Locked History Actions

Encapsulated Security Payload

Encapsulated Security Payload

ESP

Inkapsuliuotas saugumo turinys

Apibrėžimas

ESP (angl. Encapsulating Security Payload) suteikia paketams konfidencialumo garantiją, juos užkoduojant pasirinktais kodavimo algoritmais.

Paaiškinimai

Jeigu gaunamas ESP paketas ir jį pavyko sėkmingai atkoduoti, tuomet galima tvirtinti, jog paketo jokia trečioji šalis siuntimo metu negalėjo atkoduoti su sąlyga, jog abi bendraujančios šalys dalinasi slaptuoju seanso raktu ir tik jos žino tą raktą. ESP protokolas- tai saugaus turinio uždarymo protokolas. Jis užtikrina autentifikavimą, datagramos vientisumą, vykdo datagramos duomenų šifravimą.

Protokolas dirba dviejuose režimuose: transportiniame bei tuneliavimo.

Transportinio režimo atveju šis protokolas apsaugo duomenis ir aukštesnio lygio protokolų (tokių kaip TCP) antraštes. Nerealizuojama IP antaštės apsauga.

Tunelinis darbo režimas tarnauja ryšiui tarp dviejų vartų, kai tuo tarpu transporto režimas naudojamas ryšiui hostas-hostas arba hostas-vartai. Šio režimo atveju visa IP datagrama talpinama į vidų ESP paketo, o jo antraštėje rašomi tik vartų adresai. Tikrieji galutinių taškų adresai yra užšifruoti. Užtikrinant didesnę kanalo saugą, abu protokolai taikomi kartu – tai garantuoja tiek autentifikaciją, tiek konfidencialumą, tiek perdavimų vientisumą.

Žemiau pateikta IP protokolo datagrama su šifruota ESP dalimi:

  • attachment:ipdatagrama.jpg

  • Žemiau pateikta ESP paketo sudėtis ir veikimas:

0-7 bitai

8-15 bitai

16-23 bitai

24-31 bitai

Saugumo parametrų indeksas (SPI)

Eilės numeris

Informacija apie duomenis

Padding

Pad ilgis

Kita antraštė

Autentifikacijos duomenys (kintamasis)

Saugumo parametrų indeksas (SPI) - Identifikuoja saugumo parametrus, kurie kombinuojami su IP adresu, tada identifikuojamas saugumo režimas idiegtas paketo viduje.

Eilės numeris - Monotoniškai didėjantis paketo eilės numeris skirtas apsaugoti nuo "atsako" (angl. Replay) atakų.

Informacija apie duomenis - Duomenys perdavimui.

Padding - Naudojama papildyti duomenims, kad užpildyti visa bloką.

Pad ilgis - Užpildo dydis baitais.

Sekanti antraštė - 8 bitų laukas, kuris identifikuoja tipą kitų duomenų po autentiškumo antraštės. Šio lauko vertė yra parenkama iš IP Internet Protocol Protokolo komplekto skaičių, apibrėžtų naujausiais "Paskirtais Skaičiais" RFC iš Internet Assigned Numbers Authority.

Autentifikacijos duomenys - Turi savyje vientisumo tikrinimo vertę ICV (Integrity Check Value), būtini norint nustatyti autentiškumą paketui.

Detalesnis ESP pritaikymas IPv4 ir IPv6 protokoluose pateikiamas 1-ame ir 2-ame pav. IPv4 protokole ESP naudojimas yra apribotas dėl suderinamumo. 1 pav. pavaizduoti trys pavyzdžiai: a - originali IPv4 datagrama, b - transporto režimo datagrama, c - tunelio režimo datagrama. Transporto režime ESP antraštė yra prieš IPv4 duomenis, o tarp IPv4 antraštės ir ESP antraštės gali būti bet kokios kitos antraštės. Tunelio režime taikomas analogiškas apribojimas - tarp naujos IPv4 antraštės ir ESP antraštės gali būti bet kokios antraštės. Originalioje IPv4 datagramoje esančios antraštės neturi įtakos, kadangi visa originali datagrama yra inkapsuliuojama, nepriklausomai nuo jos turinio.

IPv4 datagrama IPv4 datagrama transportavimo režime IPv4 datagrama tunelio režime

IPv6 datagramoje antraščių išdėstymas yra panašus. Nors ESP antraštė gali būti bet kur tarp IPv6 antraštės ir duomenų, pagal IPv6 datagramos antraščių išdėstymą, ESP antraštė turėtų būti patalpinta prieš galutinio taško nustatymų galinėje mašinoje (Destination Options). Šios taisyklės galioja tiek tranportavimo, tiek tunelio režimuose.

IPv6 datagrama IPv6 datagrama transportavimo režime IPv6 datagrama tunelio režime

IPv4 ir IPv6 esminiai ESP antraščių skirtumai yra sekančių antračių nuorodos. IPv4 protokole ESP gali nurodyti tik į TCP arba IPv4 protokolus, o IPv6 protokole gali nurodyti ir į kitas antraštes. 2 pav. b pavaizduotas ESP antraštės nuoroda į galutinio taško nustatymų antraštę.

ESP antraštės skirtumas nuo kitų antraščių yra jos struktūra. ESP antraštė sudaryta iš dviejų dalių - pradžios (header) ir pabaigos (trailer). Tarp šių dviejų dalių yra inkapsuliuojamas IP turinys. ESP antraštės pabaiga turi Padding, Pad length ir kitos antraštės nuorodą. Duomenų autentifikavimui gali būti naudojama ICV IP paketo pabaigoje, naudojant ESP Autentifikacijos antraštę, tačiau ji nėra būtina.

Naudota literatūra

  1. http://en.wikipedia.org/wiki/IPsec

  2. http://www.protocolbase.net/protocols/protocol_ESP.php

  3. http://www.ietf.org/rfc/rfc1827.txt

  4. http://www.ietf.org/rfc/rfc2406.txt

paskutinį kartą redaguota 2013-05-05 13:21:34 redaktoriaus DariusPovilauskas2