Passa al contenuto principale

3.3.2. Sequence Number Generation

Il contatore del mittente viene inizializzato a 0 quando viene stabilita una SA. Il mittente incrementa il contatore del numero di sequenza (o ESN) per questa SA e inserisce i 32 bit di ordine inferiore del valore nel campo Sequence Number. Pertanto, il primo pacchetto inviato utilizzando una determinata SA conterrà un numero di sequenza di 1.

Se l'anti-replay è abilitato (l'impostazione predefinita), il mittente verifica per assicurarsi che il contatore non sia ciclato prima di inserire il nuovo valore nel campo Sequence Number. In altre parole, il mittente NON DEVE inviare un pacchetto su una SA se ciò causerebbe il ciclo del numero di sequenza. Un tentativo di trasmettere un pacchetto che comporterebbe un overflow del numero di sequenza è un evento verificabile. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, la data/ora corrente, l'indirizzo sorgente, l'indirizzo di destinazione e (in IPv6) il Flow ID in chiaro.

Il mittente presume che l'anti-replay sia abilitato come impostazione predefinita, a meno che non venga altrimenti notificato dal ricevitore (vedere la Sezione 3.4.3) o se la SA è stata configurata utilizzando la gestione manuale delle chiavi. Pertanto, il comportamento tipico di un'implementazione AH richiede al mittente di stabilire una nuova SA quando il Sequence Number (o ESN) cicla, o in previsione di questo valore che cicla.

Se l'anti-replay è disabilitato (come notato sopra), il mittente non ha bisogno di monitorare o reimpostare il contatore, ad esempio, nel caso della gestione manuale delle chiavi (vedere la Sezione 5). Tuttavia, il mittente incrementa comunque il contatore e quando raggiunge il valore massimo, il contatore torna a zero. (Questo comportamento è raccomandato per SA multicast con più mittenti, a meno che non vengano negoziati meccanismi anti-replay al di fuori dell'ambito di questo standard tra il mittente e il ricevitore.)

Se viene selezionato ESN (vedere l'Appendice B), solo i 32 bit di ordine inferiore del numero di sequenza vengono trasmessi nel campo Sequence Number, sebbene sia il mittente che il ricevitore mantengano contatori ESN completi a 64 bit. Tuttavia, i 32 bit di ordine superiore sono inclusi nel calcolo dell'ICV.

Nota: Se un ricevitore sceglie di non abilitare l'anti-replay per una SA, allora il ricevitore NON DOVREBBE negoziare ESN in un protocollo di gestione SA. L'uso di ESN crea la necessità per il ricevitore di gestire la finestra anti-replay (per determinare il valore corretto per i bit di ordine superiore dell'ESN, che sono impiegati nel calcolo dell'ICV), che è generalmente contrario alla nozione di disabilitare l'anti-replay per una SA.

Ultimo aggiornamento il