Skip to main content

5.1.1 识别类型值 (Identification Type Values)

本节定义了GDOI中使用的识别类型值。这些值扩展了ISAKMP定义的标准识别类型。

标准ISAKMP识别类型

GDOI支持RFC 2408中定义的所有标准ISAKMP识别类型,包括但不限于:

类型描述
1ID_IPV4_ADDRIPv4地址
2ID_FQDN完全限定域名
3ID_USER_FQDN用户完全限定域名(email地址)
5ID_IPV6_ADDRIPv6地址
11ID_KEY_ID任意密钥标识符

GDOI特定识别类型

GDOI定义了以下新的识别类型用于群组相关的识别:

ID_GDOI_GROUP (值: 待IANA分配)

用途: 标识一个GDOI群组

格式:

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
!   ID Type     !             DOI Specific ID Data              !
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
!                         Group Identifier                      !
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

字段说明:

  • ID Type: 设置为ID_GDOI_GROUP的值
  • DOI Specific ID Data: 必须 (MUST) 设置为0
  • Group Identifier: 群组标识符,可以是:
    • 多播组地址(IPv4或IPv6)
    • 任意的群组名称或标识符

使用场景:

  • 组成员在GROUPKEY-PULL请求中使用此类型标识目标群组(IDui)
  • GCKS在响应中使用此类型确认群组(IDur)

示例:

  • 对于多播群组224.0.1.1,Group Identifier字段包含IPv4地址224.0.1.1
  • 对于命名群组"finance_dept",Group Identifier字段包含该字符串的UTF-8编码

识别类型的使用规则

在GROUPKEY-PULL中

第一条消息(组成员 -> GCKS):

  • IDii (发起方识别):

    • 可以 (MAY) 使用ID_IPV4_ADDR、ID_IPV6_ADDR、ID_FQDN、ID_USER_FQDN等标准类型
    • 标识发起GROUPKEY-PULL的组成员

  • IDui (目标识别):

    • 必须 (MUST) 使用ID_GDOI_GROUP类型
    • 标识组成员希望加入的群组

第二条消息(GCKS -> 组成员):

  • IDir (响应方识别):

    • 可以 (MAY) 使用ID_IPV4_ADDR、ID_IPV6_ADDR、ID_FQDN等标准类型
    • 标识GCKS自身

  • IDur (目标识别):

    • 必须 (MUST) 使用ID_GDOI_GROUP类型
    • 必须 (MUST) 与请求中的IDui匹配
    • 确认GCKS管理该群组

授权

GCKS必须 (MUST) 基于以下因素进行授权决策:

  1. 成员识别: IDii中的成员身份
  2. 群组识别: IDui中的群组标识符
  3. 第1阶段认证: 第1阶段SA中使用的认证凭据
  4. 本地策略: GCKS的本地授权策略

如果授权失败,GCKS应该 (SHOULD) 发送ISAKMP通知消息指示错误。

示例

示例1: 使用多播地址标识群组

组成员发送:
  IDii: ID_IPV4_ADDR, 192.0.2.10 (成员的IP地址)
  IDui: ID_GDOI_GROUP, 224.0.1.1 (多播群组地址)

GCKS响应:
  IDir: ID_IPV4_ADDR, 192.0.2.100 (GCKS的IP地址)
  IDur: ID_GDOI_GROUP, 224.0.1.1 (确认的群组地址)

示例2: 使用命名标识符标识群组

组成员发送:
  IDii: ID_USER_FQDN, [email protected]
  IDui: ID_GDOI_GROUP, "finance_dept"

GCKS响应:
  IDir: ID_FQDN, gcks.example.com
  IDur: ID_GDOI_GROUP, "finance_dept"

IANA考虑

新的识别类型值ID_GDOI_GROUP需要从IANA的"ISAKMP Identification Type"注册表中分配。建议的值在本规范发布时由IANA确定。

安全考虑

群组标识符应该 (SHOULD) 具有全局唯一性以避免混淆:

  • 多播地址: 使用IANA分配的多播地址范围
  • 命名标识符: 使用域名或UUID确保唯一性

群组标识符不应 (SHOULD NOT) 泄露关于群组的敏感信息,因为即使通过第1阶段SA保护,识别信息也可能被记录或审计。

Last updated on