Архитектура безопасности для IP (часть 2)

Содержимое Certificate Request

Certificate Request Payload обеспечивает значение для запроса сертификатов с помощью ISAKMP и может появиться в любом сообщении. Certificate Request рayload должен приниматься в любой точке обмена. Получатель Certificate Request рayload должен послать свой сертификат. Если требуется несколько сертификатов, то должны передаваться несколько Certificate Request рayloads. На рис. 24.10 показан формат Certificate Request Payload.

Рис. 24.10. Формат Сertificate Request Payload

Поля Certificate Payload определяются следующим образом:

• Next Payload (1 октет) – идентификатор типа следующего содержимого в сообщении. Если текущее содержимое является последним, то данное поле должно быть 0.
• Payload Length (2 октета) – длина в октетах текущего содержимого, включая общий заголовок.
• Certificate Type (1 октет) – содержит тип запрашиваемого сертификата.
• Certificate Authority (переменной длины) – содержит обозначение принимаемых сертификационных центров для запрашиваемых сертификатов. Например, для сертификата Х.509 оно должно содержать значение DN CA, принимаемого отправителем. Это должно помочь получателю определить, какую цепочку сертификатов необходимо послать в ответ на данный запрос. Если требуемый сертификационный центр не указан, данное поле включаться не должно.

Тип содержимого для Certificate Request Payload есть 7.

Содержимое HASH

Hash Payload содержит данные, создаваемые хэш-функцией (определенной во время обмена при установлении SA), для некоторой части сообщения и/или состояния ISAKMP. Данное содержимое может использоваться для проверки целостности данных в ISAKMP -сообщении или для аутентификации сущностей, ведущих переговоры. На рис. 24.11 показан формат Hash Payload.

Рис. 24.11. Формат HASH Payload

Поля Hash Payload определяются следующим образом:

• Next Payload (1 октет) – идентификатор типа следующего содержимого в сообщении. Если текущее содержимое является последним, то данное поле должно быть 0.
• Payload Length (2 октета) – длина в октетах текущего содержимого, включая общий заголовок.
• Hash Data (переменной длины) – данные, которые являются результатом применения хэш-функции к ISAKMP -сообщению и/или состоянию.

Содержимое Signature

Signature Payload содержит данные, созданные функцией цифровой подписи (выбранной при обмене во время установления SA) для определенной части сообщения и/или ISAKMP -состояния. Данное содержимое используется для проверки целостности данных в ISAKMP - сообщении, и может быть использовано для сервисов невозможности отказа. На рис. 24.12 показан формат Signature Payload.

Рис. 24.12. Формат Signature Payload

Поля Signature Payload определяются следующим образом:

• Next Payload (1 октет) – идентификатор типа следующего содержимого в сообщении. Если текущее содержимое является последним, то данное поле должно быть 0.
• Payload Length (2 октета) – длина в октетах текущего содержимого, включая общий заголовок.
• Signature Data (переменной длины) – данные, которые являются результатом применения функции цифровой подписи для ISAKMP сообщения.

Тип содержимого для Signature Payload есть 9.

Содержимое Nonce

Nonce Payload содержит случайные данные, используемые для гарантии своевременности обмена и отсутствия replay-атак. На рис. 24.13 показан формат Nonce Payload. Если nonces используются в конкретном обмене ключа, то применение Nonce рayload определяется обменом ключа. Nonces могут передаваться как часть данных обмена ключа или как отдельное содержимое. Это, однако, определяется обменом ключа, а не ISAKMP.

Рис. 24.13. Формат Nonce Payload

Поля Nonce Payload определяются следующим образом:

• Next Payload (1 октет) – идентификатор типа следующего содержимого в сообщении. Если текущее содержимое является последним, то данное поле должно быть 0.
• Payload Length (2 октета) – длина в октетах текущего содержимого, включая общий заголовок.
• Nonce Data (переменной длины) – содержит случайные данные, созданные передающей сущностью.

Тип содержимого для Nonce Payload есть 10.