Authentication Header
AH
Autentifikacijos preambulė
Apibrėžimas
AH (angl. Authentication Header) - tai IPSec protokolų rinkiniui priklausantis protokolas užtikrinantis paketų autentiškumą, prisegdamas užkoduota paketo kontrolinę suma (angl. checksum).
Paaiškinimai
Jeigu gaunamas AH paketas ir kontrolinės sumos apskaičiavimo operacija buvo sėkminga, tuomet galima tvirtinti, jog abi bendraujančios šalys naudoja slaptą raktą ir tas raktas žinomoms tik toms dviem bendraujančioms šalims. Tai užtikrina, jog paketas buvo išsiųstas būtent iš to siuntėjo, iš kurio turėjo būti atsiųstas bei kad paketas nebuvo kaip nors pakeistas siuntimo metu. AH kontrolinė suma apima ne kurią nors paketo dalį (atskirą protokolą), o visą IP paketą nuo jo antraštės iki pabaigos.
Kaip minėta AH protokolui reikalingas saugus seanso raktas, kurį žino tik dvi bendraujančios šalys. Butent IKE (angl.Internet Key Exchange) rūpinasi šių raktų generavimo ir saugaus apsikeitimo mechanizmais. Šis protokolas nėra gyvybiškai svarbus Internet Protocol Security funkcionavimui, kadangi įmanoma naudoti iš anksto apsibrėžtą vieną ir tą patį raktą, tačiau paprastai raktų apsikeitimu IKE protokolu rūpinasi tam skirti programų rinkiniai, kurie procesą pilnai automatizuoja.
Žemiau pateikiama autentifikacijos preambulės paketo diagrama.
0-7 bitai |
8-15 bitai |
16-23 bitai |
24-31 bitai |
Sekanti antraštė |
Duomenų ilgis |
Rezervuota |
|
Saugumo parametrų indeksas |
|||
Eilės numeris |
|||
Autentifikacijos duomenys (kintamasis) |
|||
Laukų paaiškinimai:
Sekanti antraštė - 8 bitų laukas, kuris identifikuoja tipą kitų duomenų po autentiškumo antraštės. Šio lauko vertė yra parenkama iš IP Internet Protocol Protokolo komplekto skaičių, apibrėžtų naujausiais "Paskirtais Skaičiais" RFC iš Internet Assigned Numbers Authority.
Duomenų ilgis - Tai AH paketo dydis.
Rezervuota - Erdvė rezervuota ateičiai (visos reikšmės paliktos nulio būklėje).
Saugumo parametrų indeksas (SPI) - Identifikuoja saugumo parametrus, kurie kombinuojami su IP adresu, tada identifikuojamas saugumo režimas idiegtas paketo viduje.
Eilės numeris - Monotoniškai didėjantis paketo eilės numeris skirtas apsaugoti nuo "atsako" (angl. Replay) atakų.
Autentifikacijos duomenys - Turi savyje vientisumo tikrinimo vertę ICV (Integrity Check Value), būtini norint nustatyti autentiškumą paketui.
Autentifikacijos antraštė gali būti naudojama IPv4 ir IPv6 protokoluose. Nors pradžioje buvo kuriama tik IPv6 palaikymui, tačiau antraščių struktūra leidžia naudoti abiejuose. IPv4 pakete yra apribojimų, kurie sumažina autentifikacijos antraštės naudojimo galimybes ir lankstumą.IPv6 pakete antraštė turi mažiau apribojimų ir jos naudojimas yra palaikomas kaip dalis IPv6 paketo.
IPv4 datagramoje (originali - 1 pav. a)) parodyta pagrindinė struktūra. b) transportavimo ir c) tunelio režimuose parodoma, kaip datagramoje yra implementuojama autentifikacijos antraštė. Apribijomas IPv4 pasireiškia tuo, jog ji turi būti prieš TCP antraštę. Tarp IPv4 antraštės ir autentifikacijos antraštės gali būti kitos antraštės, tačiau prieš TCP antraštę visuomet turi būti autentifikacijos antraštė. Ši taisyklė galioja abiem režimams, tačiau transporto režime autentifikacijos antraštė turi nuorodą į TCP protokolą, o tunelio režime - nuorodą į IPv4 protokolą.
IPv6 protokolas turi natyvinį autentifikacijos antraštės palaikymą, todėl nėra apribojimų kaip IPv4 protokole. Autentifikacijos antraštė gali būti bet kur tarp IPv6 antaštės ir IPv6 duomenų. Vienintelis reikalavimas (taikomas ir IPv4) yra turėti sekančios antraštės kodą. IPv4 šis kodas nurodo į TCP arba inkapsuliuotą IPv4 datagramą, kai IPv6 gali nurodyti į bet kokią kitą einančią antraštę (nurodyta RFC2460) 2 pav. pavaizduota, kaip antraštė yra įterpiama IPv6 protokoluose.
Naudota literatūra