ISO/IEC 14165-432:2022

ISO/IEC 14165-432
Edition 1.0 2022-03
INTERNATIONAL
STANDARD
colour
inside
Information technology – Fibre channel –
Part 432: Security Protocols – 2 (FC-SP-2)

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or
by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either
IEC or IEC's member National Committee in the country of the requester. If you have any questions about ISO/IEC
copyright or have an enquiry about obtaining additional rights to this publication, please contact the address below or
your local IEC member National Committee for further information.

IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.

About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigendum or an amendment might have been published.

IEC publications search - webstore.iec.ch/advsearchform IEC Products & Services Portal - products.iec.ch
The advanced search enables to find IEC publications by a Discover our powerful search engine and read freely all the
variety of criteria (reference number, text, technical publications previews. With a subscription you will always have
committee, …). It also gives information on projects, replaced access to up to date content tailored to your needs.
and withdrawn publications.
Electropedia - www.electropedia.org
IEC Just Published - webstore.iec.ch/justpublished
The world's leading online dictionary on electrotechnology,
Stay up to date on all new IEC publications. Just Published
containing more than 22 300 terminological entries in English
details all new publications released. Available online and once
and French, with equivalent terms in 19 additional languages.
a month by email.
Also known as the International Electrotechnical Vocabulary

(IEV) online.
IEC Customer Service Centre - webstore.iec.ch/csc

If you wish to give us your feedback on this publication or need
further assistance, please contact the Customer Service
Centre: sales@iec.ch.
ISO/IEC 14165-432
Edition 1.0 2022-03
INTERNATIONAL
STANDARD
colour
inside
Information technology – Fibre channel –

Part 432: Security Protocols – 2 (FC-SP-2)

INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
ICS 35.200 ISBN 978-2-8322-1084-0

2 ISO/IEC 14165-432:2022 © ISO/IEC 2022
Contents Page
FOREWORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
9 INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1  Scope  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2  Normative references  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3  Terms, definitions, symbols, abbreviated terms, and conventions  . . . . . . . . . . . . . . . . . 23
3.1  Terms and definitions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2  Symbols and abbreviated terms  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3  Editorial conventions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.4  Keywords  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.5  T10 Vendor ID  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.6  Sorting  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.6.1 Sorting alphabetic keys  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.6.2 Sorting numeric keys  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.7  Terminate communication  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.8  State machine notation  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.9  Using numbers in hash functions and concatenation functions  . . . . . . . . . . . . . . . . . . 35
4  Structure and Concepts  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.1  Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.2  FC-SP-2 Compliance  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3  Fabric Security Architecture  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  37
4.4  Authentication Infrastructure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  37
4.5  Authentication  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.6  Security Associations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.7  Cryptographic Integrity and Confidentiality  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.7.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.7.2 ESP_Header Processing  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.7.3 CT_Authentication Processing  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.8  Authorization (Access Control)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.8.1 Policy Definition  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.8.2 Policy Enforcement  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.8.3 Policy Distribution  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.8.4 Policy Check  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.9  Name Format  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5  Authentication Protocols  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.1  Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.2  Authentication Messages Structure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2.2 SW_ILS Authentication Messages  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.2.3 ELS Authentication Messages  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.2.4 Fields Common to All AUTH Messages  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.2.5 Vendor Specific Messages  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.3  Authentication Messages Common to Authentication Protocols  . . . . . . . . . . . . . . . . . . 50
5.3.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.3.2 AUTH_Negotiate Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3.3 Names used in Authentication  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.3.4 Hash Functions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.3.5 Diffie-Hellman Groups  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.3.6 Accepting an AUTH_Negotiate Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

5.3.7 AUTH_Reject Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  54
5.3.8 AUTH_Done Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  57
5.4  DH-CHAP Protocol  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  58
5.4.1 Protocol Operations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  58
5.4.2 AUTH_Negotiate DH-CHAP Parameters  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  60
5.4.3 DHCHAP_Challenge Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  61
5.4.4 DHCHAP_Reply Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  62
5.4.5 DHCHAP_Success Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  64
5.4.6 Key Generation for the Security Association Management Protocol  . . . . . . . . .  65
5.4.7 Reuse of Diffie-Hellman Exponential  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  65
5.4.8 DH-CHAP Security Considerations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  65
5.5  FCAP Protocol  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  67
5.5.1 Protocol Operations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  67
5.5.2 AUTH_Negotiate FCAP Parameters  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  70
5.5.3 FCAP_Request Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  71
5.5.4 FCAP_Acknowledge Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  74
5.5.5 FCAP_Confirm Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  76
5.5.6 Key Generation for the Security Association Management Protocol  . . . . . . . . .  76
5.5.7 Reuse of Diffie-Hellman Exponential  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  77
5.6  FCPAP Protocol  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  78
5.6.1 Protocol Operations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  78
5.6.2 AUTH_Negotiate FCPAP Parameters  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  81
5.6.3 FCPAP_Init Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  82
5.6.4 FCPAP_Accept Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  83
5.6.5 FCPAP_Complete Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  83
5.6.6 Key Generation for the Security Association Management Protocol  . . . . . . . . .  84
5.6.7 Reuse of Diffie-Hellman Exponential  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  84
5.7  FCEAP Protocol  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  85
5.7.1 Protocol Operations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  85
5.7.2 AUTH_Negotiate FCEAP Parameters  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  85
5.7.3 FCEAP_Request Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  86
5.7.4 FCEAP_Response Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  86
5.7.5 FCEAP_Success Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  87
5.7.6 FCEAP_Failure Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  87
5.7.7 AUTH_Reject Use  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  88
5.7.8 AUTH_ELS and AUTH_ILS Size Requirements  . . . . . . . . . . . . . . . . . . . . . . . . .  88
5.7.9 Supported EAP Methods  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  89
5.7.10 Key Generation for the Security Association Management Protocol  . . . . . . . .  89
5.8  AUTH_ILS Specification  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  90
5.8.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  90
5.8.2 AUTH_ILS Request Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  91
5.8.3 AUTH_ILS Reply Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  92
5.9  B_AUTH_ILS Specification  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  92
5.9.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  92
5.9.2 B_AUTH_ILS Request Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  94
5.9.3 B_AUTH_ILS Reply Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  95
5.10  AUTH_ELS Specification  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  95
5.10.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  95
5.10.2 AUTH_ELS Request Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  97
5.10.3 AUTH_ELS Reply Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  98
5.10.4 AUTH_ELS Fragmentation  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  98
5.10.5 Authentication and Login  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  102
5.11  Re-Authentication  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  103
5.12  Timeouts  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  104

4 ISO/IEC 14165-432:2022 © ISO/IEC 2022
6  Security Association Management Protocol  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
6.1  Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
6.1.1 General  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
6.1.2 IKE_SA_Init Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.1.3 IKE_Auth Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
6.1.4 IKE_Create_Child_SA Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
6.2  SA Management Messages  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
6.2.1 General Structure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
6.2.2 IKE_Header Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
6.2.3 Chaining Header  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
6.2.4 AUTH_Reject Message Use  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
6.3  IKE_SA_Init Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
6.3.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
6.3.2 Security_Association Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
6.3.3 Key_Exchange Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.3.4 Nonce Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.4  IKE_Auth Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.4.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.4.2 Encrypted Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
6.4.3 Identification Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
6.4.4 Authentication Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
6.4.5 Traffic Selector Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
6.4.6 Certificate Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
6.4.7 Certificate Request Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.5  IKE_Create_Child_SA Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
6.6  IKE_Informational Message  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
6.6.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
6.6.2 Notify Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
6.6.3 Delete Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
6.6.4 Vendor_ID Payload  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
6.7  Interaction with the Authentication Protocols  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.7.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.7.2 Concatenation of Authentication and SA Management Transactions  . . . . . . . 141
6.7.3 SA Management Transaction as Authentication Transaction  . . . . . . . . . . . . . 143
6.8  IKEv2 Protocol Details  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
6.8.1 Use of Retransmission Timers  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
6.8.2 Use of Sequence Numbers for Message_IDs  . . . . . . . . . . . . . . . . . . . . . . . . . 144
6.8.3 Overlapping Requests  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6.8.4 State Synchronization and Connection Timeouts  . . . . . . . . . . . . . . . . . . . . . . 145
6.8.5 Cookies and Anti-Clogging Protection  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6.8.6 Cryptographic Algorithms Negotiation  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6.8.7 Rekeying  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6.8.8 Traffic Selector Negotiation  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6.8.9 Nonces  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.8.10 Reuse of Diffie-Hellman Exponential  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.8.11 Generating Keying Material  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.8.12 Generating Keying Material for the IKE_SA  . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.8.13 Authentication of the IKE_SA  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.8.14 Generating Keying Material for Child_SAs  . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
6.8.15 Rekeying IKE_SAs using the IKE_Create_Child_SA exchange  . . . . . . . . . . 147
6.8.16 IKE_Informational Messages outside of an IKE_SA  . . . . . . . . . . . . . . . . . . . 147
6.8.17 Error Handling  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
6.8.18 Conformance Requirements  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
6.8.19 Rekeying IKE_SAs when Refreshing Authentication  . . . . . . . . . . . . . . . . . . . 148

7  Fabric Policies  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  149
7.1  Policies Definition  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  149
7.1.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  149
7.1.2 Names used to define Policies  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  151
7.1.3 Policy Summary Object  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  153
7.1.4 Switch Membership List Object  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  154
7.1.5 Node Membership List Object  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  159
7.1.6 Switch Connectivity Object  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  163
7.1.7 IP Management List Object  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  164
7.1.8 Attribute Object  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  168
7.2  Policies Enforcement  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  170
7.2.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  170
7.2.2 Switch-to-Switch Connections  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  170
7.2.3 Switch-to-Node Connections  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  171
7.2.4 In-Band Management Access to a Switch  . . . . . . . . . . . . . . . . . . . . . . . . . . . .  172
7.2.5 IP Management Access to a Switch  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  173
7.2.6 Direct Management Access to a Switch  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  174
7.2.7 Authentication Enforcement  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  175
7.3  Policies Management  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  175
7.3.1 Management Interface  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  175
7.3.2 Fabric Distribution  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  177
7.3.3 Relationship between Security Policy Server Requests and Fabric Actions  . .  180
7.3.4 Policy Objects Support  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  180
7.3.5 Optional Data  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  184
7.3.6 Detailed Management Specification  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  185
7.4  Policies Check  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  193
7.4.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  193
7.4.2 CPS Request Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  193
7.4.3 CPS Reply Sequence  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  194
7.5  Policy Summation ELSs  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  194
7.5.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  194
7.5.2 Fabric Change Notification Specification  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  194
7.6  Zoning Policies  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  195
7.6.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  195
7.6.2 Management Requests  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  195
7.6.3 Fabric Operations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  198
7.6.4 Zoning Ordering Rules  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  204
7.6.5 The Client-Server Protocol  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  205
8  Combinations of Security Protocols  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  208
8.1  Entity Authentication Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  208
8.2  Terminology  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  208
8.3  Scope of Security Relationships  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  209
8.3.1 N_Port_ID Virtualization  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  209
8.3.2 Nx_Port Entity to a Fabric Entity  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  209
8.3.3 Nx_Port Entity to Nx_Port Entity  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  210
8.4  Entity Authentication Model  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  210
8.5  Abstract Services for Entity Authentication  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  212
8.5.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  212
8.5.2 Authentication Service  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  212
8.5.3 Security Service  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  213
8.5.4 FC-2 Service  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  213
8.6  Nx_Port to Fabric Authentication (NFA) State Machine  . . . . . . . . . . . . . . . . . . . . . . .  218
8.6.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  218

6 ISO/IEC 14165-432:2022 © ISO/IEC 2022
8.6.2 NFA States  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8.6.3 NFA Events  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
8.6.4 NFA Transitions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
8.7  Fabric from Nx_Port Authentication (FNA) State Machine  . . . . . . . . . . . . . . . . . . . . . 226
8.7.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
8.7.2 FNA States  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
8.7.3 FNA Events  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
8.7.4 FNA Transitions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
8.8  Nx_Port to Nx_Port Authentication (NNA) State Machine  . . . . . . . . . . . . . . . . . . . . . 236
8.8.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
8.8.2 NNA States  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
8.8.3 NNA Events  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
8.8.4 NNA Transitions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
8.9  Additional Security State Machines  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
8.9.1 E_Port to E_Port Security Checks  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
8.9.2 B_Port Security Checks  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
8.9.3 Switch Security Checks with Virtual Fabrics  . . . . . . . . . . . . . . . . . . . . . . . . . . 246
8.9.4 N_Port Security Checks with Virtual Fabrics  . . . . . . . . . . . . . . . . . . . . . . . . . . 248
8.10  Impact on Other Standards  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Annex A:  FC-SP-2 Compliance Summary
(normative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
A.1  Compliance Elements  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
A.1.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
A.1.2 FC-SP-2 Compliance  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
A.1.3 Conventions  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
A.2  Authentication Compliance Elements  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
A.2.1 AUTH-A  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
A.2.2 AUTH-B1  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
A.2.3 AUTH-B2  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
A.2.4 AUTH-B3  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
A.3  SA Management Compliance Elements  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
A.3.1 Algorithms Support  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
A.3.2 SA-A  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  257
A.3.3 SA-B  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  258
A.3.4 SA-C1  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
A.3.5 SA-C2  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
A.3.6 SA-C3  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
A.4  Policy Compliance Elements  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
A.4.1 POL-A1  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
A.4.2 POL-A2  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
A.4.3 POL-A3  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
A.4.4 POL-B3  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Annex B:  KMIP Profile for FC-SP-2 EAP-GPSK
(Normative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
B.1  Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
B.2  General  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
B.3  KMIP profile specification  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
B.3.1 FC-SP-2 EAP-GPSK Profile  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
B.3.2 FC-SP-2 EAP-GPSK Authentication Suite  . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
B.3.3 FC-SP-2 EAP/GPSK Key Foundry and Server Conformance Clause  . . . . . . . 274
Annex C:  Random Number Generation and Secret Storage

(informative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  276
C.1  Random Number Generator  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  276
C.2  Secret Storage  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  276
Annex D:  RADIUS Deployment
(informative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  277
D.1  Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  277
D.2  RADIUS Servers  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  277
D.2.1 Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  277
D.2.2 Digest Algorithm  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  278
D.3  RADIUS Messages  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  278
D.3.1 Message Types  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  278
D.3.2 Radius Attributes  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  279
D.4  RADIUS Authentication  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  282
D.4.1 RADIUS Authentication Method  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  282
D.4.2 RADIUS Authentication with NULL DH algorithm  . . . . . . . . . . . . . . . . . . . . . .  283
D.4.3 Bidirectional Authentication with RADIUS  . . . . . . . . . . . . . . . . . . . . . . . . . . . .  285
D.4.4 RADIUS Authentication with DH option  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  286
Annex E:  Examples of Proposals Negotiation for the SA Management Protocol
(informative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  288
Annex F:  Guidelines for Mapping Access Control Requirements to Fabric Policies
(informative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  289
Annex G:  Pre FC-SP-2 Fabric Policy Implementations
(informative)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  290
G.1  Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  290
G.2  Fabric Management Policy Set  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  290
G.2.1 Fabric Management Policy Set Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . .  290
G.2.2 FMPS Hierarchy Model  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  290
G.2.3 Policy Description  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  290
G.2.4 Policy Distribution  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  291
G.2.5 Signature, Version Stamp, and Timestamp  . . . . . . . . . . . . . . . . . . . . . . . . . . .  291
G.2.6 FMPS Object Structure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  292
G.2.7 Fabric Initialization And Fabric Join Procedures  . . . . . . . . . . . . . . . . . . . . . . .  292
G.2.8 FMPS Payload Format  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  295
G.3  Fabric Binding  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  302
G.3.1 Fabric Binding Overview  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  302
G.3.2 Joining Switches  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  303
G.3.3 Managing User-Initiated Change Requests  . . . . . . . . . . . . . . . . . . . . . . . . . . .  303
G.3.4 Fabric Binding Objects  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  303
G.3.5 Fabric Binding Commands  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  303
G.3.6 Exchange Fabric Membership Data (EFMD)  . . . . . . . . . . . . . . . . . . . . . . . . . .  304
G.3.7 Exchange Security Attributes (ESA)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  306
G.3.8 Query Security Attributes (QSA) Version 1  . . . . . . . . . . . . . . . . . . . . . . . . . . .  308

8 ISO/IEC 14165-432:2022 © ISO/IEC 2022
Figure Page
Figure 1 – State machine example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Figure 2 – Relationship between Authentication Protocols and Security Associations . . . . . . . . 38
Figure 3 – Logical Model for Integrity and Confidentiality Protection with ESP_Header . . . . . . . 40
Figure 4 – Logical Model for Integrity and Confidentiality Protection with CT_Authentication . . . 42
Figure 5 – A Generic Authentication Transaction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Figure 6 – Example of AUTH_Reject. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Figure 7 – A DH-CHAP Protocol Transaction Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Figure 8 – A FCAP Protocol Transaction Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Figure 9 – A FCPAP Protocol Transaction Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Figure 10 – A FCEAP Protocol Transaction Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Figure 11 – A Failing FCEAP Protocol Transaction Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Figure 12 – FC-2 AUTH_ILS Mapping Example for the E_Port to E_Port Case . . . . . . . . . . . . . . 91
Figure 13 – Usage of B_AUTH_ILS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Figure 14 – FC-2 B_AUTH_ILS Mapping Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Figure 15 – FC-2 AUTH_ELS Mapping Example for the Nx_Port to Nx_Port Case . . . . . . . . . . . 97
Figure 16 – AUTH_ELS Fragmentation Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Figure 17 – Use of the Sequence Number Bit Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Figure 18 – FC-2 Authentication Mapping with AUTH_ELS Fragmentation Example . . . . . . . . . 101
Figure 19 – An SA Management Transaction Example. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Figure 20 – An IKE_SA_Init exchange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Figure 21 – An IKE_Auth exchange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Figure 22 – An IKE_Create_Child_SA exchange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Figure 23 – An IKE_Informational exchange. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Figure 24 – Concatenation of Authentication and SA Management Transactions. . . . . . . . . . . . 143
Figure 25 – An IKEv2-AUTH Transaction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Figure 26 – Policy Data Structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Figure 27 – Policy Management Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Figure 28 – Entity Authentication Standard Perspective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Figure 29 – Entity Authentication Model for an Nx_Port (Informative) . . . . . . . . . . . . . . . . . . . . . 211
Figure 30 – NFA State Machine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Figure 31 – FNA State Machine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Figure 32 – NNA State Machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Figure 33 – State P17:Security Checks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Figure 34 – State P24(k):Security Checks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Figure D
...