IKEv2 Повторное использование IKE_SA с использованием сообщения CREATE_CHILD_SA

Question

IKEv2 Повторное использование IKE_SA с использованием сообщения CREATE_CHILD_SA

У меня путаница в отношении процедуры смены ключа IKE_SA в IKEv2. Моя путаница заключается в том, что повторное использование IKE_SA выполняется независимо от того, являются ли его соответствующие ключи CHILD_SA т.е. ESP или AH SA будут изменены или нет. Согласно rfc 7296, в процедуре повторного ввода IKE_SA будет создан новый SKEYSEED, а затем новый набор {SK_d | SK_ai | SK_ar | SK_ei | SK_er | SK_pi | SK_pr} = prf+ (SKEYSEED, Ni | Nr | SPIi | SPIr). т. е. генерируется новый Sk_d. Итак, используя эти новые значения независимо от того, будет ли сгенерирован новый keymat или нет таким способом, KEYMAT = prf+(SK_d, g^ir (new) | Ni | Nr). и будет ли сгенерировано или введено в действие это новое ESP/AH ключи или нет.. Кто-нибудь может что-то сказать по этой заметке... Мне нужен быстрый ответ.. Пожалуйста, прокомментируйте, если вы знаете об этом..

3

security networking ipsec

Источник

user2940110 22 апр '15 в 13:27

1 ответ

Решение

Другие вопросы по тегам security networking ipsec

user5128464 06 окт '15 в 19:36 2015-10-06 19:36 · Accepted Answer · 2015-10-06 19:36

Я думаю, что базовые SA не переопределяются - они просто наследуются вновь установленным IKE SA (т.е. они будут управляться с использованием этого нового IKE SA).

Ссылаясь на RFC 7296:

Чтобы изменить ключ IKE SA, установите новый эквивалентный IKE SA (см. Раздел 2.18 ниже) с партнером, которому старая IKE SA предоставлена, используя CREATE_CHILD_SA в существующей IKE SA. Созданный таким образом IKE SA наследует все дочерние SA исходного IKE SA, а новый IKE SA используется для всех управляющих сообщений, необходимых для поддержки этих дочерних SA. После того, как новый эквивалентный IKE SA создан, инициатор удаляет старый IKE SA, и полезная нагрузка Delete для удаления ДОЛЖНА быть последним запросом, отправленным через старый IKE SA.

Ключи SA должны быть зафиксированы в течение всего времени жизни SA - будет разрыв, когда пакеты, принадлежащие одному и тому же SA, будут отклонены (пакеты, отправленные до повторного ввода, которые поступили после завершения повторного ввода, не пройдут проверку целостности).

Desclaimer: Прошло некоторое время с тех пор, как я имел дело с этим, поэтому, пожалуйста, подтвердите мои мысли.