skip to content
HomeНадежность и безопасность информационно-управляющих систем Протокол IP-SECURITY

Безопасное сокрытие существенных данных

Отличительной функцией протокола Encapsulating Security Payload (ESP) - Безопасное Сокрытие Данных — является обеспечение конфиденциальности путем шифрования части данных, представляющих информацию протоколов верхнего уровня (рис. 22.29). Дополнительной функцией  может быть названо сокрытие реального объема сетевого трафика.  ESP обеспечивает аутентификацию и контроль целостности, как и АН, и, как следствие, может быть использован как отдельно, так и вместе с АН (разделяя или совмещая функции). Кроме того, отдельно выделяется понятие уплотненный режим (англ, nested fashion) путем использования туннельного варианта, речь о котором пойдет в разд. "Туннельный режим работы" данной главы, Различают варианты использования протокола хост-хост, шлюз-шлюз и хост-шлюз. Соответственно механизмы защиты применяются сразу при выходе данных с хвоста, их породившего, либо при покидании границ защищенной сети (в варианте шлюза).

Форма ESP

Рис. 22.29. Форма ESP

  • Поле Индекс параметров безопасности (SecurityParametersIndexSPI) значение, которое совместно с адресом назначения и самим протоколом определяет Ассоциацию безопасности (SecurityAssociation— SA) для данной датаграммы в виде 32-битного числа. (0 означает, что SAне ус­тановлена.)
  • Поле Последовательный номер (Sequencenumber} — возрастающий от О (при установлении SA) номер пакета. Используется для возможности контроля получателем ситуаций повторной пересылки пакетов.

Эти два поля носят специальное название Заголовок ESP(ESPheader).

  • Поле  Существенные данные (Payloaddata) — поле переменной длины содержащее данные, тип которых указан в поле  Следующий заголовок Дополнительно здесь может содержаться информация, необходимая для функционирования алгоритмов шифрования сокрытия данных. Способы размещения такой информации описываются в отдельных документах.
  • Поле Заполнитель (Padding) — поле переменной длины, служащее < дующим основным целям. Во-первых, его задача дополнить данные до длины блока, требуемого для применения криптографического алго ма. Во-вторых, скрыть истинный размер существенных данных.
  • Поле Длина заполнителя (Padlength) — указывает размер заполнит* байтах от 0 до 255, с тем чтобы его можно было отделить от существенных данных.
  • Поле Следующий заголовок (Nextheader) — 8-битовое поле, указываю тип данных в поле Данные. ВозможныезначенияполяустановиIANA (Internet Assigned Numbers Authority).

Последние три поля: Заполнитель, Длина заполнителя и Следующий заголовок, то специальное название Хвост ESP (ESP trailer).

  • ПолеДанные аутентификации (Authentication data) — поле переменной величины, содержит Значение контроля целостности (Integrity check value -ICV) рассчитанные по содержимому ESP пакета за минусом самих дан­ных аутентификации.

Каждый из  протоколов АН   и   ESP   поддерживает два  модуля   работы транспортный и туннельный.