3.5. Формат идентификации
1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Next Payload !C! RESERVED ! Payload Length ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! ID Type ! RESERVED | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! ! ~ Identification Data ~ ! ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Рисунок 11: Формат идентификации
Элемент данных Identification (ID), обозначаемый в этом документе IDi и IDr, позволяет партнерам предъявлять свою идентификацию другой стороне. Эта идентификация может использоваться при просмотре политики, но не обязана соответствовать информации в элементе CERT — оба эти поля могут использоваться реализацией для контроля доступа.
Примечание. В IKEv1 использовались два идентификатора элементов (для разных направлений), чтобы передать информацию TS для данных, передаваемых через SA. В IKEv2 эта информация передается в элементах TS (см. параграф 3.13).
- ID Type (1 октет) — задает тип используемой идентификации.
- Резерв — должно обнуляться при передаче и игнорироваться на приеме.
- Identification Data (переменный размер) — значение, указанное полем Identification Type. Размер данных идентификации рассчитывается по размеру в заголовке элемента ID.
Тип элемента для Identification может принимать значение 35 (Idi) и 36 (IDr).
В таблице приведен список выделенных значений поля Identification Type с описанием соответствующего поля Identification Data.
ID Type | Значение | Описание Identification Data |
Резерв | 0 | |
ID_IPV4_ADDR | 1 | Один четырехоктетный адрес IPv4. |
ID_FQDN | 2 | Строка полного доменного имени (например, example.com). В строку недопустимо включать символы завершения (NULL, CR и т.п.). |
ID_RFC822_ADDR | 3 | Строка полного почтового адреса RFC822 (например, [email protected] ). В строку недопустимо включать символы завершения. |
Резерв IANA | 4 | |
ID_IPV6_ADDR | 5 | Один шестнадцатиоктетный адрес IPv6. |
Резерв IANA | 6-8 | |
ID_DER_ASN1_DN | 9 | Двоичное представление правил DER для ASN.1 X.500 Distinguished Name [X.501]. |
ID_DER_ASN1_GN | 10 | Двоичное представление правил DER для ASN.1 X.500 GeneralName [X.509]. |
ID_KEY_ID | 11 | Неструктурированный поток октетов, который может использоваться для передачи связанной с производителем информации, требуемой для некоторых фирменных вариантов идентификации. |
Резерв IANA | 12-200 | |
Резерв для частного использования | 201-255 |
Две реализации будут интероперабельны только в том случае, когда каждая может генерировать тип ID, приемлемый для другой стороны. Для обеспечения максимальной интероперабельности реализация должна быть настраиваемой на передачу по крайней мере одного из типов ID_IPV4_ADDR, ID_FQDN, ID_RFC822_ADDR, ID_KEY_ID и восприятие всех этих типов. Реализациям следует обеспечивать возможность генерации и восприятия всех этих типов. Поддерживающие IPv6 реализации должны дополнительно иметь возможность настройки восприятия ID_IPV6_ADDR. Реализации, поддерживающие только IPv6, можно настраивать на передачу только ID_IPV6_ADDR.