giải pháp bảo mật ở các tầng khác nhau
10.7Truyền dữ liệu an toàn
Việc đóng gói là một chức năng an toàn sử dụng để bảo vệ dữ liệu ng−ời dùng và các tham số nhạy cảm. Trong cả hai NLSP có liên kết và không liên kết, chức năng cơ bản là cung cấp sự bảo vệ bắt nguồn từ các nguyên thuỷ hỏi hoặc đáp đ−a ra ở dịch vụ NLSP. Hàm đóng gói gắn với an toàn này sinh ra các giá trị dữ liệu t−ơng ứng với các nguyên thuỷ hỏi hoặc đáp đ−a ra ở dịch vụ UN, sau đó
chúng đ−ợc đảo ng−ợc lại tại điểm nhận cuối. Điều này rất giống với tiến trình sử dụng trong TLSP (transport layer security protocol), nơi sinh ra và xử lý PDU (protocol data unit) đóng gói an toàn.
Các hàm đóng gói khác nhau khả dụng đối với các môi tr−ờng khác nhau trong NLSP. Khả năng này bao gồm hàm đóng gói cơ bản rất giống với hàm đóng gói định nghĩa trong TLSP. NLSP cũng có một số chi tiết bổ sung vào hàm cơ bản. Mỗi xâu octet đ−ợc bảo vệ chứa một dãy các tr−ờng gồm: (1) các tham số địa chỉ yêu cầu bảo vệ, (2) các tham số chất l−ợng dịch vụ cần bảo vệ, (3) một chỉ báo về kiểu nguyên thuỷ (ví dụ, kết nối hỏi, kết nối đáp, không kết nối,...), (4) dữ liệu ng−ời dùng cần bảo vệ, (5) dữ liệu kiểm tra để sử dụng trong việc kiểm tra hoạt động của hệ thống mã hoá và (6) nhãn an toàn.
Nếu so sánh với TLSP thì tiến trình bảo vệ là nh− nhau ngoại trừ hai tr−ờng bổ sung bao hàm trong PDU đ−ợc sinh ra. Đó là số thứ tự toàn vẹn (ISN-integrity sequence number) và một tr−ờng thông tin đệm. Số thứ tự toàn vẹn đ−ợc sử dụng để hỗ trợ toàn vẹn thứ tự. Vì các số thứ tự giao thức vận tải có thể phục vụ mục đích này trong TLSP, nên chi tiết này không đ−ợc yêu cầu ở tầng đó. Tr−ờng thông tin đệm đ−ợc sử dụng để hỗ trợ dịch vụ bảo mật luồng thông tin là một đòi hỏi của NLSP, nh−ng không cần ở TLSP.
Hàm đóng gói có thể bao hàm một tiến trình tiêu đề rõ hoặc khi chọn hàm đóng gói cơ bản là một tiến trình không có tiêu đề. Trong tr−ờng hợp tiêu đề rõ, thì một tiêu đề rõ đ−ợc thêm vào đầu xâu octet bảo vệ thu đ−ợc để sinh ra một PDU truyền dữ liệu an toàn NLSP chứa định danh liên kết an toàn. Tr−ờng hợp đóng gói không tiêu đề cũng khả dụng đối với lựa chọn chỉ sử dụng NLSP có liên kết. Có thể sử dụng tùy chọn không tiêu đề nếu chỉ áp dụng cơ chế an toàn là mã hoá và khi tiến trình mã hoá - giải mã không làm thay đổi độ dài dữ liệu. Khi lựa chọn không tiêu đề, PDU truyền dữ liệu an toàn đ−ợc thay thế bằng một phiên bản mã hoá của dữ liệu yêu cầu bảo vệ. Điều này cho phép chèn NLSP vào tầng mạng một cách trong suốt. Các đặc tính của dữ liệu của các dịch vụ bên d−ới, chẳng hạn tỉ suất dữ liệu, kích th−ớc gói và dải thông không bị ảnh h−ởng. Vì vậy, các hàm an toàn có thể dễ dàng bổ sung vào các dịch vụ đang tồn tại mà không làm thay đổi kiến trúc mạng. Tuy nhiên, phạm vi các dịch vụ có thể đ−ợc hỗ trợ bị giảm đi nhiều vì có thể không sử dụng đến ICV (integrity check-value), ISN, đệm và các nhãn an toàn. Các dịch vụ toàn vẹn vẫn đ−ợc duy trì ở nơi dữ liệu có khả năng chắc chắn d− thừa và nếu mã hoá kiểu chuỗi (chaining) đ−ợc sử dụng.
Việc ánh xạ cùng kiểu các gốc dịch vụ NLSP với các gốc dịch vụ UN, ngoại trừ thiết lập và giải phóng kết nối, đó là cách hoạt động của NLSP. Nếu các tr−ờng không yêu cầu bảo vệ thì chúng đ−ợc sao trực tiếp từ một gốc dịch vụ tới gốc dịch vụ khác. Các tr−ờng của NLSP này yêu cầu bảo vệ thì đ−ợc xử lý bằng hàm đóng gói. Kết quả đóng gói, hoặc PDU truyền dữ liệu bảo mật đ−ợc ánh xạ vào tham số dữ liệu ng−ời dùng của gốc dịch vụ UN. Việc áp dụng hàm bọc có thể gây ra dãn tin, điều này dẫn đến phải phân đoạn.