Лучшие тарифы

выгодный
3.5 руб/мин
безлимит
160 рублей
Безлимит на свои операторы
120 руб
Безлимит
299 руб
Замечательный тариф
99 руб

Реклама

В режиме аутентификации+++

В режиме аутентификации+++

ЭНЦИКЛОПЕДИЯ WiMAX ПУТЬ К 4G - В. Портной

В режиме аутентификации к стандартной дейтаграмме IP добавляется спе­циальный заголовок аутентификации АН (рис. 5.52) [40]. Поле «следующий заго­ловок» определяет тип данных поело НА. Параметр безопасности SCI определяет тип профиля безопасности для данного пакета. Порядковый номер пакета слу­жит для предотвращения атак повторением. В поле данных аутентификации содержится информация в соответствии С выбранной схемой обеспечения бе­зопасности. Для проверки аутентичности вычисляется свертка в соответствии С механизмом НМАС (с- MD5 или SHA-1).

Режим инкапсуляции зашифрованных данных ESP [41] намного сложнее ре­жима НА. Этот механизм обеспечивает не только аутентификацию, но и це­лостность и конфиденциальность передаваемых пакетов. Помимо собственно шифрования данных, к исходной дейтаграмме добавляются поля «Заголовок ESP» и «Трейлер ESP» (рис. 5.53).

 

Обычная дейтаграмма IP

 

Заголовок IP Заголовок TCP Поле данных

Дейтаграмма с заголовком аутентификации НА

Заголовок Заголовок Заголовок IP аутентификации TCP

 

Оба режима — АН и ESP — полагаются на механизм согласования сторонами параметров безопасного соединения (профиля безопасности — security associa­tion, SA) по алгоритму IKE. В SA хранятся параметры, о которых договорились оба участника обмена по сети VPN. К ним относятся криптографические ключи и время их жизни, используемые криптографические алгоритмы и режим рабо­ты IPSec.

 

Обычная дейтаграмма IP Заголовок IP Заголовок TCP" Поле данных

Данные для аутентификации

ESP-дейтаграмма

Индекс параметра безопасности SPI

Рис. 5.53. Формат пакета г инкапсулированными шифрованными данными ESP, прото­кол IPSec