Политика безопасности
Информационный обмен
В различные моменты при выполнении IKE SA стороны могут захотеть сообщить друг другу о возникших ошибках или уведомить о возникших событиях. Для выполнения этого определен информационный обмен. Информационные обмены должны осуществляться только после выполнения обмена ключом, чтобы они были криптографически защищены.
Управляющие сообщения, которые относятся к IKE SA, должны быть посланы в IKE SA. Управляющие сообщения, которые относятся к ESP или АН SA, должны быть посланы под защитой IKE SA, под управлением которой они созданы.
Сообщения информационного обмена могут содержать несколько Notification, Delete и Configuration содержимых. Получатель запроса информационного обмена должен послать ответ, так как в противном случае Инициатор будет предполагать, что сообщение было потеряно, и будет повторять его.
Использование таймеров ретрансмиссии
Для каждой пары сообщений Инициатор выполняет повторную передачу, если по истечению таймаута он не получил подтверждение о получении. Получатель никогда не должен повторять ответ, пока он не получит повтор запроса. В этом случае Получатель должен отправить повторный ответ. Инициатор должен запоминать каждый запрос до тех пор, пока он не получит ответ, чей последовательный номер больше, чем последовательный номер в ответе плюс его собственный размер окна.
IKE является надежным протоколом в том смысле, что Инициатор должен повторять запрос до тех пор, пока он не получит соответствующий ответ или он решит, что IKE SA упала, и он сбросит все состояния, связанные с ней и все дочерние SA для протоколов ESP и АН, созданные с использованием данной IKE SA.
Использование последовательных номеров для Message ID
Каждое сообщение IKE содержит в заголовке Message ID. Данный Message ID используется для идентификации сообщений в протоколе IKE.
Заметим, что Message ID криптографически защищен, и обеспечивается защита против повторных сообщений.
Для увеличения производительности конечные точки соединения могут создавать несколько запросов до того, как получат ответ на любой из них, если другая конечная точка указывает возможность обработки таких запросов.
Синхронизация состояния и таймауты соединения
Состояния IKE SA и связанных с ней AH SA и ESP SA могут быть в любой момент потеряны. Это обычно происходит в случае останова или перезапуска конечной точки. Важно, что когда происходит сбой конечной точки или повторная инициализация ее состояния, то противоположная конечная точка должна иметь возможность определить эту ситуацию и не продолжать бессмысленную посылку пакетов по разрушенной SА.
Так как IKE разрабатывался для противодействия DoS-атакам, конечная точка не должна делать вывод о падении противоположной конечной точки, основываясь на какой-либо информации маршрутизации (например, ICMP-сообщениях) или IKE-сообщениях, которые были получены без криптографической защиты (например, Notify-сообщения, уведомляющие о проблемах неизвестных SPI). Конечная точка должна делать вывод, что другая конечная точка упала только тогда, когда она не получает ответа за определенный период на повторные попытки связаться или когда получено криптографически защищенное уведомление INITIAL_CONTACT по другой IKE SA для той же самой аутентифицированной идентификации. Конечная точка может подозревать, что на противоположной стороне произошел сбой, основываясь на информации маршрутизации, и инициировать запрос, который бы показал ей, что данная конечная точка жизнеспособна. Для проверки жизнеспособности другой стороны определено пустое INFORMATIONAL сообщение, которое (подобно всем IKE-запросам) требует подтверждения о получении. Если криптографически защищенное сообщение получено от другой стороны недавно, незащищенные уведомления могут игнорироваться. Производители могут ограничить темп, с которым они будут действовать, основываясь на незащищенных сообщениях.
Если существует только исходящий трафик по всем SA, связанным с IKE SA, то особенно важно подтверждение жизнеспособности другой ко-нечной точки, чтобы избежать появления черных дыр. Если не было полу-чено никаких криптографически защищенных сообщений по IKE SA или по любой ESP или AH SA в течение определенного периода времени, необходимо выполнить проверку жизнеспособности, чтобы избежать посылки сообщений прекратившему существование участнику. Получение свежего криптографически защищенного сообщения по IKE SA или по любой ESP или AH SA гарантирует жизнеспособность IKE SA или ESP и AH SA.