2015-05-13
842
Протокол ESP решает две группы задач. К первой относятся задачи, аналогичные задачам протокола АН, — это обеспечение аутентификации и целостности данных на основе дайджеста, а ко второй — защита передаваемых данных путем их шифрования от несанкционированного просмотра.
Как видно на рис. 24.12, заголовок делится на две части, разделяемые полем данных. Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.
| Заголовок исходного IP-пакета | Заголовок ESP (SPI + SN) | Полезные данные (пакет протокола верхнего уровня) | Концевик ESP (заполнитель, длина заполнителя, следующий заголовок) | Данные аутентификации |
| <----------------- | Шифруемая часть пакета | |||
| ^ W Аутентифицируемая информация -------------------------------------- —---------------------------------- ы |
| Рис. 24.12. Структура IP-пакета, обработанного протоколом ESP в транспортном режиме |
Два поля концевика — следующего заголовка и данных аутентификации — также аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля — заполнителя и длины заполнителя. Заполнитель может понадобиться в трех случаях. Во-первых, для нормальной работы некоторых алгоритмов шифрования необходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера. Во-вторых, формат заголовка ESP требует, чтобы поле данных заканчивалось на границе четырех байтов. И наконец, заполнитель можно использовать, чтобы скрыть действительный размер пакета в целях обеспечения так называемой частичной конфиденциальности трафика. Правда, возможность маскировки ограничивается сравнительно небольшим объемом заполнителя — 255 байт, поскольку большой объем избыточных данных может снизить полезную пропускную способность канала связи.
На рис. 24.12 показано размещение полей заголовка ESP в транспортном режиме. В этом режиме ESP не шифрует заголовок IP-пакета, иначе маршрутизатор не сможет прочитать поля заголовка и корректно осуществить продвижение пакета между сетями. В число шифруемых полей не попадают также поля SPI и SN, которые должны передаваться в открытом виде для того, чтобы прибывший пакет можно было отнести к определенной ассоциации и защититься от ложного воспроизведения лакета.
В туннельном режиме заголовок исходного IP-пакета помещается после заголовка ESP и полностью попадает в число защищаемых полей, а заголовок внешнего IP-пакета протоколом ESP не защищается (рис. 24.13).
| Заголовок внешнего IP-пакета | Заголовок ESP (SPI + SN) | Заголовок исходного IP-пакета | Пакет протокола верхнего уровня | Концевик ESP | Данные аутентификации |
| <----------------- | Шифруемая часть пакета | ||||
| ^... —............. ^ Аутентифицируемая информация --------------------------------------- —------------------------------------ |
| Рис. 24.13. Структура IP-пакета, обработанного протоколом ESP в туннельном режиме |
