RFC 3547 (rfc3547) - Page 2 of 48

The Group Domain of Interpretation

Alternative Format: Original Text Document
< Previous
Next >
RFC 3547             GDOI Domain of Interpretation             July 2003


       3.3.  Initiator Operations . . . . . . . . . . . . . . . . . . 10
       3.4.  Receiver Operations. . . . . . . . . . . . . . . . . . . 11
   4.  GROUPKEY-PUSH Message. . . . . . . . . . . . . . . . . . . . . 11
       4.1.  Perfect Forward Secrecy (PFS). . . . . . . . . . . . . . 12
       4.2.  Forward and Backward Access Control. . . . . . . . . . . 12
             4.2.1.  Forward Access Control Requirements. . . . . . . 13
       4.3.  Delegation of Key Management . . . . . . . . . . . . . . 14
       4.4.  Use of signature keys. . . . . . . . . . . . . . . . . . 14
       4.5.  ISAKMP Header Initialization . . . . . . . . . . . . . . 14
       4.6.  Deletion of SAs. . . . . . . . . . . . . . . . . . . . . 14
       4.7.  GCKS Operations. . . . . . . . . . . . . . . . . . . . . 15
       4.8.  Group Member Operations. . . . . . . . . . . . . . . . . 16
   5.  Payloads and Defined Values. . . . . . . . . . . . . . . . . . 16
       5.1.  Identification Payload . . . . . . . . . . . . . . . . . 17
             5.1.1.  Identification Type Values . . . . . . . . . . . 18
       5.2.  Security Association Payload . . . . . . . . . . . . . . 18
             5.2.1.  Payloads following the SA payload. . . . . . . . 19
       5.3.  SA KEK payload . . . . . . . . . . . . . . . . . . . . . 19
             5.3.1.  KEK Attributes . . . . . . . . . . . . . . . . . 22
             5.3.2.  KEK_MANAGEMENT_ALGORITHM . . . . . . . . . . . . 22
             5.3.3.  KEK_ALGORITHM. . . . . . . . . . . . . . . . . . 23
             5.3.4.  KEK_KEY_LENGTH . . . . . . . . . . . . . . . . . 23
             5.3.5.  KEK_KEY_LIFETIME . . . . . . . . . . . . . . . . 24
             5.3.6.  SIG_HASH_ALGORITHM . . . . . . . . . . . . . . . 24
             5.3.7.  SIG_ALGORITHM. . . . . . . . . . . . . . . . . . 24
             5.3.8.  SIG_KEY_LENGTH . . . . . . . . . . . . . . . . . 25
             5.3.9.  KE_OAKLEY_GROUP. . . . . . . . . . . . . . . . . 25
       5.4.  SA TEK Payload . . . . . . . . . . . . . . . . . . . . . 25
             5.4.1.  PROTO_IPSEC_ESP. . . . . . . . . . . . . . . . . 26
             5.4.2.  Other Security Protocols . . . . . . . . . . . . 28
       5.5.  Key Download Payload . . . . . . . . . . . . . . . . . . 28
             5.5.1.  TEK Download Type. . . . . . . . . . . . . . . . 30
             5.5.2.  KEK Download Type. . . . . . . . . . . . . . . . 31
             5.5.3.  LKH Download Type. . . . . . . . . . . . . . . . 32
       5.6.  Sequence Number Payload. . . . . . . . . . . . . . . . . 35
       5.7.  Proof of Possession. . . . . . . . . . . . . . . . . . . 36
       5.8.  Nonce. . . . . . . . . . . . . . . . . . . . . . . . . . 36
   6.  Security Considerations. . . . . . . . . . . . . . . . . . . . 36
       6.1.  ISAKMP Phase 1 . . . . . . . . . . . . . . . . . . . . . 37
             6.1.1.  Authentication . . . . . . . . . . . . . . . . . 37
             6.1.2.  Confidentiality. . . . . . . . . . . . . . . . . 37
             6.1.3.  Man-in-the-Middle Attack Protection. . . . . . . 38
             6.1.4.  Replay/Reflection Attack Protection. . . . . . . 38
             6.1.5.  Denial of Service Protection . . . . . . . . . . 38
       6.2.  GROUPKEY-PULL Exchange . . . . . . . . . . . . . . . . . 38
             6.2.1.  Authentication . . . . . . . . . . . . . . . . . 38
             6.2.2.  Confidentiality. . . . . . . . . . . . . . . . . 39
             6.2.3.  Man-in-the-Middle Attack Protection. . . . . . . 39



Baugher, et. al.            Standards Track
< Previous
Next >