RFC 3547 GDOI Domain of Interpretation July 2003 3.3. Initiator Operations . . . . . . . . . . . . . . . . . . 10 3.4. Receiver Operations. . . . . . . . . . . . . . . . . . . 11 4. GROUPKEY-PUSH Message. . . . . . . . . . . . . . . . . . . . . 11 4.1. Perfect Forward Secrecy (PFS). . . . . . . . . . . . . . 12 4.2. Forward and Backward Access Control. . . . . . . . . . . 12 4.2.1. Forward Access Control Requirements. . . . . . . 13 4.3. Delegation of Key Management . . . . . . . . . . . . . . 14 4.4. Use of signature keys. . . . . . . . . . . . . . . . . . 14 4.5. ISAKMP Header Initialization . . . . . . . . . . . . . . 14 4.6. Deletion of SAs. . . . . . . . . . . . . . . . . . . . . 14 4.7. GCKS Operations. . . . . . . . . . . . . . . . . . . . . 15 4.8. Group Member Operations. . . . . . . . . . . . . . . . . 16 5. Payloads and Defined Values. . . . . . . . . . . . . . . . . . 16 5.1. Identification Payload . . . . . . . . . . . . . . . . . 17 5.1.1. Identification Type Values . . . . . . . . . . . 18 5.2. Security Association Payload . . . . . . . . . . . . . . 18 5.2.1. Payloads following the SA payload. . . . . . . . 19 5.3. SA KEK payload . . . . . . . . . . . . . . . . . . . . . 19 5.3.1. KEK Attributes . . . . . . . . . . . . . . . . . 22 5.3.2. KEK_MANAGEMENT_ALGORITHM . . . . . . . . . . . . 22 5.3.3. KEK_ALGORITHM. . . . . . . . . . . . . . . . . . 23 5.3.4. KEK_KEY_LENGTH . . . . . . . . . . . . . . . . . 23 5.3.5. KEK_KEY_LIFETIME . . . . . . . . . . . . . . . . 24 5.3.6. SIG_HASH_ALGORITHM . . . . . . . . . . . . . . . 24 5.3.7. SIG_ALGORITHM. . . . . . . . . . . . . . . . . . 24 5.3.8. SIG_KEY_LENGTH . . . . . . . . . . . . . . . . . 25 5.3.9. KE_OAKLEY_GROUP. . . . . . . . . . . . . . . . . 25 5.4. SA TEK Payload . . . . . . . . . . . . . . . . . . . . . 25 5.4.1. PROTO_IPSEC_ESP. . . . . . . . . . . . . . . . . 26 5.4.2. Other Security Protocols . . . . . . . . . . . . 28 5.5. Key Download Payload . . . . . . . . . . . . . . . . . . 28 5.5.1. TEK Download Type. . . . . . . . . . . . . . . . 30 5.5.2. KEK Download Type. . . . . . . . . . . . . . . . 31 5.5.3. LKH Download Type. . . . . . . . . . . . . . . . 32 5.6. Sequence Number Payload. . . . . . . . . . . . . . . . . 35 5.7. Proof of Possession. . . . . . . . . . . . . . . . . . . 36 5.8. Nonce. . . . . . . . . . . . . . . . . . . . . . . . . . 36 6. Security Considerations. . . . . . . . . . . . . . . . . . . . 36 6.1. ISAKMP Phase 1 . . . . . . . . . . . . . . . . . . . . . 37 6.1.1. Authentication . . . . . . . . . . . . . . . . . 37 6.1.2. Confidentiality. . . . . . . . . . . . . . . . . 37 6.1.3. Man-in-the-Middle Attack Protection. . . . . . . 38 6.1.4. Replay/Reflection Attack Protection. . . . . . . 38 6.1.5. Denial of Service Protection . . . . . . . . . . 38 6.2. GROUPKEY-PULL Exchange . . . . . . . . . . . . . . . . . 38 6.2.1. Authentication . . . . . . . . . . . . . . . . . 38 6.2.2. Confidentiality. . . . . . . . . . . . . . . . . 39 6.2.3. Man-in-the-Middle Attack Protection. . . . . . . 39 Baugher, et. al. Standards Track