8788

IP-Security (IPSec)

Доклад

Информатика, кибернетика и программирование

IPSec IP-Security (IPSec) - набор протоколов сетевого уровня для защищенного обмена данными в TCP/IP сетях. Актуальная версия датируется осенью 1998 г. Допустимы два режима работы - транспортный и туннельный. Первый режим х...

Русский

2013-02-17

66 KB

10 чел.

IPSec

IP-Security (IPSec) – набор протоколов сетевого уровня для защищённого обмена данными в TCP/IP сетях [8, с. 427-436]. Актуальная версия датируется осенью 1998 г.

Допустимы два режима работы - транспортный и туннельный. Первый режим характерен для локальных сетей, а второй – глобальных. Организация соединения в этих режимах иллюстрирует рисунок 1., на котором аббревиатурой SG (Security Gateway) обозначены шлюзы защиты.

Рис. 1. Соединения IPSec.

В IPSec используется два механизма защиты – защита заголовка IP пакета и шифрование содержимого IP пакета. В первом случае к заголовку пакета добавляется заголовок идентификации, позволяющий проверить целостность и подлинность данных, а также обеспечить защиту от повторений. Во втором случае данные шифруются, обеспечивая их конфиденциальность, и с помощью дополнительного заголовка - защищаются от подмены и повторения.

Таблица 1 иллюстрирует положение заголовка идентификации АН (Authentication Header) в IP пакете в транспортном и туннельном режимах.

Таблица 1. Положение заголовка идентификации АН.

Исх.IP заголов.

ТСР заголовок и Данные

← Оригинальный IP пакет

Исх.IP заголов.

АН

ТСР заголовок и Данные

← Транспортный режим

←−−Идентификация (кроме изменяемых полей)−−−−−−−−→

Нов.IP заголов.

АН

Исх.IP заголов.

ТСР заголовок и Данные

← Тунн.р.

←−−−−−−−−−−−−−Идентификация (кроме изменяемых полей)−−−−−−−−−−−→

Согласно протоколу формирования заголовка АН данные идентификации вычисляются по всему пакету без учета изменяемых в процессе передачи по сети полей IP пакета. Формат заголовка АН приведён в таблице 2.

Таблица 2. Формат заголовка АН.

32 бита (4 байта)

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

Следующий заголовок

Длина значимых данных

Зарезервировано

Индекс параметра безопасности

Последовательный номер

Данные идентификации

В таблице 2 использованы следующие обозначения:

  •  Следующий заголовок (Next header) - указывает тип данных за заголовком АН. Поле регламентировано IANA (Internet Assigned Numbers Authority)
  •  Длина значимых данных (Payload length) – длина заголовка АН в 32битовых словах – 2
  •  Зарезервированное поле заполняется нулями
  •  Индекс параметра безопасности (Security parameters index) – идентификатор способа защиты (0 – защиты нет)
  •  Последовательный номер (Sequence number) – порядковый (с 0) номер пакета
  •  Данные идентификации (Authentication data) – например, хэш-функция неизменяемых или предсказуемых полей заголовка пакета.

В случае шифрования содержимого пакета к заголовку добавляется ESP (Encapsulated Security Payload) как это показано в таблице 3.

Таблица 3. Размещение ESP в IP пакте.

Исх.IP заголов.

ТСР заголовок и Данные

← Оригинальный IP пакет

Исх.IP заголов.

Загол.ESP

ТСР заголовок и Данные

Хв.

Иден

← Трансп.режим

                                                ←−−−−−−−Шифрование−−−−−−−−−−→

                           ←−−−−−−−−−−−−Идентификация −−−−−−−−−−−−→

         Туннельный режим

Нов.IP заголов.

Загол.ESP

Исх.IP заголов.

ТСР заголовок и Данные

Хв.

Аут

                                               ←−−−−−−−−−−−−−−−−−−−−−Шифрование−−−−−−−−−−→

                          ←−−−−−−−−−−−−−−−−−−−−−−−−−−Идентификация −−−−−−−−−−−−→

Загол(овок) ESP содержит 2 32-битных слова - индекс параметра безопасности (Security parameters index) и последовательный номер (Sequence number) (см. заголовок АН).

Хв(ост) ESP состоит из заполнителя (Padding), дополняющего блок шифруемых данных до требуемого размера и скрывающего истинный размер этих данных; 8-битового поля длины заполнителя (Pad length) и 8-битового поля следующего заголовка (Next header).

Иден(тификационные) данные (Authentication data) представляют собой «цифровую подпись» содержимого пакета.

Для защиты как IP заголовков, так и содержимого пакета следует использовать оба механизма.

 IPSec – мощный метод защиты в TCP/IP сетях, однако его широкому распространению мешает сложность и, следовательно, стоимость реализации. Так, при использовании обычных сетевых адаптеров, вычислительные процедуры настолько загружают процессор, что скорость обмена данными может уменьшиться вдвое. Специальные сетевые адаптеры, берущие на себя основные вычислительные операции, имеют примерно на порядок большую стоимость.


LAN

1

SG1

SG2

IP сеть

Транспортный режим IPSec

Internet

Туннельный режим IPSec

LAN

2

LAN

1


 

А также другие работы, которые могут Вас заинтересовать

45083. Память,мнестическая деятельность, сила памяти 49.5 KB
  Сила памяти зависит от: степени концентрации внимания на поступающую информацию эмоционального отношения к ней заинтересованности а также от: общего состояния человека степени тренированности характера психических процессов. расстройства памяти 2 Два вида фиксации информации: кратковременная память следы внешних раздражений удерживаются в памяти до тех пор пока существует источник сигналов а затем угасают долговременная информация сохраняется в памяти долгие годы. расстройства памяти...
45084. Классификация эмоций 46.5 KB
  Нарушения эмоциональной сферы 2 Классификация эмоций Настроение Нарушения эмоционального статуса высшие социальные Э проявляются в патриотизме товариществе дружбе в трудовой доблести в чувстве долга перед родиной обществом. Нарушения: депрессия эйфория дисфория слабодушие эмоциональная тупость. нарушения эмоциональной сферы 3 Депрессия выражается стойким угнетением настроения унынием тоской. нарушения эмоциональной сферы 4 Эйфория выражается благодушным блаженным...
45087. Расстройства интеллекта 36 KB
  Расстройства интеллекта 2 Нарушение интеллекта у больных длительно страдающих шизофренией наблюдается дефект интеллекта в первую очередь изменение качественной стороны психических процессов. расстройства интеллекта 3 Нарушение интеллекта при апато-абулическом синдроме Апатоабулический синдром характерно снижение интеллектуальной деятельности: больные для решения задач применяют лишь знания полученные до болезни на легкие вопросы отвечают правильно а со сложными не справляются не могут...
45088. Нарушения сознания 27 KB
  Самосознание в онтогенезе претерпевает сложные изменения: от осознания своего телесного соматического я до осознания своих сложных психических процессов в результате которых появляется способность решать задачи стоящие перед человеком в обществе. нарушения сознания 2 Симптомы расстроенного сознания К. Ясперс Часто у больных с тяжелыми соматическими нарушениями наблюдаются расстройства сознания.
45089. Синдромы и симптомы в психиатрии 184.5 KB
  Синдромы и симптомы в психиатрии 2 Малые и большие синдромы Синдромы могут быть малыми и большими. синдромы и симптомы в психиатрии 3 Клиническая картина синдромов Клиническая картина синдромов складывается из: позитивных расстройств галлюцинаторно-бредовые кататонические аффективные и ряд других и негативных расстройств эмоционально-волевое оскудение психопатизация личности слабоумие. Позитивные и негативные синдромы обычно проявляются в тесной взаимосвязи. синдромы и симптомы в психиатрии...
45090. Органическое расстройство личности (F07.0) 28.5 KB
  Этиология Причиной являются эпилепсия тяжелые и повторные черепно-мозговые травмы энцефалиты детские церебральные параличи к которым присоединяются соматические расстройства. Распространенность Считается что органические расстройства личности развиваются у 5 10 больных эпилепсией с продолжительностью заболевания более 10 лет. Хотя на первых этапах расстройства памяти не характерны они могут прогрессировать и в этом случае следует говорить о деменции. Наиболее точно органические расстройства личности дифференцируются от деменций на...