Zum Hauptinhalt springen

2.2. Use of Sequence Numbers for Message ID (Sequenznummern für Message ID)

2.2. Use of Sequence Numbers for Message ID (Sequenznummern für Message ID)

Jede IKE-Nachricht enthält im festen Header eine Message ID zur Zuordnung von Anfrage/Antwort und zur Erkennung von Retransmissionen. Retransmissionen MÜSSEN dieselbe Message ID wie das Original verwenden.

Die Message ID ist 32 Bit, für IKE_SA_INIT (einschließlich Wiederholungen wegen COOKIE oder INVALID_KE_PAYLOAD) null, danach pro weiterem Austausch inkrementiert. Das erste IKE_AUTH-Paar hat ID 1, das zweite (mit EAP) 2 usw. Nach Rekey der IKE-SA wird die Message ID auf der neuen IKE-SA auf null gesetzt.

Jede Seite hält zwei „aktuelle“ Message IDs: die nächste für eigene Anfragen und die nächste, die sie in Anfragen des Partners erwartet. Antworten tragen dieselbe Message ID wie die Anfrage. Nach dem ersten Austausch kann dieselbe ganze Zahl n in vier verschiedenen Nachrichten vorkommen; die Initiator-/Response-Flags im Header unterscheiden sie.

„Initiator“ bezeichnet hier den Starter des beschriebenen Austauschs. „Original-Initiator“ ist der Starter des Austauschs, der die aktuelle IKE-SA erzeugte. Startet der „Original-Responder“ ein IKE-Rekey, wird er zum „Original-Initiator“ der neuen IKE-SA.

Message IDs sind kryptographisch geschützt und schützen vor Wiedergabe. Überlauf über 32 Bit ist unwahrscheinlich; dann MUSS die IKE-SA geschlossen oder rekeyed werden.

Letztes Update am