Information technology - Fibre channel - Part 432: Security protocols - 2 (FC-SP-2)

ISO/IEC 14165-432:2022 is one of the Fibre Channel family of standards. This standard describes the protocols used to implement security in a Fibre Channel fabric. This standard includes the definition of protocols to authenticate Fibre Channel entities, protocols to set up session keys, protocols to negotiate the parameters required to ensure frame-by-frame integrity and confidentiality, and protocols to establish and distribute policies across a Fibre Channel fabric.

General Information

Status
Published
Publication Date
08-Mar-2022
Current Stage
PPUB - Publication issued
Completion Date
09-Mar-2022
Ref Project

Buy Standard

Standard
ISO/IEC 14165-432:2022 - Information technology - Fibre channel - Part 432: Security protocols - 2 (FC-SP-2)
English language
309 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

ISO/IEC 14165-432
Edition 1.0 2022-03
INTERNATIONAL
STANDARD
colour
inside
Information technology – Fibre channel –
Part 432: Security Protocols – 2 (FC-SP-2)
ISO/IEC 14165-432:2022-03(en)
---------------------- Page: 1 ----------------------
THIS PUBLICATION IS COPYRIGHT PROTECTED
Copyright © 2022 ISO/IEC, Geneva, Switzerland

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or

by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either

IEC or IEC's member National Committee in the country of the requester. If you have any questions about ISO/IEC

copyright or have an enquiry about obtaining additional rights to this publication, please contact the address below or

your local IEC member National Committee for further information.
IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC

The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes

International Standards for all electrical, electronic and related technologies.
About IEC publications

The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the

latest edition, a corrigendum or an amendment might have been published.

IEC publications search - webstore.iec.ch/advsearchform IEC Products & Services Portal - products.iec.ch

The advanced search enables to find IEC publications by a Discover our powerful search engine and read freely all the

variety of criteria (reference number, text, technical publications previews. With a subscription you will always have

committee, …). It also gives information on projects, replaced access to up to date content tailored to your needs.

and withdrawn publications.
Electropedia - www.electropedia.org
IEC Just Published - webstore.iec.ch/justpublished
The world's leading online dictionary on electrotechnology,
Stay up to date on all new IEC publications. Just Published
containing more than 22 300 terminological entries in English
details all new publications released. Available online and once
and French, with equivalent terms in 19 additional languages.
a month by email.
Also known as the International Electrotechnical Vocabulary
(IEV) online.
IEC Customer Service Centre - webstore.iec.ch/csc
If you wish to give us your feedback on this publication or need
further assistance, please contact the Customer Service
Centre: sales@iec.ch.
---------------------- Page: 2 ----------------------
ISO/IEC 14165-432
Edition 1.0 2022-03
INTERNATIONAL
STANDARD
colour
inside
Information technology – Fibre channel –
Part 432: Security Protocols – 2 (FC-SP-2)
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
ICS 35.200 ISBN 978-2-8322-1084-0

Warning! Make sure that you obtained this publication from an authorized distributor.

---------------------- Page: 3 ----------------------
2 ISO/IEC 14165-432:2022 © ISO/IEC 2022
Contents Page

FOREWORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

9 INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1 Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2 Normative references . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3 Terms, definitions, symbols, abbreviated terms, and conventions . . . . . . . . . . . . . . . . . 23

3.1 Terms and definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2 Symbols and abbreviated terms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.3 Editorial conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.4 Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3.5 T10 Vendor ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.6 Sorting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.6.1 Sorting alphabetic keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.6.2 Sorting numeric keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

3.7 Terminate communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

3.8 State machine notation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

3.9 Using numbers in hash functions and concatenation functions . . . . . . . . . . . . . . . . . . 35

4 Structure and Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.2 FC-SP-2 Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.3 Fabric Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.4 Authentication Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.5 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.6 Security Associations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.7 Cryptographic Integrity and Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.7.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.7.2 ESP_Header Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.7.3 CT_Authentication Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

4.8 Authorization (Access Control) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.8.1 Policy Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.8.2 Policy Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.8.3 Policy Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.8.4 Policy Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.9 Name Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5 Authentication Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5.2 Authentication Messages Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

5.2.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

5.2.2 SW_ILS Authentication Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.2.3 ELS Authentication Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.2.4 Fields Common to All AUTH Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5.2.5 Vendor Specific Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.3 Authentication Messages Common to Authentication Protocols . . . . . . . . . . . . . . . . . . 50

5.3.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.3.2 AUTH_Negotiate Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

5.3.3 Names used in Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

5.3.4 Hash Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

5.3.5 Diffie-Hellman Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

5.3.6 Accepting an AUTH_Negotiate Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

---------------------- Page: 4 ----------------------
ISO/IEC 14165-432:2022 © ISO/IEC 2022 3

5.3.7 AUTH_Reject Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

5.3.8 AUTH_Done Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

5.4 DH-CHAP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

5.4.1 Protocol Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

5.4.2 AUTH_Negotiate DH-CHAP Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

5.4.3 DHCHAP_Challenge Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

5.4.4 DHCHAP_Reply Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

5.4.5 DHCHAP_Success Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

5.4.6 Key Generation for the Security Association Management Protocol . . . . . . . . . 65

5.4.7 Reuse of Diffie-Hellman Exponential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

5.4.8 DH-CHAP Security Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

5.5 FCAP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

5.5.1 Protocol Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

5.5.2 AUTH_Negotiate FCAP Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

5.5.3 FCAP_Request Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

5.5.4 FCAP_Acknowledge Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

5.5.5 FCAP_Confirm Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

5.5.6 Key Generation for the Security Association Management Protocol . . . . . . . . . 76

5.5.7 Reuse of Diffie-Hellman Exponential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

5.6 FCPAP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

5.6.1 Protocol Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

5.6.2 AUTH_Negotiate FCPAP Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

5.6.3 FCPAP_Init Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5.6.4 FCPAP_Accept Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

5.6.5 FCPAP_Complete Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

5.6.6 Key Generation for the Security Association Management Protocol . . . . . . . . . 84

5.6.7 Reuse of Diffie-Hellman Exponential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

5.7 FCEAP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

5.7.1 Protocol Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

5.7.2 AUTH_Negotiate FCEAP Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

5.7.3 FCEAP_Request Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

5.7.4 FCEAP_Response Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

5.7.5 FCEAP_Success Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

5.7.6 FCEAP_Failure Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

5.7.7 AUTH_Reject Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

5.7.8 AUTH_ELS and AUTH_ILS Size Requirements . . . . . . . . . . . . . . . . . . . . . . . . . 88

5.7.9 Supported EAP Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

5.7.10 Key Generation for the Security Association Management Protocol . . . . . . . . 89

5.8 AUTH_ILS Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

5.8.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

5.8.2 AUTH_ILS Request Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

5.8.3 AUTH_ILS Reply Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5.9 B_AUTH_ILS Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5.9.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5.9.2 B_AUTH_ILS Request Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

5.9.3 B_AUTH_ILS Reply Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

5.10 AUTH_ELS Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

5.10.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

5.10.2 AUTH_ELS Request Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

5.10.3 AUTH_ELS Reply Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

5.10.4 AUTH_ELS Fragmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

5.10.5 Authentication and Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

5.11 Re-Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

5.12 Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

---------------------- Page: 5 ----------------------
4 ISO/IEC 14165-432:2022 © ISO/IEC 2022

6 Security Association Management Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

6.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

6.1.1 General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

6.1.2 IKE_SA_Init Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

6.1.3 IKE_Auth Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

6.1.4 IKE_Create_Child_SA Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

6.2 SA Management Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

6.2.1 General Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

6.2.2 IKE_Header Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

6.2.3 Chaining Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

6.2.4 AUTH_Reject Message Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

6.3 IKE_SA_Init Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

6.3.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

6.3.2 Security_Association Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

6.3.3 Key_Exchange Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

6.3.4 Nonce Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

6.4 IKE_Auth Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

6.4.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

6.4.2 Encrypted Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

6.4.3 Identification Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

6.4.4 Authentication Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

6.4.5 Traffic Selector Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

6.4.6 Certificate Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

6.4.7 Certificate Request Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

6.5 IKE_Create_Child_SA Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

6.6 IKE_Informational Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

6.6.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

6.6.2 Notify Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

6.6.3 Delete Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

6.6.4 Vendor_ID Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

6.7 Interaction with the Authentication Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

6.7.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

6.7.2 Concatenation of Authentication and SA Management Transactions . . . . . . . 141

6.7.3 SA Management Transaction as Authentication Transaction . . . . . . . . . . . . . 143

6.8 IKEv2 Protocol Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

6.8.1 Use of Retransmission Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

6.8.2 Use of Sequence Numbers for Message_IDs . . . . . . . . . . . . . . . . . . . . . . . . . 144

6.8.3 Overlapping Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

6.8.4 State Synchronization and Connection Timeouts . . . . . . . . . . . . . . . . . . . . . . 145

6.8.5 Cookies and Anti-Clogging Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

6.8.6 Cryptographic Algorithms Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

6.8.7 Rekeying . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

6.8.8 Traffic Selector Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

6.8.9 Nonces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

6.8.10 Reuse of Diffie-Hellman Exponential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

6.8.11 Generating Keying Material . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

6.8.12 Generating Keying Material for the IKE_SA . . . . . . . . . . . . . . . . . . . . . . . . . . 146

6.8.13 Authentication of the IKE_SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

6.8.14 Generating Keying Material for Child_SAs . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

6.8.15 Rekeying IKE_SAs using the IKE_Create_Child_SA exchange . . . . . . . . . . 147

6.8.16 IKE_Informational Messages outside of an IKE_SA . . . . . . . . . . . . . . . . . . . 147

6.8.17 Error Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

6.8.18 Conformance Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

6.8.19 Rekeying IKE_SAs when Refreshing Authentication . . . . . . . . . . . . . . . . . . . 148

---------------------- Page: 6 ----------------------
ISO/IEC 14165-432:2022 © ISO/IEC 2022 5

7 Fabric Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

7.1 Policies Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

7.1.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

7.1.2 Names used to define Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

7.1.3 Policy Summary Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

7.1.4 Switch Membership List Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

7.1.5 Node Membership List Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

7.1.6 Switch Connectivity Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

7.1.7 IP Management List Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

7.1.8 Attribute Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

7.2 Policies Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

7.2.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

7.2.2 Switch-to-Switch Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

7.2.3 Switch-to-Node Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

7.2.4 In-Band Management Access to a Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

7.2.5 IP Management Access to a Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

7.2.6 Direct Management Access to a Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

7.2.7 Authentication Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

7.3 Policies Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

7.3.1 Management Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

7.3.2 Fabric Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

7.3.3 Relationship between Security Policy Server Requests and Fabric Actions . . 180

7.3.4 Policy Objects Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

7.3.5 Optional Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

7.3.6 Detailed Management Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

7.4 Policies Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

7.4.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

7.4.2 CPS Request Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

7.4.3 CPS Reply Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

7.5 Policy Summation ELSs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

7.5.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

7.5.2 Fabric Change Notification Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

7.6 Zoning Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

7.6.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

7.6.2 Management Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

7.6.3 Fabric Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

7.6.4 Zoning Ordering Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

7.6.5 The Client-Server Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

8 Combinations of Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

8.1 Entity Authentication Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

8.2 Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

8.3 Scope of Security Relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

8.3.1 N_Port_ID Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

8.3.2 Nx_Port Entity to a Fabric Entity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

8.3.3 Nx_Port Entity to Nx_Port Entity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

8.4 Entity Authentication Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

8.5 Abstract Services for Entity Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

8.5.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

8.5.2 Authentication Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

8.5.3 Security Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

8.5.4 FC-2 Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

8.6 Nx_Port to Fabric Authentication (NFA) State Machine . . . . . . . . . . . . . . . . . . . . . . . 218

8.6.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

---------------------- Page: 7 ----------------------
6 ISO/IEC 14165-432:2022 © ISO/IEC 2022

8.6.2 NFA States . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

8.6.3 NFA Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

8.6.4 NFA Transitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

8.7 Fabric from Nx_Port Authentication (FNA) State Machine . . . . . . . . . . . . . . . . . . . . . 226

8.7.1 Overview . . . . . . . . . . . . . . . . . . .
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.