„Проектиране на корпоративна vpn мрежа
Протокол Authentication Header (AH)
Изтегляне 2.17 Mb.
|
| 2.2 Протокол Authentication Header (AH)
Протоколът, който добавя удостоверително заглавие (хедър) – Authentication Header (AH), е описан в RFC 4302. АН осигурява интегритет на данните, удостоверяване на източника и възможност за използване на защита срещу повторни атаки. АН обаче не предоставя поверителност. Неговата основна функция е да осигури удостоверителни услуги при комуникацията. Тъй като при АН липсва поверителност, не е необходимо да се дефинира криптиращ алгоритъм. Както при ESP, положението на АН хедъра зависи от режима на комуникация. В транспортен режим хедърът е вмъкнат след IP хедъра и опциите и преди който и да е протокол от горния слой, включително други IPSec хедъри. В тунелен режим оригиналният пакет е разположен зад хедъра, като новият IP хедър и опции предхождат АН хедъра. От гледна точка на външния IP хедър положението на АН е същото, както в транспортния режим. На схемата. е показана структурата на АН хедъра, който съдържа следните полета: AH Header В IP хедъра 8-битовото поле на протокола е с номер 51, тъй като АН е дефиниран като протокол 51 от IANA. За разлика от ESP полето Next Header дефинира следващия хедър в пакета, който следва непосредствено удостоверяващите данни. То е 8-битово поле, което определя типа на данни след полето Authentification Header. Payload Length представлява 8-битово поле, което определя дължината на АН в 32-битови думи минус “2”. Reserved представлява 16-битово поле, което е запазено за бъдещо използване. Стойността му трябва да бъде “нула”. Следващото поле SPI е 32-битово число и има същите характеристики, както в протокола ESP. Полето Authentication Data представлява удостоверяване, използвано за проверка на целия пакет. Размерът се контролира частично от избраната функция за удостоверяване на съобщението. Тъй като стойността обаче може да е по-голяма от 32 бита, е възможно да се изисква прилагане на padding. Съществуват няколко стъпки, необходими за правилното прилагане на АН. По подобие на ESP процедурите са свързани пряко с посоката на данните: предаване или приемане. Процесът на предаване включва четири основни стъпки: 1. Определяне на съответната SA чрез наличната в оригиналния пакет информация. 2. След като комуникацията за прилагане на АН е определена, се вмъква АН хедър след IP хедъра и се имплементира SPI. 3. Генериране на пореден номер и въвеждането му в хедъра. 4. Изчисляване и прилагане на интегритет на съобщението, попълване на получения резултат и добавянето му в края на АН и преди протоколите от горния слой. Тъй като основната цел на АН е да осъществява удостоверяване, създаването на удостоверителни данни, което обхваща целия пакет, изисква използването на по-точни техники в сравнение с ESP. По време на удостоверителния процес трябва да бъдат отчетени няколко аспекта: Определяне на полетата на IP хедъра, които са постоянни и променливи. Задаване на стойност “нула” на променливите полета. Събиране на информацията за АН хедъра; на удостоверяващите данни се задава стойност нула. Събиране на информацията за протокола от горния слой, за която се предполага, че е постоянна. Постоянно поле означава поле, което няма да се променя при преноса. Променливо поле представлява стойност, която може да бъде променяна при преноса и поради тази причина не се отчита от получателя. Променливите полета не участват в удостоверителния процес. Ето защо след определянето им те се нулират преди извършване на удостоверителния процес. Постоянните полета в IP хедъра са следните: - version - IP header length - total length - identification - protocol (51 за АН) - source address - destination address. Променливите полета са: - type of service - all flags - fragment offset - time to live (TTL) - header checksum. Процес на приемане Както при ESP, ако по време на пренасянето възникне фрагментация, преди обработването на АН от IPSec се осъществява дефрагментация. След нейното приключване са необходими няколко стъпки, които трябва да бъдат извършени: 1. Използване на полето SPI в АН хедъра и IP адреса на получателя с цел намиране на SA в базата данни SA. Ако този процес се окаже неуспешен, пакетът се отхвърля. 2. Проверка на поредния номер, в случай че е активирана защита срещу повторни атаки. 3. Използване на SA, установена в предходния етап, за удостоверяване на пакета. 4. Препращане на данните към крайната точка въз основа на информация от IP хедъра. Изтегляне 2.17 Mb. Сподели с приятели:
|