摘要

　　本文為IKEv2指定NULL身份驗證方法和ID_NULL標識有效負載ID類型。這允許兩個IKE對等體建立單側認證或相互不認證的IKE會話。 適用於那些對等方不願意或無法進行自身身份驗證或識別的情形。這可確保IKEv2可用於機會安全（也稱為機會加密），以抵禦普遍監控攻擊，而無需犧牲匿名性？？？。

1. 簡介

　　雖然對等方使用的身份驗證方法可能不同，但是沒有方法可以讓一方或雙方保持未經身份驗證和匿名。 本文檔擴展了身份驗證方法，以支持未經身份驗證的匿名IKE會話。

　　在某些情況下，相互認證是不需要的，多余的或不可能的。 以下三個示例說明了這些未經身份驗證的用例：　　

• 用戶想要建立到服務器的匿名安全連接。 在這種情況下，用戶應該能夠對服務器進行身份驗證，而無需使用自己的身份向服務器進行身份驗證。 此案例使用響應者的單方身份驗證。
• 周期性地從暫停狀態喚醒的傳感器想要將測量值（例如，溫度）發送到收集服務器。 傳感器必須由服務器進行身份驗證，以確保測量的真實性，但傳感器不需要對服務器進行身份驗證。 此案例使用發起方的單方身份驗證。
• 沒有任何信任關系的兩個對等體希望抵禦[RFC7258]中描述的普遍存在的普遍監視攻擊。 如果沒有信任關系，對等方就無法相互進行身份驗證。 機會安全[RFC7435]指出，未經身份驗證的加密通信優於明文通信。 對等方希望使用IKE來設置未經身份驗證的加密連接，以防止普遍存在的監控攻擊。 能夠並且願意發送數據包的攻擊者仍然可以發起中間人（MITM）攻擊以獲取未加密通信的副本。 此案例使用完全未經身份驗證的密鑰交換。

2. NULL認證方法

　　在IKEv2中，每個對等體獨立地選擇方法以向另一方驗證自身。 對等體可以選擇通過使用NULL認證方法來避免認證。 如果主機的本地策略要求對其對等體的身份進行（非空）身份驗證，並且該主機收到包含NULL身份驗證方法類型的AUTH有效負載，則必須返回AUTHENTICATION_FAILED通知。 如果發起方使用可擴展身份驗證協議（EAP），則響應者不得使用NULL身份驗證方法（符合[RFC7296]第2.16節）。

2.1 身份驗證有效負載

RFC7619 -- IKEv2中的NULL身份驗證方法