| Зашифрованная часть IP-пакета |
|---|
| <---► |
| ЗаголовокисходногоIP-пакета | ЗаголовокEPS(SPI, SN) | Пакетпротоколаверхнегоуровня | Концевик EPS |
| Заполнитель, длина заполнителя, след, заголовок | Данныеаутентификации |
| Аутентифицируемая часть IP-пакета |
| Рис. 24.36. Структура IP-пакета, обработанного протоколом ESP в транспортном режиме |
Два поля концевика — следующего заголовка и данных аутентификации — также аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP, касающихся обеспечения целостности. Помимо этих полей концевик содержит два дополнительных поля — заполнителя и длины заполнителя. Заполнитель может понадобиться в трех случаях. Во-первых, для нормальной работы некоторых алгоритмов шифрования необходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера. Во-вторых, формат заголовка ESP требует, чтобы поле данных заканчивалось на границе четырех байтов. И наконец, заполнитель можно использовать, чтобы скрыть действительный размер пакета в целях обеспечения так называемой частичной конфиденциальности трафика. Правда, возможность маскировки ограничивается сравнительно небольшим объемом заполнителя — 255 байт, поскольку большой объем избыточных данных может снизить полезную пропускную способность канала связи.
На рис. 24.36 показано размещение полей заголовка ESP в транспортном режиме. В этом режиме ESP не шифрует заголовок IP-пакета, иначе маршрутизатор не сможет прочитать поля заголовка и корректно осуществить продвижение пакета между сетями. В число шифруемых полей не попадают также поля SPI и SN, которые должны передаваться в открытом виде для того, чтобы прибывший пакет можно было отнести к определенной ассоциации и предотвратить ложное воспроизведение пакета.
| Зашифрованная часть IP-пакета |
|---|
| <- | | | -► |
| ЗаголовоквнешнегоIP-пакета | ЗаголовокEPS(SPI, SN) | ЗаголовокисходногоIP-пакета | Пакет | Концевик EPS >ч |
| протоколаверхнегоуровня | Заполнитель, длина заполнителя, след, заголовок | Данныеаутентификации |
| <- | Аутентифицируемая часть IP-пакета | -► |
| Рис. 24.37. Структура IP-пакета, обработанного протоколом ESP в туннельном режиме |
В туннельном режиме заголовок исходного IP-пакета помещается после заголовка ESP и полностью попадает в число защищаемых полей, а заголовок внешнего IP-пакета протоколом ESP не защищается (рис. 24.37).
Базы данных SAD И SPD
Итак, технология IPSec предлагает различные методы защиты трафика. Каким же образом протокол IPSec, работающий на хосте или шлюзе, определяет способ защиты, который он должен применить к трафику? Решение основано на использовании в каждом узле, поддерживающем IPSec, двух типов баз данных: