Сервис защищенного канала

Основное назначение сервиса IPsec – обеспечение безопасной передачи данных по IP-сетям. Базовой технологией, на основе которой достигается эта цель, является шифрование. Для протоколов такого назначения используется обобщенное название – защищенный канал. Термин «канал» подчеркивает тот факт, что защита данных обеспечивается на протяжении всего пути между двумя узлами (хостами или шлюзами). IPsec – это одна из многих технологий, хотя и очень популярная сегодня, передачи данных по публичным сетям. Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели OSI. Если защита данных осуществляется посредством верхних уровней модели OSI (прикладного, представления или сеансового), то такой способ защиты не зависит от технологии транспортировки данных (IP в сетях стека TCP/IP или аналог ему IPX сетей Novell), Fast Ethernet или ATM), что можно считать несомненным достоинством, но, с другой стороны, приложения при этом становятся зависимыми от конкретного протокола защищенного канала, поскольку в этих приложениях должны быть встроены явные вызовы функций этого протокола.

Защищенный канал, реализованный на прикладном уровне модели OSI защищает только определенную сетевую службу (например, файловую, гипертекстовую, почтовую и т.д.). Так протокол S/MIME защищает исключительно сообщения электронной почты. При таком подходе, для каждой службы требуется разрабатывать собственную защищенную версию протокола. Популярный протокол SSL и его открытая реализация TLS (Transport Layer Security– безопасность транспортного уровня), работают на уровне представления. Ясно, что эти протоколы являются более универсальным средством защиты, чем протоколы безопасности прикладного уровня, поскольку ими могут воспользоваться любые приложения, однако, для этого приложения по-прежнему требуется модифицировать, встраивая явные обращения к интерфейсам API данных протоколов безопасности.

Замечание. Приложения могут реализовывать собственные протоколы взаимодействия, используя для этих целей много уровневую систему средств. Именно поэтому в распоряжение программистов предоставляется прикладной программный интерфейс (API – Application Programming Interface). В соответствии с идеальной схемой модели OSI, приложение может обращаться с запросами к самому верхнему уровню – уровню приложений, однако на практике, многие стеки коммуникационных протоколов предоставляют возможность программистам напрямую обращаться к сервисам или службам, расположенным ниже уровней, например, некоторые СУБД имеют встроенные средства удаленного доступа к файлам. В этом случае приложение, выполняя доступ к удаленным ресурсам не использует системную файловую службу, при этом оно обходит верхние уровни модели OSI и обращается непосредственно к ответственным за передачу данных по сети системным средствам, которые располагаются на нижнем уровне