Статус документа
Это документ содержит проект стандарта протокола Internet для сообщества Internet и служит приглашением к дискуссии в целях развития и совершенствования протокола. Текущее состояние стандартизации и статус протокола можно узнать из текущей версии документа «Internet Official Protocol Standards» (STD 1). Допускается свободное распространение документа.
Авторские права
Copyright (C) The Internet Society (2005).
Тезисы
В этом документе описана обновленная версия идентификационного заголовка IP (AH — Authentication Header), который разработан для обеспечения услуг проверки тождественности (идентификации) в IPv4 и IPv6. Этот документ отменяет действие RFC 2402 (ноябрь 1998).
Оглавление
- 1. Введение
- 2. Формат заголовка идентификации
- 2.1. Next Header — следующий заголовок
- 2.2. Payload Length — размер данных
- 2.3. Reserved — резерв
- 2.4. Security Parameters Index (SPI) — список параметров защиты
- 2.5. Sequence Number — порядковый номер
- 2.6. Integrity Check Value (ICV) — контроль целостности
- 3. Обработка идентификационного заголовка AH
- 3.1. Местоположение AH
- 3.2. Контроль целостности
- 3.3. Обработка исходящих пакетов
- 3.4. Обработка входящих пакетов
- 4. Аудит
- 5. Соответствие требованиям
- 6. Вопросы безопасности
- 7. Отличия от RFC 2402
- 8. Благодарности
- 9. Литература
- 9.1. Нормативные документы
- 9.2. Дополнительная литература
- Приложение A: Изменяемые опции и расширения заголовков IP
- A1. Опции IPv4
- A2. Заголовки расширения IPv6
- Приложение B: Расширенные порядковые номера (64 бита)
- B1. Обзор
- B2. Окно Anti-Replay
- B3. Обработка потери синхронизации в результате больших потерь пакетов
1. Введение
В документе предполагается, что читатель достаточно знаком с терминами и концепциями, изложенными в документе «Архитектура защиты для протокола IP» [Ken-Arch], далее называемом для карткости описанием архитектуры. В частности, читателю следует понимать определения услуг по защите, обеспечиваемых ESP (Encapsulating Security Payload — инкапсуляция защищенных данных) [Ken-ESP] и AH, концепцию защищенных связей, способы использования ESP вместе с идентификационным заголовком AH, а также различные опции управления ключами, поддерживаемые для ESP и AH.
Ключевые слова необходимо (MUST), недопустимо (MUST NOT), требуется (REQUIRED), нужно (SHALL), не следует (SHALL NOT), следует (SHOULD), не нужно (SHOULD NOT), рекомендуется (RECOMMENDED), возможно (MAY), необязательно (OPTIONAL) в данном документе интерпретируются в соответствии с RFC 2119 [Bra97].
Идентификационный заголовок IP (AH) используется для обеспечения целостности и идентификации источника данных для дейтаграмм IP (далее для краткости будет использоваться термин «целостность») без организации специальных соединений и защиты против повторного использования пакетов. Второй, необязательный, сервис может выбираться получателем при создании защищенной связи (SA — Security Association). Протокол по умолчанию требует от отправителя увеличивать порядковые номера для предотвращения повторного использования пакетов, но этот механизм работает только при проверке порядковых номеров на приемной стороне. Для использования расширенных возможностей порядковой нумерации AH вносит требование к протоколу управления SA по обеспечению возможности согласования этой новой функции (см. параграф 2.5.1).
AH обеспечивает идентификацию для всех возможных частей заголовка, а также для данных протокола следующего уровня. Однако некоторые поля заголовка IP могут изменяться на пути передачи и значения этих полей при получении пакета могут быть непредсказуемыми для отправителя. Такие поля нельзя защитить с помощью AH. Таким образом, защита заголовка IP с помощью AH является неполной (см. Приложение A.).
AH может использоваться в комбинации с ESP [Ken-ESP] или путем вложения [Ken-Arch]. Услуги по защите могут обеспечиваться между парой взаимодействующих хостов, парой защитных шлюзов, а также между защитным шлюзом и хостом. ESP может использоваться для обеспечения такой же защиты от повторного использования пакетов и аналогичной защиты целостности, а также обеспечивает дополнительную защиту конфиденциальности (шифрование). Основным различием между защитой целостности, обеспечиваемой ESP и AH является расширение покрытия. В частности, ESP не защищает никаикх полей заголовка IP, пока эти поля не инкапсулируются ESP (например, за счет использования туннеля). Более детальное описание использования AH и ESP в разных сетевых средах приводится в документе, посвященном архитектуре защиты [Ken-Arch].
В разделе 7 кратко рассмотрены отличия этого документа от RFC 2402 [RFC2402].