Protokół Authentication Header

Protokół Authentication Header (AH) zapewnia integralność komunikatów i uwierzytelnia pochodzenie danych opcjonalnie może zapewniać usługi przeciwodtworze niowe. Ochrona integralności w AH obejmuje informacje z nagłówka pakietu, w tym adres źródłowy i docelowy, ale nie uwzględnia takich parametrów często zmienianych przez rutery, jak TTL w IPv4 albo liczba skoków w IPv6.

Protokół Encapsulating Security Payload (ESP) zapewnia poufność (szyfrowanie) oraz ograniczoną ochronę przed analizą przepływu pakietów. ESP obejmuje także niektóre usługi zwykle realizowane przez AH. Zarówno AH, jak i ESP polegają na dostępności współdzielonych kluczy, a żaden z nich nie ma możliwości przenoszenia ich między komputerami. Generowaniem tych kluczy zajmuje się trzeci protokół IPsec, ISAKMP.

ISAKMP również jest protokołem ramowym nie definiuje algorytmów, których używa się do generowania kluczy na potrzeby AH i ESP. Protokół Internet Key Exchange (IKE) używa struktury ISAKMP w połączeniu z konkretnymi algorytmami wymiany kluczy, aby utworzyć klucze kryptograficzne dla AH i ESP. To mnożenie warstw może się wydawać nadmiernie skomplikowane, ale oddzielenie ISAKMP od IKE oznacza, że podstawowa struktura IPsec może być używana w połączeniu z różnymi algorytmami wymiany kluczy (łącznie z najstarszym i najprostszym, czyli ręcznym). Standaryzacja IKE pozwala różnym osobom na zaimplementowanie tych samych algorytmów wymiany kluczy z gwarancją współpracy z innymi implementacjami. Linuksowy projekt FreeS/WAN zawiera implementację IKE o nazwie Pluto.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>