Безопасное сетевое взаимодействие


Security Association – SA


Download 136.25 Kb.
bet10/15
Sana02.12.2023
Hajmi136.25 Kb.
#1780284
TuriПротокол
1   ...   7   8   9   10   11   12   13   14   15
Bog'liq
035-20 Дурсоатов Ж

Security Association – SA

  • B туннелирующем режиме SA существует "внешний" IP заголовок, который определяет пункт назначения IPsec, и "внутренний" IP заголовок, который определяет конечный пункт назначения для пакета.
  • Заголовок протокола безопасности расположен после внешнего IP заголовка и перед внутренним IP заголовком.
  • Если AH используется в туннелирующем режиме, части внешнего IP заголовка являются защищенными, как и весь туннелируемый IP пакет, т.е. все внутренние заголовки защищены, как и все протоколы более высокого уровня.
  • Если применяется ESP, защита обеспечивается только для туннелируемого пакета, а не для внешнего IP-заголовка.

Security Association – SA

  • Набор реализуемых SA сервисов безопасности зависит от выбранного протокола безопасности, режима SA, конечных точек SA и выбора дополнительных сервисов в протоколе.
  • Например, AH обеспечивает аутентификацию исходных данных и целостность соединения для Ipдатаграмм.
  • "Точность" сервиса аутентификации является функцией от степени детализованности SA, для которой используется AH.

Authentication Header ( AH )

  • AH также предоставляет анти-replay сервис (целостность отдельной последовательности) для получателя, помогая предотвратить атаки отказа в сервисе. 
  • AH применяется, когда не требуется конфиденциальность. AH также обеспечивает аутентификацию отдельных частей IP заголовка, за исключением изменяющихся частей IP заголовка.

Encapsulating Security Payload ( ESP ).

  • SP обеспечивает конфиденциальность трафика.
  • Сила сервиса конфиденциальности зависит от используемого алгоритма шифрования. 
  • ESP также может дополнительно обеспечивать аутентификацию. Область аутентификации, обеспечиваемая ESP, является более узкой по сравнению с AH, т.е. IP-заголовок (заголовки), "внешние" по отношению к ESP заголовку, не защищены.
  • Если аутентификация нужна только протоколам более высокого уровня, то аутентификация ESP является подходящей альтернативой, причем более эффективной, чем использование AH, инкапсулирующего ESP.
  • Если для ESP SA используется аутентификация, получатель также может выбрать усиление использованием анти-replay сервиса с теми же самыми возможностями, что и AH анти-replay сервис.
  • Хотя и конфиденциальность, и аутентификация являются необязательными, оба сервиса не могут быть опущены. По крайней мере, один из них должен присутствовать.

Download 136.25 Kb.

Do'stlaringiz bilan baham:
1   ...   7   8   9   10   11   12   13   14   15




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling