Безопасность на сетевом уровне: IP SEC

Полезная нагрузка "Сертификация"

В любое время в течение процесса обмена объект может передать свой сертификат (для открытого ключа шифрования/дешифрования или ключа подписи). Хотя включение полезной нагрузки "Сертификация" в процесс обмена является обычно необязательным, оно должно быть предусмотрено, если нет безопасного списка-указателя (директории), доступного для распределения сертификатов. рис. 8.36 показывает формат полезной нагрузки "сертификация".

Рис. 8.36. Полезная нагрузка "сертификация"

Поля в общем заголовке уже обсуждались. Описания других полей приведены ниже.

• Сертификат кодирования. Это поле на 8 битов определяет кодирование (тип) сертификата. табл. 8.7 показывает типы, определенные в настоящее время.
• Данные сертификата. Это поле переменной длины, содержащее фактическое значение сертификата. Обратите внимание, что предыдущее поле неявно определяет размер этого поля.

Полезная нагрузка "Запрос сертификата"

Каждый объект может явно запросить сертификат от другого объекта, используя полезную нагрузку "запроса сертификата". Рис. 8.37 показывает формат такой полезной нагрузки.

Рис. 8.37. Полезная нагрузка "Запрос сертификата"

Поля в общем заголовке уже обсуждались. Определения других полей приведено ниже.

• Тип сертификата. Это 8-битовое поле определяет тип сертификата в полезной нагрузке сертификата.
• Администрация сертификата. Это - поле переменной длины, которое определяет администрацию для выданного типа сертификата.

Полезная нагрузка "Хэширование"

Полезная нагрузка "Хэширование" содержит данные, сгенерированные хэш-функцией, как описано в процедуре обмена IKE. Данные хэширования гарантируют целостность сообщения или состояния. рис. 8.38 показывает формат полезной нагрузки "Хэширование".

Рис. 8.38. Полезная нагрузка "Хэширование"

Поля в общем заголовке уже обсуждались. Описание последнего поля дано ниже.

• Данные хэширования. Это - поле переменной длины, которое содержит данные хэширования, сгенерированные с применением хэш-функции к части сообщения или состояний ISAKMP.

Полезная нагрузка "Подпись"

Полезная нагрузка "Подпись" содержит данные, сгенерированные, с применением процедуры цифровой подписи по некоторой части сообщений или состояний ISAKMP. рис. 8.39 показывает формат полезной нагрузки "Подпись".

Рис. 8.39. Полезная нагрузки "Подпись"

Поля в общем заголовке уже обсуждались. Описание последнего поля дано ниже.

• Подпись. Это поле переменной длины содержит дайджест, следующий из применения подписи к части сообщений или состояний ISAKMP.

Полезная нагрузка Nonce

Полезная нагрузка Nonce содержит случайные данные для использования nonce, чтобы обеспечить живучесть сообщения и предотвратить атаку воспроизведения. рис. 8.40 показывает формат полезной нагрузки nonce.

Рис. 8.40. Полезная нагрузка Nonce

Поля в общем заголовке уже обсуждались. Описание последнего поля дано ниже.

Nonce. Это поле переменной длины содержит значения nonce.

Полезная нагрузка "Уведомление"

В течение процесса переговоров иногда одна сторона должна сообщить другой стороне о состоянии или об ошибках. Полезная нагрузка "Уведомление" разработана для этих двух целей. рис. 8.41 показывает формат полезной нагрузки "Уведомление".

Рис. 8.41. Полезная нагрузка "Уведомление"

Поля в общем заголовке уже обсуждены. Описания других полей даны ниже.

• DOI. Это поле на 32 бита - то же самое, что определено для полезной нагрузки услуг обеспечения безопасности (SA).
• ID протокола. Это поле на 8 битов - то же самое, что определено для полезной нагрузки "Предложение".
• SPI размер. Это поле на 8 битов - то же самое, что определено для полезной нагрузки "Предложение".
• Тип сообщения "Уведомление". Это поле на 16 битов определяет состояние или тип ошибки, о которой нужно передать сообщение. табл. 8.8 дает краткое описание этих типов.
• SPI. Это поле переменной длины - такое же, как определено для полезной нагрузки "Предложение".
• Данные уведомления. Это поле переменной длины может доставить дополнительное текстовое сообщение о состоянии или ошибках. Типы ошибок перечислены в табл. 8.8. Значения 31 до 8191 зарезервированы для будущего использования и значения от 8192 до 16383 - для частного применения.

Таблица 8.9 содержит список уведомлений состояния. Значения от 16385 до 24575 и от 40960 до 65535 зарезервированы для будущего использования, значения от 32768 до 40959 - для частного применения.

Полезная нагрузка "Удаление"

Полезная нагрузка "Удаление"используется объектом, который удалил один или более SA 's и должен сообщить равным по уровню объектам, что он эти SA 's больше не поддерживает. рис. 8.42 показывает формат полезной нагрузки "удаление".

Рис. 8.42. Полезная нагрузка "Удаление"

Поля в общем заголовке уже были рассмотрены. Описания других полей приводятся ниже.

• DOI. Это поле на 32 бита - то же самое, что определено для полезной нагрузки SA (услуг обеспечения безопасности).
• Протокол ID. Это поле на 8 битов - то же самое, что определено для полезной нагрузки предложения.
• SPI размер. Это поле на 8 битов - то же самое, что определено для полезной нагрузки предложения.
• Номер SPI's. Это поле на 16 битов определяет номер SPI's. Каждый, кто удаляет полезную нагрузку, может известить об удалении нескольких SAs.
• SPIs. Это поле переменной длины определяет SPI's, удаленные SA 's.

Полезная нагрузка "Поставщик"

ISAKMP позволяет обмен информацией, учитывающей особенности данного поставщика. рис. 8.43 показывает формат полезной нагрузки "Поставщик".

Рис. 8.43. Полезная нагрузка "Поставщик"

Поля в типовом заголовке уже обсуждались. Описание последнего поля дано ниже.

• ID поставщика. Это поле переменной длины определяет константу, используемую поставщиком.