Versija 5 nuo 2009-02-18 16:13:01

Išvalyti žinutę

Locked History Actions

Encapsulated Security Payload

Encapsulated Security Payload

ESP

Inkapsuliuotas saugumo turinys

Apibrėžimas

ESP (angl. Encapsulating Security Payload) suteikia paketams konfidencialumo garantiją, juos užkoduojant pasirinktais kodavimo algoritmais.

Paaiškinimai

Jeigu gaunamas ESP paketas ir jį pavyko sėkmingai atkoduoti, tuomet galima tvirtinti, jog paketo jokia trečioji šalis siuntimo metu negalėjo atkoduoti su sąlyga, jog abi bendraujančios šalys dalinasi slaptuoju seanso raktu ir tik jos žino tą raktą. ESP protokolas- tai saugaus turinio uždarymo protokolas. Jis užtikrina autentifikavimą, datagramos vientisumą, vykdo datagramos duomenų šifravimą.

Protokolas dirba dviejuose režimuose: transportiniame bei tuneliavimo.

Transportinio režimo atveju šis protokolas apsaugo duomenis ir aukštesnio lygio protokolų (tokių kaip TCP) antraštes. Nerealizuojama IP antaštės apsauga.

Tunelinis darbo režimas tarnauja ryšiui tarp dviejų vartų, kai tuo tarpu transporto režimas naudojamas ryšiui hostas-hostas arba hostas-vartai. Šio režimo atveju visa IP datagrama talpinama į vidų ESP paketo, o jo antraštėje rašomi tik vartų adresai. Tikrieji galutinių taškų adresai yra užšifruoti. Užtikrinant didesnę kanalo saugą, abu protokolai taikomi kartu – tai garantuoja tiek autentifikaciją, tiek konfidencialumą, tiek perdavimų vientisumą.

Žemiau pateikta IP protokolo datagrama su šifruota ESP dalimi:

  • attachment:ipdatagrama.jpg

  • Žemiau pateikta ESP paketo sudėtis ir veikimas:

0-7 bitai

8-15 bitai

16-23 bitai

24-31 bitai

Saugumo parametrų indeksas (SPI)

Eilės numeris

Informacija apie duomenis

Padding

Pad ilgis

Kita antraštė

Autentifikacijos duomenys (kintamasis)

Saugumo parametrų indeksas (SPI) - Identifikuoja saugumo parametrus, kurie kombinuojami su IP adresu, tada identifikuojamas saugumo režimas idiegtas paketo viduje.

Eilės numeris - Monotoniškai didėjantis paketo eilės numeris skirtas apsaugoti nuo "atsako" (angl. Replay) atakų.

Informacija apie duomenis - Duomenys perdavimui.

Padding - Naudojama papildyti duomenims, kad užpildyti visa bloką.

Pad ilgis - Užpildo dydis baitais.

Sekanti antraštė - 8 bitų laukas, kuris identifikuoja tipą kitų duomenų po autentiškumo antraštės. Šio lauko vertė yra parenkama iš IP Internet Protocol Protokolo komplekto skaičių, apibrėžtų naujausiais "Paskirtais Skaičiais" RFC iš Internet Assigned Numbers Authority.

Autentifikacijos duomenys - Turi savyje vientisumo tikrinimo vertę ICV (Integrity Check Value), būtini norint nustatyti autentiškumą paketui.

Naudota literatūra

  1. http://en.wikipedia.org/wiki/IPsec

  2. http://www.protocolbase.net/protocols/protocol_ESP.php

  3. http://www.ietf.org/rfc/rfc1827.txt