1.5. Informational Messages outside of an IKE SA (IKE SA 外的Informational消息)
1.5 Informational Messages outside of an IKE SA (IKE SA 外的Informational消息)
某些情况下节点收到无法处理的分组, 但仍可能希望通知发送方这一情况.
-
若 ESP 或 AH 分组携带无法识别的 SPI 到达. 这可能是由于接收节点最近崩溃并丢失状态, 或其他系统故障或攻击.
-
若加密的 IKE 请求分组在端口 500 或 4500 上携带无法识别的 IKE SPI 到达. 这可能是由于接收节点最近崩溃并丢失状态, 或其他系统故障或攻击.
-
若 IKE 请求分组的主版本号高于实现所支持.
在第一种情况下, 若接收节点对分组来源 IP 地址存在活动的 IKE SA, 它可以通过 INFORMATIONAL 交换在该 IKE SA 上发送针对该异常分组的 INVALID_SPI 通知. Notification Data 包含无效分组的 SPI. 此通知的接收方无法判断该 SPI 属于 AH 还是 ESP, 但这通常不重要, 因为许多情况下二者的 SPI 不同. 若无合适的 IKE SA, 节点可以向源 IP 地址发送不带密码保护的Informational消息, 若分组为 UDP (UDP 封装的 ESP 或 AH) 则将源 UDP 端口用作目的端口. 此时接收方仅应将其用作可能出问题的提示 (因为很容易被伪造). 该消息不是 INFORMATIONAL 交换的一部分, 接收节点不得对其响应, 否则可能造成消息循环. 消息构造如下: 对此类通知的接收方而言不存在有意义的 IKE SPI 值, 使用零值或随机值均可接受, 这是第 3.1 节禁止零 IKE Initiator SPI 规则的例外. Initiator 标志置 1, Response 标志置 0, 版本标志按常规方式设置, 这些标志见第 3.1 节.
在第二与第三种情况下, 消息始终在不带密码保护的情况下发送 (位于 IKE SA 之外), 并包含 INVALID_IKE_SPI 或 INVALID_MAJOR_VERSION 通知 (无通知数据). 该消息为响应消息, 因此发往来源 IP 地址与端口, IKE SPI 相同, Message ID 与 Exchange Type 从请求复制. Response 标志置 1, 版本标志按常规方式设置.