Esp расшифровка: Как работает ESP — ДРАЙВ

Содержание

что это такое и как работает? :: Autonews

Система ESP работает всегда, в любых режимах движения: при разгоне, торможении, движении накатом. (Фото: Daimler A.G.)

Впрочем, важно понимать, что возможности ESP по корректировке заноса и стабилизации автомобиля в критической ситуации не бесконечны. Законы физики не может отменить ни одна электронная система. И если скорость, на которой возникает занос, слишком высока или коэффициент сцепления скользкой поверхности под колесами слишком низкий, то даже умная электроника может оказаться беспомощной. Всегда важно помнить, что система стабилизации значительно снижает риски возникновения заноса и аварийной ситуации на дороге, но не исключает их.

ESP Off — что это за кнопка и за что отвечает?

Среди опытных водителей есть устойчивое мнение, что система стабилизации не всегда корректно выполняет свою функцию и порой неправильно распознает процессы, происходящие с машиной, и вмешивается в работу тормозных механизмов и двигателя в неподходящий момент.

Отчасти это правда, но только в тех случаях, когда за рулем автомобиля находится человек с большим стажем. Такие водители часто любят ездить на пределе возможностей автомобиля и при помощи приемов контраварийного вождения могут контролировать занос и водить машину в управляемом скольжении.

Кроме того, система стабилизации может излишне «глушить» мотор на бездорожье, когда небольшое скольжение автомобиля в раскисшей колее или на песчаном покрытии просто необходимо для преодоления препятствий. Именно для таких случаев многие современные автомобили, оборудованные ESP, имеют возможность принудительного отключения системы отдельной кнопкой ESP Off.

На некоторых моделях кнопка ESP Off отключает систему не до конца, а лишь допускает небольшие заносы и скольжения. (Фото: Shutterstock)

Как правило, такая кнопка встречается на спортивных машинах или автомобилях со спортивным характером, а также на внедорожниках и кроссоверах, которые по своему основному назначению часто могут оказаться на бездорожье.

Впрочем, функция полного отключения системы стабилизации не всегда доступна. На некоторых моделях кнопка ESP Off отключает ее не до конца, а лишь допускает небольшие заносы и скольжения, вмешиваясь уже в тот момент, когда ситуация становится действительно критической. Кроме того, нередко на полноприводных кроссоверах и внедорожниках функция полного отключения системы стабилизации действует лишь на небольших скоростях — до 50 или 60 км/ч, когда это может быть действительно необходимо на бездорожье.

Что делать, если горит лампочка ESP?

Датчик системы стабилизации на приборной панели, представляющий собой пиктограмму с подсветкой, горит в двух случаях. Первый — если ESP срабатывает. Второй — если система неисправна. Впрочем, в первом случае она, как правило, мигает и затем вновь отключается после предотвращения скольжения, а во втором загорается и не гаснет, пока неисправность не устраняется.

Глобально проблемы с системой могут возникнуть по нескольким основным причинам. Достаточно распространенный случай — это когда есть неисправность датчиков скорости вращения колеса, которые подключены к тяговому устройству и блоку управления двигателем. Каждое колесо имеет отдельный датчик, и если даже один из них выходит из строя, то система больше не уведомляется и об изменениях скорости, и вследствие такой ошибки на приборной панели загорается сигнал о неисправности ESP.

Датчик системы стабилизации на приборной панели, представляющий собой пиктограмму с подсветкой. (Фото: Shutterstock)

Другой распространенной причиной ошибки ESP на приборной панели может быть неисправный датчик угла поворота рулевого колеса. В случае его выхода из строя система также перестает получать сигналы об угле поворота руля и, соответственно, не может корректно работать.

Кроме того, часто неисправности ESP могут быть связаны с программным обсечением. В таком случае вся тяговая система может потребовать полного перепрограммирования просто из-за проблем с текущим программным обеспечением.

Впрочем, это лишь самые распространенные неисправности. Однако нужно помнить, что система стабилизации состоит из множество сложных компонентов, и поломка любой из них может стать причиной загоревшейся лампочки на приборной панели. Так что при появлении соответствующего сигнала все же лучше обратиться в сервисный центр и устранить неисправность.

Горит лампа ESP – причина и способы ремонта

Система ESP в автомобиле, пожалуй, самый яркий пример развития технологий в сфере безопасного управления автомобилем. Родившись как продолжатель дела ABS, ESP сегодня разрослась в целый комплекс различных ассистентов и служб, которые всячески облегчают жизнь водителю. Чем дороже автомобиль, тем больше в нем различных электронных помощников. Антипробуксовочная система, имитация блокировки дифференциала, система помощи спуска с горы, система экстренного торможения и прочая-прочая – все это сегодня выполняет система стабилизации. Но помогает она ровно до того момента, пока на приборной панели не загорится значок ESP.

На приборной панеле горят желтые лампочки ABS и ESP

Почему горит лампа ESP?

Если горит лампа ESP, значит система не работает. Иных причин не бывает, разве что водитель сам отключил систему стабилизации кнопкой (есть на многих машинах с этой системой). Иначе причину нужно искать.

Проблема в том, что ESP это почти полностью электронная система. По механическим элементам автомобиль с ESP отличается от машины с ABS только конструкцией гидроблока – он умеет не только откачивать тормозную жидкость и понижать давление в системе, но и, наоборот, накачивать и заставлять тормозить колеса – все или по отдельности. Да, гидроблок тоже ломается (в основном, щетки и цепь питания), но это случается не очень часто, и, как и в случае с ABS, проверять его нужно последним.

Устройство ESP

В остальном ESP это огромное количество датчиков. Во-первых, система использует сенсоры ABS для понимания скорости движения колес, во-вторых, снимает положение руля, педалей и угловую скорость автомобиля, в-третьих, через специальные датчики и исполнительные механизмы может вмешиваться в работу двигателя и трансмиссии, выбирая оптимальный режим работы.

Изношенные щетки ESP

Если какой-то из датчиков не работает или работает как-то не так, то система полностью выключается. Дело может быть и в механической поломке, и в перебитом проводе и неадекватных значениях. Например, сбой ESP может вызвать установка запасного колеса другой размерности. Такое колесо вращается с другой скоростью и все – система сходит с ума и отключается.

Не стоит забывать и про низкое напряжение в сети, при недостатке электропитания все электронные блоки отключатся.

Ремонт

ESP это яркий пример того, что развитие технологий снижает ремонтопригодность. Чисто теоретически можно прозвонить каждый датчик, проверить ABS, колеса, положение рулевого колеса, развал и еще кучу параметров, но куда проще и быстрее съездить на диагностику, где подключенный сканер считает ошибки и сразу скажет куда смотреть. А там по обстоятельствам – либо менять датчик, либо ремонтировать проводку.

Пример диагностики неисправности ESP. Фото — drive2

Одним из вариантом будет самостоятельная диагностика с помощью диагностического сканера Rokodil ScanX.

Rocodil

Данный мультимарочный сканер хорошо справляется с диагностикой ESP и ABS, как и всего автомобиля в целом. Также устройство обладает функцией стоп-кадр, что поможет выяснить рабочие параметры автомобиля в момент обнаружения неисправности, если лампа ESP горит не постоянно.

Сложность составляют только плавающие неисправности. Обычно в таком случае лампа загорается в движении, но при следующем пуске двигателя гаснет. Чтобы выявить такую проблему сканером необходимо ее поймать, что в условиях сервиса получается не всегда. Тут остается только два варианта – либо поездить с подключенным сканером до возникновения ошибки, либо ездить до тех пока лампа не станет гореть постоянно. Второй вариант, правда, совсем не безопасный.

Гидроблок системы ESP

Тем, кто не любит сервисы или далеко от них живет, можно предложить попробовать «вычислить» неисправность по косвенным признакам. Редко поломка проявляет себя только в одном месте. Если вместе с горящей лампой ESP неадекватно работают задние стоп-сигналы – смотрим датчик положения педали тормоза. Если до поломки меняли подвеску, смотрим на датчики и провода в районе ремонта. Если в машине был перепад напряжения, то проверяем предохранитель. И так далее. Если «подсказок» нет, то только сканер. Увы, но без него ремонтировать современный автомобиль практически невозможно.

Ситуация с ремонтом ESP примерно такая же, как и с ABS – на скорость, как говорится, не влияет, и вроде бы можно ездить, но все равно лучше держать эту систему в исправности.

Маркировка дизельных генераторов: ESP и PRP

Довольно часто мощность дизельных генераторов указывают с применением двух аббревиатур: ESP и PRP. Первая величина всегда больше второй. Это может вызывать недоумение у покупателей — они не понимают, в чем разница между ними и путаются, выбирая генератор для загородного дома.

Расшифровка аббревиатур

Она необходима для понимания того, что они обозначают.

ESP (Emergency Stand-by Power) — максимально допустимый уровень мощности электростанции, которая будет использоваться в загородном доме в момент аварийного отключения электричества или в случаях, когда необходимо задействовать резервный источник питания. Перегрузка на таких устройствах не допускается, уровень наработки генератора ограничен 500 часами за год.

PRP (Prime Power) — максимальный уровень мощности электростанции, работающей в постоянном режиме и обеспечивающей автономное электроснабжение дома. Перегрузки допускаются, но только в рамках установленных пределов — не больше 10% от нормального значения на протяжении часа каждые 12 часов работы.

Как выбрать генератор по этим показателям

Проще всего показать выбор дизельного генератора на двух примерах.

Случай первый. Генератор необходим вам для того, чтобы обеспечить загородный дом электроэнергией на тот случай, если основной ее источник выйдет из строя (например, будут проводиться плановые или аварийные работы на подстанции, к которой вы подключены, произойдет авария на участке рядом с вами и весь район останется на время без электроэнергии). В таком случае вам необходимо учитывать цифры под знаком ESP. Он показывает максимум суммарной нагрузки, которую может выдержать генератор, обеспечивая поступление электроэнергии в дом. Вам необходимо помнить о том, что суммарное время отработки генератора за год не должно превысить 500 часов вне зависимости от того, сколько раз у вас происходили аварийные отключения электричества и какое время они длились.

Случай второй. Вы не имеете возможности получить электроснабжение для дома стандартным способом (по разным причинам) и решили обеспечить подачу электроэнергии в жилище при помощи дизельного генератора. Тогда при его покупке вам стоит учитывать показатель PRP. Он укажет вам, какова максимальная сумма подключаемой нагрузки для работы генератора в постоянном режиме. Помните о том, что возможность его перегрузки ограничена.

Найти дизельный генератор от известного производителя, подходящий под ваши задачи, вы сможете на https://www.allgen.ru/generator/. Качество продукции гарантировано.

Что такое ESP и в чем ее уникальность? Просто о сложном!

Как утверждают достоверные источники, разработка системы ESP, а также патент на нее принадлежит компании Daimler. Система была разработана и запатентована в далеком 1959 и активно используется большинством автопроизводителей.

Несмотря на то, что идея создания возникла в конце 50-х, воплотить в жизнь, то есть реализовать данный проект, удалось лишь в 90-х. В 1995 году система ESP была впервые установлена на серийный автомобиль, им стало купе Mercedes-Benz CL 600. После подтверждения своей эффективности, системой успешно оснащалось большинство автомобилей концерна, а начиная с 2015 она устанавливается по умолчанию на все авто, причем не только производства Мерседес.

Система ESP — что это?

Аббревиатура ESP (Electronic Stability Program) переводится с английского как программа электронной стабилизации. В официальных документах система более известна как система стабилизации курсовой устойчивости. Задача системы не допустить бесконтрольное скольжение авто во время движения. Данная система считается одной из важнейших, когда вопрос касается безопасности водителя и пассажиров. ESP работает в связке с системой ABS, которая, в свою очередь, взаимодействует с тормозной системой.

Эта система относится к активным системам безопасности автомобиля, в которую кроме ESP входит ABS, а также система контроля тягового усилия (ASR). Система стабилизации курсовой устойчивости включает в себя большое количество различных датчиков, которые собирают данные, необходимые для правильного функционирования системы.

Как это работает?

Датчики следят за положением авто на дороге, а также положением рулевого колеса. Система самостоятельно принимает решение о том, нужна ли помощь водителю в той или иной ситуации, после чего в ход идут алгоритмы, запрограммированные на все случаи жизни. Как только система обнаруживает отклонение от нормы, то есть когда датчики фиксируют недопустимые значения, система начинает свою работу, не дожидаясь реакции водителя. Когда данные полученные от датчика положения руля не совпадают с показаниями акселерометра, ESP дает команду системе ABS, которая подтормаживает одно или сразу несколько колес. Таким образом авто «выравнивается», то есть уходит от заноса или потери управляемости. Кроме системы ABS стабилизировать авто помогает и ЭБУ, который обладает непосредственным контролем над двигателем. В случае необходимости он «давит» обороты двигателя, снижая скорость и помогая системе стабилизации курсовой устойчивости выровнять авто. В основном ESP эффективна на мокрой, скользкой или покрытой снегом дороге.

О том, что система курсовой устойчивости может притормаживать и управлять оборотами двигателя знает большинство из нас. Но не многие догадываются о других, не менее полезных свойствах данной системы. Так, к примеру, ESP умеет подруливать. Когда система определяет потерю контроля над авто, ESP моментально принимает вышеописанные действия, а также дает толчки в рулевое колесо, тем самым подсказывая водителю направление вращения руля. Эта способность очень кстати новичкам, а также тем, кто «теряется» в экстремальных ситуациях.

А вы знали, что эта система может также распознавать осадки? Если в авто есть датчик дождя, то ESP может следить за погодой, адаптируясь под те или иные погодные условия, например, под снег или дождь. Так, например, может быть автоматически усилено давление в тормозной системе, даже без ведома водителя. Более того, для поддержания тормозов в рабочем состоянии, колодки время от времени могут прижиматься к диску для просушки и очистки. Такие кажущиеся, на первой взгляд, мелочи, позволяют ESP улучшить эффективность и производительность тормозной системы.

ESP также хороша тем, что вместо водителя работает на опережение. Не у всех, согласитесь, есть хорошая острая реакция и способность быстро действовать. Так вот, система ESP позволяет это исправить, благодаря датчиками и алгоритмам, заложенным в память системы. Система стабилизации курсовой устойчивости ускоряет срабатывание тормозов, а также следит за тем, как перераспределяются массы между осями. В поворотах ESP также следит как нагружается внутренняя и, что происходит с наружной. Умный помощник следит за степенью нагрева тормозных механизмов и в случае перегрева, создает дополнительное усилие, снимая лишнюю нагрузку с водителя, которому пришлось бы сильнее давить на педаль тормоза.

Слышали о датчиках давления в шинах? Так вот, ESP может заменить их полностью. Благодаря датчикам скорости система стабилизации отслеживает изменение давления в шинах путем простых математических подсчетов. Спущенное колесо уменьшается в диаметре, при этом его скорость вращения будет выше. Датчики передают информацию в блок, после чего ESP сообщит водителю о проблеме в виде ошибки на панели приборов.

Но, к сожалению, не все так гладко… В некоторых ситуациях система стабилизации может не помогать, а наоборот — мешать, причем настолько, что это может привести к печальным последствиям. Во время движения по пересеченной местности работа ESP может стать причиной того, что авто увязнет в песке, грязи или в снегу. Это происходит потому, что колеса подтормаживаются антиблокировочной системой, а мотор будет «давиться» блоком управления. Чтобы не допустить подобного, в большинстве случаев производителем предусмотрена возможность отключения ESP.

Видео по теме, обязательно посмотрите!

В заключение…

Благодаря подобным системам автомобили стали более безопасными, а управление ими существенно упростилось. Умная электроника при взаимодействии с физическими механизмами позволяет стабилизировать авто в любой дорожной ситуации. Согласно исследованиям, ESP снизила количество аварий с летальным исходом примерно на 30%. Современные системы активной безопасности постоянно дорабатываются, что позволяет еще больше повысить уровень безопасности водителя на дороге. Не рекомендую отключать систему, несмотря на то, что такая возможность предусмотрена. Делайте это лишь в крайней необходимости, а после прохождения необходимого участка не забудьте снова активировать ESP.

Видео позволяющее наглядно понять как работает система ESP

Расшифровка кодов ошибок Windows (BSOD)

Однобитная ошибка в ESP регистре процессора вызывает STOP 0x0000007F (0x00000008,…)

0x0000007F (0x00000008, 0x00000000, 0x00000000, 0x00000000)
UNEXPECTED_KERNEL_MODE_TRAP

Симптомы
Ошибка может возникать на компьютерах под управлением Windows, оснащенных процессором Intel Xeon (или другими). При этом ошибка следующего вида
 

STOP 0x0000007F (0x00000008, 0x00000000, 0x00000000, 0x00000000) UNEXPECTED_KERNEL_MODE_TRAP

При возникновении ошибки наблюдаются следующие признаки.
— Первый параметр в данном сообщении равен 0x0000008 (ошибка является двойным исключением).
— Вследствие ошибки в одном из битов регистра ESP данный регистр содержит адрес, находящийся за пределами стека текущего потока.

Данная проблема возникает в следующих случаях.
— Система BIOS компьютера не загрузила обновление микрокода, необходимое для работы процессора компьютера.
— Процессор поврежден или неисправен.
— Нарушены условия эксплуатации процессора (процессор эксплуатируется при недопустимой температуре, неверном напряжении питания или с неверной частотой).

Решение

Способ 1
Определите, установлена ли на компьютере последняя версия обновления микрокода.
Обновление микрокода исправляет ошибки во внутренней логике процессора. Обновления микрокода не могут храниться в процессоре и загружаются в процессор при каждой загрузке компьютера. Загрузка обновлений микрокода выполняется системой BIOS или драйвером Update.sys.
Если на компьютере установлен процессор, выпущенный компанией Intel, то для определения версии обновления микрокода, загружаемого в данный процессор загрузите программу определения частоты процессора Intel с сайта
http://support.intel.com/support/processors/tools/frequencyid; после чего установите и запустите программу.
Запишите следующие сведения:
— семейство;
— модель;
— степпинг;
редакция.
Номера семейства, модели и степпинга однозначно определяют тип процессора. Редакция процессора позволяет определить версию загруженного обновления микрокода.
Признаки, описанные в данной статье, наиболее часто наблюдаются на процессорах Intel Xeon с номером семейства 15, номером модели 2 и степпингом 9, которые установлены на системных платах, использующих набор микросхем ServerWorks (шестнадцатеричные значения указанных выше номеров семейства, модели и степпинга равны F, 2 и 9 соответственно). Чтобы эти процессоры работали правильно, необходима редакция 0x18 или более поздняя (значение 0x18 это шестнадцатеричное представление десятичного числа 24).
Если номер редакции равен 0, значит, система BIOS компьютера не содержит обновление микрокода для установленных на компьютере процессоров. В этом случае необходимо установить обновление для BIOS, которое содержит обновление микрокода, поддерживающее используемые процессоры.

Способ 2
Убедитесь, что процессор исправен
Если у вас есть такая возможность, то попробуйте установить ваш процессор на компьютер, на котором указанная проблема не возникает либо установите на компьютер на котором проблема наблюдается процессор с компьютера на котором данной проблемы нет.
Внимание! Не производите действия по замене процессора без должной квалификации.
Если после замены процессора на исходном компьютере проблема не исчезнет, а на компьютере, на который установлен исходный процессор, проблема не возникнет, то процессор, скорее всего, исправен и не является причиной ошибки.
Если после замены процессора на исходном компьютере проблема исчезнет, а на компьютере, на который установлен исходный процессор, проблема возникнет, то причиной проблемы, скорее всего, является неисправность процессора.

Способ 3
Проверьте, соблюдаются ли условия эксплуатации процессора.
Высокая температура в помещении, плохая вентиляция или накопление пыли могут вызывать сбои в работе процессоров и других компонентов. Проблемы с вентиляцией могут быть вызваны неработающими вентиляторами или закупоркой вентиляционных каналов. Если внутренняя часть или вентиляционные каналы компьютера заполнены пылью или если описанные признаки наблюдаются только при установке компьютера в определенных местах, причиной проблемы может быть перегрев. Убедитесь, что компоненты компьютера очищены от пыли, вентиляторы работают надлежащим образом, вентиляционные каналы свободны, а место установки компьютера надлежащим образом вентилируется.
Сбои в работе процессоров и других компонентов могут вызываться выходом напряжения питания за допустимые пределы, а также перепадами напряжения. Использование напряжения питания ненадлежащего номинала или плохого качества, перегрузка или сбои блока питания компьютера, а также сбои в работе компонентов системной платы могут привести к тому, что напряжение питания процессора выйдет за допустимые пределы или будет ненадлежащего качества.

Дополнительно

Регистр ESP также называют регистром указателя стека. Стек это находящаяся в памяти структура данных, в которой хранятся сведения о текущем состоянии выполнения потока. Стек потока используется для отслеживания функций, выполняющихся в настоящий момент, а также для хранения параметров, передаваемых этим функциям, и переменных, используемых данными функциями. Регистр ESP должен содержать адрес вершины стека. Если данный регистр содержит ошибочное значение, он может ссылаться на неверные данные или недействительный адрес. Если регистр ESP ссылается на недействительный адрес, может возникнуть двойное исключение.
Чтобы определить, вызвана ли рассматриваемая STOP-ошибка ошибкой в одном из битов регистра ESP, выполните следующие действия.
1. Установите средство Microsoft Debugging Tools for Windows.
2. Запустите средство WinDbg, откройте нужный файл дампа памяти через меню File -> Open Crash Dump.
Информация, отображаемая при начальном анализе файла дампа, может выглядеть следующим образом.

  ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 7F, {8, 0, 0, 0} Probably caused by : ntkrnlmp.exe ( nt!KiUnlockDispatcherDatabase+1c ) Followup: MachineOwner


3. Чтобы автоматически проанализировать файл дампа, выполните команду !analyze -v. Ниже показан пример выходных данных команды !analyze -v.

  0: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* UNEXPECTED_KERNEL_MODE_TRAP (7f) This means a trap occurred in kernel mode, and it is a trap of a kind that the kernel isn`t permitted to have/catch (bound trap) or that is always instant death (double fault). The first number in the bugcheck params is the number of the trap (8 = double fault, etc) Consult an Intel x86 family manual to learn more about what these traps are. Here is a *portion* of those codes: If kv shows a taskGate use .tss on the part before the colon, then kv. Else if kv shows a trapframe use .trap on that value Else .trap on the appropriate frame will show where the trap was taken (on x86, this will be the ebp that goes with the procedure KiTrap) Endif kb will then show the corrected stack. Arguments: Arg1: 00000008, EXCEPTION_DOUBLE_FAULT Arg2: 00000000 Arg3: 00000000 Arg4: 00000000 Debugging Details: —————— BUGCHECK_STR: 0x7f_8 TSS: 00000028 — (.tss 28) eax=ffdff4dc ebx=f5d299dc ecx=8046f1c0 edx=00000000 esi=853e7a60 edi=00000102 eip=8046a86c esp=f5da9948 ebp=f5d2997c iopl=0 nv up ei pl zr na po nc cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246 nt!KiUnlockDispatcherDatabase+0x1c: 8046a86c 59 pop ecx Resetting default scope DEFAULT_BUCKET_ID: DRIVER_FAULT LAST_CONTROL_TRANSFER: from 80450bb3 to 8046a86c STACK_TEXT: f5d2997c 80450bb3 00000003 f5d299f8 00000001 nt!KiUnlockDispatcherDatabase+0x1c f5d29d48 80466389 00000003 0076fe84 00000001 nt!NtWaitForMultipleObjects+0x385 f5d29d48 77f9323e 00000003 0076fe84 00000001 nt!KiSystemService+0xc9 0076fe5c 77e7a059 00000003 0076fe84 00000001 ntdll!ZwWaitForMultipleObjects+0xb 0076feac 77dee9fb 0076fe84 00000001 00000000 KERNEL32!WaitForMultipleObjectsEx+0xea 0076ff08 77deea48 0076fed4 0076ff5c 00000000 USER32!MsgWaitForMultipleObjectsEx+0x153 0076ff24 6d095a7c 00000002 0076ff5c 00000000 USER32!MsgWaitForMultipleObjects+0x1d 0076ff7c 780085bc 00283a90 0062f5ac 0062ffdc IisRTL!SchedulerWorkerThread+0xa7 0076ff90 8042fa31 85400680 0076ff88 ffffffff MSVCRT!_endthreadex+0xc1 00283ab8 ffffffff 00000000 00000000 00000000 nt!KiDeliverApc+0x1a1 00283ab8 ffffffff 00000000 00000000 00000000 0xffffffff 0000096c 00000000 00000000 00000000 00000000 0xffffffff FOLLOWUP_IP: nt!KiUnlockDispatcherDatabase+1c 8046a86c 59 pop ecx SYMBOL_STACK_INDEX: 0 FOLLOWUP_NAME: MachineOwner SYMBOL_NAME: nt!KiUnlockDispatcherDatabase+1c MODULE_NAME: nt IMAGE_NAME: ntkrnlmp.exe DEBUG_FLR_IMAGE_TIMESTAMP: 3ee650b3 STACK_COMMAND: .tss 28 ; kb BUCKET_ID: 0x7f_8_nt!KiUnlockDispatcherDatabase+1c Followup: MachineOwner


4. Проанализируйте результаты работы команды !analyze -v и определите, содержатся ли в них сведения о возникновении двойной ошибки. Если будет обнаружена двойная ошибка, выполните команду .tss 28, чтобы отобразить состояние системы в момент возникновения данной ошибки. В приведенном ниже примере показаны значения регистров процессора в момент возникновения двойного исключения.

  0: kd> .tss 28 eax=ffdff4dc ebx=f5d299dc ecx=8046f1c0 edx=00000000 esi=853e7a60 edi=00000102 eip=8046a86c esp=f5da9948 ebp=f5d2997c iopl=0 nv up ei pl zr na po nc cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246 nt!KiUnlockDispatcherDatabase+0x1c: 8046a86c 59 pop ecx
В данном примере в регистре ESP содержится значение f5da9948. Как правило, адрес, хранящийся в регистре ESP, незначительно отличается от адреса, хранящегося в регистре EBP. В данном примере в регистре EBP содержится значение f5d2997c.

5. Выполните команду !thread, чтобы отобразить диапазон адресов, выделенный под стек текущего потока. Как правило, двойное исключение возникает в тех случаях, когда адрес, хранящийся в регистре ESP, находится за пределами диапазона адресов, зарезервированных для стека текущего потока. Ниже показан пример выходных данных команды !thread.

  0: kd> !thread THREAD 853e7a60 Cid 904.96c Teb: 7ffdc000 Win32Thread: a21a5c48 RUNNING Not impersonating Owning Process 85400680 Wait Start TickCount 578275 Elapsed Ticks: 0 Context Switch Count 38423 LargeStack UserTime 0:00:02.0031 KernelTime 0:00:06.0640 Start Address KERNEL32!BaseThreadStartThunk (0x77e5b700) Win32 Start Address MSVCRT!_threadstartex (0x78008532) Stack Init f5d2a000 Current f5d29c9c Base f5d2a000 Limit f5d27000 Call 0 Priority 8 BasePriority 8 PriorityDecrement 0 DecrementCount 0 ChildEBP RetAddr Args to Child 00000000 8046a86c 00000000 00000000 00000000 nt!_KiTrap08+0x41 f5d2997c 80450bb3 00000003 f5d299f8 00000001 nt!KiUnlockDispatcherDatabase+0x1c f5d29d48 80466389 00000003 0076fe84 00000001 nt!NtWaitForMultipleObjects+0x385 f5d29d48 77f9323e 00000003 0076fe84 00000001 nt!_KiSystemService+0xc9 0076fe5c 77e7a059 00000003 0076fe84 00000001 ntdll!ZwWaitForMultipleObjects+0xb 0076feac 77dee9fb 0076fe84 00000001 00000000 KERNEL32!WaitForMultipleObjectsEx+0xea 0076ff08 77deea48 0076fed4 0076ff5c 00000000 USER32!MsgWaitForMultipleObjectsEx+0x153 0076ff24 6d095a7c 00000002 0076ff5c 00000000 USER32!MsgWaitForMultipleObjects+0x1d 0076ff7c 780085bc 00283a90 0062f5ac 0062ffdc IisRTL!SchedulerWorkerThread+0xa7 0076ffb4 77e5b382 00283ab8 0062f5ac 0062ffdc MSVCRT!_threadstartex+0x8f 0076ffec 00000000 78008532 00283ab8 00000000 KERNEL32!BaseThreadStart+0x52

В данном примере диапазон адресов, выделенных под стек, отображается в следующей строке.
 

Stack Init f5d2a000 Current f5d29c9c Base f5d2a000 Limit f5d27000 Call 0
При работе потока значение регистра ESP должно находиться в пределах между базовым (Base, f5d2a000) и минимальным (Limit, f5d27000) адресами стека. Как правило, адрес, хранящийся в регистре регистра ESP, незначительно отличается от текущего адреса (Current, f5d29c9c). Текущий адрес также находится между базовым и минимальным адресами. В данном примере в регистре ESP содержится значение f5da9948. Этот адрес находится далеко за пределами диапазона адресов, выделенных для стека.
Чтобы определить диапазон адресов, выделенных под стек, можно также воспользоваться командой !pcr. Ниже показан пример выходных данных команды !pcr.


  0: kd> !pcr PCR Processor 0 @ffdff000 NtTib.ExceptionList: f5d29d38 NtTib.StackBase: f5d29df0 NtTib.StackLimit: f5d27000 NtTib.SubSystemTib: 00000000 NtTib.Version: 00000000 NtTib.UserPointer: 00000000 NtTib.SelfTib: 7ffdc000 SelfPcr: ffdff000 Prcb: ffdff120 Irql: 00000000 IRR: 00000000 IDR: ffffffff InterruptMode: 00000000 IDT: 80036400 GDT: 80036000 TSS: 80474850 CurrentThread: 853e7a60 NextThread: 00000000 IdleThread: 80470600 DpcQueue:


Значение NtTib. ebp Evaluate expression: Hex: 00080034 Decimal: 524340 Octal: 00002000064 Binary: 00000000 00001000 00000000 00110100 Chars: …4 Time: Tue Jan 06 17:39:00 1970 Float: low 7.34757e-040 high 0 Double: 2.59058e-318

 

Если не рассматривать младшие (менее значимые) биты, то значения регистров ESP и EBP отличаются одним битом. Разность этих значений равна 00000000 00001000 00000000 00000000 (в двоичном виде) или 00080000 (в шестнадцатеричном виде).
Это показывает, что в одном из битов регистра ESP возникла ошибка, в результате чего данный регистр содержит неправильное значение, которое приводит к появлению двойного исключения, системной ошибки и аварийному завершению работы системы.

Для получения дополнительных сведений об используемом оборудовании выполните следующие действия.
1. Выполните команду !cpuinfo, чтобы получить сведения о процессоре. Ниже показан пример выходных данных команды !cpuinfo.


  0: kd> !cpuinfo TargetInfo::ReadMsr is not available in the current debug session CP F/M/S Manufacturer MHz Update Signature Features 0 15,2,9 GenuineIntel 2790>0000000000000000 !cpuinfo CP F/M/S Manufacturer MHz Update Signature Features TargetInfo::ReadMsr is not available in the current debug session 0 15,2,9 GenuineIntel 2994>0000001800000000 !pcitree Bus 0x0 (FDO Ext 85dceed8) 0600 00141166 (d=0, f=0) devext 85dcf348 Bridge/HOST to PCI 0600 00141166 (d=0, f=1) devext 85e110e8 Bridge/HOST to PCI 0600 00141166 (d=0, f=2) devext 85e11ee8 Bridge/HOST to PCI 0100 00c09005 (d=2, f=0) devext 85e11ce8 Mass Storage Controller/SCSI 0100 00c09005 (d=2, f=1) devext 85e11ae8 Mass Storage Controller/SCSI 0300 47521002 (d=3, f=0) devext 85e11788 Display Controller/VGA 0200 16a614e4 (d=4, f=0) devext 85e11428 Network Controller/Ethernet 0880 a0f00e11 (d=5, f=0) devext 85dcdee8 Base System Device/`Other` base system device 0601 02011166 (d=f, f=0) devext 85dcdb88 Bridge/PCI to ISA 0101 02121166 (d=f, f=1) devext 85dcd988 Mass Storage Controller/IDE 0c03 02201166 (d=f, f=2) devext 85dcd628 Serial Bus Controller/USB 0600 02251166 (d=f, f=3) devext 85dcd2c8 Bridge/HOST to PCI 0600 01011166 (d=11, f=0) devext 85e100e8 Bridge/HOST to PCI 0600 01011166 (d=11, f=2) devext 85e10ee8 Bridge/HOST to PCI Bus 0x2 (FDO Ext 85dcecd8) 0104 00460e11 (d=2, f=0) devext 85e0f9a8 Mass Storage Controller/RAID Bus 0x5 (FDO Ext 85dce9d8) No devices have been enumerated on this bus. Total PCI Root busses processed = 3


Для всех перечисленных PCI-устройств первое шестнадцатеричное значение в каждой строке (это значение состоит из 8 цифр и имеет тип DWORD) представляет собой идентификатор производителя и устройства (VenDev ID). Фактически идентификатор производителя определяется последними четырьмя цифрами. Например, первое устройство в приведенном выше списке имеет идентификатор VenDev ID, равный 0x00141166. При этом идентификатор устройства (Device ID) равен 0x0014, а идентификатор производителя (Vendor ID) 0x1166. Идентификатор производителя для наборов микросхем ServerWorks равен 0x1166. Это означает, что выше приведен результат работы команды !pcitree на компьютере с системной платой, использующей набор микросхем ServerWorks.

Esp – английский для специальных целей:история и современность Текст научной статьи по специальности «Языкознание и литературоведение»

ESP — английский для специальных целей: история и современность

М. В. Афанасьева*

Аннотация. В статье рассматривается история возникновения концепции преподавания английского языка для специальных целей(англ. English for Specific Purposes, ESP), а также развитие этой концепции на современном этапе.

Ключевые слова: английский для специальных целей; конвергентные тенденции; контекстный подход; мотивация обучаемого; прикладная составляющая; коммуникативное поле.

ESP — English for Special Purposes: History and Modernity

M. V. Aphanasyeva

Abstract. The article considers the history of concept of teaching ESP ( English for special purposes) and development of this concept at the present stage.

Keywords: English for special purposes; convergent trends; context approach; motivation of a student; applied component; communicative field.

Появление ESP (English for Specific Purposes), как и многих плодов деятельности человека, не было запланированным и не явилось закономерным следствием поступательного движения, а скорее возникло в результате ряда конвергентных тенденций. Эти тенденции проявляли себя по-разному во всем мире, однако можно выделить три главных причины появления «языка для специальных целей».

1. Требования современного мира

Окончание Второй мировой войны в 1945 году положило начало беспрецедентному росту научной и технической мысли, а также экономическому росту в масштабах всего мира. Эта экспансия создала новое общество, общество, в котором доминировали две движущие силы — технология и торговля. Их развитие происходило столь быстрыми темпами, что уже очень скоро возник спрос на некий «интернациональный» язык. По разным причинам (в основном это доминирующая роль

США в послевоенном мире) эта роль досталась английскому языку.

В результате появилось множество людей, желающих выучить английский язык, но не для удовольствия или престижа, а потому, что знание его давало ключ к мировым рынкам валют, товаров и технологий.

Ранее не было необходимости формулировать причины изучения английского (как и любого другого иностранного языка). Знание иностранного языка считалось показателем хорошего образования, но мало кто задавался вопросом, почему, собственно, оно необходимо.

По мере того как английский язык становился общепризнанным международным языком технологии и торговли, сформировалось новое поколение обучающихся — тех, кто точно знал, почему и зачем они изучают язык: например, бизнесмены, желающие продать свой товар; инженеры, которым было необходимо перевести инструкции по использованию технических средств; врачи, которые должны

* Афанасьева Марина Владимировна — доцент кафедры «Иностранные языки» Финансового университета при Правительстве РФ. E-mail: [email protected]

были быть в курсе новейших исследований в своей области, и, конечно, студенты, которым приходилось пользоваться учебной литературой, доступной только на английском языке. Всем им (и многим другим) был необходим иностранный (английский) язык, и, что важнее, они осознавали, зачем.

Эта тенденция получила свое дальнейшее развитие в 70-е годы XX века во время нефтяных кризисов, в результате которых большой поток западного капитала и технологий устремился в нефтедобывающие страны. Английский язык внезапно стал языком «большого бизнеса», и интересы торговли начали играть все более весомую роль. Ограниченные временные рамки и денежный фактор потребовали создания новых путей изучения языка — с низкими издержками и ясно сформулированной целью.

В результате роль преподавателя английского языка свелась к предоставлению требуемого «продукта». Английский язык стал предметом изучения практически для всего мира, но не в своем традиционном, лингвистическом, понимании, а исключительно в утилитарных целях.

2. Революция в лингвистике

В то время как возрастала необходимость изучения языка для определенных целей, новые идеи начали возникать и в области методики его преподавания. Традиционно целью лингвистики было описание правил применения и использования английского языка, то есть его грамматики. Новые методики, однако, перенесли акцент с формальных черт языка на конкретное его использование в определенных ситуациях общения. Одним из «открытий лингвистической науки» в то время стала констатация факта, что язык устного общения и язык письменной речи имеют значительные отличия, причем различного характера, зависящие от контекста. В методике преподавания английского языка это отразилось в появлении новой концепции, которая сводилась к тому, что английский язык торговли и, скажем, строительства имеют существенные различия. Эти взгляды вполне сочетались с появлением многочисленных курсов обучения английскому языку для специализированных групп. Идея была достаточно проста: если язык дифференцируется в различных

ситуациях общения, то можно определить и сформулировать черты этих ситуаций и положить их в основу изучаемого курса.

Статья С. Л. Барбера, посвященная характеристике «английского языка науки», была опубликована еще в 1962 году, но свое развитие исследования в этой области получили в 70-е годы XX века, — например, описание письменного английского языка науки и техники (Свейлс (1971), Селинкер и Тримбл (1976) и др.). Наиболее популярной была область EST — английский для науки и техники. Интересно заметить, что в течение некоторого времени понятие ESP (English for Specific Purposes) и EST (English for Science and Technology) считались практически взаимозаменяемыми.

Многие лингвисты поддержали ту точку зрения, что рамки «подъязыка», необходимого определенной категории обучающихся, могут быть определены путем анализа лингвистических характеристик специализированных областей его применения. Другими словами, «Скажи, для чего тебе нужен английский, и я скажу, какой английский тебе нужен». Этот контекстный подход послужил основополагающим принципом обучения ESP.

3. Акцент на интересах обучаемого

Новые исследования в области педагогики и психологии тоже внесли свой вклад в преподавание ESP. Особое значение стало придаваться личности обучаемого, его запросам, интересам, отношению к процессу обучения. Мотивация легла в основу эффективности учебного процесса. Все это определило методические и дидактические принципы, согласно которым соответствие содержания обучения требованиям и интересам обучаемого имеет наиважнейшее значение. Стандартным и, кстати, довольно простым путем достижения этого соответствия стало использование специальных тематических текстов при обучении различных групп — тексты по биологии для биологов, экономические для экономистов и т. д. В основе такого подхода лежало утверждение, что изучение «специальных» текстов, с их терминологией, повышает мотивацию обучаемого, тем самым делая процесс более эффективным.

Таким образом, развитие концепции преподавания ESP было обусловлено тремя важ-

ными факторами: повышение спроса на английский язык для использования его в определенных областях; новые тенденции в лингвистике и в методике преподавания, перенос акцента на интересы обучаемого. Все эти факторы определили необходимость дальнейшей специализации в изучении языка.

В настоящее время концепция ESP, безусловно, получила свое развитие. Происходит все большее усиление роли английского языка как средства международного общения в связи с нарастанием процессов глобализации; огромное значение имеет и внедрение новых технологий в преподавание иностранных языков,: оно предоставило более широкие возможности изучения английского языка для его применения в каких угодно обла-

Литература

стях. Возрастает прикладная составляющая в обучении английскому языку, то есть необходимость ранней профессионализации обучаемого, что делает ESP еще более актуальным.

С другой стороны, возрастание роли социокультурного компонента, важность кросскуль-турной коммуникации диктуют необходимость овладения английским языком для общих целей (англ. English for General Purposes, EGP), таким, который применим для повседневного общения. Сейчас, когда коммуникативная компетенция стала требованием момента, думается, нельзя ограничиваться только изучением языка для специальных целей, так как это может сузить коммуникативное поле. Разумное сочетание ESP и EGP — вот что необходимо современному специалисту.

1. Общеевропейские компетенции владения иностранным языком: изучение, преподавание, оценка. — Страсбург: Cambridge University Press, 2001; М.: МГЛУ, 2003.

2. Tom Hutchinson & Alan Waters. English for Specific Purposes. — Cambridge University Press, 2006. — Р. 9-15.

Системы ABS, ESP, ASR, BAS — описание

Системы ABS, ESP, ASR, BAS — описание

Многие автовладельцы любят с гордостью рассказывать о наличии в их автомобилях таких функций как ABS, ASR, ESP и прочих…

При этом, многие люди даже представления не имеют что означают все эти непонятные зашифровки. Система ABS (антиблокировочная система)

Чаще всего на слуху именно эти три буквы. Наверное, все знают расшифровку, но далеко не все знают, что это означает.

Среди всех этих систем именно АБС появилась первой. Существует уже несколько десятков лет. Она не позволяет колесам блокироваться во время торможения, в случае если водителю пришлось в экстренной ситуации слишком сильно надавить на тормозную педаль. При блокировке колес происходят две неприятные вещи. Во-первых, машина может потерять управление, т.е. её уведет в сторону, что чревато ДТП. Во-вторых, изнашивается протектор шин. Благодаря датчикам, которыми управляет контроллер, система следит за скоростью движения автомобиля и за скоростью вращения колес. В результате при сильном и резком торможении колеса продолжат вращение и не будут заблокированы. Срабатывание АБС можно ощутить в виде толчков в районе педали тормоза. Логичным продолжением антиблокировочной системы является EBD, которая правильно распределяет тормозные усилия всех колес в отдельности. Такое срабатывание происходит, когда водителю приходится экстренно тормозить на нестандартном дорожном покрытии, и автомобиль попадает в занос. Система ESP Разработка 90-х годов. Расшифровывается как система динамической стабилизации. Говоря более простым языком, данная функция обеспечивает устойчивость автомобиля на высокой скорости. Машина может не вписаться в поворот, или наоборот – её может занести. ESP как раз предназначена для предотвращения подобного инцидента. Система следит за тем, чтобы траектория движения точно соответствовала направлению колес, и, в случае отклонения от нормы дает сигнал системе ABS, которая, в свою очередь, притормаживает нужное колесо. В целом, ESP прекрасно дополняет АБС, т.к. в плане безопасности эта функция гораздо эффективнее. Первая – просто не позволяет колесам блокироваться. Вторая – следит за каждым колесом отдельно и контролирует устойчивость автомобиля. ASR Расшифровку данной аббревиатуры слышали многие – антипробуксовочная система. Предотвращает буксование, которое может произойти в трудных дорожных условиях (грязь, лед и т.д.) или в результате повышенной нагрузки колес, вызванной маневрированием. Система распознает, что скорость вращения колес не соответствует скорости движения автомобиля (т.е., колеса вращаются быстро, а машина стоит на месте или очень медленно едет). ASR в этом случае замедляет колеса и блокирует дифференциал. Пробуксовка также может возникнуть в результате заноса на большой скорости. Чтобы этого не произошло, ASR снижает обороты двигателя. На разных автомобилях антипробуксовочная система может носить разные названия, например, TRC – трэкшн-контроль. BAS (Break Assistant) Предназначена для сокращения тормозного пути. Срабатывает в тех случаях, когда водитель в опасной ситуации панически давит на педаль тормоза. У перечисленных выше систем есть одна общая цель: обеспечение безопасности во время движения. По сути, все эти функции нужны для того, чтобы исправлять неверные действия водителя. Электронные системы безопасности могут быть очень полезны для неопытных автомобилистов. Среди опытных часто можно услышать недовольство, т.к. многие из них любят динамичную, порой даже агрессивную и опасную езду. Во-первых, существуют автомобили, у которых можно отключить эти опции. Во-вторых, даже если у человека огромный опыт в экстремальном вождении, лучше не рисковать лишний раз и помнить о ценности жизни – своей и других.

Поделиться новостью с друзьями:

Похожее

Как расшифровать пакеты IKEv1 и/или ESP?

Расшифровка IKEv1

Прежде всего: Wireshark 1.8.0 реализует только 3DES и DES для расшифровки IKEv1 (то же самое для версии 1.6.8).

См.: epan\dissectors\packet-isakmp.c: decrypt_payload()

Если вы хотите расшифровать любой другой алгоритм, диссектор необходимо расширить (добровольцы приветствуются!). Вы можете подать запрос на улучшение по адресу https://bugs.wireshark.org, возможно, со ссылкой на этот вопрос.

Чтобы получить требуемые параметры IKEv1 для диссектора ( COOKIE инициатора и Ключ шифрования ), вам нужны выходные данные отладки от реализации IPSEC.

Я тестировал с strongSwan 4.4 в Linux и с этим файлом захвата (с файлом захвата и данными, представленными в этом ответе, вы можете попробовать сами). Чтобы получить значение «enc key» в логе, вам нужен хотя бы этот параметр отладки: --debug-crypt .

Найдите ICOOKIE и ключ enc в журнале отладки Pluto.

  gw205:/# ps auxww | грэп плутон
корень 24522 0,0 0,3 12572 3488 ? СС 15:46 00:00 /usr/libexec/ipsec/pluto --nofork --debug-raw --debug-crypt --debug-parsing --debug-emitting --debug-control --nocrsend --nat_traversal - -keep_alive 60
 

журнал отладки ipsec strongSwan:

2012:07:23-16:40:04 gw205 плутон[24522]: | 2012:07:23-16:40:04 gw205 плутон[24522]: | *получил ударное сообщение 2012:07:23-16:40:04 gw205 плутон[24522]: | создание объекта состояния № 12 по адресу 0x9fd77a8 2012:07:23-16:40:04 gw205 плутон[24522]: | ИКУКИ: c6 d1 45 92 85 15 0c 7e 2012:07:23-16:40:04 gw205 плутон[24522]: | RCOOKIE: 00 00 00 00 00 00 00 00 2012:07:23-16:40:04 gw205 плутон[24522]: | пэр: c0 a8 8c c8 2012:07:23-16:40:04 gw205 плутон[24522]: | запись хэша состояния 22

2012:07:23-16:40:14 gw205 плутон[24522]: | Skeyid_e: b0 16 81 21 5f 16 20 23 03 18 6d 28 14 dc 56 86 2012:07:23-16:40:14 gw205 плутон[24522]: | ок 5а 47 33 2012:07:23-16:40:14 gw205 плутон[24522]: | ключ enc: 44 9e 82 9e a9 66 d4 21 fb cb 86 bd 7a d9 2e 86 2012:07:23-16:40:14 gw205 плутон[24522]: | 5а ба б1 5б аа 5в 67 2а 2012:07:23-16:40:14 gw205 плутон[24522]: | IV: dc f8 5e 03 f2 76 ab b9 89 e6 ae ff 46 a9 58 16 2012:07:23-16:40:14 gw205 плутон[24522]: | f4 96 86 25

ПОДСКАЗКА: Если вы используете любую другую реализацию IPSEC, прочтите руководство, как получить эту информацию.

Извлечь значения ICOOKIE и ‘enc key’ БЕЗ пробелов. ПОДСКАЗКА: Ключ enc занимает две строки!!

Icookie:

Icookie: C6D1459285150C7E
50C7E966D421FBCB86BD7AD92E865ABAB15BAA5C672A

BAA5C672A

BAAA5C672A

Использование этих значений для

Редактирование -> Предпочтения -> Протоколы -> ISAKMP -> Таблица дешифрования IKEV1:

Тестовый файл: IPSEC.PCAP

Результат без дешифрования :


для расшифровки пакетов ESP с Wireshark 1.8.0 вам снова потребуется вывод отладки из вашей реализации IPSEC. Для Linux и strongSwan вы получите эту информацию с помощью этой команды:

ip xfrm state

Вывод:

  gw205:/ # ip xfrm state
источник 192.168.140.200 дст 192.168.140.205
        proto esp spi 0x0879355b требуется туннель режима 16421
        окно воспроизведения 32 флаг noecn nopmtudisc af-unspec
        аутентификация hmac(sha1) 0xb8dd42a1c505bed19c2bf23cef00e5d8223c2a5b
        enc cbc(des3_ede) 0xae76ea430b10c72c882c4aeab2283444c54f913d87f5e109
источник 192.168.140.205 дст 192.168.140.200
        proto esp spi 0x1c0d7b38 reqid 16421 режим туннеля
        окно воспроизведения 32 флаг noecn nopmtudisc af-unspec
        аутентификация hmac(sha1) 0xc364660133b04a4f20e52000dbe4a6ba154c09c1
        enc cbc(des3_ede) 0x39e87c9ca500616b36f2f0d3c7fb688621d7bbf31414abbd  

Используйте эти значения для параметров диссектора ESP, как показано на следующих снимках экрана. ПОДСКАЗКА: Не добавляйте пробел в конце любого параметра (SPI, ключ и т. д.), так как в этом случае расшифровка работать не будет.

Сначала включите расшифровку ESP.

Правка -> Настройки -> Протоколы -> ESP -> Попытка обнаружения/декодирования зашифрованных полезных данных ESP

Затем добавьте две ESP SA (по одной для каждого направления!)

2

2

Если параметры совпадают с данными файла захвата, Wireshark сможет анализировать пакеты ESP.

Результат без дешифрования :

Результат с дешифрованием :

С уважением
KURT

Ответы 23 Jul ’12, 09:10

Kurtner Knochner ♦
24.8k●10●39●237
скорость приема: 15%

ESP_Preferences

Если Libgcrypt связан с Wireshark, вы можете расшифровать полезные данные ESP и/или проверку подлинности. Вы можете узнать, поддерживает ли ваша версия Wireshark расшифровку ESP, выполнив поиск «с Gcrypt» в поле «О программе».

Поддерживаются следующие алгоритмы шифрования:

  • NULL Шифрование.

  • TripleDES-CBC RFC2451 с длиной ключа 192 бита.

  • AES-CBC со 128-битными ключами RFC3602 с длиной ключа 128/192/256 бит.

  • AES-CTR RFC3686 с длиной ключа 160/224/288 бит. Остальные 32 бита будут использоваться как nonce.

  • DES-CBC RFC2405 с длиной ключа 64 бита.

  • BLOWFISH-CBC RFC2451 с длиной ключа всего 128 бит.

  • TWOFISH-CBC с ключом 128/256 бит.

Поддерживаются следующие алгоритмы аутентификации:

  • НУЛЕВАЯ Аутентификация.

  • HMAC-SHA1-96 RFC2404: любой кейлен

  • HMAC-MD5-96 RFC2403: любой кейлен

  • HMAC-SHA256 : любой кейлен

Режимы IPsec

IPsec может использоваться в двух режимах: туннельном или транспортном и относится к двум типам узлов: конечным узлам и защищенным шлюзам. Каждый тип узла может использовать IPsec с использованием этих двух режимов. Целью этого анализатора является расшифровка всего пакета, если у вас достаточно информации о различных ассоциациях безопасности.

Вот одна из более сложных топологий (если у вас есть ESP в туннельном режиме в ESP в туннельном режиме… он должен работать так же).

  СВАЛКА
                                               |
    N1 СГВ1 | N2
[192.168.0.3] ------- [192.168.0.2][10.0.0.1]--------[10.0.0.2]

маршрут по умолчанию для 192.168.0.3 — 192.168.0.2
маршрут по умолчанию для 10.0.0.2 — 10.0.0.1
Мы определяем следующие политики с синтаксисом setkey:

<СА1>
########## Для 192.168.0.2 (SGW1)
spdadd 192.168.0.3 10.0.0.2 любой -P вне ipsec
esp/туннель/10.0.0.1-10.0.0.2/использование;
добавить 10.0.0.1 10.0.0.2 особенно 10
-м туннель
-E aes-cbc "aescbшифрование"
-A hmac-sha1 "hmacsha1authenticati";


########## Для 192.168.0.3 (N1)
spdadd 192.168.0.3 10.0.0.2 любой -P out ipsec esp/transport//require;
добавить 192.168.0.3 10.0.0.2 esp 15
-E des-cbc "descbte"
-A hmac-sha1 "hmacsha1authenticati";  

Это означает, что пакеты, идущие от N1 к N2, будут шифроваться с помощью des-cbc и туннелироваться от SGW1 с шифрованием ESP с помощью aes-cbc к N2.Если мы посмотрим на хост DUMP, у нас есть только две SA для расшифровки всего пакета. Если мы посмотрим на разные слои, это будет:

.
  [IP1][ESP1][ENCRYPTION1]

с [ENCRYPTION1]=[IP2][ESP2][ENCRYPTION2]
и [ШИФРОВАНИЕ2]=ICMP

IP1 — это IP-заголовок от SGW1 до N2.
ENCRYPTION2 — это aes-cbc
IP2 — это IP-заголовок от N1 до N2.
ENCRYPTION2 является де-cbc
  

Таким образом, диссектор IPsec, зная эти две SA, расшифрует первую ENCRYPTION1, используя SA1, распарсит ее, получит ENCRYPTION2, расшифрует ее с помощью SA2 и расшифрует ее, получив полный расшифрованный пакет.

Если вы посмотрите на поле Аутентификация, вы заметите, что доступны 2 поля. Внутренний доступен, только если ENCRYPTION1 расшифрован.

Вот как выглядит пакет после расшифровки:

Настройки ESP

Чтобы расшифровать ESP Payload или проверить ESP Authenticator, вам необходимо указать некоторые элементы известных ассоциаций безопасности (SA). То есть :

  • Исходный адрес SA. Либо IPv6, либо IPv4.
  • Адрес назначения SA. Либо IPv6, либо IPv4.
  • SPI (индекс параметров безопасности).
  • Алгоритм шифрования и соответствующий ключ.
  • Алгоритм аутентификации; даже если вы не хотите проверять Аутентификацию, это оказывает некоторое влияние на выравнивание байтов.

Режим работы указывать не нужно (транспортный, туннельный), расшифровка будет производиться итеративно.

Эти различные элементы должны быть указаны в меню настроек ESP в Wireshark.Действительно, возможно, было бы лучше установить его в отдельном файле, но очень удобно иметь хотя бы несколько правил в окне настроек. Более того, синтаксический анализ довольно простой, без использования каких-либо библиотек/инструментов, таких как, например, Lex/yacc.

Если вам нужно изменить количество ассоциаций безопасности, вы должны сделать это в анализаторе, изменив значение «IPSEC_NB_SA».

Вот настройки, использованные для расшифровки предыдущего экрана:

Попытка обнаружить/декодировать зашифрованные NULL полезные нагрузки ESP

Это поле является эвристическим для расшифровки пакета.Предполагается, что пакет зашифрован с использованием алгоритма NULL, а аутентификация использует 12 байтов, как в случае с hmac-sha1-96/hmac-sha256/hmac-md5-96. Это поле должно быть единственным доступным, если Wireshark не связан с libgcrypt. В противном случае, если установлено, все пакеты, не перехваченные ассоциациями безопасности, расшифровываются с использованием этой эвристики. Для этих пакетов не будет выполняться проверка подлинности.

Попытка обнаружить/декодировать зашифрованные полезные данные ESP

Это поле должно быть доступно, только если Wireshark связан с libgcrypt.Он используется для активации ассоциаций безопасности. Когда пакет IPsec ESP будет перехвачен ассоциацией безопасности (Source/Destination/SPI), он будет расшифрован с использованием указанного алгоритма шифрования/аутентификации и соответствующего ключа шифрования. Эта проверка будет выполняться итеративно.

Попытка проверить аутентификацию ESP

Это поле должно быть доступно, только если Wireshark связан с libgcrypt. Когда пакет IPsec ESP будет перехвачен ассоциацией безопасности (источник/назначение/SPI), аутентификация будет проверена с использованием указанного алгоритма аутентификации и соответствующего ключа аутентификации.Эта проверка будет выполняться итеративно.

Ассоциации безопасности и фильтры SA

В этом поле используется следующий синтаксис (с пробелами или без):

  Протокол|Адрес источника|Адрес назначения|SPI
  

Где :

  • Протокол: либо IPv4, либо IPv6 (прописные и/или строчные буквы)
  • SPI: индекс параметра безопасности ассоциации безопасности. Вы можете указать его в десятичном (пример: 123) или шестнадцатеричном (пример: 0x45). Специальные ключевые слова ‘*’ могут использоваться для соответствия любому SPI.Тем не менее, если вы используете более одной «*», это ограничит длину SPI в десятичном виде до указанного количества «*». Например, ‘**’ будет соответствовать 23, но не 234. 234 будет соответствовать ‘***’. Проверка значения SPI производиться не будет. Таким образом, вы должны принять во внимание, что длина SPI составляет 4 байта.
  • Адреса: В этом поле у ​​нас может быть адрес IPv6 или IPv4. Любой адрес представляет собой комбинацию адреса или префикса и Prefixlen/Netmask, разделенных ‘/’. Вы можете опустить Prefixlen/Netmask, предполагая, что длина адреса составляет 128 бит для IPv6 и 32 бита для IPv4.Символ ‘*’, используемый в позиции Prefixlen/Netmask, будет таким, как если бы вы его опустили.
    • Адреса IPv6: принимается любой действительный адрес IPv6. пример: 3FFE::1/128, 3FFE:4:5:6666::/64, ::1/128, 3FFE:4::5 . Если ваш адрес неверен и длиннее 16 байт, будут учитываться только последние 16 байт. Вы также можете использовать специальный символ ‘*’ для обозначения любого 4-битного блока. т.е.: 3ffe::45*6 . Если вы используете только один «*» в поле «Адрес», он будет принимать любой адрес IPv6.

    • Адреса IPv4: принимается любой действительный адрес IPv4. пример: 190.0.0.1/24, 10.0.0.2 . Вы также можете использовать специальный символ ‘*’ для обозначения любого 8-битного блока. т.е. 190.*.*.3 . Если вы используете только один «*» в поле «Адрес», он будет принимать любой адрес IPv4. Проверка правильности IPv4-адреса производиться не будет. Например, 456.345.567.890 будет принят. Таким образом, вы должны заботиться о том, что вы пишете. Тем не менее, для одного байта будут учитываться только 3 символа.Пример: 190.0.0.0184 не будет считаться правильным. (Вместо этого будет использоваться своего рода механизм LRU, и учитываемый адрес будет 190.0.0.418 ). При этом будут использоваться только первые четыре значения (т.е. 190.0.0.12.13 будет считаться 190.0.0.12 ).

Шифрование, алгоритмы аутентификации и ключи

В этих полях вы должны описать аутентификацию, алгоритмы шифрования и аутентификацию, ключи шифрования для SA.Размеры ключей должны соответствовать тому, что указано в Алгоритмах, иначе работать не будет. Ключи могут быть записаны в десятичном или шестнадцатеричном формате (начиная с 0x).

Мы можем заметить, что если нас интересует только расшифровка, выбор одного из hmac-sha1-96/aes-xcbc-mac-96/hmac-md5-96 для аутентификации не повлияет на расшифровку, поскольку весь этот алгоритм даст 12-байтовое поле аутентификатора. Таким образом, либо мы выбираем один из них без набора «ПОЛЕ: попытка проверки аутентификации ESP», либо мы можем использовать алгоритм аутентификации «Любые 12 байт аутентификации [без проверки]».В этом случае «ПОЛЕ: Попытка проверить аутентификацию ESP» не влияет на решение. В явном виде учитываются следующие алгоритмы:

Согласно RFC 2451, 3DES CBC использует ключ длиной 192 бита. Первый ключ 3DES берется из первых 64 бит, второй из следующих 64 бит и третий из последних 64 бит. Реализации ДОЛЖНЫ учитывать биты четности при первоначальном приеме нового набора ключей. Каждый из трех ключей на самом деле имеет длину 56 бит, а дополнительные 8 бит используются для контроля четности.3DES CBC использует IV из 8 октетов.

  • AES-CBC со 128-битными ключами RFC3602 :

Согласно RFC 3602, AES поддерживает три размера ключа: 128 бит, 192 бит и 256 бит. Размер ключа по умолчанию составляет 128 бит, и все реализации ДОЛЖНЫ поддерживать этот размер ключа. Реализации МОГУТ также поддерживать размеры ключей 192 бита и 256 бит. AES-CBC использует IV из 16 октетов.

Согласно RFC 3686, AES поддерживает три размера ключа: 128 бит, 192 бит и 256 бит. Размер ключа по умолчанию составляет 128 бит, и все реализации ДОЛЖНЫ поддерживать этот размер ключа.Реализации МОГУТ также поддерживать размеры ключей 192 бита и 256 бит. AES-CTR использует IV из 8 октетов.

Согласно RFC 2405, DES-CBC представляет собой алгоритм с симметричным секретным ключом. Размер ключа составляет 64 бита. Он широко известен как 56-битный ключ, поскольку ключ имеет 56 значащих битов; младший значащий бит в каждом байте — это бит четности. DES-CBC использует IV из 8 октетов.

Брюс Шнайер из Counterpane Systems разработал алгоритм шифрования Blowfish. RFC 2451 показывает, что Blowfish использует размеры ключей от 40 до 448 бит.Размер по умолчанию — 128 бит. Мы будем принимать только размеры ключа 128 бит, потому что libgrypt принимает только этот размер ключа. Загляните на http://www.schneier.com для получения дополнительной информации. BLOWFISH-CBC использует IV из 8 октетов.

Twofish — это 128-битный блочный шифр, разработанный Counterpane Labs, который принимает ключ переменной длины до 256 бит. Мы принимаем только ключи размером 128 и 256 бит. Загляните на http://www.schneier.com для получения дополнительной информации. TWOFISH-CBC использует IV из 16 октетов.

HMAC с MD5 обеспечивает аутентификацию источника данных и защиту целостности.HMAC-MD5-96 создает 128-битное значение аутентификатора. Для использования с ESP или AH ДОЛЖНО поддерживаться усеченное значение, использующее первые 96 битов. При отправке усеченное значение сохраняется в поле аутентификатора. При получении вычисляется все 128-битное значение, и первые 96 бит сравниваются со значением, хранящимся в поле аутентификатора. HMAC-MD5-96 не поддерживает никакие другие длины значений аутентификатора.

SHA-1 в сочетании с HMAC [RFC2104] обеспечивает механизм аутентификации с ключом.HMAC-SHA-1-96 создает 160-битное значение аутентификатора. Для использования с ESP или AH ДОЛЖНО поддерживаться усеченное значение, использующее первые 96 битов. При отправке усеченное значение сохраняется в поле аутентификатора. После получения вычисляется все 160-битное значение, и первые 96 бит сравниваются со значением, хранящимся в поле аутентификатора. HMAC-SHA-1-96 не поддерживает никакие другие длины значений аутентификатора.

Это алгоритм SHA-256, который дает дайджест сообщения размером 32 байта.Для использования с ESP или AH ДОЛЖНО поддерживаться усеченное значение, использующее первые 96 битов. При отправке усеченное значение сохраняется в поле аутентификатора. При получении вычисляется все 128-битное значение, и первые 96 бит сравниваются со значением, хранящимся в поле аутентификатора. Наша реализация будет поддерживать любую длину ключа.

Возможные расширения

Конечно, вы можете использовать некоторые другие алгоритмы шифрования/аутентификации ESP. и не должно быть очень трудно добавить некоторые другие.Также должна быть возможность адаптировать это для проверки AH Authenticator и почему бы не сделать что-то для IPComp. Если максимальное количество фиксированных ассоциаций безопасности является для вас проблемой, вы можете изменить это значение в анализаторе «IPSEC_NB_SA». Также может быть интересно сохранить несколько SA в окне настроек и иметь возможность добавить еще несколько в отдельный файл.


Импортировано с https://wiki.wireshark.org/ESP_Preferences 11 августа 2020 г., 23:13:51 UTC

Расшифровка протоколов IPSec (ISAKMP и ESP) с помощью Wireshark | Celal Dogan

IPSec — это группа протоколов, которые помогают нам шифровать трафик между двумя устройствами.Перед передачей данных между двумя устройствами создается туннель с помощью ISAKMP (Internet Security Association and Key Management Protocol), через который согласовываются параметры для ESP (Encapsulating Security Payload). Согласование IPsec ISAKMP выполняется в два этапа: основной режим (этап 1) и быстрый режим (этап 2). Предположим, что мы хотим отправить данные с Site2 на Site1 с шифрованием IPSec.

Топология сети

Первое, что нам нужно сделать, это сообщить Site1 (шлюзу), что мы хотим использовать ESP , aes256 и sha2–256 для шифрования и аутентификации.Поскольку мы не можем отправлять эту очень конфиденциальную информацию по сетевому соединению в виде открытого текста, для этой цели включается основной режим ISAKMP. В основном режиме создается зашифрованный туннель, затем в быстром режиме согласовываются параметры для ESP (aes256, sha2–256…). Вывод Wireshark показывает, что пакеты относятся к основному режиму и быстрому режиму, как показано ниже.

Основной и быстрый режимы ISAKMP

В этой статье мы расшифруем фазы ISAKMP (основной режим и быстрый режим), а также ESP.
К сожалению, с маршрутизаторами Cisco мы не можем получить такую ​​информацию, как ключи шифрования и аутентификации.Для этой цели Strongswan является хорошей реализацией IPSec с открытым исходным кодом, которая предоставляет все необходимое. Как видно из топологии сети, между Strongswan и маршрутизатором Cisco (шлюзом) создается туннель IPSec. Мы установим Strongswan на Ubuntu с минимальной конфигурацией.

sudo apt install strongswan

Мы настраиваем Strongswan для параметров ISAKMP и ESP, добавляя директивы в файл /etc/ipsec.conf , как показано ниже. Кроме того, нам также необходимо включить отладку.Поскольку COOKIE инициатора (SPI инициатора) и ключ шифрования — это две части информации, необходимые для расшифровки туннеля ISAKMP, мы извлечем их из журналов отладки.

Простая конфигурация IPSec

После базовой настройки и включения отладки нам нужно указать путь к файлу журнала, настроив /etc/strongswan.conf , как показано ниже. Все журналы отладки, включая ключ шифрования ISAKMP, будут храниться в файле charon.log .

Путь к файлу журнала

Мы постараемся максимально упростить конфигурацию, поэтому будем использовать предварительную аутентификацию.
Предварительный ключ хранится в другом файле, мы настраиваем файл /etc/ipsec.secrets , как показано ниже.

Конфигурация предварительного общего ключа

Мы установили некоторые базовые конфигурации назначения IP-адресов и маршрутизации на клиенте Ubuntu (Strongswan) с учетом топологии сети.

Sudo IFCONFIG ENS41 192.168.10.1 NetMask 255.255.255.0 UP
SUDO IFCONSFIG ENS39 192.168.30.1 NetMask 255.255.255.30 UP
Sudo Route Add -Net 1.1.1.1 NetMask 255.255.255.255 GW 192.168.10.2
Sudo Route Add -Net 2.2.2.2 маска сети 255.255.255.255 gw 192.168.30.2
sudo echo 1 > /proc/sys/net/ipv4/ip_forward

Сначала мы перезапускаем службу ipsec, применяя команду «sudo ipsec restart» , затем фильтруем журналы, как показано ниже. .

Получение ICOOKIEПолучение ключа шифрования

Поскольку мы получили необходимую информацию, теперь пришло время передать Wireshark эту информацию из Правка -> Настройки -> Протоколы -> ISAKMP -> Таблица расшифровки IKEv1: , как показано ниже.

Передача Wireshark ICOOKIE и ключа шифрования

После нажатия кнопки «ОК» мы сможем увидеть расшифрованный трафик и детали пакетов. До и после расшифровки выходных данных ISAKMP (быстрый и основной режимы), как показано ниже. Мы можем видеть SA (ассоциацию безопасности), обмен Диффи Хелмана и так далее.

Перед расшифровкой ISAKMP После расшифровки ISAKMP

В отличие от ICOOKIE и ключа шифрования ISAKMP, ключи, используемые для туннеля ESP, не хранятся в файле charon.log . Мы получим эту информацию, применив команду «ip xfrm state» , как показано ниже.SPI, ключи аутентификации и шифрования различны для каждого направления.

Получение ключей шифрования и аутентификации для ESP

И последнее, но не менее важное: мы предоставим эту информацию Wireshark через меню Edit -> Preferences -> Protocols -> ESP , как показано ниже.

Кормление Wireshark ключами и алгоритмами

После правильного заполнения меню Wireshark покажет нам полезную нагрузку открытым текстом. Вывод Wireshark до и после расшифровки показан ниже.

Перед расшифровкой пакетов ESPПосле расшифровки пакетов ESP

IPSEC и IKE

Интернет-обмен ключами (IKE)

Как настроить VPN на основе IPsec с помощью Strongswan в Debian и Ubuntu

Тест ikev2/rw-cert

RFC 52000 RFC 52005 Использование транспортного формата Encapsulating Security Payload (ESP) с протоколом идентификации хоста (HIP)

[Docs] [txt|pdf] [draft-ietf-hip-esp] [Tracker] [Diff1] [Diff2] [Errata]

Устарело: 7402 EXPERIMENTAL
Errata Exist
Сетевая рабочая группа П.Йокела
Запрос комментариев: 5202 Ericsson Research NomadicLab
Категория: Экспериментальный Р. Московиц
                                                                ICSAlabs
                                                             П. Никандер
                                            Ericsson Research NomadicLab
                                                              апрель 2008 г.


Использование транспортного формата Encapsulating Security Payload (ESP) с
                      Протокол идентификации хоста (HIP)

Статус этого меморандума

   Этот меморандум определяет экспериментальный протокол для Интернета.
   сообщество.Он не определяет какой-либо стандарт Интернета.
   Требуются обсуждения и предложения по улучшению.
   Распространение этой памятки не ограничено.

Примечание IESG

   Следующие проблемы описывают опасения IESG по поводу этого документа.
   IESG ожидает, что эти проблемы будут решены в будущих версиях.
   HIP разработаны.

   В случае сложных баз данных политик безопасности (SPD) и ко-
   наличие протоколов HIP и связанных с безопасностью, таких как IKE,
   разработчики могут столкнуться с условиями, которые не указаны в этих
   документы.Например, когда SPD определяет подсеть IP-адреса для
   быть защищенным, и хост HIP находится в этой области IP-адресов,
   есть вероятность, что связь зашифрована многократно
   раз. Читателям рекомендуется обратить особое внимание при запуске HIP.
   со сложными настройками SPD. Будущие спецификации должны четко
   определить, когда предполагается многократное шифрование, и когда оно должно быть
   избегали.

Абстрактный

   В этом меморандуме указывается инкапсулированная полезная нагрузка безопасности (ESP), основанная на
   механизм передачи пакетов пользовательских данных, который будет использоваться с
   Протокол идентификации хоста (HIP).Джокела и др. Экспериментальный [Страница 1] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


Оглавление

   1. Введение . . . . . . . . . . . . . . . . . . . . . . . . . 3
   2. Условные обозначения, используемые в этом документе. . . . . . . . . . . . . . 3
   3. Использование ESP с HIP. . . . . . . . . . . . . . . . . . . . . . 4
     3.1. Формат пакета ESP. . . . . . . . . . . . . . . . . . . . 4
     3.2.Концептуальная обработка пакетов ESP. . . . . . . . . . . . . 4
       3.2.1. Семантика индекса параметров безопасности (SPI). . . 5
     3.3. Создание и поддержание ассоциации безопасности. . . . 6
       3.3.1. Ассоциации безопасности ESP. . . . . . . . . . . . . . 6
       3.3.2. Перекодировка . . . . . . . . . . . . . . . . . . . . . . . 6
       3.3.3. Управление ассоциацией безопасности. . . . . . . . . . . 7
       3.3.4. Индекс параметров безопасности (SPI). . . . . . . . . . . . 7
       3.3.5. Поддерживаемые преобразования. . . . . . . . . . . . . . . . . 7
       3.3.6. Порядковый номер  . . . . . . . . . . . . . . . . . . . 8
       3.3.7. Время жизни и таймеры. . . . . . . . . . . . . . . . . 8
     3.4. Рекомендации по внедрению IPsec и HIP ESP . . . . . 8
   4. Протокол. . . . . . . . . . . . . . . . . . . . . . . . . 9
     4.1. ЕСП в ГИП. . . . . . . . . . . . . . . . . . . . . . . . 9
       4.1.1. Настройка ассоциации безопасности ESP. . . . . . . . 9
       4.1.2. Обновление существующей ESP SA. . . . . . . . . . . . . 10
   5. Форматы параметров и пакетов. . . . . . . . . . . . . . . . . 10
     5.1. Новые параметры. . . . . . . . . . . . . . . . . . . . . . 11
       5.1.1. ESP_ИНФО. . . . . . . . . . . . . . . . . . . . . . . 11
       5.1.2. ESP_ТРАНСФОРМ . . . . . . . . . . . . . . . . . . . . 13
       5.1.3. УВЕДОМЛЕНИЕ Параметр. . . . . . . . . . . . . . . . . . . 14
     5.2. Настройка сопоставления безопасности HIP ESP . . . . . . . . . . . . 14
       5.2.1. Настройка во время базового обмена. . . . . . . . . . . . . . 14
     5.3. Изменение ключа HIP ESP. . . . . . . . . . . . . . . . . . . . . 16
       5.3.1. Инициализация смены ключей. . . . . . . . . . . . . . . . 16
       5.3.2. Ответ на инициализацию смены ключей. . . . . . 17
     5.4. ICMP-сообщения. . . . . . . . . . . . . . . . . . . . . . 17
       5.4.1. Неизвестный SPI. . . . . . . . . . . . . . . . . . . . . 17
   6. Пакетная обработка. . . . . . . . . . . . . . . . . . . . . . 18
     6.1. Обработка исходящих данных приложения. . . . . . . . . . . 18
     6.2. Обработка входящих данных приложений. . . . . . . . . . . 19
     6.3. Расчет и проверка HMAC и SIGNATURE. . . . . 19
     6.4. Обработка входящей инициализации ESP SA (R1) . . . . . . 19
     6.5. Обработка входящего ответа инициализации (I2) . . . . . . 20
     6.6. Обработка входящего завершения установки ESP SA (R2) . . . . 20
     6.7. Удаление HIP-ассоциаций. . . . . . . . . . . . . . . . 20
     6.8. Инициирование смены ключей ESP SA. . . . . . . . . . . . . . . . 20
     6.9. Обработка входящих пакетов UPDATE. . . . . . . . . . . . 22
       6.9.1. Обработка пакета UPDATE: незавершенное изменение ключей отсутствует
               Запрос  . . . . . . . . . . . . . . . . . . . . . . . 22
     6.10. Завершение смены ключей. . . . . . . . . . . . . . . . . . . 23
     6.11. Обработка пакетов NOTIFY. . . . . . . . . . . . . . . . 24
   7. Ключевой материал. . . . . . . . . . . . . . . . . . . . . . . 24



Джокела и др.Экспериментальный [Страница 2] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   8. Вопросы безопасности. . . . . . . . . . . . . . . . . . . 25
   9. Соображения IANA. . . . . . . . . . . . . . . . . . . . . 25
   10. Благодарности. . . . . . . . . . . . . . . . . . . . . . . 26
   11. Ссылки. . . . . . . . . . . . . . . . . . . . . . . . . . 26
     11.1. Нормативные ссылки . . . . . . . . . . .. . . . . . . . 26
     11.2. Информативные ссылки. . . . . . . . . . . . . . . . . . 26
   Приложение A. Примечание по вариантам реализации. . . . . . . . . . 28

1. Введение

   В архитектуре протокола идентификации хоста [RFC4423] хосты
   идентифицированы открытыми ключами. Протокол идентификации хоста [RFC5201]
   базовый обмен позволяет любым двум хостам, поддерживающим HIP, аутентифицироваться
   между собой и для создания HIP-ассоциации между собой.
   Во время базового обмена хосты генерируют часть общего ключа.
   материал с использованием аутентифицированного обмена Диффи-Хеллмана.Спецификация базового обмена HIP [RFC5201] не описывает никаких
   транспортные форматы или методы для пользовательских данных, которые будут использоваться во время
   фактическое общение; он только определяет, что обязательно
   реализовать Encapsulated Security Payload (ESP) [RFC4303] на основе
   транспортный формат и метод. Этот документ определяет, как используется ESP.
   с HIP для переноса фактических пользовательских данных.

   Чтобы быть более конкретным, этот документ определяет набор протоколов HIP.
   расширения и их обработка. Используя эти расширения, пара ESP
   Ассоциации безопасности (SA) создаются между хостами во время
   базовый обмен.Результирующие ассоциации безопасности ESP используют ключи
   взятый из ключевого материала (KEYMAT), созданного во время базового
   обмен. После того, как ассоциация HIP и необходимые ESP SA были
   установлен между хостами, обмен данными пользователя
   защищен с помощью ESP. Кроме того, в этом документе указаны методы
   обновить существующую ассоциацию безопасности ESP.

   Следует отметить, что представления Идентификации хоста не
   явно переносятся в заголовках пакетов пользовательских данных.Вместо этого
   Индекс параметров безопасности ESP (SPI) используется для указания правильного хоста.
   контекст. SPI выбираются во время обмена настройками HIP ESP.
   Для пакетов пользовательских данных SPI ESP (в возможной комбинации с IP
   адреса) используются косвенно для идентификации контекста хоста, тем самым
   избегая каких-либо дополнительных явных заголовков протокола.

2. Условные обозначения, используемые в этом документе

   Ключевые слова «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ТРЕБУЕТСЯ», «ДОЛЖЕН», «НЕ ДОЛЖЕН»,
   "СЛЕДУЕТ", "НЕ СЛЕДУЕТ", "РЕКОМЕНДУЕТСЯ", "МОЖЕТ" и "ДОПОЛНИТЕЛЬНО" в этом
   document должны интерпретироваться, как описано в RFC 2119 [RFC2119].Джокела и др. Экспериментальный [Страница 3] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


3. Использование ESP с HIP

   Базовый обмен HIP используется для установки ассоциации HIP между двумя
   хосты. Базовый обмен обеспечивает двустороннюю аутентификацию хоста и
   генерация ключевого материала, но не предоставляет никаких средств для
   защита передачи данных между хостами. В этом документе
   мы указываем использование ESP для защиты трафика пользовательских данных после
   Базовый обмен HIP.Обратите внимание, что такое использование ESP предназначено только для
   межхостовой трафик; шлюзы безопасности не поддерживаются.

   Для поддержки использования ESP базовые обменные сообщения HIP требуют некоторых незначительных
   дополнения к транспортируемым параметрам. В пакете R1
   Ответчик добавляет возможные преобразования ESP в новый ESP_TRANSFORM.
   перед отправкой его инициатору. Инициатор получает
   предлагаемых преобразований, выбирает одно из этих предложенных преобразований и
   добавляет его в пакет I2 в параметре ESP_TRANSFORM.В этом I2
   пакет, Инициатор также отправляет значение SPI, которое он хочет
   используется для трафика ESP, идущего от ответчика к инициатору.
   Эта информация передается с использованием нового параметра ESP_INFO. Когда
   завершая настройку ESP SA, ответчик отправляет значение SPI в
   Инициатор в пакете R2, снова используя ESP_INFO.

3.1. Формат пакета ESP

   Спецификация ESP [RFC4303] определяет формат пакета ESP для
   IPsec. Пакет HIP ESP выглядит точно так же, как пакет IPsec ESP.
   Пакет транспортного формата.Однако семантика немного другая.
   и более подробно описаны в следующем подразделе.

3.2. Концептуальная обработка пакетов ESP

   Обработка пакетов ESP может быть реализована в HIP по-разному.
   Его можно реализовать таким образом, чтобы он соответствовал стандартам,
   можно использовать немодифицированную реализацию IPsec [RFC4303].

   Когда совместимая со стандартами реализация IPsec, использующая IP
   используются адреса в базе данных SPD и Security Association (SAD),
   обработка пакета может выполнять следующие шаги.Для исходящих
   пакеты, предполагая, что псевдозаголовок верхнего уровня был создан
   используя IP-адреса, реализация пересчитывает верхний уровень
   контрольные суммы с использованием тегов идентификации хоста (HIT) и, после этого, изменения
   адреса источника и получателя пакета возвращаются к соответствующему IP-адресу
   адреса. Пакет отправляется в IPsec ESP для транспортного режима.
   обработки и оттуда зашифрованный пакет отправляется в сеть.
   Когда пакет ESP получен, он сначала помещается в IPsec.
   Обработка транспортного режима ESP, а после расшифровки источник и





Джокела и др.Экспериментальный [Страница 4] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   IP-адреса назначения заменяются HIT и, наконец,
   контрольные суммы уровня проверяются перед передачей пакета на верхний уровень.
   слой.

   Альтернативным способом реализации обработки пакетов является BEET (Bound
   Сквозной туннель) режим [ESP-BEET]. В режиме BEET пакет ESP
   отформатирован как пакет транспортного режима, но семантика
   соединения такие же, как и для туннельного режима.«Внешние» адреса
   пакет — это IP-адреса, а «внутренние» адреса — это
   Хиты. Для исходящего трафика после шифрования пакета
   IP-заголовок пакета меняется на новый, содержащий IP-адреса.
   вместо HIT, и пакет отправляется в сеть. Когда ESP
   пакет получен, значение SPI вместе с целостностью
   защиты, позволяют безопасно связать пакет с правом
   ХИТ пара. Заголовок пакета заменяется новым заголовком, содержащим
   HIT, и пакет расшифровывается.3.2.1. Семантика индекса параметров безопасности (SPI)

   SPI используются в ESP, чтобы найти правильную ассоциацию безопасности для
   полученные пакеты. SPI ESP имеют дополнительное значение при использовании
   с бедрами; они представляют собой сжатое представление пары HIT.
   Таким образом, SPI МОГУТ использоваться промежуточными системами при предоставлении услуг.
   например сопоставление адресов. Обратите внимание, что, поскольку SPI имеет значение в
   приемник, только , где DST - IP-адрес назначения
   адрес, однозначно идентифицирует приемник HIT в любой заданной точке
   время.Одно и то же значение SPI может использоваться несколькими хостами. Один
   Значение  может обозначать разные хосты и контексты на
   разные моменты времени, в зависимости от хоста, который в данный момент
   достижимый в DST.

   Каждый хост выбирает для себя тот SPI, который он хочет видеть в пакетах.
   получил от своего сверстника. Это позволяет ему выбирать различные SPI для
   разные сверстники. Выбор SPI ДОЛЖЕН быть случайным; правила
   Необходимо соблюдать раздел 2.1 спецификации ESP [RFC4303].А
   СЛЕДУЕТ использовать разные SPI для каждого обмена HIP с определенным
   хозяин; это делается для того, чтобы избежать повторной атаки. Кроме того, когда хост
   rekeys, SPI НЕОБХОДИМО изменить. Кроме того, если хост меняется через
   чтобы использовать другой IP-адрес, он МОЖЕТ изменить SPI.

   Один из методов создания SPI, отвечающих вышеуказанным критериям, заключается в следующем:
   объединить HIT с 32-битным случайным или последовательным числом, хэшем
   это (используя SHA1), а затем использовать старшие 32 бита в качестве SPI.

   Выбранный SPI передается партнеру в третьем (I2) и
   четвертый (R2) пакет базового обмена HIP.Изменения в SPI
   сообщается с параметрами ESP_INFO.




Джокела и др. Экспериментальный [Страница 5] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


3.3. Создание и обслуживание Ассоциации безопасности

3.3.1. Ассоциации безопасности ESP

   В HIP сопоставления безопасности ESP устанавливаются между узлами HIP.
   во время базового обмена [RFC5201]. Существующие ESP SA могут быть обновлены
   позже, используя сообщения UPDATE. Причина обновления ESP SA
   позже может быть, например, необходимость смены ключа SA из-за
   перенос порядкового номера.При настройке ассоциации HIP каждая ассоциация связана с двумя
   ESP SA, один для входящих пакетов и один для исходящих пакетов.
   Входящий SA Инициатора соответствует исходящему SA Ответчика.
   один, и наоборот. Инициатор определяет SPI для своего входящего
   ассоциации, как определено в Разделе 3.2.1. Эта SA называется здесь
   SA-RI, а соответствующий SPI называется SPI-RI. Соответственно,
   Входящая SA ответчика соответствует исходящей SA инициатора
   и называется SA-IR, а SPI называется SPI-IR.Инициатор создает SA-RI как часть обработки R1, прежде чем
   отправка I2, как описано в Разделе 6.4. Ключи
   производным от KEYMAT, как определено в Разделе 7. Ответчик создает
   SA-RI как часть обработки I2; см. раздел 6.5.

   Ответчик создает SA-IR как часть обработки I2, прежде чем
   отправка R2; см. раздел 6.5. Инициатор создает SA-IR, когда
   обработка R2; см. раздел 6.6.

   Начальные сеансовые ключи извлекаются из сгенерированного ключа.
   материал, KEYMAT, после того, как ключи HIP были нарисованы, как указано в
   [RFC5201].Когда ассоциация HIP удалена, соответствующие ESP SA также ДОЛЖНЫ быть удалены.
   удаленный.

3.3.2. Смена ключей

   После первоначального базового обмена HIP и установления SA оба хоста
   находятся в состоянии ESTABLISHED. Больше нет Инициатора и
   Роли респондентов и ассоциация симметричны. В этом
   подразделе, сторона, которая инициирует процедуру смены ключа, обозначается
   с I' и сверстник с R'.

   Существующая созданная HIP ESP SA может нуждаться в обновлении в течение срока службы.
   ассоциации ХИП.Этот документ определяет изменение ключа
   существующую созданную HIP ESP SA с помощью сообщения UPDATE. ESP_INFO
   для этого используется введенный выше параметр.




Джокела и др. Экспериментальный [Страница 6] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   При необходимости инициирует процесс обновления ESP SA (см.
   раздел 6.8). Он создает пакет UPDATE с необходимой информацией
   и отправляет его на равноправный узел.Старые SA все еще используются, местные
   политика позволяет.

   R', после получения и обработки ОБНОВЛЕНИЯ (см. Раздел 6.9),
   генерирует новые SA: SA-I'R' и SA-R'I'. Он не принимает новый
   используется исходящий SA, но по-прежнему использует старый, поэтому
   временно существуют две пары SA по отношению к одному и тому же одноранговому узлу. СПИ
   для нового исходящего SA SPI-R'I' указывается в полученном
   Параметр ESP_INFO в пакете UPDATE. Для нового входящего SA, R'
   генерирует новое значение SPI, SPI-I'R', и включает его в
   ответный пакет UPDATE.Когда I' получает ответ UPDATE от R', он генерирует новые SA, как
   описано в Разделе 6.9: SA-I'R' и SA-R'I'. Он начинает использовать
   новый исходящий SA немедленно.

   R' начинает использовать новую исходящую SA, когда получает трафик на
   новый входящий SA или когда он получает UPDATE ACK, подтверждающий
   завершение смены ключей. После этого R' может удалить старые SA.
   Точно так же, когда сервер получает трафик от нового входящего SA, он
   можно безопасно удалить старые SA.

3.3.3. Управление ассоциацией безопасности

   Пара SA индексируется двумя SPI и двумя HIT (как локальными, так и удаленными).
   HIT, поскольку в системе может быть более одного HIT).Таймер бездействия
   РЕКОМЕНДУЕТСЯ для всех SA. Если государство диктует удаление
   SA, установлен таймер, учитывающий любые опоздавшие пакеты.

3.3.4. Индекс параметров безопасности (SPI)

   SPI в ESP обеспечивают простое сжатие данных HIP со всех
   пакеты после обмена HIP. Для этого требуется HIT-пара
   Ассоциация безопасности (и SPI) и уменьшение детализации политики
   над другими протоколами управления ключами, такими как IKE.

   Когда хост обновляет ESP SA, он предоставляет новый входящий SPI и
   получает новый исходящий SPI от своего партнера.3.3.5. Поддерживаемые преобразования

   Все реализации HIP ДОЛЖНЫ поддерживать AES-CBC [RFC3602] и HMAC-SHA-
   1-96 [RFC2404]. Если Инициатор не поддерживает ни один из
   преобразования, предлагаемые ответчиком, он должен отказаться от
   согласование и информировать однорангового узла сообщением NOTIFY о не-
   поддерживаемое преобразование.



Джокела и др. Экспериментальный [Страница 7] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   В дополнение к AES-CBC все реализации ДОЛЖНЫ реализовывать ESP.
   Алгоритм шифрования NULL.64.

   При использовании 64-битного порядкового номера старшие 32 бита НЕ
   включены в заголовок ESP, но просто остаются локальными для обоих узлов.
   См. [RFC4301].

3.3.7. Время жизни и таймеры

   HIP не согласовывает никаких сроков службы. Все времена жизни ESP являются локальными
   политика. Единственные сроки жизни, которые ДОЛЖНА поддерживать реализация HIP, это
   перенос порядкового номера (для защиты от повторного воспроизведения) и СЛЕДУЕТ поддерживать
   тайм-аут неактивных ESP SA. Время ожидания SA истекает, если нет пакетов.
   полученный с использованием этого SA. Значение времени ожидания по умолчанию составляет 15 минут.Реализации МОГУТ поддерживать время жизни для различных преобразований ESP.
   Каждая реализация СЛЕДУЕТ реализовывать конфигурацию для каждого HIT
   тайм-аут бездействия, разрешающий статически настроенные ассоциации HIP
   чтобы оставаться в живых в течение нескольких дней, даже когда он неактивен.

3.4. Вопросы реализации IPsec и HIP ESP

   Когда HIP запускается на узле, где используется совместимый со стандартами IPsec,
   необходимо рассмотреть некоторые вопросы.

   Реализация HIP должна быть способна сосуществовать с другими IPsec.
   протоколы ключей.Когда реализация HIP выбирает значение SPI,
   это может привести к столкновению, если оно не реализовано должным образом. Чтобы избежать
   вероятность коллизии, реализация HIP ДОЛЖНА гарантировать, что
   значения SPI, используемые для HIP SA, не используются для IPsec или других SA,
   наоборот.

   Для исходящего трафика SPD или (скоординированные) SPD, если их два.
   (один для HIP и один для IPsec) ДОЛЖНЫ гарантировать, что пакеты, предназначенные для
   Обработка HIP получает SA с поддержкой HIP, и пакеты, предназначенные
   для обработки IPsec предоставляется SA с поддержкой IPsec.Затем SP ДОЛЖЕН
   быть привязанным к соответствующему SA, и пакеты, отличные от HIP, не будут обрабатываться
   этим СА. Данные исходят из сокета, который не использует HIP
   НЕ ДОЛЖЕН пересчитываться контрольная сумма (как описано в Разделе 3.2,



Джокела и др. Экспериментальный [Страница 8] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   параграф 2), и данные НЕ ДОЛЖНЫ передаваться SP или SA, созданным
   бедра.

   Входящие пакеты данных, использующие SA, не согласованные с HIP, ДОЛЖНЫ
   НЕ обрабатываться, как описано в Разделе 3.2, параграф 2. SPI
   идентифицирует правильный SA для расшифровки пакетов и ДОЛЖЕН использоваться
   чтобы определить, что пакет имеет контрольную сумму верхнего уровня, которая
   рассчитывается, как указано в [RFC5201].

4. Протокол

   В этом разделе протокол для настройки ассоциации ESP будет
   используется с ассоциацией HIP.

4.1. ESP в бедре

4.1.1. Настройка сопоставления безопасности ESP

   Настройка ассоциации безопасности ESP между хостами с использованием HIP
   состоит из трех сообщений, передаваемых между хостами.Параметры
   включаются в сообщения R1, I2 и R2 во время базового обмена.

                 Ответчик-инициатор

                                   I1
                   ---------------------------------->

                             R1: ESP_ТРАНСФОРМ
                   <---------------------------------

                       I2: ESP_TRANSFORM, ESP_INFO
                   ---------------------------------->

                               R2: ESP_INFO
                   <---------------------------------

   Для настройки ассоциации безопасности ESP между хостами HIP требуется
   три сообщения для обмена информацией, которая требуется во время
   Связь ЭСП.Сообщение R1 содержит параметр ESP_TRANSFORM, в котором
   отправляющий хост определяет возможные преобразования ESP, которые он готов использовать
   для ЕСП СА.

   Сообщение I2 содержит ответ на ESP_TRANSFORM, полученный в
   сообщение R1. Отправитель должен выбрать один из предложенных ESP
   преобразуется из параметра ESP_TRANSFORM в сообщении R1 и
   включить выбранный в параметре ESP_TRANSFORM в I2



Джокела и др. Экспериментальный [Страница 9] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   пакет.В дополнение к преобразованию хост включает в себя ESP_INFO
   параметр, содержащий значение SPI, которое будет использоваться одноранговым хостом.

   В сообщении R2 завершается настройка ESP SA. Пакет
   содержит информацию SPI, необходимую Инициатору для ESP
   СА.

4.1.2. Обновление существующей ESP SA

   Процесс обновления выполняется с использованием двух сообщений. БЕДРО
   Сообщение UPDATE используется для обновления параметров существующего ESP.
   СА. Механизм и сообщение UPDATE определены в [RFC5201], и
   дополнительные параметры для обновления существующей ESP SA:
   описано здесь.На следующем рисунке показан типичный обмен, когда существующий ESP
   СА обновляется. Сообщения включают параметры SEQ и ACK, требуемые
   механизм ОБНОВЛЕНИЯ.

       h2 h3
            ОБНОВЛЕНИЕ: SEQ, ESP_INFO [, DIFFIE_HELLMAN]
          -------------------------------------------------- --->

            ОБНОВЛЕНИЕ: SEQ, ACK, ESP_INFO [, DIFFIE_HELLMAN]
          <------------------------------------------------- ----

            ОБНОВЛЕНИЕ: ПОДТВЕРЖДЕНИЕ
          -------------------------------------------------- --->

   Хост, желающий обновить ESP SA, создает и отправляет UPDATE.
   сообщение.Сообщение содержит параметр ESP_INFO, содержащий
   старое значение SPI, которое использовалось, новое значение SPI, которое будет использоваться, и
   значение индекса для ключевого материала, указывающее точку, из которой
   будут нарисованы следующие ключи. Если необходимо создать новый ключевой материал,
   сообщение UPDATE также будет содержать параметр DIFFIE_HELLMAN
   определено в [RFC5201].

   Хост, получивший сообщение UPDATE с запросом на обновление
   существующий ESP SA ДОЛЖЕН ответить сообщением UPDATE. В ответ
   сообщение, хост отправляет параметр ESP_INFO, содержащий
   соответствующие значения: старый SPI, новый SPI и ключевой материал
   показатель.Если входящее ОБНОВЛЕНИЕ содержало параметр DIFFIE_HELLMAN,
   ответный пакет ДОЛЖЕН также содержать параметр DIFFIE_HELLMAN.

5. Форматы параметров и пакетов

   В этом разделе представлены новые и измененные параметры HIP, а также
   а также модифицированные пакеты HIP.



Джокела и др. Экспериментальный [Страница 10] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


5.1. Новые параметры

   Определены два новых параметра HIP для настройки транспорта ESP.
   ассоциаций форматов в HIP-коммуникациях и для смены ключей существующих
   те.Кроме того, параметр NOTIFY, описанный в [RFC5201], имеет два
   новые параметры ошибки.

      Тип параметра Длина Данные

      ESP_INFO 65 12 Старый SPI пульта,
                                         новый SPI и другая информация
      ESP_TRANSFORM 4095 переменная Шифрование ESP и
                                         Преобразование аутентификации

5.1.1. ESP_INFO

   Во время создания и обновления ESP SA значение SPI
   оба хоста должны передаваться между хостами.В течение
   установление и обновление ESP SA, значение SPI обоих хостов
   должны передаваться между хостами. Кроме того, хозяевам необходимо
   значение индекса в KEYMAT, когда они рисуют ключи из
   сгенерированный ключевой материал. Параметр ESP_INFO используется для
   передавать значения SPI и информацию индекса KEYMAT между
   хосты.

   Во время первоначальной настройки ESP SA хосты отправляют значение SPI, которое
   они хотят, чтобы одноранговый узел использовал их при отправке им данных ESP. Значение
   устанавливается в поле NEW SPI параметра ESP_INFO.в
   при начальной настройке старое значение SPI не существует, поэтому СТАРОЕ
   Поле значения SPI обнуляется. Значение поля СТАРЫЙ SPI также может быть
   ноль, когда между хостами HIP устанавливаются дополнительные SA, например, в случае
   многосетевых хостов HIP [RFC5206]. Однако такое использование выходит за рамки
   область применения данной спецификации.

   RFC 4301 [RFC4301] описывает, как установить несколько SA для
   должным образом поддерживать QoS. Если разные классы трафика (отличающиеся
   битами кодовой точки дифференцированных услуг (DSCP) [RFC3474],
   [RFC3260]) отправляются в одном и том же SA, и если получатель использует
   опциональной функции защиты от повторного воспроизведения, доступной в ESP, это может привести к
   в ненадлежащем отбрасывании пакетов с более низким приоритетом из-за
   оконный механизм, используемый этой функцией.Поэтому отправитель ДОЛЖЕН
   поставить трафик разных классов, но с одинаковыми значениями селектора
   различные SA для надлежащей поддержки качества обслуживания (QoS). К
   разрешать это, реализация ДОЛЖНА разрешать создание и
   поддержание нескольких SA между данным отправителем и получателем с
   те самые селекторы. Распределение трафика между этими параллельными SA
   для поддержки QoS локально определяется отправителем и не
   согласовано HIP. Получатель ДОЛЖЕН обрабатывать пакеты от



Джокела и др.Экспериментальный [Страница 11] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   различные СА без ущерба. Возможно, значение DSCP
   изменения в пути, но это не должно вызывать проблем в отношении
   Обработка IPsec, поскольку это значение не используется для выбора SA и
   НЕ ДОЛЖЕН проверяться как часть проверки SA/пакета.

   Значение индекса KEYMAT указывает на место в KEYMAT, откуда
   нарисован ключевой материал для ESP SA.Значение индекса KEYMAT
   равен нулю только тогда, когда ESP_INFO отправляется во время процесса смены ключей и
   генерируется новый ключевой материал.

   В течение срока действия SA, установленного HIP, один из хостов может
   необходимо сбросить порядковый номер на единицу и повторно ввести ключ. Причина для
   изменение ключа может быть приближением переноса порядкового номера в ESP или
   локальная политика по использованию ключа. Смена ключей завершает текущие SA и
   запускает новые на обоих узлах.

   В процессе смены ключей параметр ESP_INFO используется для
   передавать измененные значения SPI и индекс ключевого материала.0 1 2 3
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
     | Тип | Длина |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
     | Зарезервировано | Индекс KEYMAT |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
     | СТАРЫЙ СПИ |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
     | НОВЫЙ СПИ |
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

     Тип 65
     Длина 12
     KEYMAT Index Индекс в байтах, где продолжать рисовать ключи ESP
                    от КЕЙМАТ.Если пакет включает новый
                    Ключ Диффи-Хеллмана и ESP_INFO отправляются в
                    UPDATE, поле ДОЛЖНО быть равно нулю. Если
                    ESP_INFO включается в базовые сообщения обмена,
                    Индекс KEYMAT должен иметь значение индекса точки
                    откуда нарисованы ключи ESP SA. Обратите внимание, что
                    длина этого поля ограничивает количество
                    ключевой материал, который можно взять из KEYMAT.Если
                    эта сумма превышена, пакет ДОЛЖЕН содержать
                    новый ключ Диффи-Хеллмана.
     СТАРЫЙ SPI старый SPI для данных, отправляемых на связанный(е) адрес(а)
                    с этим СА. Если это первоначальная настройка SA,
                    СТАРОЕ значение SPI равно нулю.




Джокела и др. Экспериментальный [Страница 12] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


     NEW SPI новый SPI для данных, отправляемых на связанный(е) адрес(а)
                    с этим СА.5.1.2. ESP_TRANSFORM

   Параметр ESP_TRANSFORM используется во время установления ESP SA.
   первая сторона отправляет выборку семейств преобразований в
   ESP_TRANSFORM, и партнер должен выбрать один из предложенных
   значения и включить его в параметр ответа ESP_TRANSFORM.

       0 1 2 3
       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
      | Тип | Длина |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
      | Зарезервировано | Идентификатор люкса №1 |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
      | Идентификатор люкса № 2 | Идентификатор люкса № 3 |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
      | Идентификатор набора #n | Прокладка |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

         Тип 4095
         Длина Длина в октетах, исключая Тип, Длина и
                        набивка
         Зарезервировано ноль при отправке, игнорируется при получении
         Идентификатор пакета определяет используемый пакет ESP.

   Следующие идентификаторы Suite определены в RFC 5201 [RFC5201]:

            Значение идентификатора набора

            ЗАРЕЗЕРВИРОВАНО 0
            AES-CBC с HMAC-SHA1 1
            3DES-CBC с HMAC-SHA1 2
            3DES-CBC с HMAC-MD5 3
            BLOWFISH-CBC с HMAC-SHA1 4
            NULL с HMAC-SHA1 5
            НУЛЕВОЕ с HMAC-MD5 6

   Отправитель параметра преобразования ESP ДОЛЖЕН убедиться, что
   не более шести (6) Suite ID в одном параметре преобразования ESP.И наоборот, получатель ДОЛЖЕН быть готов к обработке полученного транспорта.
   параметры, содержащие более шести Suite ID. Ограниченное количество
   Suite ID устанавливает максимальный размер параметра ESP_TRANSFORM.
   В качестве конфигурации по умолчанию параметр ESP_TRANSFORM ДОЛЖЕН





Джокела и др. Экспериментальный [Страница 13] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   содержать по крайней мере один из обязательных идентификаторов Suite.МОЖЕТ быть
   параметр конфигурации, который позволяет администратору переопределить этот
   По умолчанию.

   Обязательные реализации: AES-CBC с HMAC-SHA1 и NULL с HMAC-
   ША1.

   При некоторых условиях возможно использование Traffic Flow
   Конфиденциальность (TFC) [RFC4303] с ESP в режиме BEET. Однако
   определение такой операции является будущей работой и должно быть выполнено в
   отдельная спецификация.

5.1.3. УВЕДОМЛЕНИЕ Параметр

   Базовая спецификация HIP определяет набор типов ошибок NOTIFY.
   следующие типы ошибок необходимы для описания ошибок в ESP
   Преобразуйте наборы криптографии во время переговоров.

         ПАРАМЕТР УВЕДОМЛЕНИЯ - ТИПЫ ОШИБОК Значение
         ------------------------------ -----

         NO_ESP_PROPOSAL_CHOSEN 18

            Ни один из предложенных криптопакетов ESP Transform не был
            приемлемо.

         INVALID_ESP_TRANSFORM_CHOSEN 19

            Крипто-пакет ESP Transform не соответствует
            один, предложенный Ответчиком.5.2. Настройка сопоставления безопасности HIP ESP

   Ассоциация безопасности ESP устанавливается во время базового обмена.
   В следующих подразделах определяется процедура настройки ESP SA с использованием как
   сообщения базового обмена (R1, I2, R2) и сообщения UPDATE.

5.2.1. Настройка во время базового обмена

5.2.1.1. Модификации в R1

   ESP_TRANSFORM содержит режимы ESP, поддерживаемые отправителем, в
   порядок предпочтения. Все реализации ДОЛЖНЫ поддерживать AES-CBC
   [RFC3602] с HMAC-SHA-1-96 [RFC2404].






Джокела и др.Экспериментальный [Страница 14] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   На следующем рисунке показан результирующий макет пакета R1.

      Параметры HIP для пакета R1:

      IP ( HIP ( [ R1_COUNTER, ]
                 ГОЛОВОЛОМКА,
                 ДИФФИ_ХЕЛЛМАН,
                 HIP_TRANSFORM,
                 ESP_ТРАНСФОРМ,
                 HOST_ID,
                 [ECHO_REQUEST,]
                 HIP_SIGNATURE_2 )
                 [, ECHO_REQUEST])

5.2.1.2. Изменения в I2

   ESP_INFO также содержит SPI отправителя для этой ассоциации.
   в качестве индекса KEYMAT, откуда будут нарисованы ключи ESP SA.
   старое значение SPI установлено равным нулю.

   ESP_TRANSFORM содержит режим ESP, выбранный отправителем R1.
   Все реализации ДОЛЖНЫ поддерживать AES-CBC [RFC3602] с HMAC-SHA-1-96.
   [RFC2404].

   На следующем рисунке показана результирующая структура пакета I2.

      Параметры HIP для пакета I2:

      IP ( HIP ( ESP_INFO,
                 [R1_COUNTER,]
                 РЕШЕНИЕ,
                 ДИФФИ_ХЕЛЛМАН,
                 HIP_TRANSFORM,
                 ESP_ТРАНСФОРМ,
                 ЗАШИФРОВАН {HOST_ID},
                 [ЭХО_ОТВЕТ,]
                 ХМАЦ,
                 HIP_SIGNATURE
                 [, ECHO_RESPONSE] ))

5.2.1.3. Модификации в R2

   R2 содержит параметр ESP_INFO, который имеет значение SPI
   отправитель R2 для этой ассоциации. ESP_INFO также имеет
   Значение индекса KEYMAT, указывающее, где отрисовываются ключи ESP SA.






Джокела и др. Экспериментальный [Страница 15] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   На следующем рисунке показан получившийся макет пакета R2.

      Параметры HIP для пакета R2:

      IP ( HIP (ESP_INFO, HMAC_2, HIP_SIGNATURE))

5.3. Изменение ключа HIP ESP

   В этом разделе описана процедура изменения ключа существующей ESP SA.
   представлены.

   Концептуально процесс можно представить следующим сообщением
   последовательность с использованием имен хостов I' и R', определенных в Разделе 3.3.2.
   Для простоты HMAC и HIP_SIGNATURE не показаны.
   Ключи DIFFIE_HELLMAN необязательны. ОБНОВЛЕНИЕ с ACK_I не обязательно
   в сочетании с ОБНОВЛЕНИЕМ с SEQ_R; это может быть подтверждено отдельно
   (в этом случае последовательность будет включать четыре пакета).я 'р'

                 ОБНОВЛЕНИЕ (ESP_INFO, SEQ_I, [DIFFIE_HELLMAN])
            ----------------------------------->
                 ОБНОВЛЕНИЕ (ESP_INFO, SEQ_R, ACK_I, [DIFFIE_HELLMAN])
            <-----------------------------------
                 ОБНОВЛЕНИЕ(ACK_R)
            ----------------------------------->

   Ниже объясняются первые два пакета на этом рисунке.

5.3.1. Инициализация смены ключей

   Когда HIP используется с ESP, пакет UPDATE используется для инициации
   смена ключей.Пакет UPDATE ДОЛЖЕН содержать ESP_INFO и МОЖЕТ содержать
   Параметр DIFFIE_HELLMAN.

   Промежуточные системы, использующие SPI, должны будут проверять HIP.
   пакеты для тех, которые несут информацию о смене ключей. Пакет
   подписано в пользу промежуточных систем. С
   промежуточным системам могут потребоваться новые значения SPI, содержимое не может
   быть зашифрованным.











Джокела и др. Экспериментальный [Страница 16] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   На следующем рисунке показано содержимое инициализации смены ключей.
   пакет ОБНОВЛЕНИЕ.Параметры HIP для пакета UPDATE, инициирующего смену ключей:

      IP ( HIP ( ESP_INFO,
                 ПОСЛ.,
                 [DIFFIE_HELLMAN, ]
                 ХМАЦ,
                 HIP_SIGNATURE ))

5.3.2. Ответ на инициализацию смены ключей

   UPDATE ACK используется для подтверждения полученного изменения ключа UPDATE.
   инициализация. Пакет подтверждения UPDATE ДОЛЖЕН содержать
   ESP_INFO и МОЖЕТ содержать параметр DIFFIE_HELLMAN.

   Промежуточные системы, использующие SPI, должны будут проверять HIP.
   пакеты для пакетов, несущих информацию о смене ключей.Пакет
   подписано в пользу промежуточных систем. С
   промежуточным системам могут потребоваться новые значения SPI, содержимое не может
   быть зашифрованным.

   На следующем рисунке показано содержимое подтверждения смены ключа.
   пакет ОБНОВЛЕНИЕ.

      Параметры HIP для пакета UPDATE:

      IP ( HIP ( ESP_INFO,
                 ПОСЛ.,
                 АКК,
                 [ДИФФИ_ХЕЛЛМАН, ]
                 ХМАЦ,
                 HIP_SIGNATURE ))

5.4. ICMP-сообщения

   Обработка сообщений ICMP в основном описана в базе HIP.
   спецификация [RFC5201].В этом разделе мы описываем действия
   связанные с ассоциациями безопасности ESP.

5.4.1. Неизвестный SPI

   Если реализация HIP получает пакет ESP с
   нераспознанный номер SPI, он МОЖЕТ ответить (при условии ограничения скорости
   ответы) с пакетом ICMP с типом «Проблема с параметром», с
   указатель, указывающий на начало поля SPI в заголовке ESP.




Джокела и др. Экспериментальный [Страница 17] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


6.Пакетная обработка

   Обработка пакетов в основном определяется в базовой спецификации HIP.
   [RFC5201]. В этом разделе описаны изменения и новые требования
   для обработки пакетов, когда используется транспортный формат ESP. Обратите внимание, что
   все пакеты HIP (в настоящее время протокол 253) ДОЛЖНЫ обходить обработку ESP.

6.1. Обработка исходящих данных приложения

   Обработка исходящих данных приложения указана в базе HIP
   спецификация [RFC5201]. Когда используется транспортный формат ESP и
   существует активный сеанс HIP для данного <источника, места назначения>
   Пара HIT, исходящая дейтаграмма защищена с помощью безопасности ESP.
   ассоциация.В типичной реализации это приведет к
   Отправляется пакет ESP в режиме BEET. Введен BEET-режим [ESP-BEET]
   выше в разделе 3.2. Следующие дополнительные шаги определяют
   концептуальные правила обработки исходящих дейтаграмм, защищенных ESP.

   1. Определите правильную ESP SA, используя HIT в заголовке пакета или
       другая информация, связанная с пакетом

   2. Обработайте пакет в обычном режиме, как если бы SA был транспортным режимом.
       СА.

   3. Убедитесь, что исходящий пакет, защищенный ESP, имеет правильный IP-адрес.
       формат заголовка в зависимости от используемого семейства IP-адресов и правильного
       IP-адреса в его IP-заголовке, например.г., заменив HIT, оставленные на
       обработка ЭСП. Обратите внимание, что это размещение правильного IP
       адреса МОГУТ также выполняться в какой-либо другой точке стека,
       например, перед обработкой ESP.

6.2. Обработка входящих данных приложения

   Входящие пакеты пользовательских данных HIP поступают как защищенные пакеты ESP. В
   в обычном случае принимающий хост имеет соответствующую защиту ESP
   ассоциация, определяемая SPI и IP-адресом назначения в
   пакет. Однако, если хост вышел из строя или иным образом потерял свой HIP
   состояние, у него может не быть такого SA.Базовая обработка входящих данных указана в базе HIP
   Технические характеристики. Дополнительные шаги требуются, когда ESP используется для
   защита трафика данных. Следующие шаги определяют
   концептуальные правила обработки входящих дейтаграмм, защищенных ESP
   нацелен на ассоциацию безопасности ESP, созданную с помощью HIP.

   1. Определите правильный ESP SA с помощью SPI. Если полученный SA является
       не-HIP ESP SA, обрабатывать пакет в соответствии со стандартом IPsec
       правила. Если нет SA, идентифицированных с помощью SPI, хост МОЖЕТ



Джокела и др.Экспериментальный [Страница 18] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


       отправить пакет ICMP, как определено в Разделе 5.4. Как обращаться
       потерянное состояние является проблемой реализации.

   2. Если SPI совпадает с активной ESP SA на основе HIP, IP
       адреса в дейтаграмме заменяются HIT, связанными
       с СПИ. Обратите внимание, что этот шаг преобразования IP-адреса в HIT
       МОЖЕТ также выполняться в какой-либо другой точке стека, например.грамм.,
       после обработки ЭСП. Также обратите внимание, что если входящий пакет имеет
       IPv4-адреса, пакет необходимо преобразовать в формат IPv6.
       перед заменой адресов на HIT (такие, что
       контрольная сумма пройдет, если ошибок нет).

   3. Затем преобразованный пакет обрабатывается ESP в обычном режиме, как если бы
       пакет был пакетом транспортного режима. Пакет может быть
       сбросил ESP, как обычно. В типичной реализации
       результатом успешной расшифровки и проверки ESP является
       дейтаграмма со связанными HIT в качестве источника и получателя.4. Дейтаграмма доставляется на верхний уровень. Демультиплексирование
       дейтаграмма в правый сокет верхнего уровня выполняется как обычно,
       за исключением того, что HIT используются вместо IP-адресов во время
       демультиплексирование.

6.3. Расчет и проверка HMAC и SIGNATURE

   Новые параметры HIP, описанные в этом документе, ESP_INFO и
   ESP_TRANSFORM, должен быть защищен с помощью HMAC и подписи
   расчеты. В типичной реализации они включены в R1,
   Расчеты HMAC и SIGNATURE пакетов I2, R2 и UPDATE, как
   описано в [RFC5201].6.4. Обработка входящей инициализации ESP SA (R1)

   Настройка ESP SA инициализируется в сообщении R1. прием
   хост (инициатор) выбирает одно из преобразований ESP из представленных
   значения. Если подходящее значение не найдено, согласование
   прекращено. Выбранные значения впоследствии используются при
   генерации и использования ключей шифрования, а также при отправке ответа
   пакет. Если предложенные альтернативы неприемлемы для
   системы, он может отказаться от переговоров об установлении ESP SA или
   может повторно отправить сообщение I1 в пределах повторных попыток.После выбора преобразования ESP и выполнения другой обработки R1,
   система подготавливает и создает входящую ассоциацию безопасности ESP.
   Он также может подготовить ассоциацию безопасности для исходящего трафика, но
   поскольку у него еще нет правильного значения SPI, он не может активироваться
   Это.




Джокела и др. Экспериментальный [Страница 19] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


6.5. Обработка входящего ответа инициализации (I2)

   Следующие шаги необходимы для обработки входящего ESP SA.
   ответы инициализации в I2.В приведенных ниже шагах предполагается, что I2
   был принят в обработку (например, не был удален из-за HIT
   сравнения, как описано в [RFC5201]).

   o Параметр ESP_TRANSFORM проверен и ДОЛЖЕН содержать
      единственное значение в параметре, и оно ДОЛЖНО соответствовать одному из значений
      предлагается в пакете инициализации.

   o Поле ESP_INFO NEW SPI анализируется для получения SPI, который будет
      использоваться для сопоставления безопасности, исходящего от ответчика
      и входящие к Инициатору.Для этого начального ESP SA
      учреждении, старое значение SPI ДОЛЖНО быть равно нулю. Индекс KEYMAT
      Поле ДОЛЖНО содержать значение индекса для KEYMAT, откуда
      Ключи ESP SA нарисованы.

   o Система подготавливает и создает как входящие, так и исходящие ESP
      ассоциации безопасности.

   o После успешной обработки ответного сообщения инициализации
      возможные старые ассоциации безопасности (оставшиеся от
      более раннее воплощение ассоциации HIP) отбрасываются, а
      устанавливаются новые и отправляется завершающий пакет R2.Возможные продолжающиеся попытки смены ключей отбрасываются.

6.6. Обработка входящего завершения установки ESP SA (R2)

   Перед завершением ESP SA поле ESP_INFO NEW SPI заполняется.
   анализируется для получения SPI, который будет использоваться для безопасности ESP.
   Ассоциация, входящая к отправителю сообщения завершения R2.
   Система использует этот SPI для создания или активации исходящего ESP.
   ассоциация безопасности, используемая для отправки пакетов узлу.

6.7. Удаление HIP-ассоциаций

   Когда система отбрасывает ассоциацию HIP, как описано в базе данных HIP.
   спецификации, связанные ESP SA также ДОЛЖНЫ быть удалены.6.8. Инициирование смены ключей ESP SA

   Во время смены ключей ESP SA хосты извлекают новые ключи из существующих.
   ключевой материал или новый ключевой материал генерируется из того места, где
   нарисованы новые ключи.

   Система может инициировать процедуру смены ключей SA в любое время. Это должно
   инициировать повторный ключ, если его входящий счетчик последовательности ESP вот-вот



Джокела и др. Экспериментальный [Страница 20] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   переполнение.Система НЕ ДОЛЖНА заменять ключевой материал до тех пор, пока
   обмен пакетами с повторным вводом успешно завершен.

   Опционально система может включать новый ключ Диффи-Хеллмана для использования в
   новое поколение KEYMAT. Новое поколение KEYMAT происходит перед рисованием
   новые ключи.

   Процедура смены ключей использует механизм UPDATE, определенный в
   [RFC5201]. Потому что каждый пир должен обновить свою половину безопасности
   пара ассоциаций (включая создание нового SPI), процесс смены ключей
   требует, чтобы каждая сторона отправляла и получала ОБНОВЛЕНИЕ.Система
   затем изменит ключ ESP SA, когда он отправит параметры узлу
   и получил как ACK соответствующего сообщения UPDATE, так и
   соответствующие параметры пира. Возможно, ACK и
   требуемые параметры HIP поступают в разных сообщениях UPDATE. Это
   всегда верно, если система не инициирует обновление ESP SA, а отвечает
   на запрос обновления от партнера, а также может произойти, если две системы
   инициировать обновление почти одновременно. В таком случае, если система
   имеет невыполненный запрос на обновление, он сохраняет один параметр и
   ждет другого, прежде чем завершить смену ключей.Следующие шаги определяют правила обработки для инициирования ESP.
   Обновление SA:

   1. Система решает, следует ли продолжать использовать существующий KEYMAT
       или создать новый KEYMAT. В последнем случае система ДОЛЖНА
       сгенерировать новый открытый ключ Диффи-Хеллмана.

   2. Система создает пакет UPDATE, содержащий ESP_INFO.
       параметр. Кроме того, хост может включать необязательный
       Параметр DIFFIE_HELLMAN. Если ОБНОВЛЕНИЕ содержит
       Параметр DIFFIE_HELLMAN, индекс KEYMAT в ESP_INFO
       параметр ДОЛЖЕН быть равен нулю, а идентификатор группы Диффи-Хеллмана должен быть
       не изменился по сравнению с тем, что использовался при первоначальном рукопожатии.Если ОБНОВЛЕНИЕ
       не содержит DIFFIE_HELLMAN, индекс ESP_INFO KEYMAT ДОЛЖЕН
       быть больше или равно индексу следующего байта
       взято из текущего KEYMAT.

   3. Система отправляет пакет UPDATE. Для надежности,
       НЕОБХОДИМО использовать базовый механизм повторной передачи UPDATE.

   4. Система НЕ ДОЛЖНА удалять свои существующие SA, но продолжать использовать
       их, если его политика все еще позволяет. Процедура смены ключей ДОЛЖНА
       быть инициирован достаточно рано, чтобы убедиться, что воспроизведение SA
       счетчики не переполняются.5. В случае возникновения ошибки протокола и подтверждения партнерской системой
       UPDATE, но сама не отправляет ESP_INFO, система может



Джокела и др. Экспериментальный [Страница 21] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


       не завершать невыполненный запрос на обновление ESP SA. Охранять
       против этого система МОЖЕТ повторно инициировать обновление ESP SA.
       процедура после некоторого времени ожидания ответа узла, или она
       МОЖЕТ принять решение о прекращении ESP SA после ожидания
       время, зависящее от реализации.Система НЕ ДОЛЖНА сохранять
       невыполненный запрос на обновление ESP SA в течение неопределенного времени.

   Чтобы упростить конечный автомат, хост НЕ ДОЛЖЕН генерировать новые ОБНОВЛЕНИЯ.
   пока у него есть ожидающий запрос на обновление ESP SA, если только он не
   перезапустить процесс обновления.

6.9. Обработка входящих пакетов UPDATE

   Когда система получает пакет UPDATE, он должен быть обработан, если
   выполняются следующие условия (в дополнение к общим условиям
   указано для обработки UPDATE в разделе 6.12 [RFC5201]):

   1.Должна существовать соответствующая ассоциация HIP. Обычно это
       обеспечивается базовым механизмом UPDATE.

   2. Состояние ассоциации HIP — ESTABLISHED или R2-SENT.

   Если вышеуказанные условия выполняются, следующие шаги определяют
   концептуальные правила обработки для обработки полученного пакета UPDATE:

   1. Если полученное UPDATE содержит параметр DIFFIE_HELLMAN,
       полученный индекс KEYMAT ДОЛЖЕН быть равен нулю, а идентификатор группы должен соответствовать
       идентификатор группы, используемый в ассоциации.Если этот тест не пройден,
       пакет ДОЛЖЕН быть отброшен, и система ДОЛЖНА зарегистрировать ошибку
       сообщение.

   2. Если нет ожидающих запросов на смену ключей, пакет
       обработка продолжается, как указано в Разделе 6.9.1.

   3. Если есть ожидающий запрос на изменение ключа, ОБНОВЛЕНИЕ ДОЛЖНО быть
       подтверждено, полученный ESP_INFO (и, возможно, DIFFIE_HELLMAN)
       параметры должны быть сохранены, и обработка пакета продолжается, как
       указанный в разделе 6.10.

6.9.1. Обработка пакета UPDATE: нет необработанных запросов на смену ключей

   Следующие шаги определяют правила концептуальной обработки для
   обработка полученного пакета UPDATE с параметром ESP_INFO:

   1.Система консультируется со своей политикой, чтобы увидеть, нужно ли ей генерировать
       новый ключ Диффи-Хеллмана и генерирует новый ключ (с той же группой
       удостоверение личности) при необходимости. Система записывает любые вновь созданные или




Джокела и др. Экспериментальный [Страница 22] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


       получил ключи Диффи-Хеллмана для использования в генерации KEYMAT после
       завершение обновления ESP SA.

   2. Если система сгенерировала новый ключ Диффи-Хеллмана в предыдущем
       шаг или, если он получил параметр DIFFIE_HELLMAN, он устанавливает
       ESP_INFO KEYMAT Индекс равен нулю.В противном случае ESP_INFO KEYMAT
       Индекс ДОЛЖЕН быть больше или равен индексу следующего байта
       будет взят из текущего KEYMAT. В данном случае это
       РЕКОМЕНДУЕТСЯ, чтобы хост использовал индекс KEYMAT, запрошенный
       peer в полученном ESP_INFO.

   3. Система создает пакет UPDATE, содержащий ESP_INFO.
       и необязательный параметр DIFFIE_HELLMAN. Это ОБНОВЛЕНИЕ
       также обычно подтверждает ОБНОВЛЕНИЕ партнера с помощью ACK
       параметр, хотя может быть отправлен отдельный UPDATE ACK.4. Система отправляет пакет UPDATE и сохраняет все полученные
       Параметры ESP_INFO и DIFFIE_HELLMAN. В этот момент только
       необходимо получить подтверждение для вновь отправленного UPDATE на
       завершить обновление ESP SA. В обычном случае подтверждение
       обрабатывается базовым механизмом UPDATE.

6.10. Завершение смены ключей

   Система завершает смену ключей, когда она оба получила
   соответствующий пакет подтверждения UPDATE от однорангового узла, и он
   успешно получил ОБНОВЛЕНИЕ партнера.Следующие шаги
   взятый:

   1. Если полученные сообщения UPDATE содержат новый ключ Диффи-Хеллмана,
       в системе появился новый ключ Диффи-Хеллмана из-за запуска ESP SA
       update, или и то, и другое, система генерирует новый KEYMAT. Если есть
       только один новый ключ Диффи-Хеллмана, старый существующий ключ используется как
       другой ключ.

   2. Если система сгенерировала новый KEYMAT на предыдущем шаге, он
       устанавливает индекс KEYMAT равным нулю, независимо от того,
       полученное ОБНОВЛЕНИЕ включало ключ Диффи-Хеллмана или нет.Если
       система не генерировала новый KEYMAT, она использует больший KEYMAT
       Индекс двух (отправленных и полученных) параметров ESP_INFO.

   3. Система рисует ключи для новых входящих и исходящих ESP SA,
       начиная с индекса KEYMAT, и подготавливает новые входящие и
       исходящие ESP SA. SPI для исходящего SA — это новый SPI.
       значение, полученное в параметре ESP_INFO. SPI для
       входящий SA был сгенерирован, когда ESP_INFO был отправлен узлу.
       Порядок ключей, извлеченных из KEYMAT во время
       Процесс смены ключей аналогичен описанному в Разделе 7.Джокела и др. Экспериментальный [Страница 23] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


       Обратите внимание, что во время смены ключей извлекаются только ключи IPsec ESP.
       процесс, а не ключи HIP.

   4. Система начинает отправлять в новый исходящий SA и готовится к отправке.
       начать получать данные о новом входящем SA. Как только система
       получает данные о новом входящем SA, он может безопасно удалить
       старые СА.6.11. Обработка пакетов NOTIFY

   Обработка пакетов NOTIFY описана в базе HIP.
   Технические характеристики.

7. Ключевой материал

   Ключевой материал создается, как описано в базе HIP.
   Технические характеристики. Во время базового обмена рисуются начальные ключи
   из созданного материала. После того, как ключи ассоциации HIP
   нарисованы, клавиши ESP рисуются в следующем порядке:

      Ключ шифрования SA-gl ESP для исходящего трафика HOST_g

      Ключ аутентификации SA-gl ESP для исходящего трафика HOST_g

      Ключ шифрования SA-lg ESP для исходящего трафика HOST_l

      Ключ аутентификации SA-lg ESP для исходящего трафика HOST_l

   HOST_g обозначает хост с большим значением HIT, а HOST_l
   обозначает хост с более низким значением HIT.Когда значения HIT
   по сравнению, они интерпретируются как положительные (беззнаковые) 128-битные
   целые числа в сетевом порядке байтов.

   Четыре клавиши HIP извлекаются из KEYMAT только во время HIP I1->R2.
   обмен. Последующие повторные ключи с использованием UPDATE будут отображать только четыре ESP.
   ключи от KEYMAT. Раздел 6.9 описывает правила повторного использования или
   регенерация KEYMAT на основе смены ключей.

   Количество битов, отбираемых для данного алгоритма, является «естественным» размером.
   ключей. Для обязательных алгоритмов следующие размеры
   применять:

   AES 128 бит

   SHA-1 160 бит

   NULL 0 бит




Джокела и др.Экспериментальный [Страница 24] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


8. Вопросы безопасности

   В этом документе использование ESP [RFC4303] между хостами HIP для
   вводится защита трафика данных. Вопросы безопасности для
   ESP обсуждаются в спецификации ESP.

   Существуют разные способы создания ассоциации безопасности ESP.
   между двумя узлами. Это можно сделать, например, с помощью IKE [RFC4306].Этот документ определяет, как протокол идентификации хоста используется для
   установить ассоциации безопасности ESP.

   Следующие проблемы являются новыми или изменились по сравнению со стандартным ESP.
   Применение:

   o Первоначальная генерация ключевого материала

   o Обновление ключевого материала

   Исходный ключевой материал генерируется с использованием Host Identity.
   Протокол [RFC5201] с использованием процедуры Диффи-Хеллмана. Этот документ
   расширяет использование пакета UPDATE, определенного в базе
   спецификации, чтобы изменить существующие ESP SA.Хозяева могут сменить ключ,
   т. е. принудительно сгенерировать новый ключевой материал с помощью Diffie-
   Процедура Хеллмана. Первоначальная настройка ESP SA между хостами
   делается во время базового обмена, а обмен сообщениями защищен
   используя методы, предоставляемые базовым обменом. Изменения в связи
   означает, что старая ESP SA удаляется, а новая
   один генерируется после завершения обмена сообщениями UPDATE.
   Обмен сообщениями защищен с помощью ассоциативных ключей HIP.Используется как HMAC, так и подпись пакетов.

9. Соображения IANA

   Этот документ определяет дополнительные параметры и типы ошибок NOTIFY.
   для протокола идентификации хоста [RFC5201].

   Новые параметры и номера их типов определены в
   Раздел 5.1.1 и Раздел 5.1.2, и они были добавлены в
   Пространство имен Parameter Type указано в [RFC5201].

   Новые типы ошибок NOTIFY и их значения определены в
   Раздел 5.1.3, и они были добавлены к типу сообщения уведомления.
   пространство имен, указанное в [RFC5201].Джокела и др. Экспериментальный [Страница 25] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


10. Благодарности

   Этот документ был отделен от базы «Протокол идентификации хоста».
   спецификации в начале 2005 года. С тех пор ряд
   люди внесли свой вклад в текст, предоставив комментарии и
   предложения по модификации. В список людей входят Том Хендерсон,
   Джефф Аренхольц, Ян Мелен, Юкка Юлитало и Миика Кому.
   авторы также хотят поблагодарить Чарли Кауфмана за рецензирование документа
   с его взглядом на использование криптоалгоритмов.

   Благодаря истории этого документа, большинство идей унаследовано
   из базовой спецификации "Host Identity Protocol". Таким образом, список
   людей в разделе «Благодарности» этой спецификации
   также действителен для этого документа. Многие люди отдали ценные
   отзыв, и мы приносим свои извинения всем, чье имя отсутствует.

11. Ссылки

11.1. Нормативные ссылки

   [RFC2119] Браднер, С., "Ключевые слова для использования в RFC для обозначения
               Уровни требований», BCP 14, RFC 2119, март 1997 г.

   [RFC2404] Мэдсон, К. и Р. Гленн, «Использование HMAC-SHA-1-96 в
               ESP и AH", RFC 2404, ноябрь 1998 г.

   [RFC3602] Франкель С., Гленн Р. и С. Келли, «Шифр AES-CBC».
               Алгоритм и его использование с IPsec", RFC 3602,
               Сентябрь 2003 г.

   [RFC4303] Кент, С., "IP-инкапсуляция полезной нагрузки безопасности (ESP)",
               RFC 4303, декабрь 2005 г.[RFC5201] Московиц, Р., Никандер, П., Джокела, П., Эд., и Т.
               Хендерсон, «Протокол идентификации хоста», RFC 5201,
               апрель 2008 г.

11.2. Информативные ссылки

   [ESP-BEET] Никандер, П. и Дж. Мелен, «Связанный сквозной туннель
               (BEET) для ESP», Work in Progress, ноябрь 2007 г.

   [RFC3260] Гроссман, Д., "Новая терминология и разъяснения для
               Diffserv", RFC 3260, апрель 2002 г.







Джокела и др. Экспериментальный [Страница 26] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


   [RFC3474] Лин, З.и Д. Пендаракис, "Документация IANA
               назначения для Generalized MultiProtocol Label Switching
               (GMPLS) Протокол резервирования ресурсов — трафик
               Инженерное (RSVP-TE) использование и расширения для
               Оптическая сеть с автоматической коммутацией (ASON)", RFC 3474,
               март 2003 г.

   [RFC4301] Кент С. и К. Сео, "Архитектура безопасности для
               Интернет-протокол", RFC 4301, декабрь 2005 г.

   [RFC4306] Кауфман, К., "Протокол обмена ключами через Интернет (IKEv2)",
               RFC 4306, декабрь 2005 г.[RFC4423] Московиц, Р. и П. Никандер, «Протокол идентификации хоста
               (HIP) Архитектура», RFC 4423, май 2006 г.

   [RFC5206] Хендерсон, Т., изд., «Мобильность конечных хостов и множественная адресация».
               с протоколом идентификации хоста», RFC 5206, апрель 2008 г.

































Джокела и др. Экспериментальный [Страница 27] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


Приложение A. Примечание по вариантам реализации

   Эту спецификацию можно реализовать в нескольких различных
   способы.Как отмечалось выше, одним из возможных способов реализации этого является
   перепишите заголовки IP ниже IPsec. В такой реализации IPsec
   используется так, как если бы он обрабатывал пакеты транспортного режима IPv6, с
   Заголовок IPv6, содержащий HIT вместо IP-адресов в источнике и
   поля адреса назначения. В исходящих пакетах после IPsec
   обработки, HIT заменяются фактическими IP-адресами на основе
   HIT и SPI. Во входящих пакетах перед обработкой IPsec
   IP-адреса заменяются HIT на основе SPI в
   входящий пакет.В такой реализации все политики IPsec
   на основе HIT, а верхние уровни видят только пакеты с HIT в
   место IP-адресов. Следовательно, поддержка HIP не
   конфликт с другими видами использования IPsec, пока сохраняются пространства SPI
   отдельный.

   Другим способом реализации этой спецификации является использование предложенного
   Режим BEET (привязанный сквозной режим для ESP, [ESP-BEET]). свекла
   режим предоставляет некоторые функции как туннеля IPsec, так и транспорта.
   режимы. HIP использует HIT в качестве «внутренних» адресов и IP-адресов.
   в качестве «внешних» адресов, как и IP-адреса, используются в туннельном режиме.Вместо туннелирования пакетов между хостами используется преобразование между
   внутренний и внешний адреса создаются на конечных хостах, а внутренний адрес
   никогда не отправляется по сети после первоначального согласования HIP. свекла
   предоставляет синтаксис транспортного режима IPsec (без внутренних заголовков) с ограниченным
   семантика туннельного режима (фиксированные логические внутренние адреса — HIT — и
   изменяемые внешние IP-адреса).

   По сравнению с вариантом реализации обязательной перезаписи адресов
   за пределами IPsec BEET имеет одно преимущество на уровне реализации.
   BEET-способ реализации перезаписи адресов сохраняет все
   информация о конфигурации в одном месте, в SAD. С другой
   стороны, когда перезапись адреса реализована отдельно,
   реализация должна убедиться, что информация в SAD и
   отдельные БД перезаписи адресов хранятся синхронно. Как результат,
   основанный на режиме BEET способ реализации этой спецификации
   РЕКОМЕНДУЕТСЯ вместо отдельной реализации.













Джокела и др. Экспериментальный [Страница 28] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


Адреса авторов

   Петри Йокела
   Ericsson Research NomadicLab
   ЙОРВАС FIN-02420
   ФИНЛЯНДИЯ

   Телефон: +358 9 299 1
   Электронная почта: петри.шутка@nomadiclab.com


   Роберт Московиц
   ICSAlabs, независимое подразделение Verizon Business Systems
   Бульвар Бент-Крик, 1000, офис 200
   Механиксбург, Пенсильвания
   США

   Электронная почта: [email protected]


   Пекка Никандер
   Ericsson Research NomadicLab
   ЙОРВАС FIN-02420
   ФИНЛЯНДИЯ

   Телефон: +358 9 299 1
   Электронная почта: [email protected]
























Джокела и др. Экспериментальный [Страница 29] 

RFC 5202 Использование транспортного формата ESP с HIP, апрель 2008 г.


Полное заявление об авторских правах

   Авторское право (C) The IETF Trust (2008 г.).На этот документ распространяются права, лицензии и ограничения
   содержится в BCP 78, и, за исключением случаев, указанных в нем, авторы
   сохраняют все свои права.

   Этот документ и информация, содержащаяся в нем, предоставляются на
   Принцип «КАК ЕСТЬ» и УЧАСТНИК, ОРГАНИЗАЦИЯ, КОТОРУЮ ОН/ОНА ПРЕДСТАВЛЯЕТ
   ИЛИ СПОНСИРУЕТСЯ (ЕСЛИ СУЩЕСТВУЕТ), ИНТЕРНЕТ-ОБЩЕСТВОМ, IETF TRUST И
   ИНЖЕНЕРНАЯ ГРУППА INTERNET ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ВЫРАЖЕННЫХ
   ИЛИ ПОДРАЗУМЕВАЕМЫЕ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ​​ЛЮБОЙ ГАРАНТИЕЙ, ЧТО ИСПОЛЬЗОВАНИЕ
   ДАННАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ КАКИХ-ЛИБО ПОДРАЗУМЕВАЕМЫХ
   ГАРАНТИИ КОММЕРЧЕСКОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.Интеллектуальная собственность

   IETF не занимает никакой позиции в отношении законности или объема любого
   Права на интеллектуальную собственность или другие права, которые могут быть заявлены
   относятся к внедрению или использованию технологии, описанной в
   этот документ или степень, в которой любая лицензия в соответствии с такими правами
   может быть или не быть доступным; и не представляет, что у него есть
   предприняли какие-либо независимые усилия для определения любых таких прав. Информация
   о процедурах в отношении прав в документах RFC можно
   обнаружены в BCP 78 и BCP 79.Копии раскрытия информации о правах интеллектуальной собственности, сделанные в Секретариат IETF, и любые
   гарантии предоставления лицензий или результат
   предпринята попытка получить генеральную лицензию или разрешение на использование
   такие права собственности со стороны разработчиков или пользователей этого
   Спецификацию можно получить в онлайн-репозитории IPR IETF по адресу
   http://www.ietf.org/ipr.

   IETF предлагает любой заинтересованной стороне доводить до ее сведения любые
   авторские права, патенты или заявки на патенты, или другие проприетарные
   права, которые могут охватывать технологии, которые могут потребоваться для реализации
   этот стандарт.Пожалуйста, отправьте информацию в IETF по адресу
   [email protected]












Джокела и др. Экспериментальный [Страница 30]

 

HTML-разметка, созданная с помощью rfcmarkup 1.129b, доступна по адресу https://tools.ietf.org/tools/rfcmarkup/ Шифрование

ESP KMS: ответ для самых конфиденциальных персональных данных

Для отделов маркетинга/коммуникаций в компаниях с особенно конфиденциальными данными клиентов и сложными потребностями в шифровании — например, в финансовых организациях и организациях здравоохранения или любой компании с руководством, которое делает безопасность корпоративных данных и защиту корпоративных данных главным приоритетом — отношение к маркетингу по электронной почте часто приближается к амбивалентности.

Поскольку они не могут рисковать отправкой личной информации (PII) в облако, где она находится вне их контроля и уязвима для нарушения безопасности, они считают, что они не могут отправлять персонализированные кампании по обмену сообщениями. В конце концов, если они не могут позволить данным выйти из-под защиты своего брандмауэра, как они могут сделать что-то более сложное со своим ESP, чем распылять и молиться?

Для этих маркетинговых команд есть ответ, который может вернуть их в игру по маркетингу электронной почты — шифрование KMS (служба управления ключами).Это позволяет организациям шифровать отдельные фрагменты данных в наборе данных — персональные данные, такие как адреса электронной почты или информацию о здоровье и финансах, — и не позволять даже своим собственным специалистам по данным или маркетологам видеть эти данные при создании аудитории и сообщений.

Все, что они видят, это зашифрованный код, а не фактические данные PII. А сторонние программы облачных сервисов, такие как Amazon Web Services (AWS) или Google Cloud, владеют ключом к расшифровке этих данных с помощью имени ключа, которое клиент предоставляет им вместе с данными.Расшифровка происходит только в момент запуска отдельной кампании.

Подход MessageGears к безопасности

Платформа MessageGears в настоящее время использует AWS для шифрования KMS, и это позволяет клиентам выполнять персонализацию на основе любого атрибута в своей базе данных, не подвергая эти данные риску раскрытия либо внутри, либо в облаке. Chick-fil-A использует шифрование KMS, чтобы зашифровать даже адреса электронной почты своих клиентов, в то время как маркетинговая команда создает аудитории и кампании на платформе MessageGears, и это дает им уверенность в отправке высоко персонализированных сообщений, которые отключают все, от геолокации до предпочтительного магазина. к последнему заказу.

Это позволяет им сегментировать и общаться таким образом, который уникален для каждого отдельного клиента в масштабе. При этом они не раскрывают никакие персональные данные своим внутренним командам или устаревшим маркетинговым облачным службам.

Это позволяет им общаться способом, уникальным для каждого отдельного клиента в любом масштабе. Между тем, они не раскрывают никакие персональные данные клиентов в маркетинговом облаке.

Конфиденциальные данные остаются зашифрованными «в состоянии покоя» в системах данных Chick-fil-A до тех пор, пока расшифровка полей не потребуется только в момент запуска отдельной кампании.И даже в этом случае данные, переданные в облачную среду MessageGears для «рендеринга и отправки», удаляются после того, как сообщение было успешно обработано, и никакие клиентские данные не остаются за пределами внутренних систем Chick-fil-A.

Данные

Chick-fil-A остаются в безопасности в своих хранилищах данных, и единственные данные, передаваемые и расшифровывающиеся из этих источников, — это данные, используемые для персонализации сообщения, отправляемого в виде электронных писем, push-уведомлений, текстовых сообщений или других исходящих сообщений.

Еще одна часть того, что делает шифрование KMS с AWS уникальным, заключается в том, что AWS может, если возникнет какой-либо отдаленный вопрос относительно безопасности их системы или системы MessageGears, в любое время в одностороннем порядке отозвать доступ MessageGears к расшифрованным данным до тех пор, пока это возможно. принимает, чтобы восстановить, что любые проблемы были решены.

Это помогает быстро сдерживать нарушения из-за пределов брандмауэра клиента без негативного воздействия на данные клиента. В MessageGears мы также можем добавить дополнительную анонимность к зашифрованным данным, добавив безопасный хэш к коду, чтобы даже атака грубой силы не смогла определить полную последовательность кода и получить доступ к данным.

Важность хранения данных за брандмауэром

Основное различие между традиционными решениями SaaS и платформой MessageGears заключается в нашей философии обслуживания систем данных клиента в качестве систем записи, а не создания вторичного источника данных, поддерживаемого платформой MessageGears.В результате нет необходимости дублировать, реплицировать или синхронизировать данные за пределами существующих клиентских систем данных.

Платформа MessageGears напрямую подключается к этим системам, используя хранящиеся в них данные для сегментации аудитории и персонализации сообщений. Это отличие делает MessageGears уникальным в своем роде, предлагая полный набор функций и функций Marketing Automation с масштабируемостью и пропускной способностью облачной платформы доставки сообщений, не требуя создания внешних хранилищ данных или дорогостоящей репликации данных.

MessageGears уникален среди ESP в способности делать это. Поскольку наше программное обеспечение для управления кампаниями находится за брандмауэром клиента поверх его базы данных, это позволяет маркетинговым командам клиентов безопасно работать непосредственно с их оперативными данными для создания аудиторий и сообщений. Поскольку данные клиентов не копируются в облако — в отличие от устаревших маркетинговых облачных решений — клиентам MessageGears не нужно полагаться на облако ни в чем, кроме фактического рендеринга и отправки сообщений.А это означает, что данные остаются настолько безопасными, насколько это позволяет ваш брандмауэр, а подписчики по-прежнему получают персонализированные релевантные сообщения, которые превращают их в лояльных и вовлеченных клиентов.

Расшифровка ESP-пакета с помощью Wireshark

Только в образовательных целях!!!

Я уверен, что вы будете в восторге от этой темы. Да, в этой статье мы рассмотрим, как расшифровать пакет ESP с помощью Wireshark, прежде чем перейти к расшифровке пакета ESP, нам нужно изучить, как работает IPSec VPN

. Туннель I используется для безопасного согласования параметров фазы II, и данные передаются по туннелю фазы II.На этапе I используется предварительная общая аутентификация и, не ограничиваясь этим, на этапе II используется группа DH (Диффи Хеллман). DH создает динамический симметричный ключ, и мы понятия не имеем, что нужно для расшифровки пакета ESP.

Итак, в этой статье мы собираемся согласовать туннель IPSec VPN с ручным ключом.

В VPN с ручным ключом IPSec нет согласований фазы 1 или фазы 2, каждая сторона может просто начать отправку данных после согласования туннеля с пользовательскими ключами IPSec. Конечно, обе стороны должны быть настроены соответствующим образом, иначе данные будут удалены с обеих сторон.

Теперь давайте настроим IPSec VPN с ручным ключом в соответствии с топологией 1.1 и перехватим пакет ESP.

Топология 1.1

Конфигурация R1

криптографический набор преобразования ipsec spiceup esp-des esp-sha-hmac
!
криптокарта testmap 1 ipsec-manual
установить одноранговый узел 3.3.3.2
установить сеансовый ключ входящего esp 1001 шифр 6162636465666768 аутентификатор 616263646566676869707172737475767778797A
set session-key outbound esp 1000 шифр 6162636465666768 аутентификатор 616263646566676869707172737475767778797A
набор преобразования-набор приправы
адрес соответствия 100
!
интерфейс Loopback1
айпи адрес 1.1.1.1 255.255.255.255
!
интерфейс FastEthernet0/0
IP-адрес 2.2.2.1 255.255.255.252
дуплекс авто
скорость авто
криптографическая карта testmap
!
IP-маршрут 0.0.0.0 0.0.0.0 2.2.2.2
!
список доступа 100 разрешить ip хост 1.1.1.1 хост 4.4.4.1

Конфигурация R2

интерфейс FastEthernet0/0
IP-адрес 2.2.2.2 255.255.255.252
дуплекс авто
скорость авто
!
интерфейс FastEthernet0/1
айпи адрес 3.3.3.1 255.255.255.252
дуплекс авто
скорость авто

Конфигурация R3

криптографический набор преобразования ipsec spiceup esp-des esp-sha-hmac
!
криптокарта testmap 1 ipsec-manual
установить одноранговый узел 2.2.2.1
установить сеансовый ключ входящего esp 1000 шифр 6162636465666768 аутентификатор 616263646566676869707172737475767778797A
set session-key outbound esp 1001 шифр 6162636465666768 аутентификатор 616263646566676869707172737475767778797A
набор преобразования-набор приправы
адрес соответствия 100
!
интерфейс Loopback1
айпи адрес 4.4.4.1 255.255.255.255
!
интерфейс FastEthernet0/0
IP-адрес 3.3.3.2 255.255.255.252
дуплекс авто
скорость авто
криптографическая карта testmap
!
IP-маршрут 0.0.0.0 0.0.0.0 3.3.3.1
!
список доступа 100 разрешить ip хост 4.4.4.1 хост 1.1.1.1

Теперь запустите захват на маршрутизаторе R2 на интерфейсе fe0/1.

Начать захват в GNS3

Запустите Wireshark на интерфейсе fe0/1 маршрутизатора R2.

Запустите Wireshark в GNS3

Теперь давайте проверим связь с 1.1.1.1 по 4.4.4.1, которые будут запущены на маршрутизаторе Wireshark, и пакеты 4.4.4.1 будут перехвачены. 1 интерфейс.

R1#ping 4.4.4.1 source 1.1.1.1

Введите управляющую последовательность для прерывания.
Отправка 5 100-байтовых эхо-сигналов ICMP на 4.4.4.1, время ожидания 2 секунды:
Пакет отправлен с исходным адресом 1.1.1.1
!!!!!
Вероятность успеха составляет 100 % (5/5), время приема-передачи мин./сред./макс. = 80/84/92 мс

Внимательно изучите пакет эхо-запроса от 1.1.1.1–4.4.4.1 и пакет эхо-ответа от 4.4.4.1 до 1.1.1.1 не отображаются на Wireshark, он инкапсулируется с помощью ESP с IP-адресом источника и назначения в качестве IP-адреса узла. Теперь давайте расшифруем его.

Перейдите к редактированию => настройки => протокол => ESP

Установите флажок «Попытаться обнаружить/декодировать зашифрованную полезную нагрузку ESP»
Нажмите «Изменить» в «ESP SA» и нажмите «Создать»

Введите узел-источник и получатель IP-адрес, SPI, алгоритм шифрования и аутентификации, ключ шифрования и аутентификации в соответствии с нашей конфигурацией для обоих направлений, как указано ниже.

Вы можете удивляться, потому что ключ шифрования и аутентификации, который мы использовали в конфигурации 6162636465666768 и 616263646566676869757667787975767778797A70767778797A , но ключ, введенный в Wireshark, составляет ABCDEFGHIPH и ABCDEFGHIPQRSTUVWXYZ , не волнует. Ключ, введенный в устройство, имеет шестнадцатеричный формат, а ключ, введенный в Wireshare, — в формате ASCI. (Таблица Hexa в ASCI показана ниже)

[ Примечание : не обязательно вводить «ключ аутентификации» в Wireshark для расшифровки пакета, но при желании вы можете его ввести]

Нажмите Ok, и теперь вы можете видеть, что пакет расшифрован 🙂

Вы можете загрузить перехваченный пакет, использованный в лаборатории, и ввести те же параметры в Wireshark для расшифровки пакета.

Шестнадцатеричный в ASCI


Оставьте свой комментарий ниже

Разгрузка задач IPsec в пути получения — драйверы Windows

  • Статья
  • 2 минуты на чтение
  • 1 участник

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

[Функция разгрузки задач IPsec устарела и не должна использоваться.]

Когда сетевая карта выполняет обработку безопасности интернет-протокола (IPsec) для полученного пакета, она расшифровывает пакет, если пакет содержит полезную нагрузку ESP, и вычисляет контрольные суммы шифрования AH или ESP (или и то, и другое) для пакета.Перед указанием структуры Net_Buffer_List для пакета до транспортировки TCP / IP драйвер Miniport вызывает макрос Net_Buffer_List_Info с _ _ID из ipsecoffloadv1netBufferListinfo для получения NDIS_IPSEC_OFFOOLD_V1_BUFLECTION.

Драйвер мини-порта устанавливает флаг CryptoDone в структуре NDIS_IPSEC_OFFLOAD_V1_NET_BUFFER_LIST_INFO, чтобы указать, что сетевая карта выполнила проверку IPsec по крайней мере для одной полезной нагрузки IPsec в полученном пакете.Если сетевая карта выполняла проверку IPsec как для туннельной, так и для транспортной части полученного пакета, драйвер мини-порта также устанавливает флаг NextCryptoDone в структуре NDIS_IPSEC_OFFLOAD_V1_NET_BUFFER_LIST_INFO. Драйвер минипорта устанавливает NextCryptoDone только в том случае, если пакет имеет как туннельные, так и транспортные полезные данные IPsec. В противном случае драйвер минипорта устанавливает NextCryptoDone в ноль. Чтобы указать результаты проверок IPsec, драйвер мини-порта также должен предоставить значение для члена CryptoStatus в структуре NDIS_IPSEC_OFFLOAD_V1_NET_BUFFER_LIST_INFO.Если сетевая карта обнаруживает сбой контрольной суммы или сбой дешифрования, драйвер минипорта должен указать структуру NET_BUFFER_LIST для принимаемого пакета в любой форме и указать соответствующее значение CryptoStatus .

Добавить комментарий

Ваш адрес email не будет опубликован.