RFC 2408 Протокол ISAKMP (Internet Message Access Protocol, version 4rev1) определяет процедуры и форматы пакетов для организации, согласования, обновления и удаления ассоциаций безопасности SA (Security Associations). SA
содержат все сведения, требуемые для выполнения различных типов сервиса
обеспечения безопасности сети (услуги IP-уровня типа аутентификации
заголовков и инкапсуляции содержимого, услуги транспортного и
прикладного уровней, самообеспечение безопасности трафика согласования
параметров). ISAKMP определяет содержимое (payload) обмена при
генерации ключей и данных аутентификации. Эти форматы обеспечивают
надежный способ обмена ключами и сведениями аутентификации независимо
от метода генерации ключей, алгоритма шифрования и механизма
аутентификации. Формат заголовков ISAKMP показан на рисунке. 8 | 12 | 16 | 24 | 32 | Initiator cookie (8 байтов) | Responder cookie (8 байтов) | След. элемент | MjVer | MnVer | Тип обмена | Флаги | Идентификатор сообщения | Размер | Структура ISAKMP Initiator cookie Cookie объекта, инициировавшего организацию SA, уведомление SA или удаление SA. Responder cookie Cookie объекта, отвечающего на сообщение от организации SA, уведомлении SA или удалении SA. Следующий элемент Показывает тип первого элемента содержимого (payload) в данном сообщении. Поддерживаются следующие типы: 0 нет 1 Security Association (SA) 2 Proposal (P) - предложение 3 Transform (T) -0 преобразовать 4 Key Exchange (KE) - обмен ключами 5 Identification (ID) - идентификация 6 Certificate (CERT) - сертификат 7 Certificate Request (CR) - запрос сертификата 8 Hash (HASH) - смешать 9 Signature (SIG) - сигнатура, подпись 10 Nonce (NONCE) 11 Notification (N) - уведомление 12 Delete (D) - удалить 13 Vendor ID (VID) - идентификатор производителя 14-127 Reserved - зарезервированы 128-255 Private use - частное использование MjVer Показывает
старшую часть номера версии используемого протокола ISAKMP. Реализации
на основе RFC2408 должны использовать значение 1, а реализации на
основе предварительных версий ISAKMP (Internet-Drafts) - 0. Никакая из
реализаций не будет воспринимать пакеты с номером версии, превышающий
номер версии данной реализации. MnVer Показывает
младшую часть номера версии используемого протокола ISAKMP. Реализации
на основе RFC2408 должны использовать значение 0, а реализации на
основе предварительных версий ISAKMP (Internet-Drafts) - 1. Никакая из
реализаций не будет воспринимать пакеты с номером версии, превышающий
номер версии данной реализации. Тип обмена Показывает
тип используемого обмена. Это поле диктует тип сообщений и содержимого
при обмене ISAKMP. Поддерживаются следующие типы: 0 None 1 Base 2 Identity Protection 3 Authentication Only 4 Aggressive 5 Informational 6-31 ISAKMP Future Use 32-239 DOI Specific Use 240-255 Private Use Флаги Задает опции, установленные для обмена ISAKMP. E(ncryption) - бит 0 - указывает, что содержимое после заголовка зашифровано с использованием алгоритма, указанного в ISAKMP SA. C(ommit) - бит 1
- сигнализирует о синхронизации обмена ключами. Этот флаг используется
для того, чтобы зашифрованная информация не была получена до завершения
процесса организации SA. A(uthentication Only) - бит 2
- предназначен для использования в Informational Exchange с содержимым
Notify и будет позволять передачу информации с проверкой целостности,
но без шифрования. Все остальные биты устанавливаются в нулевые значения до передачи. Идентификатор сообщения Уникальный
идентификатор протокола используется для идентификации состояния
протокола в процессе согласования Phase 2 (фаза 2). Это число
генерируется случайным образом инициатором согласования фазы 2. В
случае одновременной организации SA (коллизия), значения этого поля
будут явно отличаться, поскольку они генерируются независимо и, таким
образом, две ассоциации безопасности будут находиться в процессе
создания. Однако, ниоткуда не следует, что эти ассоциации будут
завершены одновременно. В течение согласования фазы Phase 1 это поле
должно иметь нулевое значение 0. Размер Размер сообщения (заголовок и содержимое) в октетах. Шифрование может расширять размер сообщения ISAKMP.
|