Протоколы безопасного сетевого взаимодействия
Формат заголовка ISAKMP
Сообщение ISAKMP имеет фиксированный формат заголовка, показанный на рис. 24.1, за которым следует переменное число определенных содержимых. Фиксированный заголовок проще разбирать, что делает ПО более легким для реализации. Фиксированный заголовок содержит информацию, необходимую протоколу для поддержки состояния, обработки содержимого и, возможно, предотвращения DoS-атак и replay-атак.
Поля заголовка ISAKMP определяются следующим образом:
Рис. 24.1. Формат заголовка ISAKMP
- Initiator Cookie (8 октетов) – cookie участника, который инициировал установление SA, уведомление SA или уничтожение SA.
- Responder Cookie (8 октетов) – cookie участника, который является получателем запроса установления SA, уведомления SA или уничтожения SA.
- Next Payload (1 октет) – определяет тип первого содержимого в сообщении. Формат обработки каждого содержимого определяется далее.
- Major Version (4 бита) – определяет старший номер версии используемого протокола ISAKMP.
- Minor Version (4 бита) – определяет младший номер версии используемого протокола ISAKMP.
- Exchange Type (1 октет) – определяет тип используемого обмена. Это определяет сообщение и упорядоченность полезной информации в ISAKMP-обменах.
- Flags (1 октет) – определяет конкретные опции, которые установлены для ISAKMP-обмена. Флаги, перечисленные ниже, определяются в поле Flags, начиная с крайнего левого бита, т.е. бит Encription является нулевым битом поля Flags, бит Commit является первым битом поля Flags и бит Authentication Only является вторым битом поля Flags. Оставшиеся биты поля Flags при передаче должны быть установлены в 0.
- E (encryption bit) – если установлен, то все содержимые, следующие после заголовка, шифруются, используя алгоритм шифрования, определенный в ISAKMP SA. ISAKMP SA Identifier является комбинацией cookie инициатора и получателя. Рекомендуется, чтобы шифрование соединения между участниками начинало выполняться как можно быстрее. Для всех ISAKMP-обменов шифрование должно начинаться после того как оба участника обменяются содержимыми Key Exchange.
Если данный бит не установлен, то содержимые не шифруются. - C (commit bit) – данный бит используется для сигнала синхронизации обмена ключа. Он позволяет гарантировать, что зашифрованный материал не будет получен до завершения установления SA. Commit Bit может быть установлен в любое время любым из участников установления SA и может использоваться в обеих фазах установления ISAKMP SA. Тем не менее, значение должно быть сброшено после Фазы 1 переговоров. Если установлено (1), сущность, которая не установила Commit Bit, должна ждать Information Exchange, содержащий Notify payload от сущности, которая установила Commit Bit. Получение и обработка Informational Exchange говорит о том, что установление SA прошло успешно, и обе сущности могут теперь продолжать взаимодействие по зашифрованному каналу. Дополнительно к синхронизации обмена ключа Commit Bit может использоваться для защиты от падения соединения по ненадежным сетям и предохранять от необходимости многочисленных повторных восстановлений.
- A (authentication only bit) – данный бит используется с Informational Exchange с Notify payload и позволяет передавать информацию с контролем целостности, но без шифрования (т.е. "аварийный режим"). Если бит Authentication Only установлен, ко всему содержимому Notify Informational Exchange применяются только сервисы аутентификации, и содержимое не шифруется.
- E (encryption bit) – если установлен, то все содержимые, следующие после заголовка, шифруются, используя алгоритм шифрования, определенный в ISAKMP SA. ISAKMP SA Identifier является комбинацией cookie инициатора и получателя. Рекомендуется, чтобы шифрование соединения между участниками начинало выполняться как можно быстрее. Для всех ISAKMP-обменов шифрование должно начинаться после того как оба участника обменяются содержимыми Key Exchange.
- Message ID (4 октета) – уникальный идентификатор сообщения, используется для идентификации состояния протокола в Фазе 2 переговоров. Данное значение создается случайным образом инициатором в Фазе 2 переговоров.
- Length (4 октета) – длина всего сообщения (заголовок + содержимое) в октетах. Шифрование может увеличить размер ISAKMP-сообщения.
| None | 0 |
| Security Association (SA) | 1 |
| Proposal (P) | 2 |
| Transform (T) | 3 |
| Key Exchange (KE) | 4 |
| Identification (ID) | 5 |
| Certificate (CERT) | 6 |
| Certificate Request (CR) | 7 |
| Hash (HASH) | 8 |
| Signature (SIG) | 9 |
| Nonce (NONCE) | 10 |
| Notification (N) | 11 |
| Delete (D) | 12 |
| Vendor ID (VID) | 13 |
| RESERED | 14 – 127 |
| Private USE | 128 – 255 |
| NONE | 0 |
| Base | 1 |
| Identity Protection | 2 |
| Authentication Only | 3 |
| Aggressive | 4 |
| Informational | 5 |
| ISAKMP Future Use | 6 – 31 |
| DOI Specific Use | 32 – 239 |
| Private Use | 240 – 255 |
