4.4.3.4. PAD 的使用方式 (How the PAD Is Used)
初始 IKE 交换
在初始 IKE 交换期间,发起者和响应者各自通过 IKE ID 载荷断言其身份,并发送 AUTH 载荷以验证断言的身份。可以传输一个或多个 CERT 载荷以促进验证每个断言的身份。
当 IKE 实体接收到 IKE ID 载荷时,它使用断言的 ID 在 PAD 中定位条目,使用上述匹配规则。PAD 条目指定要用于已识别对等方的认证方法。这确保为每个对等方使用正确的方法,并且可以为不同的对等方使用不同的方法。条目还指定将用于验证断言身份的认证数据。在创建任何子 SA 之前,此数据与指定的方法结合使用以认证对等方。
子 SA 创建
子 SA 是根据流量选择器载荷的交换创建的,可以在初始 IKE 交换结束时或在后续的 CREATE_CHILD_SA 交换中。(现在已认证的)IKE 对等方的 PAD 条目用于约束子 SA 的创建;具体来说,PAD 条目指定如何使用来自对等方的流量选择器提案搜索 SPD。
有两种选择:
- 使用对等方断言的 IKE ID 通过其符号名称查找 SPD 条目,或
- 使用流量选择器载荷中断言的对等方 IP 地址,基于 SPD 条目的远程 IP 地址字段部分进行 SPD 查找
有必要对子 SA 的创建施加这些约束,以防止已认证的对等方欺骗与其他合法对等方关联的 ID。
防欺骗保护
请注意,由于在搜索 SPD 条目之前检查 PAD,此保护措施可保护发起者免受欺骗攻击。
示例:假设 IKE A 接收到发往 IP 地址 X 的出站数据包,该主机由安全网关提供服务。RFC 2401 [RFC2401] 和本文档没有指定 A 如何确定为 X 提供服务的 IKE 对等方的地址。但是,A 联系的任何假定代表 X 的对等方都必须在 PAD 中注册,以便允许对 IKE 交换进行认证。此外,当已认证的对等方在其流量选择器交换中断言它代表 X 时,将查询 PAD 以确定相关对等方是否被授权代表 X。
因此,PAD 提供了地址范围(或名称子空间)到对等方的绑定,以对抗此类攻击。