Протоколы безопасного сетевого взаимодействия

       

Используемая нотация


Используются следующие нотации.

HDR – это заголовок ISAKMP, который определяет тип обмена. Запись HDR* означает, что содержимое зашифровано.

SA – это содержимое переговоров SA с одним или более Proposals. Инициатор может предоставить несколько Proposals для переговоров; получатель должен выбрать только одну.

<P>_b – это тело содержимого <P>. Например, SA_b есть все тело содержимого SA (минус общий заголовок ISAKMP), т.е. DOI, Situation, все Proposals и все Transforms, представленные Инициатором.

CKY-I и CKY-R есть cookie Инициатора и cookie Получателя, соответственно, из ISAKMP-заголовка.

g^xi и g^xr – это открытые значения Диффи-Хеллмана Инициатора и Получателя соответственно.

КЕ – это содержимое обмена ключа, т.е. открытая информация, которой обмениваются в алгоритме Диффи-Хеллмана. Специального шифрования, используемого для содержимого КЕ, не существует.

Nx – это содержимое nonce; x может быть i или r для ISAKMP Инициатора и Получателя соответственно.

IDx – есть содержимое идентификации для "х". Х может быть "ii" или "ir" для ISAKMP Инициатора и Получателя соответственно во время Фазы 1 переговоров; или "ui" или "ur" для Инициатора и Получателя соответственно во время Фазы 2.

SIG – это содержимое подписи. Подписываемые данные зависят от обмена.

СERT – это содержимое сертификата.

HASH – это содержимое хэша, которое определяется методом аутентификации.

prf (key, msg) – это псевдослучайная функция, часто хэш-функция, основанная на ключе, используемая для создания детерминированного выхода, который можно рассматривать как псевдослучайный. Prf используется как для получения ключа, так и для аутентификации (т.е. как МАС с ключом).

SKEYID есть строка, полученная из секрета и известная только участникам обмена.

SKEYID_e есть материал ключа, используемый ISAKMP для обеспечения конфиденциальности сообщений.

SKEYID_а есть материал ключа, используемый ISAKMP для аутентификации своих сообщений.

SKEYID_d есть материал ключа, используемый для получения ключей для не-ISAKMP безопасных ассоциаций.

<x>y определяет, что х зашифровано ключом y.

? указывает на направление взаимодействия от Инициатора к Получателю (запрос).

? указывает на направление взаимодействия от Получателя к Инициатору (ответ).

| обозначает конкатенацию информации.

[x] обозначает, что х не является обязательным.

Шифрование сообщения (когда указана * после ISAKMP заголовка) должно начинаться сразу после ISAKMP-заголовка. При защищенном взаимодействии все содержимые после ISAKMP заголовка должны шифроваться. Ключи шифрования создаются из SKEYID_e тем способом, который определен для каждого алгоритма.



Содержание раздела