Справочник по сетевым протоколам


Формат заголовка пакета IPv6 - часть 11


Значения полей и опций дейтаграммы, изменяющиеся в процессе передачи, при вычислении информации аутентификации полагаются равными 0.

Информация аутентификации определяется отправителем дейтаграммы и проверяется только получателем данного пакета. Поскольку промежуточные хосты (или шлюзы) никак не контролируют безопасность передачи, наличие АН не сказывается на скорости обработки пакета. Кроме того, наличие АН ни к чему не обязывает уже сложившуюся инфраструктуру Internet. Данные АН расположены в отдельном заголовке (в случае IPv6 АН располагается после заголовка фрагментации, в случае IPv4 — сразу после основного заголовка IPv4) и, если система не работает с пакетами с АН, она их попросту может игнорировать.

Данные пакета шифруются криптостойким алгоритмом с использованием несимметричного секретного ключа. Структура пакета построена таким образом, что алгоритм работы с секретным ключом не интегрирован в механизм аутентификации IP.

Такое разделение позволяет использовать разные механизмы генерации ключа без изменений основных принципов IP-безопасности. Для того чтобы не передавать ключи и множество параметров алгоритма шифрования для каждого шифруемого пакета, механизм генерации ключа строит логическую таблицу соответствий SA (Security Association), хранящую параметры для каждой шифруемой пары (ключ-алгоритм). Механизм IP АН должен прочитать запись этой таблицы, чтобы определить алгоритм и ключ, используемый при аутентификации каждой дейтаграммы.

При формировании отправляемого IP АН-пакета, первым шагом является построение ассоциации в таблице SA для данной дейтаграммы. Выбор ассоциации в SA осуществляется на основе идентификатора отправителя и адреса получателя пакета. Выбранная SA ассоциация определяет алгоритм, тип алгоритма, ключ и другие параметры шифрования.

Своеобразным связующим звеном между механизмом построения ключа и выбором алгоритма является индекс соответствия параметров шифрования SPI (Security Parameters Index). Это своеобразный код таблицы ассоциаций SA (Security Association), передаваемый в IP АН, по которому (в совокупности с адресом получателя) и происходит поиск соответствия в таблице SA получателя, т.




- Начало -  - Назад -  - Вперед -



Книжный магазин