Функция установки параметров IKE сессии фазы 2 и SPI сессий на ее основе.
Синтаксис
capi_result CAPI_EXTC p2_SetParamFn ( P2_HANDLE sid, CPIPSEC_AT_T iatAtrCls, uintptr_t upClsVal, unsigned upClsType, unsigned uFlags );
Параметры
- sid
-
[in] Дескриптор IKE сессии фазы 2
- iatAtrCls
-
[in] ID параметра (Attribute Class)
- upClsVal
-
[in] Значение параметра (Class Value)
- upClsType
-
[in] Значение типа параметра, если не равно нулю
- uFlags
-
[in] Зарезервировано для будущего использования. Должен быть равен 0
Возвращаемое значение
CAPI_NOERROR Успешное завершение
CAPI_CALL_ERROR Неверно заданы параметры
CAPI_UNSUPPORTED_ERROR Параметр не поддерживается
Примечания
При установке параметра CPIPSEC_AT_Group_Description устанавливается использование PFS с ключами Диффи-Хелмана в соответствующей группе.
Установленные параметры IPsec передаются реализациям других протоколов (например, ESP) функцией spiSerializeFn.
ID параметра |
Описание параметра |
Значение по умолчанию |
Используется функциями |
---|---|---|---|
CPIPSEC_AT_Life_Duration |
Ограничение жизни IPsec SA по объёму (CPIPSEC_LIFET_KILOBYTES) и по времени (CPIPSEC_LIFET_SECONDS) |
По объёму: 4 Мб для CPESP_GOST_4M и CPESP_GOST_4K Рекомендуется устанавливать оба ограничения. |
|
CPIPSEC_AT_Group_Description |
Параметры группы Диффи-Хелмана для PFS |
PFS не используется |
|
CPIPSEC_AT_Ext_Serial_Number |
Управление ESN в IPsec SA. Если передано значение CPESP_ESN_Enable, то IPsec SA предназначена для обмена пакетами с расширенными 64-бит серийными номерами (ESN) |
ESN запрещён |
|
CPIPSEC_AT_Max_Packet_Len |
максимальный размер ESP-пакета |
64KB |
|
CPIPSEC_AT_GOST_28147_SBOX |
Узлы замены ГОСТ 28147-89 |
CPESP_SBOX_B |
|
CPIPSEC_AT_Max_Auth_Error |
Максимальное значение кол-ва ошибок аутентификации (CAPI_IMITA_ERROR) |
10^5 |
|
CPIPSEC_ATP_Check_SN |
Управление проверкой SN (ESN) в IPsec SA. Если проверка включена (CPESP_CHKSN_Enable), то функции espDecapFn, espEncapFn дополнительно возвращают код ошибки CAPI_SN_ERROR. |
Проверка включена |
|
Смотри так же:
-
[Magic-Numbers] "Magic Numbers" for ISAKMP Protocol <http://www.iana.org/assignments/isakmp-registry>;
-
[ISAKMP] Internet Security Association and Key Management Protocol (ISAKMP) <http://tools.ietf.org/html/rfc2408#section-3.5>;
-
[DOI] The Internet IP Security Domain of Interpretation for ISAKMP <http://tools.ietf.org/html/rfc2407#section-4.4.3>;
-
[rus.CPESP] Использование ГОСТ 28147-89 при шифрования вложений IPsec (ESP) <rus-fedchenko-cpesp-ipsecme-gost-NN.xml>.
Precondition:
-
Успешно созданная сессия фазы 2 p2_CreateFn
Postcondition:
-
При успешной установке CPIKE_AC_Group_Description для функций p2_SetupFn и p2_AgreeFn предписывается использование PFS
SEE ALSO
ikeCheckCert, getPSKnotAfterFn
Требования
Заголовочный файл | ike_gost.h |
---|---|
Библиотека | |
Минимальная версия продукта | 1.0 |