Поиск
Категории
Архив
Статистика
Интересное
Протокол АН
Автор: adm
Протокол АН обеспечивает аутентификацию хоста-источника и целостность данных, но не конфиденциальность. Когда один хост-источник хочет отправить одну или несколько дейтаграмм определенному получателю, он сначала устанавливает с получателем безопасное соединение (SA-соединение). Установив SA-соединение, источник может посылать хосту-получателю безопасные дейтаграммы. Каждая безопасная дейтаграмма содержит АН-заголовок, включаемый между исходными данными IP-дейтаграммы (например, TCP- или UDP-сегментом) и IP-заголовком, как показано на рис.33. Таким образом, поле АН расширяет оригинальное поле данных, после чего расширенное поле данных помещается в стандартную IP-дейтаграмму. При этом в поле протокола IP-заголовка помещается значение 51.
Получив эту IP-дейтаграмму, хост-получатель обнаруживает значение 51 в поле протокола IP-заголовка и поэтому обрабатывает дейтаграмму по протоколу АН. (Как было показано ранее, поле протокола в IP-дейтаграмме используется для обозначения протокола более высокого уровня, например UDP, TCP или ICMP, которому следует передать поле данных IP-дейтаграммы.) Промежуточные маршрутизаторы обрабатывают дейтаграммы так же, как и всегда — они переправляют их дальше в соответствии с IP-адресами получателей.
АН-заголовок содержит несколько полей.
□ Следующий заголовок. Это поле играет роль поля протокола в обычной дейтаграмме. Оно указывает, является ли следующее за АН-заголовком поле данныхТСР-сегментом, UDP-сегментом, ICMP-сегментом и т. д. (Как уже отмечалось,поле протокола IP-дейтаграммы теперь обозначает протокол АН, поэтому дляобозначения протокола транспортного уровня требуется дополнительное поле.)
□ Индекс параметра безопасности (SPI). Это поле содержит произвольное значение, которое в комбинации с IP-адресом получателя уникальным образомидентифицирует S А-соединение для данной дейтаграммы.
□ Порядковый номер. 32-разрядное поле, содержащее порядковый номер каждойдейтаграммы. Изначально (во время установки SA-соединения) это поле устанавливается равным 0. Поле порядкового номера используется протоколомАН для отражения атак повторного воспроизведения и атак с человеком посредине (см. раздел «Аутентификация»).
□ Данные аутентификации. Это поле переменной длины содержит подписанныйдайджест сообщения (то есть цифровую подпись) для данной дейтаграммы.Дайджест сообщения вычисляется по оригинальной IP-дейтаграмме. Такимобразом обеспечивается аутентификация хоста-отправителя и целостность IP-дейтаграммы. Цифровая подпись вычисляется при помощи алгоритма, определенного при установке SA-соединения (например, MD5 или SHA).
Получив IP-дейтаграмму с АН-заголовком, хост-получатель определяет для данной дейтаграммы SA-соединение, а затем, обработав поле данных аутентификации, убеждается в целостности дейтаграммы. В процедуре аутентификации протокола IPsec (как для протокола АН, так и для протокола ESP) используется схема вычисления зашифрованного дайджеста сообщения, называемая НМ AC (RFC 2104). В схеме НМАС для аутентификации сообщений применяется общий секретный ключ, а не шифрование с открытым ключом. Дополнительные сведения о протоколе АН можно найти в RFC 2402.
Получив эту IP-дейтаграмму, хост-получатель обнаруживает значение 51 в поле протокола IP-заголовка и поэтому обрабатывает дейтаграмму по протоколу АН. (Как было показано ранее, поле протокола в IP-дейтаграмме используется для обозначения протокола более высокого уровня, например UDP, TCP или ICMP, которому следует передать поле данных IP-дейтаграммы.) Промежуточные маршрутизаторы обрабатывают дейтаграммы так же, как и всегда — они переправляют их дальше в соответствии с IP-адресами получателей.
АН-заголовок содержит несколько полей.
□ Следующий заголовок. Это поле играет роль поля протокола в обычной дейтаграмме. Оно указывает, является ли следующее за АН-заголовком поле данныхТСР-сегментом, UDP-сегментом, ICMP-сегментом и т. д. (Как уже отмечалось,поле протокола IP-дейтаграммы теперь обозначает протокол АН, поэтому дляобозначения протокола транспортного уровня требуется дополнительное поле.)
□ Индекс параметра безопасности (SPI). Это поле содержит произвольное значение, которое в комбинации с IP-адресом получателя уникальным образомидентифицирует S А-соединение для данной дейтаграммы.
□ Порядковый номер. 32-разрядное поле, содержащее порядковый номер каждойдейтаграммы. Изначально (во время установки SA-соединения) это поле устанавливается равным 0. Поле порядкового номера используется протоколомАН для отражения атак повторного воспроизведения и атак с человеком посредине (см. раздел «Аутентификация»).
□ Данные аутентификации. Это поле переменной длины содержит подписанныйдайджест сообщения (то есть цифровую подпись) для данной дейтаграммы.Дайджест сообщения вычисляется по оригинальной IP-дейтаграмме. Такимобразом обеспечивается аутентификация хоста-отправителя и целостность IP-дейтаграммы. Цифровая подпись вычисляется при помощи алгоритма, определенного при установке SA-соединения (например, MD5 или SHA).
Получив IP-дейтаграмму с АН-заголовком, хост-получатель определяет для данной дейтаграммы SA-соединение, а затем, обработав поле данных аутентификации, убеждается в целостности дейтаграммы. В процедуре аутентификации протокола IPsec (как для протокола АН, так и для протокола ESP) используется схема вычисления зашифрованного дайджеста сообщения, называемая НМ AC (RFC 2104). В схеме НМАС для аутентификации сообщений применяется общий секретный ключ, а не шифрование с открытым ключом. Дополнительные сведения о протоколе АН можно найти в RFC 2402.
Комментарии
Нет комментариев. Вы можете быть первым!