8788

IP-Security (IPSec)

Доклад

Информатика, кибернетика и программирование

IPSec IP-Security (IPSec) - набор протоколов сетевого уровня для защищенного обмена данными в TCP/IP сетях. Актуальная версия датируется осенью 1998 г. Допустимы два режима работы - транспортный и туннельный. Первый режим х...

Русский

2013-02-17

66 KB

9 чел.

IPSec

IP-Security (IPSec) – набор протоколов сетевого уровня для защищённого обмена данными в TCP/IP сетях [8, с. 427-436]. Актуальная версия датируется осенью 1998 г.

Допустимы два режима работы - транспортный и туннельный. Первый режим характерен для локальных сетей, а второй – глобальных. Организация соединения в этих режимах иллюстрирует рисунок 1., на котором аббревиатурой SG (Security Gateway) обозначены шлюзы защиты.

Рис. 1. Соединения IPSec.

В IPSec используется два механизма защиты – защита заголовка IP пакета и шифрование содержимого IP пакета. В первом случае к заголовку пакета добавляется заголовок идентификации, позволяющий проверить целостность и подлинность данных, а также обеспечить защиту от повторений. Во втором случае данные шифруются, обеспечивая их конфиденциальность, и с помощью дополнительного заголовка - защищаются от подмены и повторения.

Таблица 1 иллюстрирует положение заголовка идентификации АН (Authentication Header) в IP пакете в транспортном и туннельном режимах.

Таблица 1. Положение заголовка идентификации АН.

Исх.IP заголов.

ТСР заголовок и Данные

← Оригинальный IP пакет

Исх.IP заголов.

АН

ТСР заголовок и Данные

← Транспортный режим

←−−Идентификация (кроме изменяемых полей)−−−−−−−−→

Нов.IP заголов.

АН

Исх.IP заголов.

ТСР заголовок и Данные

← Тунн.р.

←−−−−−−−−−−−−−Идентификация (кроме изменяемых полей)−−−−−−−−−−−→

Согласно протоколу формирования заголовка АН данные идентификации вычисляются по всему пакету без учета изменяемых в процессе передачи по сети полей IP пакета. Формат заголовка АН приведён в таблице 2.

Таблица 2. Формат заголовка АН.

32 бита (4 байта)

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

Следующий заголовок

Длина значимых данных

Зарезервировано

Индекс параметра безопасности

Последовательный номер

Данные идентификации

В таблице 2 использованы следующие обозначения:

  •  Следующий заголовок (Next header) - указывает тип данных за заголовком АН. Поле регламентировано IANA (Internet Assigned Numbers Authority)
  •  Длина значимых данных (Payload length) – длина заголовка АН в 32битовых словах – 2
  •  Зарезервированное поле заполняется нулями
  •  Индекс параметра безопасности (Security parameters index) – идентификатор способа защиты (0 – защиты нет)
  •  Последовательный номер (Sequence number) – порядковый (с 0) номер пакета
  •  Данные идентификации (Authentication data) – например, хэш-функция неизменяемых или предсказуемых полей заголовка пакета.

В случае шифрования содержимого пакета к заголовку добавляется ESP (Encapsulated Security Payload) как это показано в таблице 3.

Таблица 3. Размещение ESP в IP пакте.

Исх.IP заголов.

ТСР заголовок и Данные

← Оригинальный IP пакет

Исх.IP заголов.

Загол.ESP

ТСР заголовок и Данные

Хв.

Иден

← Трансп.режим

                                                ←−−−−−−−Шифрование−−−−−−−−−−→

                           ←−−−−−−−−−−−−Идентификация −−−−−−−−−−−−→

         Туннельный режим

Нов.IP заголов.

Загол.ESP

Исх.IP заголов.

ТСР заголовок и Данные

Хв.

Аут

                                               ←−−−−−−−−−−−−−−−−−−−−−Шифрование−−−−−−−−−−→

                          ←−−−−−−−−−−−−−−−−−−−−−−−−−−Идентификация −−−−−−−−−−−−→

Загол(овок) ESP содержит 2 32-битных слова - индекс параметра безопасности (Security parameters index) и последовательный номер (Sequence number) (см. заголовок АН).

Хв(ост) ESP состоит из заполнителя (Padding), дополняющего блок шифруемых данных до требуемого размера и скрывающего истинный размер этих данных; 8-битового поля длины заполнителя (Pad length) и 8-битового поля следующего заголовка (Next header).

Иден(тификационные) данные (Authentication data) представляют собой «цифровую подпись» содержимого пакета.

Для защиты как IP заголовков, так и содержимого пакета следует использовать оба механизма.

 IPSec – мощный метод защиты в TCP/IP сетях, однако его широкому распространению мешает сложность и, следовательно, стоимость реализации. Так, при использовании обычных сетевых адаптеров, вычислительные процедуры настолько загружают процессор, что скорость обмена данными может уменьшиться вдвое. Специальные сетевые адаптеры, берущие на себя основные вычислительные операции, имеют примерно на порядок большую стоимость.


LAN

1

SG1

SG2

IP сеть

Транспортный режим IPSec

Internet

Туннельный режим IPSec

LAN

2

LAN

1


 

А также другие работы, которые могут Вас заинтересовать

37568. Разработка основных биотехнологических процессов производства и системы управления качеством липидных косметических препаратов (на примере тоников для проблемной кожи) 893 KB
  Цель и задачи исследования. Целью данного исследования является разработка биотехнологических процессов конструирования липидных тоников для ухода за воспаленной кожей и системы управления качеством их производства. Для достижения поставленной цели следовало решить следующие задачи: 1.На основе биомоделирования разработать рецептуру липидных тоников для ухода за кожей в домашних и профессиональных условиях...
37569. Методология управления финансами финансово-промышленных групп 1017 KB
  ФПГ как специфическая организационная форма предпринимательской деятельности [2. Современные тенденции создания и функционирования ФПГ за рубежом [2. Анализ российского опыта создания ФПГ. МЕТОДИЧЕСКИЕ ПОДХОДЫ К УПРАВЛЕНИЮ ФИНАНСАМИ ФПГ [3.
37570. МЕТОДОЛОГИЯ СТАТИСТИЧЕСКОГО АНАЛИЗА ФУНКЦИОНИРОВАНИЯ ФИНАНСОВО-ПРОМЫШЛЕННЫХ ГРУПП 610.5 KB
  Цель работы состоит в теоретическом обосновании и разработке методологии применения статистических методов в управлении эффективностью функционирования финансово-промышленных групп в условиях переходной экономики.
37571. Управление деятельностью корпораций в россии 1.32 MB
  субъект 2 Управляющая компания Государство орпорация i Команда j Технологическая цепочка j Предприятие k Общекорпоративные подразделения Если у одной корпорации модуль отсутствует используется существующий модуль другой корпорации; Если у обеих корпораций присутствуют аналогичные модули то используется более эффективный а другой сокращается. Корпорация Портфель 1 Элемент Портфель 2 Элемент Портфель N Элемент 1 7 2 6 3 5 4 Анализ возможностей Планирование Организация Диспетчирование Мотивация Контроль Регулирование Определение потребностей...
37572. ЭФФЕКТИВНОСТЬ УПРАВЛЕНИЯ ФАКТОРАМИ ПРОИЗВОДСТВА В КОРПОРАЦИЯХ ОБОРОННОЙ ПРОМЫШЛЕННОСТИ РОССИИ 3.27 MB
  Корпорации оборонной промышленности в экономике России [2. Инструментарий формирования факторов производства корпорации оборонной промышленности [3.1] Разработка плана финансирования деятельности корпорации оборонной промышленности [3. Разработка и обоснование методики оценки прогнозирования оптимального состава факторов производства корпорации оборонной промышленности [3.
37573. ОЦЕНКА ГОСУДАРСТВЕННЫМ ПОСРЕДНИКОМ ИНВЕСТИЦИОННОЙ ПРИВЛЕКАТЕЛЬНОСТИ ПРЕДПРИЯТИЙ – ИСПОЛНИТЕЛЕЙ КОНТРАКТОВ В СФЕРЕ ВОЕННО-ТЕХНИЧЕСКОГО СОТРУДНИЧЕСТВА 874 KB
  ПЛЕХАНОВА ИНСТИТУТ ФИНАНСОВ На правах рукописи БЕЛЬЯНИНОВ Андрей Юрьевич ОЦЕНКА ГОСУДАРСТВЕННЫМ ПОСРЕДНИКОМ ИНВЕСТИЦИОННОЙ ПРИВЛЕКАТЕЛЬНОСТИ ПРЕДПРИЯТИЙ ИСПОЛНИТЕЛЕЙ КОНТРАКТОВ В СФЕРЕ ВОЕННОТЕХНИЧЕСКОГО СОТРУДНИЧЕСТВА Специальность 08. Исследование основных инвестиционных аспектов военнотехнического сотрудничества россии [2. Современное состояние системы военнотехнического сотрудничества России [2. Инвестиционный процесс в системе военнотехнического сотрудничества России [2.
37574. ТЕКСТОВЫЕ СТРУКТУРЫ В НЕМЕЦКОЙ ДУХОВНОЙ ПРОЗЕ XIII ВЕКА (трактат «Geistlicher Herzen Bavngart» и его источники) 1.16 MB
  Главы 202 и 203 содержат почти полный текст трактата Давида “Die Sieben Vorregeln der Tugend†а глава 205 так называемые “монастырские проповед膓Sechs Klosterpredigten†Бертольда Регенсбургского. Прямое указание на авторство Давида встречается только один раз для трактата “Die sieben Vorregeln der Tugend†причем в самом Bvngrt гл. Она подтвердила авторство Давида для восьми трактатов: “Die Sieben Vorregeln der Tugend†“Der Spiegel der Tugend†“Von der Offenbrung und Erleuchtung des...
37575. СРАВНИТЕЛЬНЫЙ АНАЛИЗ СТРУКТУРЫ НАСЛЕДСТВЕННОЙ КОМПОНЕНТЫ ПОДВЕРЖЕННОСТИ К БРОНХИАЛЬНОЙ АСТМЕ И ТУБЕРКУЛЕЗУ ПО ГЕНАМ ФЕРМЕНТОВ МЕТАБОЛИЗМА КСЕНОБИОТИКОВ 880.5 KB
  Полиморфизм генов глутатионовых Sтрансфераз GSTT1 GSTM1 GSTP1 и цитохромов Р450 CYP2E1 CYP2C19 у жителей г. Ассоциация полиморфных вариантов генов GSTT1 GSTM1 GSTP1 CYP2E1 и CYP2C19 с атопической бронхиальной астмой 65 3. Связь полиморфизма генов ферментов метаболизма ксенобиотиков с изменчивостью количественных признаков у больных бронхиальной астмой и туберкулезом 85 Заключение 101 Выводы 107 Литература 109 СПИСОК СОКРАЩЕНИЙ 95 CI 95 доверительный интервал; CYP гены цитохрома Р450;...
37576. МЕТОДИЧЕСКИЕ ИНСТРУМЕНТЫ КОМПЛЕКСНОЙ ОЦЕНКИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ КОРПОРАТИВНОГО УПРАВЛЕНИЯ НА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЯХ РОССИЙСКОЙ ФЕДЕРАЦИИ 1.05 MB
  Борьба за влияние внутри корпорации за контроль финансовых потоков в условиях общих целей и критериев оценки трансформировалась бы в сотрудничество и совместный рост благосостояния корпорации собственников и менеджеров. К наиболее важным результатам характеризующим научную новизну исследования относятся следующие: выявлены исторические тенденции и особенности формирования корпоративных отношений; определены предпосылки и условия для эффективного развития корпоративного управления; оценено влияние национальных особенностей на развитие...