Приложение 20. ПРАВИЛА ПРИМЕНЕНИЯ ОБОРУДОВАНИЯ КОММУТАЦИИ СЕТЕЙ ПОДВИЖНОЙ РАДИОТЕЛЕФОННОЙ СВЯЗИ. ЧАСТЬ VII. ПРАВИЛА ПРИМЕНЕНИЯ ОБОРУДОВАНИЯ КОММУТАЦИИ СТАНДАРТА LTE

1. Требования к идентификационному заголовку AH:

1.1. идентификационный заголовок протокола IPSec (AH) должен использоваться для обеспечения целостности дейтаграмм IP и идентификации источника данных без организации специальных соединений и защиты против повторного использования пакетов. AH может использоваться в комбинации с ESP или путем вложения. Услуги по защите могут обеспечиваться между парой взаимодействующих элементов сети IP.

1.2. формат заголовка идентификации AH приведены на рисунке 1.

Рисунок 1

Примечание:

поле "Следующий заголовок" (1 октет) должно показывать тип информации, расположенной после идентификационного заголовка AH. Значения этого поля должны выбираться из списка номеров протоколов, предоставленного Администрацией адресного пространства Интернет IANA;

поле "Длина заголовка" (1 октет) должно содержать информацию о размере заголовка AH в 32-битовых словах (4-байтовых блоках) минус 2;

поле "Резерв" (2 октета) должно быть резервным, равно "0" и игнорируется получателем. Значение этого поля должно учитываться при вычислении ICV, но игнорироваться получателем;

поле "Идентификатор параметров защиты" (SPI) должно быть произвольным 32-битовым значением, используемым получателем для идентификации SA, с которой связан входящий пакет. Для индивидуальных SA значение SPI может идентифицировать SA или использоваться в комбинации с типом протокола IPsec (в данном случае АН). Поле SPI должно быть обязательным и механизм отображения входящего трафика на индивидуальные SA должен поддерживаться всеми реализациями AH;

поле "Порядковый номер" (4 октета) должно содержать значение счетчика пакетов, увеличиваемое на "1" для каждого переданного пакета (счетчик пакетов для SA). Это поле должно быть обязательным и присутствовать даже в случае, когда получатель не пользуется услугами по предотвращению повторного использования пакетов для конкретной SA. Отправитель должен передавать указанное поле, но получатель не обязан принимать его во внимание. Счетчики на стороне отправителя и получателя должны инициализироваться при значении поля "Порядковый номер" равном "0" при создании SA (первый пакет, переданный с использованием данной SA, будет иметь порядковый номер - "1"). Если предотвращение повторного использования пакетов включено (используется по умолчанию), передаваемые порядковые номера никогда не должны повторяться. Расширенный порядковый номер должен позволять использовать для SA 64-битовые порядковые номера. В заголовке AH каждого пакета должны передаваться только младшие 32 бита расширенного порядкового номера, а старшие 32 бита должны учитываться как часть порядкового номера отправителем и получателем и включаться в расчет ICV, но не должны передаваться;

поле "Аутентификационные данные" должно содержать значение контрольной суммы ICV для данного пакета. Размер поля должен быть кратным 32 битам как для IPv4, так и для IPv6. Указанное поле может включать заполнение для обеспечения кратности размера заголовка AH в целом 32 (IPv4) или 64 (IPv6) битам. Заполнение должны поддерживать все реализации и размер заполнения должен быть минимально достаточным для выравнивания заголовков в соответствии с требованиями IPv4/IPv6;

1.3. местонахождение заголовка AH:

AH должно обеспечивать работу в двух режимах: транспортном и туннельном:

а) в транспортном режиме AH должен помещаться между заголовком протокола IP и заголовком протокола транспортного уровня или перед другими заголовками IPsec при наличии. Требования к местонахождению заголовка AH в транспортном режиме приведены на рисунке 2.

Рисунок 2

При использовании IPv4 AH должен размещаться после заголовка IP (после всех опций заголовка IP), но перед заголовком протокола следующего уровня. При использовании IPv6 заголовок AH должен размещаться после заголовков IP и расширения. В расширенном заголовке необходимо обеспечить расположение опций получателя перед заголовком AH, после него или по обе стороны;

б) в туннельном режиме заголовок AH должен защищать исходный IP - пакет целиком (включая его заголовок).

Требования к местонахождению заголовка AH в туннельном режиме приведены на рисунке 3;

Рисунок 3

2. Требования к протоколу ESP:

2.1. протокол ESP (IP Encapsulating Security Payload) должен использоваться для обеспечения целостности и конфиденциальности данных путем их шифрования. В зависимости от пользовательских требований к безопасности этот механизм следует применять для шифрования пакетов транспортного уровня (например, TCP, UDP, ICMP, IGMP) или дейтаграмм IP полностью. В протоколе ESP должно быть обеспечено одновременное или раздельное использование функций аутентификации и криптографической защиты вместе;

2.2. Должна обеспечиваться возможность содержания ESP в любом месте между заголовком IP и конечным протоколом транспортного уровня. Для протокола ESP должен использоваться идентификатор IANA 50. Заголовок, расположенный непосредственно перед заголовком ESP, должен всегда содержать значение равное "50" в поле "Следующий заголовок" для IPv6 или "Протокол" для IPv4. ESP должен состоять из нешифрованного заголовка, за которым должны следовать зашифрованные данные. Шифруемые данные должны включать в себя защищенные поля заголовка ESP и защищаемые пользовательские данные: дейтаграмму IP или пакет протокола вышележащего уровня.

Формат заголовка ESP приведен на рисунке 4.

Рисунок 4

2.3. местонахождение заголовка ESP:

Должна обеспепечиваться возможность работы ESP в транспортном и туннельном режимах.

а) в транспортном режиме зашифрованные данные должны транспортироваться между хостами, заголовок исходного IP-пакета должен оставаться внешним, а Заголовок ESP должен помещаться в передаваемый пакет между заголовками протоколов третьего и четвертого уровней.

Шифроваться должны только данные исходного IP-пакета и заключительная часть ESP заголовка. В этом режиме ESP не должен шифровать заголовок IP-пакета, поля "SPI" и "Порядковый номер".

б) Функции туннельного режима должны реализовываться в шлюзах безопасности.

В туннельном режиме в качестве внешнего заголовка должен создаваться новый заголовок IP, ESP заголовок должен помещаться перед заголовком исходного IP-пакета, а весь исходный IP-пакет и заключительная часть заголовка ESP должны шифроваться. Заголовок внешнего IP-пакета не должен защищаться протоколом ESP.