Точный
Статус документа
Статус документа

Р 1323565.1.034-2020 Информационная технология. Криптографическая защита информации. Протокол безопасности сетевого уровня

     5.3 Обработка IPIir-пакета на транзитном узле


Транзитный узел, получив IPIir-пакет, выполняет следующие шаги по обработке IPIir-пакета.

5.3.1 Полученный IPIir-пакет проверяется на соответствие политике приема IPIir-пакетов. Если пакет не соответствует политике, то дальнейшая обработка пакета прекращается.

5.3.2 Если версия IPIir-протокола, указанная в IPIir-заголовке, не поддерживается узлом, то дальнейшая обработка пакета прекращается.

5.3.3 IPIir-пакету сопоставляется контекст узла-отправителя или предыдущего транзитного узла. Если контекст не найден или в найденном контексте указаны криптографические наборы, не соответствующие набору из IPIir-заголовка, дальнейшая обработка пакета прекращается.

5.3.4 Если набор из IPIir-заголовка не предусматривает транзитной имитозащиты, дальнейшая обработка пакета прекращается.

5.3.5 На основе контекста предыдущего транзитного узла и IPIir-заголовка вырабатывается ключ транзитной имитозащиты пакета. Производится контроль целостности IPIir-пакета путем проверки транзитной имитовставки. Если транзитная имитовставка не верна, то дальнейшая обработка пакета прекращается.

5.3.6 Согласно контексту узла-получателя на транзитном узле определяется следующий транзитный узел (либо выясняется, что IPIir-пакет может быть доставлен узлу-получателю напрямую). Если контекст следующего транзитного узла (либо узла-получателя) не найден, то дальнейшая обработка пакета прекращается.

5.3.7 Если в найденном контексте указаны криптографические наборы, не соответствующие набору из IPIir-заголовка, то дальнейшая обработка пакета прекращается.

5.3.8 На основе контекста следующего транзитного узла, IPIir-заголовка и IPIir-трейлера вырабатываются ключ транзитной имитозащиты пакета и транзитная синхропосылка. В IPIir-сообщении устанавливаются необходимый номер ключей транзитной имитозащиты пакета и идентификатор транзитного узла. Транзитная синхропосылка размещается в поле TransitlnitValue.

5.3.9 Вычисляется значение транзитной имитовставки и помещается в соответствующее поле IPIir-трейлера.

5.3.10 Формируется IPIir-пакет, в котором части исходного IP-пакета размещаются в соответствии с правилами, определенными в подразделе 4.4.

Возможны сценарии, когда в соответствии с политиками безопасности требуется добавить транзитную имитовставку к маршрутизируемому пакету без проверки предыдущего значения или, наоборот, проверить целостность полученного транзитного IPIir-пакета, не вычисляя нового значения транзитной имитовставки, а также сценарии, при которых требование по транзитной защите отсутствует. Из чего следует:

- при отсутствии необходимости проверять целостность полученного транзитного IPIir-пакета шаги 5.3.3-5.3.5 приведенного алгоритма не выполняются;

- при отсутствии необходимости в вычислении транзитной имитовставки шаги 5.3.7-5.3.9 приведенного выше алгоритма не выполняются;

- при отсутствии требования по транзитной защите шаги 5.3.3-5.3.5, 5.3.7-5.3.9 приведенного выше алгоритма не выполняются.