Skip to main content

5.1 识别负载 (Identification Payload)

识别负载(Identification Payload)在GDOI中用于标识群组和群组成员。本节描述GDOI中识别负载的使用。

负载格式

识别负载使用标准的ISAKMP识别负载格式[RFC2408],其结构如下:

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
! Next Payload  !   RESERVED    !         Payload Length        !
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
!   ID Type     !             DOI Specific ID Data              !
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
!                                                               !
~                      Identification Data                      ~
!                                                               !
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

字段说明:

  • Next Payload (1字节): 指示下一个负载的类型
  • RESERVED (1字节): 必须 (MUST) 设置为0
  • Payload Length (2字节): 负载的总长度(字节)
  • ID Type (1字节): 识别类型,参见5.1.1节
  • DOI Specific ID Data (3字节): DOI特定数据,对GDOI必须 (MUST) 设置为0
  • Identification Data (可变长度): 识别数据,格式取决于ID Type

GDOI中的使用

在GDOI中,识别负载用于以下目的:

GROUPKEY-PULL交换

在GROUPKEY-PULL交换的第一条消息中:

  • 发起方识别(IDii): 组成员使用此负载标识自己
  • 目标识别(IDui): 组成员使用此负载标识目标群组

在GROUPKEY-PULL交换的第二条消息中:

  • 响应方识别(IDir): GCKS使用此负载标识自己
  • 目标识别(IDur): GCKS使用此负载确认目标群组

识别类型

GDOI定义了新的识别类型值来支持群组识别。详细信息参见5.1.1节"识别类型值"。

处理规则

发送方规则

发送识别负载时:

  1. 设置ID Type: 选择适当的识别类型
  2. 填充识别数据: 根据ID Type填充识别数据
  3. 计算长度: 设置正确的Payload Length

接收方规则

接收识别负载时:

  1. 验证长度: 检查Payload Length是否与实际数据一致
  2. 检查ID Type: 验证ID Type是否受支持
  3. 解析识别数据: 根据ID Type解析识别数据
  4. 授权检查: 验证识别的实体是否被授权访问群组

安全考虑

识别负载在GDOI中通过第1阶段SA保护,确保:

  • 机密性: 识别信息不会被窃听
  • 完整性: 识别信息不会被篡改
  • 认证: 识别信息来自合法的对等方

群组标识符应该 (SHOULD) 是全局唯一的,以避免跨不同群组的混淆。

Last updated on