Сообщения управления ключами конфиденциальности (PKM-REQ/PKM-RSP) PDF Print E-mail
Written by Administrator   
Sunday, 19 August 2012 22:05

Управление ключами конфиденциальности (РКМ) использует два типа ключей, запрос РКМ (РКМ-REQ) и отклик РКМ (PKM-RSP), как это видно из табл. 6.16. Только одно сообщение РКМ вкладывается в поле данных управляющего сообщения MAC. Протокольные сообщения РКМ передаются от SS к BS с использованием формата, описанного в табл. 6.17. Они передаются SS в рамках первичной фазы управляющего соединения.
Параметрами этих сообщений являются:

□    код — код содержит один октет и идентифицирует тип РКМ-пакета. Когда пакет приходит с неверным кодом, он молча отбрасывается. Значения кода определены в табл. 6.19;
□    идентификатор РКМ — поле идентификатора содержит один октет. SS использует идентификатор при реагировании на запрос BS. SS инкрементирует поле идентификатора (по модулю 2) при отправке очередного (нового) РКМ-сообщения. Новым сообщением может быть запрос аутентификации или запрос ключа, которые не являются повторами передачи при тайм-ауте. Поле идентификатора в информационных сообщениях аутентификации, которые не предполагают последующих откликов, устанавливается равным нулю.

Поле идентификатора в сообщении BS PKM-RSP должно соответствовать значению идентификатора из РКМ-REQ, на которое BS реагирует. Поле идентификатора в сообщении ключа шифрования трафика (ТЕК), которое не посылается в ответ на РКМ-REQ, следует устанавливать равным нулю.

При получении сообщения PKM-RSP SS ассоциирует сообщение с определенной машиной состояния (например, машиной состояния авторизации в случае отклика авторизации).

SS отслеживает идентификатор своего последнего отложенного запроса авторизации. SS отбрасывает отклики авторизации и отказы авторизации с полями идентификатора, которые не соответствуют заданному отложенному запросу авторизации.

SS отслеживает также идентификатор своего последнего отложенного запроса ключа для каждой ассоциации безопасности (SA). SS отбросит сообщение KEY Reply и Key Reject с не соответствующими запросу значениями идентификатора;

□    атрибуты — РКМ-атрибуты несут в себе данные, специфические для обменов аутентификации, авторизации или управления ключами между клиентом и сервером. Каждый тип РКМ-пакета имеет свой собственный набор необходимых и опционных атрибутов. Если не указано явно, порядок атрибутов в сообщении произволен. Конец списка атрибутов определяется полем LEN заголовка MAC PDU.

В табл. 6.19 приведены коды сообщений РКМ.
BS и SS молча отбрасывают запросы/отклики, которые не содержат полного списка необходимых атрибутов.