Вопрос 4. Заголовок аутентификации (ан).

Обеспечивает поддержку целостности данных и аутентификации пакетов IP. Это позволяет конечной системе идентифицировать пользователя, с которым она взаимодействует, отфильтровывать трафик и защититься от атак с подменой IP адресов (IP Spoofing).

Формат заголовка

Следующий заголовок – идентифицирует тип заголовка, следующего за данным заголовком.

Длина ПГ – длина АН в 32-битных словах, уменьшенных на два.

Резерв – зарезервировано 16 бит для дальнейшего использования.

Индекс параметров защиты – идентифицирует защищенную связь.

Порядковый номер пакета – для защиты от атак на воспроизведение, нумерация начинается с 0 и заканчивается 2³²-1.

Данные аутентификации – переменной длины содержат значения кода МАС (Message Autentification Code или код ICV – код контроля целостности).

АН в транспортном или туннельном режимах

Аутентифицируются все поля за исключением изменяемых

Новый IP добавляет маршрутизатор.

Вопрос 5. Защищенный полезный груз (esp). Комбинации защищенных связей.

Протокол ESP

Заголовок – тип данных, содержащихся в ПГ.

Индекс параметров защиты – идентифицирует защищенную связь.

Порядковый номер пакета – для защиты от атак на воспроизведение.

Данные ПГ– сегмент транспортного уровня в транспортном режиме или весь пакет IP в туннельном режиме.

Заполнитель – от 0 до 255 байт. Используется:

• для приведения длины ПГ к длине, равной длине блочного шифра;

• заголовок ESP требует, чтобы зашифрованный текст был равен 32 битам;

• частичная конфиденциальность транспортного потока путем маскирования истинной длины ПГ.

Данные аутентификации – необязательное поле, использующее такие же алгоритмы, что и АН.

Для шифрования используется DES, 3DES, RC5.

Комбинации защищенной связи

Отдельная защищенная связь может использовать протокол АН, либо протокол ESP, то никак оба протокола одновременно. Однако, одному потоку данных может потребоваться отдельный сервис ESP для связи между узлами сети (чаще АН) и отдельный сервис для связи маршрутизаторов этих сетей.

Следовательно, для одного потока данных может быть применен набор защищенных связей (пучок). Причем пучки (bundle) могут объединяться следующим образом – повторное туннелирование – использование нескольких уровней протоколов защиты с помощью создания туннелей, число которых неограниченно.

Вопрос 6. Способы защиты потока данных в глобальной сети. Стек протоколов ssl.

Данный протокол был разработан в середине 90-ъ фирмой Net Scape, которая встраивала его в браузер собственной разработки.

SSL – слой защищенных октетов.

После выхода второй версии SSL включили в состав всех браузеров. После версии 3.0 появился стандарт SSL v.3, являющийся общей разработкой. SSL v.1, SSL v.2, SSL v.3, SSL v.3.1=TLS v.1.

Протокол SSL представляет собой базовый набор СЗ, обеспечивающий конфиденциальность данных пользователя перед отправкой их в транспортный канал.

Представляет собой 2-х уровневый СТЭК протоколов, который располагается между транспортным и прикладным уровнями модели ТСР/IP.

ПИ – протокол извещения

ПК – протокол квитирования

ПИПШ – протокол изменения параметров шифрования

Работа протокола SSL характеризуется двумя параметрами:

1) Сеанс – это связь между К и С, которая создается протоколом квитирования и которая определяет набор параметров криптозащиты;

2) В рамках сеанса может быть организовано несколько соединений.

Соединение – это транспорт, обеспечивающий некоторый сервис защиты.