Заголовочный файл: ike_gost.h
Библиотека: libike_gost.so (linux), cpike_api.dll (windows)

Функция установки параметров IKE сессии фазы 2 и SPI сессий на ее основе.

Синтаксис

C/C++	Copy Code
capi_result CAPI_EXTC p2_SetParamFn ( P2_HANDLE sid, CPIPSEC_AT_T iatAtrCls, uintptr_t upClsVal, unsigned upClsType, unsigned uFlags );

Параметры

sid: [in] Дескриптор IKE сессии фазы 2

iatAtrCls: [in] ID параметра (Attribute Class)

upClsVal: [in] Значение параметра (Class Value)

upClsType: [in] Значение типа параметра, если не равно нулю

uFlags: [in] Зарезервировано для будущего использования. Должен быть равен 0

Возвращаемое значение

CAPI_NOERROR Успешное завершение

CAPI_CALL_ERROR Неверно заданы параметры

CAPI_UNSUPPORTED_ERROR Параметр не поддерживается

Примечания

При установке параметра CPIPSEC_AT_Group_Description устанавливается использование PFS с ключами Диффи-Хелмана в соответствующей группе.

Установленные параметры IPsec передаются реализациям других протоколов (например, ESP) функцией spiSerializeFn.

ID параметра

Описание параметра

Значение по умолчанию

Используется функциями

CPIPSEC_AT_Life_Duration

Ограничение жизни IPsec SA по объёму (CPIPSEC_LIFET_KILOBYTES) и по времени (CPIPSEC_LIFET_SECONDS)
При установке значений, которые превышают CPIPSEC_MAX_SEC_LDURATION, - CPIPSEC_MAX_4M_KBS или CPIPSEC_MAX_1K_KBS, функция исполняется успешно, но при экспорте IPsec SA функцией spiSerializeFn в протокол будет выдано сообщение уровня CAPI_NOTICE

По объёму: 4 Мб для CPESP_GOST_4M и CPESP_GOST_4K
По времени: 24 часа или ограничение фазы 1 по времени, в зависимости от того, что меньше.

Рекомендуется устанавливать оба ограничения.

espDecapFn,
espEncapFn

CPIPSEC_AT_Group_Description

Параметры группы Диффи-Хелмана для PFS

PFS не используется

p2_SetupFn,
p2_AgreeFn

CPIPSEC_AT_Ext_Serial_Number

Управление ESN в IPsec SA. Если передано значение CPESP_ESN_Enable, то IPsec SA предназначена для обмена пакетами с расширенными 64-бит серийными номерами (ESN)

ESN запрещён

espDecapFn,
espEncapFn

CPIPSEC_AT_Max_Packet_Len

максимальный размер ESP-пакета

64KB

espDecapFn,
espEncapFn

CPIPSEC_AT_GOST_28147_SBOX

Узлы замены ГОСТ 28147-89

CPESP_SBOX_B

espDecapFn,
espEncapFn

CPIPSEC_AT_Max_Auth_Error

Максимальное значение кол-ва ошибок аутентификации (CAPI_IMITA_ERROR)
При установке значений, которые превышают CPIPSEC_4M_MAX_AUTH_ERR, CPIPSEC_1K_MAX_AUTH_ERR или CPIPSEC_1K_KC_MAX_AUTH_ERR, функция исполняется успешно, но при экспорте non-ISAKMP SA функцией spiSerializeFn в протокол будет выдано сообщение уровня CAPI_NOTICE

10^6

espDecapFn,
espEncapFn

CPIPSEC_ATP_Check_SN

Управление проверкой SN (ESN) в IPsec SA. Если проверка включена (CPESP_CHKSN_Enable), то функции espDecapFn, espEncapFn дополнительно возвращают код ошибки CAPI_SN_ERROR.

Проверка включена

espDecapFn,
espEncapFn

ID параметра	Описание параметра	Значение по умолчанию	Используется функциями
CPIPSEC_AT_Life_Duration	Ограничение жизни IPsec SA по объёму (CPIPSEC_LIFET_KILOBYTES) и по времени (CPIPSEC_LIFET_SECONDS) При установке значений, которые превышают CPIPSEC_MAX_SEC_LDURATION, - CPIPSEC_MAX_4M_KBS или CPIPSEC_MAX_1K_KBS, функция исполняется успешно, но при экспорте IPsec SA функцией spiSerializeFn в протокол будет выдано сообщение уровня CAPI_NOTICE	По объёму: 4 Мб для CPESP_GOST_4M и CPESP_GOST_4K По времени: 24 часа или ограничение фазы 1 по времени, в зависимости от того, что меньше. Рекомендуется устанавливать оба ограничения.	espDecapFn, espEncapFn
CPIPSEC_AT_Group_Description	Параметры группы Диффи-Хелмана для PFS	PFS не используется	p2_SetupFn, p2_AgreeFn
CPIPSEC_AT_Ext_Serial_Number	Управление ESN в IPsec SA. Если передано значение CPESP_ESN_Enable, то IPsec SA предназначена для обмена пакетами с расширенными 64-бит серийными номерами (ESN)	ESN запрещён	espDecapFn, espEncapFn
CPIPSEC_AT_Max_Packet_Len	максимальный размер ESP-пакета	64KB	espDecapFn, espEncapFn
CPIPSEC_AT_GOST_28147_SBOX	Узлы замены ГОСТ 28147-89	CPESP_SBOX_B	espDecapFn, espEncapFn
CPIPSEC_AT_Max_Auth_Error	Максимальное значение кол-ва ошибок аутентификации (CAPI_IMITA_ERROR) При установке значений, которые превышают CPIPSEC_4M_MAX_AUTH_ERR, CPIPSEC_1K_MAX_AUTH_ERR или CPIPSEC_1K_KC_MAX_AUTH_ERR, функция исполняется успешно, но при экспорте non-ISAKMP SA функцией spiSerializeFn в протокол будет выдано сообщение уровня CAPI_NOTICE	10^6	espDecapFn, espEncapFn
CPIPSEC_ATP_Check_SN	Управление проверкой SN (ESN) в IPsec SA. Если проверка включена (CPESP_CHKSN_Enable), то функции espDecapFn, espEncapFn дополнительно возвращают код ошибки CAPI_SN_ERROR.	Проверка включена	espDecapFn, espEncapFn

Смотри так же:

[Magic-Numbers] "Magic Numbers" for ISAKMP Protocol <http://www.iana.org/assignments/isakmp-registry>;
[ISAKMP] Internet Security Association and Key Management Protocol (ISAKMP) <http://tools.ietf.org/html/rfc2408#section-3.5>;
[DOI] The Internet IP Security Domain of Interpretation for ISAKMP <http://tools.ietf.org/html/rfc2407#section-4.4.3>;
[rus.CPESP] Использование ГОСТ 28147-89 при шифрования вложений IPsec (ESP) <rus-fedchenko-cpesp-ipsecme-gost-NN.xml>.

Precondition:

Успешно созданная сессия фазы 2 p2_CreateFn

Postcondition: