33651

Протокол ESP

Доклад

Информатика, кибернетика и программирование

Протокол IKE Протокол IKE обеспечивает распределение ключей и согласование протоколов между участниками обмена. Протокол IKE решает три задачи: согласование алгоритмов шифрования и характеристик ключей которые будут использоваться в защищенном сеансе; непосредственный обмен ключами в том числе возможность их частой смены; контроль выполнения всех достигнутых соглашений. Протокол IKE функционирует в два этапа: Установление защищенного соединения для процедуры обмена IKE S. Два из них основной и агрессивный относятся к первому...

Русский

2013-09-06

42 KB

3 чел.

16. Протокол ESP

Протокол инкапсулирующей защиты содержимого (Encapsulating Security Payload — ESP) обеспечивает выполнение следующих функций по защите информационного обмена:

- криптографическое закрытие содержимого IP-пакетов;

- частичная защита от анализа трафика путем применения туннельного режима;

- формирование и проверка цифровой подписи IP-пакетов для их защиты от нарушений подлинности и целостности;

- защита от воспроизведения Ip-пакетов.

Протокол ESP обеспечивает конфиденциальность данных (рис. 3.2) и выполняет все функции протокола АН по защите зашифрованных не аутентифицируемых потоков данных.

Формат заголовка ESP

 

Рис. 3.2

Состав и назначение полей заголовка протокола ESP:

  •  SPI и порядковый номер - аналогично протоколу АН Полезная нагрузка - передаваемые данные.
  •  PAD (Padding) - заполнитель, используется для:
    •  правильной работы алгоритмов шифрования;
    •  правильного расположения данных в пакете ESP;
    •  намеренного искажения действительного размера пакета;
  •  Длина PAD - длина заполнителя.

Спецификация IPSec допускает работу протокола ESP без использования функций АН. В протоколе ESP можно использовать фиктивное шифрование, что равнозначно применению протокола АН без аутентификации IP-заголовка.

3.1.4. Протокол IKE

Протокол IKE обеспечивает распределение ключей и согласование протоколов между участниками обмена. Протокол IKE решает три задачи:

  •  согласование алгоритмов шифрования и характеристик ключей, которые будут использоваться в защищенном сеансе;
  •  непосредственный обмен ключами (в том числе возможность их частой смены);
  •  контроль выполнения всех достигнутых соглашений.

Протокол IKE функционирует в два этапа:

  •  Установление защищенного соединения для процедуры обмена (IKE SA).
  •  Согласование всех параметров, ассоциируемых с общим «каналом» SA.

Для установления «канала» инициирующая сторона должна предложить для согласования шесть пунктов: алгоритмы шифрования, алгоритмы хеширования, метод аутентификации, информацию о группе узлов, на которые будет распространяться алгоритм Диффи-Хеллмана, псевдослучайную функцию, с помощью которой предстоит хешировать величины, используемые при обмене ключами (впрочем, допускается непосредственное использование алгоритма хеширования) и тип протокола защиты (ESP или АН).

Предусмотрены три режима обмена информацией об алгоритмах и параметрах защиты и установления «канала» SA. Два из них (основной и агрессивный) относятся к первому этапу функционирования протокола IKE и один (быстрый) — ко второму.

Основной режим (Main mode) реализует стандартный механизм установления «канала» IKE SA. Он включает в себя три процедуры двунаправленного обмена:

Стороны договариваются о базовых алгоритмах и используемых методах хеширования.

Осуществляется обмен открытыми ключами в рамках алгоритма Диффи-Хеллмана и случайными числами (nonce), которые подписываются принимающими сторонами и отправляются обратно для идентификации. По пришедшим обратно подписанным значениям nonce проверяется подлинность сторон.

Открытый ключ, полученный по схеме Диффи-Хеллмана, каждой из сторон хешируется трижды — для генерации первого комбинированного ключа, ключа аутентификации и ключа шифрования, используемого в IKE SA.

Агрессивный режим (Aggressive mode) предназначен для тех же целей, что и основной, однако он проще в реализации и одновременно производительнее. Но агрессивный режим не обеспечивает защиту информации, служащей для идентификации сторон, так как такая информация передается по сети до согласования параметров защищенного «канала» SA, т. е. в незашифрованном виде. Данный режим требует только двух операций обмена, а количество передаваемых по сети пакетов уменьшается с шести до трех.

Быстрый режим (Quick mode) обеспечивает согласование параметров основного «канала» SA и генерацию новых ключей. Поскольку в быстром режиме все передачи осуществляются по защищенному туннельному соединению, в реализации он проще двух предыдущих. Пакет, передаваемый в данном режиме, обязательно начинается с хеша, который содержит ключ аутентификации, полученный в основном режиме для IKE SA, и служит для аутентификации остальной части пакета. Один цикл в быстром режиме включает в себя передачу трех пакетов и во многом аналогичен процедуре обмена, реализуемой в агрессивном режиме.

Если при генерации новых ключей необходимо обеспечить их полную независимость от предыдущих, по установленному «каналу» SA осуществляется дополнительный обмен в соответствии с алгоритмом Диффи-Хеллмана. Однако в том случае, когда указанное требование не является таким жестким, уже существующие ключи можно обновить с помощью дополнительного хеширования, обменявшись случайными числами nonce по защищенному соединению.


 

А также другие работы, которые могут Вас заинтересовать

57374. Ознайомлення з термінами доданок, сума. Складання прикладів на додавання за числовим відрізком, за малюнком 35.5 KB
  Мета: розкрити зміст дії додавання; ознайомити учнів з компонентами дії додавання доданками сумою; продовжити формування вміння складати приклади на додавання; вдосконалювати навички усної лічби...
57375. Повторення складу чисел 5 і 6. Складання й розв’язання прикладів за малюнками предметів і монет 31 KB
  Назвіть усі числа від 1 до 7. Яке число стоїть за числом 7 Більше воно чи менше 7 Назвіть усі числа менше 7. За яким числом воно стоїть Як утворити число 6 додаючи 1 Порівняйте числа 6 і 7. Порівняйте числа 3 і 5.
57379. Складання прикладів на віднімання з прикладів на додавання. Складання й розв’язання прикладів за малюнками. Написання цифр 28.5 KB
  Мета: вдосконалювати вміння учнів складати приклади на віднімання та додавання користуючись протилежними діями; вправляти учнів у складанні прикладів за малюнками; формувати графічні навички...
57380. Складання таблиць додавання та віднімання числа 3. Задачі на збільшення та зменшення числа на кілька одиниц 31.5 KB
  Мета: розкрити принцип укладання таблиць додавання й віднімання числа 3; вдосконалювати навички усної лічби; розвивати вміння розвязувати задачі на збільшення та зменшення числа на кілька одиниць...
57381. Вправи та задачі на засвоєння таблиць додавання й віднімання числа 3. Розв’язання задач на знаходження суми. Вимірювання довжини відрізка 29.5 KB
  Мета: вправляти учнів у розвязанні прикладів й задач використовуючи таблиці додавання й віднімання числа 3; вдосконалювати навички усної лічби; продовжити роботу над формуванням в учнів уміння креслити вимірювати відрізки; розвивати логічне мислення.
57382. Складання задачі, яка містить поняття стільки ж. Задачі на знаходження остачі. Вправи на задачі на засвоєння таблиць додавання й віднімання числа 3 31.5 KB
  Мета: закріплювати знання учнями таблиць додавання й віднімання 3; формувати вміння розвязувати задачі на знаходження остачі й задачі що містять у собі поняття стільки ж; вдосконалювати навички усної лічби...