IPSO provides for IPv4 [Ken91]). Some
951.  
952.  
953.  
954. Atkinson                    Standards Track                    [Page 17]
955.  
956. RFC 1825              Security Architecture for IP           August 1995
957.  
958.  
959.    environments might consider the Internet-standard encryption
960.    algorithm sufficiently strong to provide Mandatory Access Controls
961.    (MAC).  Full encryption SHOULD be used for all communications between
962.    multi-level computers or compartmented mode workstations even when
963.    the computing environment is considered to be protected.
964.  
965. 6. SECURITY CONSIDERATIONS
966.  
967.    This entire memo discusses the Security Architecture for the Internet
968.    Protocol.  It is not a general security architecture for the
969.    Internet, but is instead focused on the IP layer.
970.  
971.    Cryptographic transforms for ESP which use a block-chaining algorithm
972.    and lack a strong integrity mechanism are vulnerable to a cut-and-
973.    paste attack described by Bellovin and should not be used unless the
974.    Authentication Header is always present with packets using that ESP
975.    transform [Bel95].
976.  
977.    If more than one sender uses shares a Security Association with a
978.    destination, then the receiving system can only authenticate that the
979.    packet was sent from one of those systems and cannot authenticate
980.    which of those systems sent it.  Similarly, if the receiving system
981.    does not check that the Security Association used for a packet is
982.    valid for the claimed Source Address of the packet, then the
983.    receiving system cannot authenticate whether the packet's claimed
984.    Source Address is valid.  For example, if senders "A" and "B" each
985.    have their own unique Security Association with destination "D" and
986.    "B" uses its valid Security Association with D but forges a Source
987.    Address of "A", then "D" will be fooled into believing the packet
988.    came from "A" unless "D" verifies that the claimed Source Address is
989.    party to the Security Association that was used.
990.  
991.    Users need to understand that the quality of the security provided by
992.    the mechanisms provided by these two IP security mechanisms depends
993.    completely on the strength of the implemented cryptographic
994.    algorithms, the strength of the key being used, the correct
995.    implementation of the cryptographic algorithms, the security of the
996.    key management protocol, and the correct implementation of IP and the
997.    several security mechanisms in all of the participating systems.  The
998.    security of the implementation is in part related to the security of
999.    the operating system which embodies the security implementations.
1000.    For example, if the operating system does not keep the private
1001.    cryptologic keys (that is, all symmetric keys and the private
1002.    asymmetric keys) confidential, then traffic using those keys will not
1003.    be secure.  If any of these is incorrect or insufficiently secure,
1004.    little or no real security will be provided to the user.  Because
1005.    different users on the same system might not trust each other, each
1006.    user or each session should usually be keyed separately.  This will
1007.  
1008.  
1009.  
1010. Atkinson                    Standards Track                    [Page 18]
1011.  
1012. RFC 1825              Security Architecture for IP           August 1995
1013.  
1014.  
1015.    also tend to increase the work required to cryptanalyse the traffic
1016.    since not all traffic will use the same key.
1017.  
1018.    Certain security properties (e.g., traffic analysis protection) are
1019.    not provided by any of these mechanisms.  One possible approach to
1020.    traffic analysis protection is appropriate use of link encryption
1021.    [VK83].  Users must carefully consider which security properties they
1022.    require and take active steps to ensure that their needs are met by
1023.    these or other mechanisms.
1024.  
1025.    Certain applications (e.g., electronic mail) probably need to have
1026.    application-specific security mechanisms.  Application-specific
1027.    security mechanisms are out of the scope of this document.  Users
1028.    interested in electronic mail security should consult the RFCs
1029.    describing the Internet's Privacy-Enhanced Mail system.  Users
1030.    concerned about other application-specific mechanisms should consult
1031.    the online RFCs to see if suitable Internet Standard mechanisms
1032.    exist.
1033.  
1034. ACKNOWLEDGEMENTS
1035.  
1036.    Many of the concepts here are derived from or were influenced by the
1037.    US Government's SDNS security protocol specifications, the ISO/IEC's
1038.    NLSP specification, or from the proposed swIPe security protocol
1039.    [SDNS, ISO, IB93, IBK93].  The work done for SNMP Security and SNMPv2
1040.    Security influenced the choice of default cryptological algorithms
1041.    and modes [GM93].  Steve Bellovin, Steve Deering, Richard Hale,
1042.    George Kamis, Phil Karn, Frank Kastenholz, Perry Metzger, Dave
1043.    Mihelcic, Hilarie Orman and Bill Simpson provided careful critiques
1044.    of early versions of this document.
1045.  
1046. REFERENCES
1047.  
1048.    [Atk95a] Atkinson, R., "IP Authentication Header", RFC 1826, NRL,
1049.             August 1995.
1050.  
1051.    [Atk95b] Atkinson, R., "IP Encapsulating Security Payload", RFC 1827,
1052.             NRL, August 1995.
1053.  
1054.    [BCCH94] Braden, R., Clark, D., Crocker, S., and C. Huitema, "Report
1055.             of IAB Workshop on Security in the Internet Architecture",
1056.             RFC 1636, USC/Information Sciences Institute, MIT, Trusted
1057.             Information Systems, INRIA, June 1994.
1058.  
1059.    [Bel89]  Steven M. Bellovin, "Security Problems in the TCP/IP
1060.             Protocol Suite", ACM Computer Communications Review, Vol. 19,
1061.             No. 2, March 1989.
1062.  
1063.  
1064.  
1065.  
1066. Atkinson                    Standards Track                    [Page 19]
1067.  
1068. RFC 1825              Security Architecture for IP           August 1995
1069.  
1070.  
1071.    [Bel95]  Steven M. Bellovin, Presentation at IP Security Working
1072.             Group Meeting, Proceedings of the 32nd Internet Engineering
1073.             Task Force, March 1995, Internet Engineering Task Force,
1074.             Danvers, MA.
1075.  
1076.    [BFC93]  A. Ballardie, P. Francis, & J. Crocroft, "Core Based Trees:
1077.             An Architecture for Scalable Inter-Domain Multicast Routing",
1078.             Proceedings of ACM SIGCOMM 93, ACM Computer Communications
1079.             Review, Volume. 23, Number 4, October 1993, pp. 85-95.
1080.  
1081.    [BL73]   Bell, D.E. & LaPadula, L.J., "Secure Computer Systems:
1082.             Mathematical Foundations and Model", Technical Report
1083.             M74-244, The MITRE Corporation, Bedford, MA, May 1973.
1084.  
1085.    [CB94]   William R. Cheswick & Steven M. Bellovin, Firewalls &
1086.             Internet Security, Addison-Wesley, Reading, MA, 1994.
1087.  
1088.    [DIA]    US Defense Intelligence Agency, "Compartmented Mode
1089.             Workstation Specification", Technical Report
1090.             DDS-2600-6243-87.
1091.  
1092.    [DoD85]  US National Computer Security Center, "Department of Defense
1093.             Trusted Computer System Evaluation Criteria", DoD
1094.             5200.28-STD, US Department of Defense, Ft. Meade, MD.,
1095.             December 1985.
1096.  
1097.    [DoD87]  US National Computer Security Center, "Trusted Network
1098.             Interpretation of the Trusted Computer System Evaluation
1099.             Criteria", NCSC-TG-005, Version 1, US Department of Defense,
1100.             Ft. Meade, MD., 31 July 1987.
1101.  
1102.    [DH76]   W. Diffie & M. Hellman, "New Directions in Cryptography",
1103.             IEEE Transactions on Information Theory, Vol. IT-22, No. 6,
1104.             November 1976, pp. 644-654.
1105.  
1106.    [EK94]   D. Eastlake III & C. Kaufman, "Domain Name System Protocol
1107.             Security Extensions", Work in Progress.
1108.  
1109.    [GM93]   Galvin J., and K. McCloghrie, "Security Protocols for
1110.             version 2 of the Simple Network Management Protocol
1111.             (SNMPv2)", RFC 1446, Trusted Information Systems, Hughes LAN
1112.             Systems, April 1993.
1113.  
1114.    [HA94]   Haller, N., and R. Atkinson, "On Internet Authentication",
1115.             RFC 1704, Bell Communications Research, NRL, October 1994.
1116.  
1117.    [Hin94]  Bob Hinden (Editor), Internet Protocol version 6 (IPv6)
1118.             Specification, Work in Progress, October 1994.
1119.  
1120.  
1121.  
1122. Atkinson                    Standards Track                    [Page 20]
1123.  
1124. RFC 1825              Security Architecture for IP           August 1995
1125.  
1126.  
1127.  
1128.    [ISO]   ISO/IEC JTC1/SC6, Network Layer Security Protocol, ISO-IEC
1129.            DIS 11577, International Standards Organisation, Geneva,
1130.            Switzerland, 29 November 1992.
1131.  
1132.    [IB93]  John Ioannidis and Matt Blaze, "Architecture and
1133.            Implementation of Network-layer Security Under Unix",
1134.            Proceedings of USENIX Security Symposium, Santa Clara, CA,
1135.            October 1993.
1136.  
1137.    [IBK93] John Ioannidis, Matt Blaze, & Phil Karn, "swIPe: Network-Layer
1138.            Security for IP", presentation at the Spring 1993 IETF Meeting,
1139.            Columbus, Ohio.
1140.  
1141.    [Ken91] Kent, S., "US DoD Security Options for the Internet Protocol",
1142.            RFC 1108, BBN Communications, November 1991.
1143.  
1144.    [Ken93] Kent, S., "Privacy Enhancement for Internet Electronic Mail:
1145.            Part II: Certificate-Based Key Management", RFC 1422,
1146.            BBN Communications, February 1993.
1147.  
1148.    [KB93]  Kohl, J., and B. Neuman, "The Kerberos Network Authentication
1149.            Service (V5)", RFC 1510, Digital Equipment Corporation,
1150.            USC/Information Sciences Institute, September 1993.
1151.  
1152.    [MS95]  Metzger, P., and W. Simpson, "IP Authentication with Keyed
1153.            MD5", RFC 1828, Piermont, Daydreamer, August 1995.
1154.  
1155.    [KMS95] Karn, P., Metzger, P., and W. Simpson, "The ESP DES-CBC
1156.            Transform", RFC 1829, Qualcomm, Inc., Piermont, Daydreamer,
1157.            August 1995.
1158.  
1159.    [NS78]  R.M. Needham & M.D. Schroeder, "Using Encryption for
1160.            Authentication in Large Networks of Computers", Communications
1161.            of the ACM, Vol. 21, No. 12, December 1978, pp. 993-999.
1162.  
1163.    [NS81]  R.M. Needham & M.D. Schroeder, "Authentication Revisited",
1164.            ACM Operating Systems Review, Vol. 21, No. 1., 1981.
1165.  
1166.    [OTA94] US Congress, Office of Technology Assessment, "Information
1167.            Security & Privacy in Network Environments", OTA-TCT-606,
1168.            Government Printing Office, Washington, DC, September 1994.
1169.  
1170.    [Sch94] Bruce Schneier, Applied Cryptography, Section 8.6,
1171.            John Wiley & Sons, New York, NY, 1994.
1172.  
1173.  
1174.  
1175.  
1176.  
1177.  
1178. Atkinson                    Standards Track                    [Page 21]
1179.  
1180. RFC 1825              Security Architecture for IP           August 1995
1181.  
1182.  
1183.    [SDNS]  SDNS Secure Data Network System, Security Protocol 3, SP3,
1184.            Document SDN.301, Revision 1.5, 15 May 1989, published
1185.            in NIST Publication NIST-IR-90-4250, February 1990.
1186.  
1187.    [VK83]  V.L. Voydock & S.T. Kent, "Security Mechanisms in High-level
1188.            Networks", ACM Computing Surveys, Vol. 15, No. 2, June 1983.
1189.  
1190.    [ZDESZ93] Zhang, L., Deering, S., Estrin, D., Shenker, S., and
1191.              D. Zappala, "RSVP: A New Resource ReSerVation Protocol",
1192.              IEEE Network magazine, September 1993.
1193.  
1194. DISCLAIMER
1195.  
1196.    The views expressed in this note are those of the author and are not
1197.    necessarily those of his employer.  The Naval Research Laboratory has
1198.    not passed judgement on the merits, if any, of this work.  The author
1199.    and his employer specifically disclaim responsibility for any problems
1200.    arising from correct or incorrect implementation or use of this
1201.    design.
1202.  
1203. AUTHOR'S ADDRESS
1204.  
1205.    Randall Atkinson
1206.    Information Technology Division
1207.    Naval Research Laboratory
1208.    Washington, DC 20375-5320
1209.    USA
1210.  
1211.    Phone:  (202) 767-2389
1212.    Fax:    (202) 404-8590
1213.    EMail: atkinson@itd.nrl.navy.mil
1214.  
1215.  
1216.  
1217.  
1218.  
1219.  
1220.  
1221.  
1222.  
1223.  
1224.  
1225.  
1226.  
1227.  
1228.  
1229.  
1230.  
1231.  
1232.  
1233.  
1234. Atkinson                    Standards Track                    [Page 22]
1235.  
1236.