4.8. Operazioni dei membri del gruppo (Group Member Operations)

Un membro del gruppo che riceve il datagramma GROUPKEY-PUSH confronta la coppia di cookie nell'HDR ISAKMP con una SA esistente. Il messaggio viene decrittato e la forma del datagramma viene validata. Questo elimina messaggi ovviamente malformati (che potrebbero essere inviati come parte di un attacco Denial of Service al gruppo).

La firma del messaggio decrittato viene quindi validata, possibilmente utilizzando il payload CERT se incluso.

Il numero di sequenza nel payload SEQ viene validato per assicurarsi che sia maggiore del numero di sequenza ricevuto in precedenza e che rientri in una finestra di valori accettabili.

I payload SA e KD vengono elaborati, il che comporta l'aggiunta di una nuova SA Rekey GDOI (se il payload SA includeva un attributo SA_KEK) e/o nuove SA IPsec al sistema.