город Сердобск

Вектор случайных чисел произвольной длины.
Значения этого вектора, используемые при вычислении хэш кода, передаются в поле данных AVP Вектор Инициализации. Этот Вектор Инициализации должен появиться в сообщении до первого зашифрованного AVP Один и тот же Вектор Инициализации может использоваться в нескольких зашифрованных AVP одного сообщения.

Если другое значение AVP Вектор Инициализации используется для шифрации последующих AVP, то тогда это новое значение AVP Вектор Инициализации должно быть расположено перед первым AVP, к которому оно применяется.

Вне зависимости от чьей либо точки зрения по этому вопросу, в этом разделе объясняется работа шлюза, находящегося между телефонной сетью и сервером доступа в сеть (NAS), и вкратце излагаются основные понятия 1.

В этом документе описывается архитектурная основа для стандартизации взаимодействия Интернета с телефонной сетью. Это взаимодействие имеет дело как с сигнальными (signaling), так и с несущими соединениями (например, разноформатный поток данных, такой как VoIP), которые могут быть либо совместными (например, внутриполостные, BRI, PRI), либо раздельными (например, SS7).

Обратите внимание на то, что в случае, когда DIAMETER сообщение должно быть обработано чужим промежуточным DIAMETER сервером (называемым также прокси сервером, DIA2 на 7.13), АУР должна быть дешифрована общим секретным кодом 1 и зашифрована обратно с общим секретным кодом 2.

Использование DIAMETER для соединения с SS7 по коммутируемым линиям Одной из наибольших проблем, стоящих перед Интернет телефонией, является взаимодействие с существующими телефонными сетями. Существует множество точек зрения на то, как это осуществить. Одни полагают, что такое взаимодействие должно свестись к нулю, и использования телефонных сетей нужно по возможности избегать. Другие говорят, что интернет услуги должны разрабатываться так, чтобы взаимодействовать с телефонными сетями с тем, чтобы воспользоваться многочисленными услугами и интеллектуальными возможностями, предоставляемыми телефонной системой SS7.

Полученный хэш код и вторая часть Субформат (16 или менее байт) подвергаются операции исключающее ИЛИ и помещаются в соответствующие байты поля Данные. Если нужно, то этот алгоритм повторяется и результат хэшируется вместе с общим секретным кодом, после чего выполняется операция исключающее ИЛИ над полученным хэш кодом и следующим сегментом данных. Таким образом получается зашифрованное значение AVP, а его длина по прежнему известна.

По получении используется последний Вектор Инициализации, найденный в данном сообщении перед дешифруемым AVP. Для получения исходных данных описанный выше процесс выполняется в обратном направлении. За более подробной информацией об этом методе шифрации обратитесь к RFC 2138.

Затем выполняется операция исключающее ИЛИ с результатом М05 функции ипервыми 16 байт или младшим сегментом AVP Субфорнат и результат дашеща ется в поле данных этого AVP. Если AVP Субформат содержит значение короче, чем 16 байт, то тогда Субформат преобразуется перед этой операцией исключающее ИЛИ таким образом, как будто поле Значение дополняется до 16 байт, но модифицируются только имеющиеся в Субформат байты, а длина этой AVP не изменяется.

Если длина AVP Субформат больше, чем 16 байт, тогда вторая М05 фун кция выполняется над потоком байт, состоящим из общего секретного кода, за которым следует результат первой операции исключающее.

Когда сигнальные соединения совмещены с несущими, они приходят прямо в NAS. Когда же сигнализация разделена, то она проходит через Сигнальный шлюз и/или NAS контроллер (Signaling Gateway/NAS Controller — SGNC), прежде чем дойдет до NAS. В описываются расширения DIAMETER, которые позволяют установить сеанс связи от NAS через Сигнальный шлюз/МАБ контроллер и от Сигнального шлюза/МАБ контроллера к NAS. В этой части главы кратко излагаются основные понятия документа .

Обмен сообщениями при установке сеанса Сигнальный шлюз/МАБ контроллер (SGNC) Запрос Установки Сеанса. Это сообщение посылается от NAS к SGNC и от SGNC к NAS. Эта команда может быть послана от NAS к SGNC, когда сигнализация звонка находится на NAS. Такое происходит в случае сигнализации PRI. Если нужна идентификация пользователя, то тогда должна быть использована процедура, описанная в 2.

Установка сеанса SS7pT SGNC к NAS, в которой тест целостности канала не удался. Если другая сторона индицирует сбой, то SGNC посылает NAS сообщение Запрос Добавить Ресурс с запросом перевести данный канал в режим ремонта. Установка сеанса была инициирована SGNC.

FNAS"'1 На 7.18 показана установка сеанса SS7 от NAS к SGNC с успешно выполненным тестом целостности канала и то, как сообщения установки сеанса и запроса ресурса могут быть использованы при тестировании целостности канала связи перед тем, как установить соединение. Установка сеанса была инициирована NAS.
На 7.19 показана установка сеанса SS7 от NAS к SGNC с неуспешно пройденным тестом целостности канала. Если NAS выдаст ошибку, SGNC пошлет ему сообщение Запрос Добавить Ресурс с запросом перевести проблемный канал в режим ремонта.

Ответ Добавить Ресурс. Это сообщение посылается в ответ на Запрос Добавить Ресурс. AVP Маркер Ресурсов включается в это сообщение только в случае, если сеанс содержит ресурсы, нуждающиеся в управлении.

Пример обмена сообщениями В этом разделе несколько примеров обмена сообщениями между PSTN, SGNC и NAS. Первые два примера показывают обмен сообщениями при установке сеанса SS7. На 7.14 приведен пример сеанса SS7, порождаемого SGNC, а на 7.15 — порождаемого NAS.
На 7.16 показана установка сеанса от SGNC к NAS, с успешной проверкой целостности канала. Из рисунка ясно то, как сообщения установки сеанса и запроса ресурса могут быть использованы при тестировании целостности канала связи перед тем, как установить соединение.

О Окно защиты от повторов: 32 битный счетчик и битовая маска (или эквивалент), используемые для определения того, что входящий пакет АН или ESP является повторным.
О Алгоритм идентификации АН, ключи и т. д.
О Алгоритм шифрации ESP, ключи, вид вектора идентификации, сам вектор и т. д.
О Алгоритм идентификации ESP, ключи и т. д. Если идентификация не используется, то значение этого поля будет нулевым.

О Срок действия ассоциации безопасности: интервал времени, после которого SA должна быть удалена или заменена новой SA (и новым SPI), плюс обозначение того, какое из этих действий (удаление или замена) должно иметь место.

В этом разделе описываются процедуры, выполняемые при посылке и получении данных в IPSec. Точный набор операций варьируется в зависимости от реализации. Мы будем использовать модель IBM, с которой вы ознакомились ранее .

На 8.10 показаны основные действия, выполняемые при посылке данных в IPSec. Данные извлекаются из буфера (обычно это TCP/UDP, OSPF, ICMP и т. п.) и обрабатываются в соответствии с обычными правилами IP. Создается заголовок IP, выполняется маршрутизация. Данные о маршрутизации используются при принятии решения о применении IPSec в данной датаграмме, основываясь на внешнем канале связи или следующем узле, принимающем эти данные. Если приложение пользователя не задало адрес блоку данных протокола, то таковой назначается.