4.8. Gruppenmitglied-Operationen (Group Member Operations)

Ein Gruppenmitglied, das das GROUPKEY-PUSH Datagramm empfängt, ordnet das Cookie-Paar im ISAKMP HDR einer vorhandenen SA zu. Die Nachricht wird entschlüsselt, und die Form des Datagramms wird validiert. Dies filtert offensichtlich fehlerhaft geformte Nachrichten heraus (die möglicherweise als Teil eines Denial-of-Service-Angriffs auf die Gruppe gesendet werden).

Die Signatur der entschlüsselten Nachricht wird dann validiert, möglicherweise unter Verwendung der CERT Payload, falls diese enthalten ist.

Die Sequenznummer in der SEQ Payload wird validiert, um sicherzustellen, dass sie größer ist als die zuvor empfangene Sequenznummer und dass sie innerhalb eines Fensters akzeptabler Werte liegt.

Die SA- und KD-Payloads werden verarbeitet, was zu einer neuen GDOI Rekey SA (falls die SA Payload ein SA_KEK-Attribut enthielt) und/oder neuen IPsec SAs führt, die dem System hinzugefügt werden.