[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: issues with IKE that need resolution



What do you want certificates to contain for these other ID types?  People
have asked me, off and on, about subnets having their own certificates and
other cases.  Sounds reasonable to me, but I can just see some PKI service
provider blanching at the notion of issuing a certificate for an entire
class A subnetwork.


At 03:44 PM 9/17/98 -0700, you wrote:
>This sort of relates to IKE, but it's really more of a DOI issue.
>Nonetheless, it will impact IKE implementations, so I'll toss it out. At
>one of the Chicago IETF focus groups someone tossed out a the idea that
>in some cases, lists of ID types in the ID payload would be useful. I
>had an off-list exchange with Derrell Piper about this way back in
>April, and decided to wait until ipsecond was official to bring it up on
>the list. The time is upon us.
>
>
>We would like to be able to specify a list of subnets, addresss ranges,
>or individual ip addresses in the ID payload without having to send
>multiple payloads if possible. One idea we've come up with for doing
>this which seems appropriate would be to add a couple of new ID types:
>
>       ID type                           Value
>       -------                           -----
>       RESERVED                            0
>       ID_IPV4_ADDR                        1
>       ID_FQDN                             2
>       ID_USER_FQDN                        3
>       ID_IPV4_ADDR_SUBNET                 4
>       ID_IPV6_ADDR                        5
>       ID_IPV6_ADDR_SUBNET                 6
>       ID_IPV4_ADDR_RANGE                  7
>       ID_IPV6_ADDR_RANGE                  8
>       ID_DER_ASN1_DN                      9
>       ID_DER_ASN1_GN                      10
>       ID_KEY_ID                           11
>     ------- SUGGESTED -------
>       ID_IPV4_ADDR_LIST                   12
>       ID_IPV4_ADDR_SUBNET_LIST            13
>       ID_IPV4_ADDR_RANGE_LIST             14
>     
>The number of entries in the list(s) is easily derivable using the
>payload length along with the type, and this would provide some added
>functionality that we could certainly use. These would look like this:
>
>ID_IPV4_ADDR_LIST with N address:
>
>                       1                   2                   3
> 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>! Next Payload  !   RESERVED    !         Payload Length        !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!   ID Type     !  Protocol     |             Port              !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 1                                 !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 2                                 !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>~                                                               ~
>~                                                               ~
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address N                                 !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>
>
>ID_IPV4_SUBNET_LIST with N subnets:
>
> 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>! Next Payload  !   RESERVED    !         Payload Length        !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!   ID Type     !  Protocol     |             Port              !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 1                                 !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 Netmask 1                                     !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 2                                 !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 Netmask 2                                     !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>~                                                               ~
>~                                                               ~
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address N                                 !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 Netmask N                                     !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>
>
>ID_IPV4_ADDR_RANGE_LIST with N subnets:
>
> 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>! Next Payload  !   RESERVED    !         Payload Length        !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!   ID Type     !  Protocol     |             Port              !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 1 Low                             !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 1 High                            !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 2 Low                             !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address 2 High                            !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>~                                                               ~
>~                                                               ~
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address N Low                             !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>!                 IP  Address N High                            !
>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
>
>
>Any comments on this?
>
>Scott
> 


Follow-Ups: References: