Протокол IPSec

Семейство протоколов IPSec

Протокол Authentication Header (AH)

Протокол Encapsulated Security Payload (ESP)

Протокол Internet

Защищённый канал IPSec

Конфиденциальная
информация

Узел А

Узел В

Безопасная ассоциация IPSec

Узел А

Узел В

32-разрядный индекс (SPI)

IP- адрес узла назначения

Идентификатор протокола

Безопасная ассоциация IPSec

Узел А

Узел В

Базы данных SA

SAD

SAD

SAD

SAD

Схемы применения IPSec

Узел А

Узел В

Схема узел-узел (точка-точка)

Internet/
Intranet

Схемы применения IPSec

Узел А

Узел В

Схема шлюз-шлюз

Internet/
Intranet

Схемы применения IPSec

Узел А

Узел В

Смешанная схема (вариант 1)

Internet/
Intranet

Схемы применения IPSec

Узел А

Узел В

Смешанная схема (вариант 2)

Internet

Intranet

Режимы работы IPSec

Транспортный режим

Туннельный режим

Заголовок IP

Заголовки
AH или ESP

Заголовки
верхних
уровней

Новый
Заголовок IP

Заголовки
AH или

Совместное использование SA

Узел А

Узел В

Вариант для транспортного режима

Internet/
Intranet

SA2: ESP (транспорт)

SA1: AH

Совместное использование SA

Узел А

Узел В

Вариант 1 для туннельного режима

Internet/
Intranet

SA1: AH или

Совместное использование SA

Узел А

Узел В

Вариант 2 для туннельного режима

Internet/
Intranet

SA1: AH или

Совместное использование SA

Узел А

Узел В

Вариант 3 для туннельного режима

Internet/
Intranet

SA1: AH или

Реализации IPSec

Протокол IP…
………
Протокол
IPSec…
………...

IP (исходный текст)

Протокол IP…
………
Протокол
IPSec…
………...

IP (исходный текст)

В исходном тексте

Реализации IPSec

В стеке TCP/IP

IP

IPSec

TCP/UDP

IP

IPSec

TCP/UDP

Реализации IPSec

Аппаратная реализация

IPSec

IPSec

Базы данных IPSec

Узел А

Базы данных SAD и SPD

SPD

SPD

SAD

SAD

База данных SPD

Узел А

SPD

SPD

Селектор

Политика

Селектор

Политика

База данных SPD

Узел А

SPD

SPD

Селектор

Политика

Селектор

Политика

IP-пакет может быть:
отброшен
пропущен с применением IPSec

База данных SPD

Узел А

SPD

SPD

Селектор

Политика

Селектор

Политика

Селектор
IP-адрес получателя
IP-адрес отправителя
Протокол (TCP или

База данных SAD

Узел А

SAD

SAD

Параметры SA1

Параметры SA2

Текущие безопасные
ассоциации (SA)

Пример работы IPSec

Сеть 1

Сеть 2

Internet/
Intranet

SA1

Отправитель

Получатель

Пример работы IPSec

Сеть 1

Отправитель

Отправка пакета

IP-датаграмма

SPD (исходящая)

Селектор

Политика

Селектор

Политика

Параметры SA1

Параметры SA2

SAD (исходящая)

SA1

Пример работы IPSec

Сеть 2

SA1

Получатель

Получение пакета

Параметры SA1

Параметры SA2

SAD (входящая)

SPD (входящая)

Селектор

Политика

Селектор

Политика

Работа протокола IPSec

Протокол IKE

Протоколы АН или ESP

Установление защищенного канала

Передача данных

1

2

Протокол АН

Заголовок IP

Заголовок AH

Данные

Заголовок ТСP

Next Header

Payload Len

Зарезервировано

Security Parameters Index (SPI)

Sequence Number

Протокол АН

Заголовок IP

Заголовок AH

Данные

Заголовок ТСP

Next Header

Payload Len

Зарезервировано

Security Parameters Index (SPI)

Sequence Number

Протокол АН

Next Header

Payload Len

Зарезервировано

Security Parameters Index (SPI)

Sequence Number (SN)

Authentication Data (переменная

Протокол АН

Next Header

Payload Len

Зарезервировано

Security Parameters Index (SPI)

Sequence Number (SN)

Authentication Data (переменная

Протокол АН

Next Header

Payload Len

Зарезервировано

Security Parameters Index (SPI)

Sequence Number (SN)

Authentication Data (переменная

Протокол АН

Next Header

Payload Len

Зарезервировано

Security Parameters Index (SPI)

Sequence Number (SN)

Authentication Data (переменная

Протокол ESP

Заголовок IP

Заголовок ESP
часть 1

Данные

Заголовок ТСP

Security Parametrs Index (SPI)

Sequence Number (SN)

Заголовок

Протокол ESP

Security Parametrs Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication

Протокол ESP

Security Parametrs Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication

Протокол ESP

Security Parametrs Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication

Протокол ESP

Security Parametrs Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication

Протокол ESP

Security Parametrs Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication

Протокол ESP

Security Parametrs Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication

Протокол IKE

Безопасная ассоциация

Security Association

32-разрядный индекс SPI

IP- адрес узла назначения

идентификатор протокола защиты

Протокол IKE

Установление защищенного соединения
для процедуры обмена (IKE SA)

Согласование всех параметров,

Протокол IKE (фаза 1)

Основной режим установления канала IKE SA

SA

Заголовок

Nonce

Ключ

Sig

[Cert]

ID

SA

Ключ

Nonce

Sig

ID

[Cert]

Инициирующая сторона

Отвечающая сторона

Заголовок

Заголовок

Заголовок

Заголовок

Заголовок

1

3

5

2

4

6

Протокол IKE (фаза 1)

Initiator Cookie

SA

Vendor ID

1

Протокол IKE (фаза 1)

Responder Cookie

SA

Vendor ID

2

Протокол IKE (фаза 1)

Открытый ключ

Случайное число

Запрос сертификата

3

Протокол IKE (фаза 1)

Открытый ключ

Случайное число

Запрос сертификата

4

Протокол IKE (фаза 1)

ID

5

В нескольких пакетах

Протокол IKE (фаза 1)

ID

6

В нескольких пакетах

Протокол IKE

Быстрый режим установления канала IKE SA

Nonce

Ключ

Sig

[Cert]

ID

SA

Ключ

Nonce

Sig

ID

[Cert]

Инициирующая сторона

Отвечающая сторона

Заголовок

Заголовок

Заголовок

SA

1

3

2