<<
>>

Протокол ESP

Протокол ESP решает две группы задач. К первой относятся задачи, аналогичные задачам протокола АН, — это обеспечение аутентификации и целостности данных на основе дайджеста, а ко второй — защита передаваемых данных путем их шифрования от несанкционированного просмотра.

Как видно на рис. 24.12, заголовок делится на две части, разделяемые полем данных. Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Рис. 24.12. Структура IP-пакета, обработанного протоколом ESP в транспортном режиме

Два поля концевика — следующего заголовка и данных аутентификации — также аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности.

Помимо этих полей концевик содержит два дополнительных поля — заполнителя и длины заполнителя. Заполнитель может понадобиться в трех случаях. Во-первых, для нормальной работы некоторых алгоритмов шифрования необходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера. Во-вторых, формат заголовка ESP требует, чтобы поле данных заканчивалось на границе четырех байтов. И наконец, заполнитель можно использовать, чтобы скрыть действительный размер пакета в целях обеспечения так называемой частичной конфиденциальности трафика. Правда, возможность маскировки ограничивается сравнительно небольшим объемом заполнителя — 255 байт, поскольку большой объем избыточных данных может снизить полезную пропускную способность канала связи.

На рис. 24.12 показано размещение полей заголовка ESP в транспортном режиме. В этом режиме ESP не шифрует заголовок IP-пакета, иначе маршрутизатор не сможет прочитать поля заголовка и корректно осуществить продвижение пакета между сетями. В число шифруемых полей не попадают также поля SPI и SN, которые должны передаваться в открытом виде для того, чтобы прибывший пакет можно было отнести к определенной ассоциации и защититься от ложного воспроизведения лакета.

В туннельном режиме заголовок исходного IP-пакета помещается после заголовка ESP и полностью попадает в число защищаемых полей, а заголовок внешнего IP-пакета протоколом ESP не защищается (рис. 24.13).

<< | >>
Источник: В. Г. Олифер, Н. А. Олифер. 54 Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. 2006

Еще по теме Протокол ESP:

  1. Глава 4. Киотский протокол в Украине
  2. § 6. Протокол судебного заседания
  3. Судебные протоколы вообще
  4. Пример обработки протокола.
  5. Базовый протокол устранения проблемы с BSFF
  6. В. Г. Олифер, Н. А. Олифер. 54 Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд, 2006
  7. Определение пятое
  8. Основания
  9. Определение семнадцатое
  10. 3.1. Общие положения
  11. Основания
  12. Основания
  13. §60. ЗАКЛЮЧЕНИЕ ДОГОВОРА
  14. Статья 1250. Объявление нотариусом секретного завещания