Экстернат |
Безопасность на сетевом уровне: IP SEC
8.6. ISAKMP
Протокол управления ключами и услуг безопасности в Интернете - ISAKMP (Internet Security Association and Key Management Protocol) - разработан для обмена сообщениями в протоколе шифрования и идентификации - ( IKE ).
Общий заголовок
Формат общего заголовка показан на рис. 8.29.
- Cookie инициатора. Это поле на 32 бита определяет сookie объекта, который инициирует установление SA, уведомление SA или удаление SA.
- Cookie респондента. Это поле на 32 бита определяет сookie ответа респондента. Значение этого поля - 0, когда инициатор передает первое сообщение.
- Следующая полезная нагрузка. Это поле на 8 битов определяет тип полезной нагрузки, который следует непосредственно за заголовком. Мы обсуждаем различные типы полезной нагрузки в следующем разделе.
- Главная версия. Этот номер размером 4 бита определяет главную версию протокола. В настоящее время значение этого поля - 1.
- Младший номер версии.Этот номер размером 4 бита идет после главной версии и дополняет версию протокола. В настоящее время значение этого поля - 0.
- Тип обмена. Это поле на 8 битов определяет тип обмена, который осуществляется ISAKMP -пакетами. Мы обсудили различные типы обмена в предыдущем разделе.
- Флажки. Это - поле на 8 битов, в котором каждый бит определяет опцию обмена. Пока определены только три самых младших бита. Бит шифрования, когда он установлен на 1, указывает, что остальная часть полезной нагрузки будет зашифрована с использованием ключа шифрования и алгоритма, определенного SA. Договорный бит, когда он установлен на 1, определяет, что перед установлением SA материал шифрования не получен. Когда бит аутентификации установлен на 1, он определяет, что остальная часть полезной нагрузки хоть и не зашифрована, но аутентифицирована для сохранения целостности.
- ID Сообщения. Это поле на 32 бита - уникальный опознавательный код сообщения, которое определяет протокол. Это поле используется только в течение второй фазы переговоров и установлено на 0 в течение первой фазы.
- Длина сообщения. Поскольку к каждому пакету можно добавлять различные полезные нагрузки, длина сообщения может быть различна для каждого пакета. Это поле на 32 бита определяет длину всего сообщения, включая заголовок и все полезные нагрузки.
Полезные нагрузки
- Полезные нагрузки разработаны для того, чтобы доставлять сообщения. табл. 8.6 показывает типы полезных нагрузок.
Каждая полезная нагрузка имеет типовой заголовок и некоторые заданные поля. Формат общего заголовка показан на рис. 8.30.
- Следующая полезная нагрузка. Это поле на 8 битов идентифицирует тип следующей полезной нагрузки. Когда такой нагрузки нет, значение этого поля - 0. Обратите внимание, что нет поля типа для текущей полезной нагрузки. Тип текущей полезной нагрузки определен предыдущей полезной нагрузкой или общим заголовком (если полезная нагрузка - первая).
- Длина полезной нагрузки. Это поле на 16 битов определяет длину полной полезной нагрузки (включая типовой заголовок) в байтах.
SA полезная нагрузка
SA полезная нагрузка используется, чтобы договориться о параметрах безопасности. Однако эти параметры не включены в SA полезную нагрузку; они находятся в двух других полезных нагрузках (proposal - предложение и transform - преобразование), которые мы обсудим позже. SA полезная нагрузка сопровождается одной или несколькими полезными нагрузками proposal (предложение), и каждая полезная нагрузка предложения сопровождается одной или больше полезными нагрузками transform (преобразование). SA полезная нагрузка только определяет поле домен интерпретации и поле ситуация. рис. 8.31 показывает формат SA полезной нагрузки.
Поля в общем заголовке уже обсуждались. Описание полей SA полезной нагрузки дано ниже.
- Домен интерпретации (DOI - Domen Interpretation). Это - поле на 32 бита. Для фазы 1 значение 0 для этого поля определяет общий SA ; значение 1 определяет IPSec.
- Ситуация. Это - поле переменной длины, определяющее ситуацию, в которой проводятся переговоры.
Полезная нагрузка "Предложение"
Полезная нагрузка " Предложение" ( proposal ) , начинает процесс переговоров. Хотя это само по себе не задает никаких параметров, она определяет идентификацию протокола и индекс параметра обеспечения безопасности (SPI). Параметры для переговоров посылаются в составе полезной нагрузки "Преобразование" ( transform ),.которая следует за полезной нагрузкой предложения. Каждая полезная нагрузка предложения сопровождает одну или более полезных нагрузок преобразования, которые создают альтернативные множества параметров. рис. 8.32 показывает формат полезной нагрузки предложения.
Поля в общем заголовке уже обсуждались. Описания других полей даны ниже.
- Предложение #. Инициатор определяет номер предложения так, чтобы респондент мог сослаться на него. Обратите внимание, что полезная нагрузка SA может включить несколько полезных нагрузок предложения. Если все предложения принадлежат одному и тому же множеству протоколов, номер предложения должен быть одним и тем же для каждого протокола во множестве. В других случаях предложения должны иметь различные номера.
- ID Протокола. Это поле на 8 битов определяет протокол для переговоров. Например, Фаза I IKE = 0, ESP = 1, AH = 2, и т. д.
- Размер SPI. Это поле на 8 битов определяет размер индекса параметра безопасности (SPI) в байтах.
- Число преобразований. Это поле на 8 битов определяет число полезных нагрузок преобразования, которые будут следовать за этой полезной нагрузкой предложения.
- SPI. Это поле переменной длины фактический SPI (см.размер SPI). Обратите внимание, что если SPI не заполняет пространство на 32 бита, заполнение не добавляется.
Полезная нагрузка "Преобразование"
Полезная нагрузка " Преобразование" фактически доставляет признаки SA переговоров. рис. 8.33 показывает формат полезной нагрузки "преобразование".
Поля в общем заголовке уже обсуждались. Описания других полей даны ниже.
- Преобразование #. Это поле на 8 битов определяет номер преобразования. Если есть больше чем одна полезная нагрузка преобразования в полезную нагрузку предложения, то каждая должна иметь свой собственный номер.
- ID преобразования. Это поле на 8 битов определяет идентификацию полезной нагрузки.
- Признаки. Каждая полезная нагрузка преобразования может доставить несколько признаков (атрибутов). Каждый атрибут непосредственно имеет три или два подполя (см. рис. 8.33). Подполе типа признака определяет тип признака как определенного в домене интерпретации - DOI. Подполе длины признака, если оно имеется, определяет значение длины признака. Поле значения признака - два байта в короткой форме или переменной длины в длинной форме.
Полезная нагрузка "обмена ключами"
Полезная нагрузка "обмена ключами" применяется при обмене сообщениями, в которых требуется передать предварительные ключи, используемые для создания ключей сеанса. Например, она может быть нужна, чтобы передать полуключ Диффи-Хеллмана. рис. 8.34 показывает формат полезной нагрузки "обмена ключами".
Поля в общем заголовке уже обсуждались. Описание поля ключа засекречивания (KE) дано ниже.
Полезная нагрузка "Идентификация"
Полезная нагрузка "Идентификация" позволяет объектам передать свои параметры идентификации друг другу. рис. 8.35 показывает формат полезной нагрузки "Идентификация".
Поля в общем заголовке обсуждались. Описания других полей даны ниже.