Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 114

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 108 109 110 111 112 113 < 114 > 115 116 117 118 119 120 .. 181 >> Следующая

• SKIP-пакет включается в новый IP-пакет, другими словами, производится инкапсулирование; при этом заголовок нового IP-пакета может существенно отличаться от заголовка исходного (например, молсет быть изменена адресная часть IP-заголовка). Изменение адресной части позволяет реализовывать дополнительные механизмы защиты информационных ресурсов сети. Например, указывая в адресной части IP-адрес шифрующего ПАК, можно сделать локальную сеть недоступной для обращения к ней из глобальной сети с помощью стандартных средств. Фактически машину с реализованным на ней SKIP-протоколом не будет видно из общей сети, в то время как в рамках защищаемой подсети она будет доступна. На полученный пакет вычисляется контрольная сумма с использованием пакетного ключа, при этом пропускаются только динамически изменяемые поля IP-заголовка.
В результате получается стандартный IP-пакет, который можно обрабатывать и маршрутизировать в ходе его передачи по сети. Очевидным преимуществом программной реализации SKIP-протокола является возможность производить (реализовывать) обработку как зашифрованной информации, так и открытой информации.
Существует три варианта применения SKIP-протокола:
• использование SKIP для аутентификации передаваемых IP-пакетов (АН);
• использование SKIP для шифрования передаваемых IP-пакетов (ESP);
278 Компьютерная безопасность и практическое применение криптографии
• использование SKIP для аутентификации и шифрования передаваемых IP-пакетов (AH/ESP).
Таблица 3.5. Структура SKIP-заголовка
О
О 1
234567012345670123456701 234567
Ver
Rsvd
Source NSID
Dest NSID
NEXT HEADER
Counter n
KlI AIg
Crypt AIg
MACAIg
Comp AIg
Kp, зашифрованное на К ...
(8-16 байт)
Source Master Key-ID (если значение поля Source NSID ненулевое)
Destination Master Key-ID (если значение поля Dest NSID ненулевое)
Ver - номер версии (текущая версия имеет номер 1); Rsvd - зарезервированное поле для будущих версий протокола; Source NSID - указывается пространство имен для мастер-ключа источника; Dest NSID - указывается пространство имен для мастер-ключа адресата; Next Header - идентифицирует тип заголовка, следующего за данным; Counter п - данное поле содержит локальное время источника, системное время на приемной стороне должно быть синхронизировано с точностью не меньше одного часа (значения данного паля используются для исключения проведения атак типа «повторная передача»); Ki| AIg - идентифицирует алгоритм, использующийся для шифрования пакетных ключей; Crypt Atg - идентификатор алгоритма, использующегося для шифрования; Mac AIg - идентификатор алгоритма, использующегося для аутентификации; Comp AIg - идентификатор алгоритма, использующегося для сжатия данных перед зашифрованием; Kp - содержит зашифрованное значение пакетного ключа (Kp); Source Master Key-ID - идентификатор мастер-ключа источника; Destination Master Key-ID - идентификатор мастер-ключа адресата.
Использование протокола SKIP для аутентификации IP-пакетов обеспечивает достоверную их доставку за счет вычисления MAC на инкапсулированный IP-пакет. Целостность в этом случае обеспечивается за счет контрольных сумм или имитовставок, которые вместе с дополнительными параметрами находятся в АН-заголовках, содержащихся в пакете в случае использования аутентификации (табл. 3.6).
Таблица 3.6. Структура IP-пакета при использовании аутентификации
Заголовки Содержимое пакета
IPv4 Hdr SKIP Hdr АН Hdr Инкапсулированный протокол (например, IP, TCP, UDP)
Использование этого протокола в режиме ESP предполагает шифрование инкапсулируемого IP-пакета с одновременным обеспечением защиты от навязывания повторных сообщений (табл. 3.7).
Таблица 3.7. Структура IP-пакета при использовании шифрования
Заголовки
Содержимое пакета
IPv4 Hdr
SKIP Hdr
ESP Hdr
Инкапсулированный протокол (например, IP, TCP, UDP)
Защита информации при межсетевом взаимодействии
279
Применение совместного режима обеспечивает не только шифрование, но и аутентификацию передаваемого IP-пакета, при этом после SKIP-заголовка будет следовать АН-заголовок, а за ним - ESP-заголо-вок. Но в данном случае по соображениям безопасности пакетный ключ Kp не может использоваться одновременно для шифрования и выработки MAC, поэтому на основе исходного Kp вычисляются пакетный ключ для аутентификации А_кр и пакетный ключ для шифрования Е_кр.
EJkp = h(Kp I Olh) I h(Kp I 00h), где h - хэш-функция A_kp = h(Kp I 03h) I h(Kp | 02h)
Использование SKIP-протокола для защиты многоадресной доставки (multicast IP)
Эта операция может быть рассмотрена в двух контекстах:
• многоадресная доставка для динамически меняющихся групп (имеются в виду группы, в которых пользователи меняют свои адреса со временем, например видеоконференции);
• многоадресная доставка для постоянных групп, пользователи в которых имеют фиксированные адреса.
Чтобы реализовать SKIP для первого контекста, применяется следующий подход: для динамической группы выделяется общий для всех участников IP-адрес, создается групповой ключ Kg, который имеет то же значение, что и мастер-ключ в случае применения SKIP для одиночной доставки. Но теперь, поскольку группы могут динамически создаваться и удаляться, существуют эффективные механизмы выработки и обновления общего для группы ключа Kg.
Предыдущая << 1 .. 108 109 110 111 112 113 < 114 > 115 116 117 118 119 120 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed