Статус документа
Это документ содержит проект стандарта протокола Internet для сообщества Internet и служит приглашением к дискуссии в целях развития и совершенствования протокола. Текущее состояние стандартизации и статус протокола можно узнать из текущей версии документа "Internet Official Protocol Standards" (STD 1). Допускается свободное распространение документа.
Тезисы
Этот документ описывает обновленную версию протокола ESP, разработанного для обеспечения различных услуг защиты в среде IPv4 и IPv6. Протокол ESP используется для обеспечения конфиденциальности, идентификации источника данных, контроля целостности без организации специальных соединений, предотвращения повторного использования пакетов (форма контроля порядковых номеров) и ограниченной конфиденциальности потоков трафика. Данный документ отменяет действие RFC 2406 (ноябрь 1998).
Оглавление
- 1. Введение
- 2. Формат пакетов ESP
- 2.1. Security Parameters Index (SPI) — список параметров защиты
- 2.2. Sequence Number — порядковый номер
- 2.2.1. Extended Sequence Number — расширенный порядковый номер (64 бита)
- 2.3. Payload Data — данные
- 2.4. Padding — заполнение (для шифрования)
- 2.5. Pad Length — размер заполнения
- 2.6. Next Header — следующий заголовок
- 2.7. Заполнение TFC
- 2.8. ICV — контроль целостности
- 3. Обработка ESP
- 3.1. Расположение заголовка ESP
- 3.1.1. Транспортный режим
- 3.1.2. Туннельный режим
- 3.2. Алгоритмы
- 3.2.1. Алгоритмы шифрования
- 3.2.2. Алгоритмы контроля целостности
- 3.2.3. Комбинированные алгоритмы
- 3.3. Обработка исходящих пакетов
- 3.3.1. Нахождение SA
- 3.3.2. Шифрование пакетов и расчет ICV
- 3.3.2.1. Раздельные алгоритмы конфиденциальности и целостности
- 3.3.2.2. Комбинированные алгоритмы конфиденциальности и целостности
- 3.3.3. Генерация порядковых номеров
- 3.3.4. Фрагментация
- 3.4. Обработка входящих пакетов
- 3.4.1. Сборка фрагментов
- 3.4.2. Нахождение SA
- 3.4.3. Проверка порядковых номеров
- 3.4.4. Проверка ICV
- 3.4.4.1. Раздельные алгоритмы конфиденциальности и целостности
- 3.4.4.2. Комбинированные алгоритмы конфиденциальности и целостности
- 4. Аудит
- 5. Соответствие требованиям
- 6. Вопросы безопасности
- 7. Отличия от RFC 2406
- 8. Совместимость с ранними версиями
- 9. Благодарности
- 10. Литература
- 10.1. Нормативные документы
- 10.2. Дополнительная литература
- Приложение A: Расширенные порядковые номера (64 бита)
- A1. Обзор
- A2. Окно Anti-Replay
- A2.1. Использование окна Anti-Replay и управление им
- A2.2. Определение старших битов (Seqh) порядкового номера
- A2.3. Пример псевдокода
- A3. Обработка потери синхронизации в результате больших потерь пакетов
- A3.1. Включение ресинхронизации
- A3.2. Процесс ресинхронизации
1. Введение
В документе предполагается, что читатель достаточно знаком с терминами и концепциями, изложенными в документе «Архитектура защиты для протокола IP" [Ken-Arch], далее называемом для карткости описанием архитектуры. В частности, читателю следует понимать определения услуг по защите, обеспечиваемых ESP [Ken-ESP] и AH, концепцию защищенных связей, способы использования ESP вместе с идентификационным заголовком AH, а также различные опции управления ключами, поддерживаемые для ESP и AH.
Ключевые слова необходимо (MUST), недопустимо (MUST NOT), требуется (REQUIRED), нужно (SHALL), не следует (SHALL NOT), следует (SHOULD), не нужно (SHOULD NOT), рекомендуется (RECOMMENDED), возможно (MAY), необязательно (OPTIONAL) в данном документе интерпретируются в соответствии с RFC 2119 [Bra97].
Заголовок ESP разработан для обеспечения смешанных услуг по защите информации в среде IPv4 и IPv6 [DH98]. ESP может использоваться автономно, в комбинации с AH [Ken-AH] или в режиме вложенности (см. документ по архитектуре защиты [Ken-Arch]). Услуги по защите могут обеспечиваться между парой взаимодействующих хостов, парой защитных шлюзов, а также между защитным шлюзом и хостом. Более детальная информация об использовании ESP и AH AH в различных сетевых средах приведена в документе по архитектуре защиты [Ken-Arch].
Заголовок ESP помещается после заголовка IP и перед заголовком протокола следующего уровня (транспортный режим) или перед инкапсулированным заголовком IP (туннельный режим). Детальное описание обоих режимов приведено ниже.