Embed Size (px)
Citation preview
Internet Security Association & Key
Management Protocol
CNET이동재
3. ISAKMP Payloads
ISAKMP payloads provide modular building blocks for constructing ISAKMP messages
3.1 ISAKMP Header Format
고정된 header는 해당 프로토콜에 필요한 정보를 포함한다 .
(다음과 같은 사항을 위해 )
1) maintain state
2) process payloads
3) possibly prevent denial of service or replay attacks
Exchange Type (1 octet) – 사용되고 있는 exchange의 타입을 나타낸다 . The presence and ordering of payloads in ISAKMP is defined by and dependent upon this Exchange Type Field located in the ISAKMP Header (see Figure 2)
3.2 Generic Payload Header
provides a payload "chaining" capability clearly defines the boundaries of a payload
3.3 Data Attributes
Data Attributes are not an ISAKMP payload, but are contained within ISAKMP payloads Data Attributes 의 format 으로 다양한 형태의 정보를 표현 할 수 있다 . 하나의 payload 안에 여러 개의 Data Attributes 가 존재할 수 있다 .
Attribute Format bit data attributes 로서 , Type/Length/Value (TLV) format 이 오는지 , Type/Value (TV) format 만이 오는지를 나타냄
AF bit 가 0 이면 , Data Attributes 는 Type/Length/Value (TLV) form
AF bit 가 1 이면 , Data Attributes 는 Type/Value form
3.4 Security Association Payload
다음과 같은 목적으로 사용된다 . 1) to negotiate security attributes 2) to indicate the Domain of Interpretation (DOI) and Situation under which the negotiation is taking place
3.5 Proposal Payload
Contains information used during Security Association negotiation
The proposal consists of security mechanisms or transforms, to be used to secure the communications channel
3.6 Transform Payload
contains the security association attributes associated with the specific transform
· SA Attributes : SHOULD be represented using the Data Attributes format described in section 3.3.
3.7 Key Exchange Payload
supports a variety of key exchange techniques
· Key Exchange Data : Data required to generate a session key
3.8 Identification Payload
Contains DOI-specific data used to exchange identification information이 identification information 는 communicating peers 의 identities를 결정하는데 사용됨
· ID Type : Specifies the type of identification being used· DOI Specific : Contains DOI-specific identification data· Identification Data : Contains identity information
3.9 Certificate Payload
ISAKMP 를 통해 certificates 또는 다른 certificate 관련정보를 전송할 수 있는 수단을 제공 어떤 ISAKMP message 에도 나타날 수 있음
· Certificate Encoding : indicates the type of certificates or other certificate-related information contained in the Certificate Data field· Certificate Data : Actual encoding of Certificate Data
3.10 Certificate Request Payload
Provides a means to request certificates via ISAKMPSHOULD be included in an exchange whenever an appropriate directory service is not available to distribute certificates
· Certificate Type : Contains an encoding of the type of certificate requested· Certificate Authority : Contains an encoding of an acceptable certificate authority
X.509 standard 어떤 정보가 certificate 으로 될 수 있는지를 정의 어떤 data format 로 기록할지를 기술
3.11 Hash Payload
hash function 에 의해 생성된 data 를 포함
May be used to verify the integrity of the data in an ISAKMP message or for authentication of the negotiating entities
· Hash Data : hash routine 을 ISAKMP message 에 적용시킨 결과로 발생한 Data
3.12 Signature Payload
Digital signature function 에 의해 발생된 data 를 포함
Being used to verify the integrity of the data in the ISAKMP message, and may be of use for non-repudiation services
· Signature Data : ISAKMP message 에 Digital signature function을 적용시킨 결과로 발생한 Data
3.13 Nonce Payload
exchange 동안 liveness 를 보장하고 replay attacks 로 부터 보호하기 위해 사용되는 random data 를 포함
· Nonce Data : 송신측에 의해 발생되는 random data
3.14 Notification PayloadISAKMP 와 DOI-specific data 를 포함할 수 있다 .error conditions 과 같은 informational data 를 ISAKMP peer 에게 전송하는데 사용됨single ISAKMP message 에있는 여러 Notification payloads 를 전송 가능
· Notify Message Type (2octects) : notification message 의 type 을 지정DOI 가 specify 했다면 , 더 이상의 text 는 Notification Data field 에 위치한다 . · Notification Data (variable) : Notify Message Type 에 더하여 전송되는 Informational or error data
3.14.1 Notify Message Types
Notification information은 SA가 구성될 수 없었던 이유를 열거하는 error messages가 될 수 있다 .
또한 , SA database를 관리하는 process가 peer process와 communicate하길 원하는 status data가 될 수 있다
3.15 Delete Payload
Contains a protocol-specific security association identifier that the sender has removed from its security association database Therefore, no longer valid Delete payload 에 있는 multiple SPIs 을 보낼 수는 있지만 , 각각의 SPI 는 같은 protocol 에 대한 것 이어야 함 .Delete payload 에서는 Protocol Identifiers 의 혼합을 피해야 함 .· Security Parameter Index(es) : Identifies the specific security association(s) to delete
3.16 Vendor ID Payload
Contains a vendor defined constant
If a Vendor ID payload is sent, it MUST be sent during the Phase 1 negotiation
· Vendor ID : Hash of the vendor string plus version
