Group Domain of Interpretation
Group Domain of Interpretation (GDOI) (en español Dominio de Interpretación (DOI)) es un Protocolo criptográfico para la gestión de claves grupales de ISAKMP. El protocolo GDOI se especifica en una propuesta de estándar IETF, el RFC 3547, y se basa en Internet Security Association and Key Management Protocol (ISAKMP), RFC 2408, y el Internet Key Exchange versión 1 (IKE). Mientras que IKE se ejecuta entre dos compañeros para establecer una "asociación de seguridad por pares", protocolo GDOI se ejecuta entre un miembro del grupo y un "controlador de grupo/servidor de claves" (controlador) y establece una asociación de seguridad entre dos o más miembros del grupo.
Descripción funcional
GDOI "interpreta" IKE o ISAKMP para el dominio de seguridad del grupo, además de las asociaciones de seguridad por parejas. GDOI utiliza una asociación de seguridad IKE v1 Fase 1 para la autenticación de un miembro de GDOI a un controlador GDOI. El intercambio cifrado de la fase 1 protege un nuevo intercambio de fase 2 en el que las solicitudes de los miembros ("pull") el estado del grupo desde el controlador. La "clave grupal" es el estado más importante de un miembro de GDOI. La clave grupal encripta las claves que descifran los datos de aplicación. Por lo tanto, la clave de grupo también se llama una "clave de la clave de encriptación" en GDOI. La clave de grupo se utiliza para la "Asociación de Seguridad Rekey".
Una vez establecida la "SA Rekey", el controlador GDOI puede empujar ("push") cambios no solicitados a la asociación de seguridad de grupo a los miembros a través de multidifusión, difusión o canales unicast. Esta es la razón por la cual GDOI es llamado un "sistema de gestión de claves multicast", ya que usa y permite usar mensajes de multidifusión para grupos muy grandes. Estos mensajes de multidifusión son mensajes no solicitados y por lo tanto son llamados mensajes "push", los que son mensajes no solicitados enviados por el controlador a los miembros; las peticiones explícitas de un miembro a un controlador se llaman mensajes de "atracción" ("pull" en inglés) en GDOI. Así, las actualizaciones de clave son empujadas y pueden llegar a cualquier número de miembros del grupo con una única transmisión eficiente desde el controlador.
Implementaciones y Productos
- en Cisco (en inglés)
- en Juniper (en inglés)
Véase también
Referencias