Internet Security Association & Key Mana gement Protocol CNET 이동재

3. ISAKMP Payloads ISAKMP payloads provide modular building blocks for constructing ISAKMP messages

3.1 ISAKMP Header Format 고정된 header 는 해당 프로토콜에 필요한 정보를 포함한다. ( 다음과 같은 사항을 위해 ) 1) maintain state 2) process payloads 3) possibly prevent denial of service or replay attacks

Exchange Type (1 octet) – 사용되고 있는 exchange 의 타입을 나 타낸다. The presence and ordering of payloads in ISAKMP is defined by and dependent upon this Exchange Type Field located in the ISAKMP Header (see Figure 2)

3.2 Generic Payload Header provides a payload "chaining" capability clearly defines the boundaries of a payload

3.3 Data Attributes Data Attributes are not an ISAKMP payload, but are contained within ISAKMP payloads Data Attributes 의 format 으로 다양한 형태의 정보를 표현 할 수 있다. 하나의 payload 안에 여러 개의 Data Attributes 가 존재할 수 있다.

Attribute Format bit data attributes 로서, Type/Length/Value (TLV) format 이 오는지, Type/Value (TV) format 만이 오는지를 나타냄 AF bit 가 0 이면, Data Attributes 는 Type/Length/Value (TLV) form AF bit 가 1 이면, Data Attributes 는 Type/Value form

3.4 Security Association Payload 다음과 같은 목적으로 사용된다. 1) to negotiate security attributes 2) to indicate the Domain of Interpretation (DOI) and Situation under which the negotiation is taking place

3.5 Proposal Payload Contains information used during Security Association negotiation The proposal consists of security mechanisms or transforms, to be used to secure the communications channel

3.6 Transform Payload contains the security association attributes associated with the specific transform · SA Attributes : SHOULD be represented using the Data Attributes format described in section 3.3.

3.7 Key Exchange Payload supports a variety of key exchange techniques · Key Exchange Data : Data required to generate a session key

3.8 Identification Payload Contains DOI-specific data used to exchange identification information 이 identification information 는 communicating peers 의 identities 를 결정하는 데 사용됨 · ID Type : Specifies the type of identification being used · DOI Specific : Contains DOI-specific identification data · Identification Data : Contains identity information

3.9 Certificate Payload ISAKMP 를 통해 certificates 또는 다른 certificate 관련정보를 전송할 수 있는 수단을 제공 어떤 ISAKMP message 에도 나타날 수 있음 · Certificate Encoding : indicates the type of certificates or other certificate-related information contained in the Certificate Data field · Certificate Data : Actual encoding of Certificate Data

3.10 Certificate Request Payload Provides a means to request certificates via ISAKMP SHOULD be included in an exchange whenever an appropriate directory service is not available to distribute certificates · Certificate Type : Contains an encoding of the type of certificate requested · Certificate Authority : Contains an encoding of an acceptable certificate authority X.509 standard 어떤 정보가 certificate 으로 될 수 있는지를 정의 어떤 data format 로 기록할지를 기술

3.11 Hash Payload hash function 에 의해 생성된 data 를 포함 May be used to verify the integrity of the data in an ISAKMP message or for authentication of the negotiating entities · Hash Data : hash routine 을 ISAKMP message 에 적용시킨 결과로 발생한 Data

3.12 Signature Payload Digital signature function 에 의해 발생된 data 를 포함 Being used to verify the integrity of the data in the ISAKMP message, and may be of use for non-repudiation services · Signature Data : ISAKMP message 에 Digital signature function 을 적 용시킨 결과로 발생한 Data

3.13 Nonce Payload exchange 동안 liveness 를 보장하고 replay attacks 로 부터 보호 하기 위해 사용되는 random data 를 포함 · Nonce Data : 송신측에 의해 발생되는 random data

3.14 Notification Payload ISAKMP 와 DOI-specific data 를 포함할 수 있다. error conditions 과 같은 informational data 를 ISAKMP peer 에게 전송하는데 사 용됨 single ISAKMP message 에있는 여러 Notification payloads 를 전송 가능 · Notify Message Type (2octects) : notification message 의 type 을 지정 DOI 가 specify 했다면, 더 이상의 text 는 Notification Data field 에 위치한다. · Notification Data (variable) : Notify Message Type 에 더하여 전송되는 Informational or error data

Notify Message Types Notification information 은 SA 가 구성될 수 없었던 이유를 열거하 는 error messages 가 될 수 있다. 또한, SA database 를 관리하는 process 가 peer process 와 communicate 하길 원하는 status data 가 될 수 있다

3.15 Delete Payload Contains a protocol-specific security association identifier that the sender has removed from its security association database  Therefore, no longer valid Delete payload 에 있는 multiple SPIs 을 보낼 수는 있지만, 각각의 SPI 는 같은 protocol 에 대한 것 이어야 함. Delete payload 에서는 Protocol Identifiers 의 혼합을 피해야 함. · Security Parameter Index(es) : Identifies the specific security association(s) to delete

3.16 Vendor ID Payload Contains a vendor defined constant If a Vendor ID payload is sent, it MUST be sent during the Phase 1 negotiation · Vendor ID : Hash of the vendor string plus version