Архитектура безопасности для IP (часть 2)

Общий заголовок содержимого

Каждое содержимое ISAKMP, определяемое далее, начинается с общего заголовка, показанного на рис. 24.2, который обеспечивает возможность "связывания" содержимых и позволяет явно определять границы содержимого.

Поля общего заголовка содержимого определяются следующим образом:

Рис. 24.2. Общий заголовок содержимого

• Next Payload (1 октет) – идентификатор типа содержимого следующего содержимого в сообщении. Если текущее содержимое является последним, то данное поле должно быть 0.
• Payload Length (2 октета) – длина текущего содержимого, включая общий заголовок.

Атрибуты данных

Существует несколько случаев в ISAKMP, когда должны быть представлены атрибуты данных. Примером могут служить атрибуты SA, содержащиеся в Transform payload. Эти атрибуты данных не являются самостоятельным содержимым ISAKMP, а представляют собой часть некоторого содержимого. Формат атрибутов данных обеспечивает гибкость представления различных типов информации. В содержимом может существовать много атрибутов данных. Длина атрибутов данных или равна 4 октетам, или определяется полем Attribute Length. Это определяется битом формата атрибута, описанным ниже.

Поля атрибутов данных определяются следующим образом:

Рис. 24.3. Атрибуты данных

• Attribute Type (2 октета) – уникальный идентификатор каждого типа атрибута.

Бит Attribute Format ( AF ) указывает, будут ли атрибуты данных определяться форматом Type/Length/Value ( TLV ) или короткой формой формата Type/Value ( TV ). Если бит AF = 0, то атрибуты данных имеют форму TLV. Если бит AF = 1, то атрибуты данных имеют форму TV.

• Attribute Length (2 октета) – длина значения атрибута в октетах. При AF = 1 значение атрибута имеет только 2 октета, и поле длины атрибута не представлено.
• Attribute Value (переменной длины) – значение атрибута, связанное с Attribute Type. Если бит AF = 0, то это поле имеет переменную длину, определяемую полем Attribute Length. Если бит AF = 1, то Attribute Value имеет длину 2 октета.

Содержимое SA

Содержимое SA используется при переговорах об атрибутах безопасности и для определения Situation, при котором переговоры имеют место. Рис. 24.4 показывает формат полезной информации SA.

Рис. 24.4. Содержимое SA

• Next Payload (1 октет) – идентификатор типа содержимого Next payload в сообщении. Если текущее содержимое является последним в сообщении, то это поле будет 0. Данное поле не должно содержать значений для Proposal или Transform payloads, т.к. они являются частью содержимого SA. Например, это поле должно содержать значение "10" ( Nonce payload ) в первом сообщении Base Exchange, и значение "0" в первом сообщении Identity Protect Exchange.
• Payload Length (2 октета) – длина в октетах всего содержимого SA, включая SA payload, все Proposal payloads и все Transform payloads, связанные с создаваемой SA.
• Domain of Interpretation (4 октета) – определяет DOI, которым определяются данные переговоры. DOI является 32-битным беззнаковым целым. Значение 0 DOI в течение Фазы 1 обмена определяет Generic ISAKMP SA, который может использоваться любым протоколом в течение Фазы 2 обмена. Значение 1 DOI связано с IPsec DOI. Все другие значения DOI зарезервированы IANA для дальнейшего использования. IANA обычно не связывает значение DOI без некоторой открытой спецификации, такой как RFC.
• Situation (переменной длины) – поле, определяемое DOI, которое идентифицирует ситуацию, при которой ведутся переговоры. Situation используется для того, чтобы определить политику и соответствующие атрибуты безопасности, при которых ведутся переговоры.

Содержимое Proposal

Proposal Payload содержит информацию, используемую в течение переговоров SA. Proposal состоит из механизмов безопасности, или преобразований, используемых для обеспечения безопасности информационного канала. На рис. 24.5 показан формат Proposal Payload.

Рис. 24.5. Формат Proposal Payload

Поля Proposal Payload определяются следующим образом:

• Next Payload (1 октет) – идентификатор типа следующего содержимого в сообщении. Это поле должно содержать только значения "2" или "0". Если существуют дополнительные Proposal payload, то это поле должно быть 2. Если текущий Proposal payload является последним в SA proposal, то данное поле должно быть 0.
• Payload Length (2 октета) – длина в октетах всего Proposal payload, включая общий заголовок содержимого, Proposal payload и все Transform payloads, связанные с данным proposal.
• Proposal # (1 октет) – определяет номер Proposal для текущего содержимого.
• Protocol-Id (1 октет) – определяет идентификатор протокола для текущих переговоров. Примерами являются IPSEC ESP, IPSEC AH.
• SPI Size (1 октет) – длина SPI в октетах как определено Protocol-Id. В случае ISAKMP пара cookie Инициатора и Получателя из заголовка ISAKMP является идентификацией ISAKMP, следовательно, SPI Size не имеет значения и может быть от нуля до 16.
• # of Transforms (1 октет) – определяет количество преобразований для Proposal. Каждое из них содержится в Transform payload.
• SPI (переменной длины) – SPI получающей сущности.

Тип содержимого для Proposal Payload равен 2.