у даних, умовно можна розглядати два режими:
шифрування даних IP-пакета із збереженням у відкритому вигляді вихідного заголовка пакету;
інкапсуляція вихідного IP-пакета в SKIP-пакет із заміною вихідного заголовка.
Інкапсуляцію в SKIP називають також тунелюванням, а заміну адресної інформації по деяких таблицями - векторизацией. У порівнянні з існуючими системами шифрування трафіку, SKIP має ряд особливостей. Насамперед, SKIP універсальний: він шифрує IP-пакети, нічого не знаючи про додатки, користувачах або процесах, їх формують. Встановлений у комп'ютері безпосередньо над пакетним драйвером, він обробляє весь трафік, що не накладаючи жодних обмежень ні на вищерозташований програмне забезпечення, ні на фізичні канали. SKIP працює незалежно від сеансу: для організації захищеного взаємодії не потрібно додаткового інформаційного обміну, за винятком один раз запитаного і зафіксованого відкритого ключа партнера по зв'язку. Даний протокол вміє зберігати секрети, які ніколи не передаються по каналах зв'язку, - SKIP використовує розділяється секрет для шифрування тільки невеликого за розміром пакетного ключа Кр, що не дозволяє супротивникові накопичити достатньої статистики для криптоаналізу. Крім цього, SKIP незалежний від системи шифрування - різні системи шифрування можуть під'єднуватися до системи, як зовнішні бібліотечні модулі. Пакетний ключ може змінюватися досить часто, аж до того, що кожен пакет може шифруватися під своїм індивідуальним кріптоключа. На малюнку 1 проілюстрований процес шифрування IP-трафіку і SKIP-тунелювання. br/>В
Рисунок 1 - Процес шифрування IP-трафіку
Для прикладу розглянемо дві локальні мережі, з'єднані за допомогою канального провайдера і захищені Screen-пристроями (малюнок 2).
В
Рисунок 2 - Приклад підключення Screen-пристрої
При даній схемі підключення Screen-пристрої можуть інкапсуліровать весь трафік між мережами в протокол SKIP, іншими словами, виробляти SKIP-тунелювання. При цьому вихідні пакети можуть поміщатися в блоки даних SKIP-пакетів, а мережеві адреси всіх вузлів внутрішніх мереж можуть бути замінені на деякі віртуальні адреси, що відповідають у зовнішній мережі Screen-пристроїв (адресна векторизация). У результаті увесь трафік між цими локальними мережами може виглядати ззовні тільки як повністю зашифрований зв'язок між двома Screen-пристроями. Вся інформація, доступна в цьому випадку зовнішньому спостерігачеві, - це лише тимчасова динаміка і оцінка інтенсивності трафіку, яка може маскуватися шляхом використання стиснення даних і видачі "порожнього" трафіку. При цьому термінал може використовуватися не тільки для зв'язку двох локальних мереж, але і для підключення відокремлених терміналів, що використовують SKIP-захист трафіку. При цьому термінал, використовуючи захищений трафік в зовнішні...
