giải pháp bảo mật ở các tầng khác nhau
11.9Các cơ chế an toàn
Hàm đóng gói của TLSP hỗ trợ việc cung cấp một vài dịch vụ an toàn và có thể kéo theo tổ hợp các cơ chế an toàn nào đó đ−ợc yêu cầu. Các cơ chế này là nhãn an toàn, con trỏ h−ớng, giá trị kiểm tra toàn vẹn (ICV), đệm mã hoá (padding) và mã hoá.
Nhãn an toàn đ−ợc đ−ợc thêm vào đầu TPDU để hỗ trợ cung cấp dịch vụ
điều khiển truy nhập. Các tr−ờng đ−ợc cung cấp để định nghĩa một định danh hợp pháp xác định duy nhất cùng với giá trị nhãn theo một khuôn dạng do tác quyền xác định điều khiển. OSI không định nghĩa khuôn dạng nhãn cụ thể. Trỏ h−ớng là một tiền tố của tr−ờng cờ gồm một bit chỉ h−ớng truyền TPDU. Tiền tố này chứa tham trỏ tới khởi đầu đoán nhận/ quan hệ đáp xác định khi thiết lập liên kết an toàn và đ−ợc sử dụng để chống những tấn công có chủ định. ICV là một giá trị đ−ợc tính toán và gắn thêm, đòi hỏi một tiến trình phải bổ sung các octets vào dữ liệu tr−ớc khi tính ICV. ICV là một cơ chế cơ bản cho việc cung cấp cả hai dịch vụ toàn vẹn liên kết và toàn vẹn không liên kết. Đệm mã hoá là đệm các octets vào dữ liệu ở nơi nó đ−ợc yêu cầu theo thuật toán mã hoá hoặc vì các mục tiêu ẩn độ dài của các PDU cần bảo vệ. Mã hoá là cơ chế đáp ứng bảo mật liên kết hoặc không liên kết và cung cấp sự bảo vệ thông tin cần thiết phát sinh từ các cơ chế an toàn khác.
Đối với tr−ờng hợp có liên kết, một số dịch vụ an toàn đ−ợc cung cấp thông qua cách xử lý phối hợp của hàm đóng gói TLSP và các thủ tục chuẩn của tầng giao vận. Toàn vẹn thứ tự đ−ợc thực hiện nhờ các số thứ tự do giao thức vận tải lớp 2, 3 hoặc 4 cùng với toàn vẹn liên kết cung cấp. Các hệ thống đánh số thứ tự riêng rẽ đ−ợc duy trì đối với các luồng dữ liệu chuẩn và dữ liệu expedited. Khôi phục toàn vẹn đ−ợc thực hiện nhờ các thủ tục khôi phục giao thức vận tải lớp 4 cùng với toàn vẹn liên kết. Toàn vẹn thứ tự không thể dùng với giao thức vận tải lớp 0 hoặc lớp 1.
Xác nhận thực thể thực chất là một tiến trình hai giai đoạn. Giai đoạn thứ nhất là thiết lập liên kết an toàn dẫn đến trong mỗi thực thể vận tải nhận một khoá có thể dùng để thẩm tra thực thể khác về định danh của nó. Ngay sau khi thiết lập liên kết an toàn hoàn thành, giai đoạn thứ hai là xác nhận thực thể khi thiết lập liên kết. Điều này đ−ợc thực hiện thông qua việc mỗi thực thể xác nhận thông tin về khoá đ−ợc gắn vào bằng cách dùng khoá đó để sinh ra ICV mã hoá khi đóng gói TPDU yêu cầu liên kết. Với sự bảo vệ chống lặp lại, các TPDU yêu cầu liên kết và xác nhận liên kết sử dụng các giá trị tham trỏ liên kết, trong thời gian khoá có hiệu lực các giá trị này phải duy nhất. Điều này thực hiện dễ dàng nhất khi có một thành
phần về thứ tự trong các tham trỏ liên kết. Sau đó hệ thống sẽ tăng thành phần này đối với mỗi thiết lập liên kết mới có liên quan.
ở tr−ờng hợp không liên kết cũng sử dụng một tiến trình hai giai đoạn cơ bản giống để xác thực dữ liệu gốc. Sử dụng khoá dùng trong tiến trình đóng gói để có xác nhận yêu cầu về TPDU không liên kết nhờ thông tin xác thực khoá đó. Cùng với khoá dùng cho các mục đích xác thực, các địa chỉ ngang hàng trong thiết lập liên kết hoặc các TPDU không liên kết cũng đ−ợc yêu cầu để kiểm tra tính nhất quán khi cần bảo vệ chặt hơn chống các nguy cơ giả mạo.