Псб с расшифровка: расшифровка, технические характеристики и размеры, цена за м3
расшифровка, технические характеристики и размеры, цена за м3
Пенополистирол – это утеплитель, произведенный путем вспенивания полистирола. Каждая его ячейка наполнена воздухом или газом, как, например, в пенопласте ПСБ-С 35. Его плиты белого цвета. Расшифровка дополнительной буквы С в маркировке названия ПСБ-С следующая – самозатухающий, то есть при попадании огня он не поддерживает горение. Пенопласт – один из самых популярных материалов, применяемых как в гражданском, так и в промышленном строительстве.
Оглавление:
- Описание, плюсы и минусы ПСБ-С
- Особенности применения
- Цена за м3
Свойства, характеристики и расшифровка маркировки ПСБ
Одно из лучших качеств листов пенополистирола – они не впитывают в себя влагу и практически полностью паронепроницаемы. В итоге плиты пенопласта 35 мм и другой толщины и плотности можно устанавливать в местах с повышенной влажностью. В том числе утеплять ими фундамент или отмостку, где они будут контактировать с грунтовыми водами.
При этом полностью сохранятся все теплоизоляционные и механические характеристики пенополистирола. Пенопласт не втягивает в себя воду, поэтому не меняется в размерах и его можно использовать для заливки в бетонную стяжку.
Пенополистирол ПСБ-С 35 имеет низкий коэффициент теплопроводности – 0,035-0,038 Вт/м·К. Такой хороший показатель получен благодаря большому количеству газа в ячейках – около 98% ото всей массы пенопласта. Листы вспененного полистирола легко переносят заморозку и размораживание, а также воздействие ветра, поэтому его применяют для изоляции конструкций, находящихся на улице, а не внутри помещений.
В отличие от рулонных утеплителей из минеральной ваты, листы ПСБ могут выдерживать нагрузки, не проседая и не сдвигаясь. Пенополистирол не меняет своих размеров и формы во время всего срока эксплуатации. Плиты этого утеплителя легкие, благодаря чему их монтаж даже на стены или потолок может проводить один человек.
com/embed/PptqMqvQVW0″ frameborder=»0″ allowfullscreen=»allowfullscreen»/>
Положительные качества ПСБ-С:
- экологически безопасный;
- паронепроницаемый;
- не поддерживает рост плесени и грибков;
- простой и удобный монтаж;
- малый вес;
- устойчив к кислотам, слабым щелочам, спирту, соли;
- длительный срок эксплуатации – более 30 лет;
- не гниет и не проседает;
- не реагирует на компоненты бетонных смесей, цемента и других подобных стройматериалов.
Помимо этих преимуществ пенополистирол содержит антипирены, поэтому он трудновоспламеняемый. Если на плиту ПСБ-С-35 100 мм направить и затем убрать пламя горелки, то будет видно, что края начали оплавляться, но дальнейшее распространение огня прекращается. ПСБ расшифровывается как беспрессовый пенопласт.
Основные недостатки пенополистирола этой марки – он неустойчив к стройматериалам на битумной основе и растворителям. Также во время горения пенопласт выделяет токсичный дым, опасный для здоровья человека и животных.
В пенополистироле любят жить такие грызуны, как мыши и крысы, поэтому во время монтажа следует продумать защиту от их проникновения внутрь.
В пенополистироле любят жить такие грызуны, как мыши и крысы, поэтому во время монтажа следует продумать защиту от их проникновения внутрь.Технические характеристики ПСБ-С 35:
- плотность – 25 кг/м3;
- время горения – не больше 4 с;
- процент поглощения воды за 1 сутки – не более 2 % от всего объема;
- предел прочности при изгибе – 0,25 МПа.
Область применения и нюансы работ
Во время монтажа пенопласта нет необходимости пользоваться средствами индивидуальной защиты, так как он не выделяет опасной пыли, как, например, стекловата. Благодаря этому его используют в производстве тары, а также им изолируют пищевые холодильные камеры.
Нарезать плиты на нужные отрезки можно острым ножом. Крепятся к поверхности с помощью клеевого состава. Дополнительно может фиксироваться пластиковыми зонтиками-дюбелями. Металлические дюбеля не рекомендуются, так как они проводят холод. На поверхность пенополистирола можно наносить жидкие финишные покрытия, например, декоративную штукатурку.
Нельзя утеплять пенопластом ПСБ-С 35 толщиной 120 мм и подобным материалом других размеров конструкции, которые подвергаются воздействию высоких температур. Рекомендуемая температура использования – от -200°С до +85°С.
Пенопласт ПСБ-С серии 35 применяется для утепления следующих мест:
- стен, перекрытий, перегородок;
- потолков и полов;
- фасадов;
- кровель;
- заборов;
- балконов, лоджий;
- фундаментов;
- грунта, обогреваемых дорог и стоянок;
- подвалов;
- трубопроводов и других подземных коммуникаций.
Также он используется при производстве сендвич-панелей, для укрепления откосов и при сооружении отводов стока.
Цена
Стоимость за м3 пенополистирола марки ПСБ-С 35 зависит от толщины материала.
Таблица с ценами, по которым можно купить плиты пенопласта:
| Цена за 1 м3, рубли | |
| ПСБ-С 15 | 1600 |
| ПСБ-С 25 | 2500 |
| ПСБ-С 35 | 3700 |
| ПСБ-С 50 | 4500 |
| ПСБ-С Фасад | 3700 |
Плиты продаются с размерами 100х100 или 100х120 см с толщиной от 5 до 20 см.
Перед тем как приобрести пенополистирол, следует обратить внимание на качество и расценки за лист и м3 пенопласта, а также какая у него плотность и структура. Если материал имеет порезы и вмятины, значит, его хранили или перевозили в недопустимых условиях. Лист должен иметь четкие грани и не осыпаться, ячейки – одинаковую форму и размеры.
Качество пенополистирола можно определить, отломив от него кусок. Если линия разлома ровная, то материал качественный. Благодаря утеплению пенопластом помещения, значительно сокращаются теплопотери, снижаются расходы и количество топлива на отопление. Провести его монтаж можно полностью своими руками, причем при низких трудозатратах.
Марки пенопласта (маркировка пенополистирола)
В этой статье: подробно о маркировке данного материала, даны полезные рекомендации тем, кто собирается его приобрести.
Совет: почитайте, насколько вреден может быть пенопласт — статья заставляет задуматься. Также посмотрите, что вытворяют грызуны с этим материалом (наверняка вы такого еще не видели).
А сейчас переходим к теме статьи.
Вы решили использовать этот материал в строительстве дома? Возник вопрос по поводу марки пенопласта? Сейчас мы это и рассмотрим. При этом будем учитывать продукцию отечественных производителей.
Итак…
Какая маркировка пенопласта используется на сегодняшний день?
При маркировке используются две буквы — ПС. А в случае беспрессового пенопласта (который нашел наибольшее применение при утеплении домов) применяется обозначение ПСБ. Далее через тире могу быть добавлены иные буквы и цифры.
Так, для обозначения самозатухающего пенопласта используется ПСБ-С. Для указания плотности материала далее через дефис пишутся соответствующие цифры (ПСБ-С-ХХ).
Основные марки пенопласта:
ПСБ-С-15
Это беспрессовый пенопласт (самозатухающий) с плотностью 15 (кг/м3).
Материал с такой малой плотностью нашел весьма широкое применение в тех случаях, когда не предъявляются жесткие требования к механической прочности.
С помощью такого пенопласта можно успешно утеплять мансарды, различные контейнеры и т.д.
Эту марку пенополистирола можно легко определить на ощупь. Такой материал весьма мягкий, при желании и возможности двумя пальцами можно легко сдавить его так, что останутся вмятины.
ПСБ-С-25
Можно сказать, что это наиболее распространенная марка пенопласта. Его используют для самых различных целей — для утепления стен домов, потолков, пола, лоджий, фасадов и др. По сравнению с ПСБ-С-15 пенопласт марки ПСБ-С-25 обладает значительно большей прочностью и, следовательно, сроком службы. Поэтому если вы выбираете пенопласт для утепления стен, то лучше выбрать марку с плотностью 25.
Такой материал двумя пальцами сдавить до вмятин значительно сложнее. На ощупь чувствуется, что твердость выше по сравнению с ПСБ-С-15.
ПСБ-С-35
Это высокопрочный пенопласт, который может быть успешно применен при изоляции фундамента, сооружения подземных конструкций, для защиты почвы от промерзания, теплоизоляции трубопроводов, утепления стен зданий и т.
д.
ПСБ-С-50
Эта марка пенопласта характеризуется наибольшей плотностью. Ее используют там, где нужны наиболее высокие прочностные свойства. Например, при сооружении полов в промышленных зданиях, гаражах, при строительстве дорог в условиях высокой подвижности грунтов и т.д.
Надеемся, этот обзор помог вам сориентироваться и определиться, какой именно материал выбрать для тех или иных целей.
Разумеется, разный пенопласт характеризуются разной стоимостью. Чем выше плотность материала, тем его цена выше. Поэтому учитывайте. Не всегда есть смысл гнаться за наибольшими прочностными характеристиками. Лучше выбирать марку пенопласта, которая зачастую и используется при решении рассматриваемых задач.
И перед покупкой обязательно проверяйте — кто производитель того или иного материала. Имейте дело только с надежными поставщиками. Помните: некачественного товара на рынке хватает.
Что означает PSB? -определения PSB
Вы ищете значения PSB? На следующем изображении вы можете увидеть основные определения PSB.
При желании вы также можете загрузить файл изображения для печати или поделиться им со своим другом через Facebook, Twitter, Pinterest, Google и т. Д. Чтобы увидеть все значения PSB, пожалуйста, прокрутите вниз. Полный список определений приведен в таблице ниже в алфавитном порядке.
Основные значения PSB
На следующем изображении представлены наиболее часто используемые значения PSB. Вы можете записать файл изображения в формате PNG для автономного использования или отправить его своим друзьям по электронной почте.Если вы являетесь веб-мастером некоммерческого веб-сайта, пожалуйста, не стесняйтесь публиковать изображение определений PSB на вашем веб-сайте.
Все определения PSB
Как упомянуто выше, вы увидите все значения PSB в следующей таблице. Пожалуйста, знайте, что все определения перечислены в алфавитном порядке.Вы можете щелкнуть ссылки справа, чтобы увидеть подробную информацию о каждом определении, включая определения на английском и вашем местном языке.
Что означает PSB в тексте
В общем, PSB является аббревиатурой или аббревиатурой, которая определяется простым языком. Эта страница иллюстрирует, как PSB используется в обмена сообщениями и чат-форумах, в дополнение к социальным сетям, таким как VK, Instagram, Whatsapp и Snapchat. Из приведенной выше таблицы, вы можете просмотреть все значения PSB: некоторые из них образовательные термины, другие медицинские термины, и даже компьютерные термины. Если вы знаете другое определение PSB, пожалуйста, свяжитесь с нами. Мы включим его во время следующего обновления нашей базы данных. Пожалуйста, имейте в информации, что некоторые из наших сокращений и их определения создаются нашими посетителями. Поэтому ваше предложение о новых аббревиатур приветствуется! В качестве возврата мы перевели аббревиатуру PSB на испанский, французский, китайский, португальский, русский и т.д. Далее можно прокрутить вниз и щелкнуть в меню языка, чтобы найти значения PSB на других 42 языках.
ПСБ 3 (ГОСТ 9491-60) по стандарту: ГОСТ 9491-60
Ребристая плита ПСБ 3 (ГОСТ 9491-60) представляет собой высокопрочное железобетонное прямоугольное изделие с продольными ребрами, которые предают конструкции П-образный вид.
В ее полке по специальному заказу может быть предусмотрено отверстие для установки водосточной воронки. Основное предназначение данных строительных элементов — сооружение перекрытия в производственных зданиях. Применяются в объектах с несущими конструкциями (фермы, балки, стены, пр.), расположенными с шагом 6 метров.
Расшифровка маркировки
Условное обозначение железобетонных плит состоит из числовых и буквенных индексов, содержащих краткую запись основной информации об изделии. Маркировка ПСБ 3 (ГОСТ 9491-60) означает, что:
1. ПСБ — ребристая плита с армированными продольными ребрами высокопрочной проволокой;
2. 3 — номер конструкции.
На боковой грани продольного ребра плиты должны быть указана ее марка, краткое наименование или товарный знак производителя, дата выпуска. Кроме того марка плиты должна быть обозначена на верхней поверхности конструкции в центре верхнего поля.
Маркировочные надписи наносятся путем штампования или через трафареты краской, стойкой к истиранию, воздействию ультрафиолетовых лучей.
Материалы и производство
Основным регламентирующим документом изготовления ребристых плит ПСБ 3 (ГОСТ 9491-60) является ГОСТ 9491-60. В зависимости от типа армирования конструкции применяется бетон с маркой по прочности на сжатие М200 (стержневая арматура), М300 (проволока). Такой материал обладает достаточными параметрами влагостойкости, морозостойкости и жесткости и обеспечивает изделиям прочность и стойкость к появлению трещин.
Совместная работа бетонного массива и металла позволяет получить продукцию с высокими физико-химическими показателями. Армирование ребристых плит представляет собой трудоемкий процесс. Полки армируются сварными сетками, поперечные ребра — плоскими каркасами, продольные ребра — предварительно-напряженной арматурой из стержневой арматуры либо проволоки.
Марки стали, способы сборки арматурных элементов приведены в нормативном документе изготовления.
Готовые изделия проходят приемочный контроль на основании итогов испытаний на прочность, жестокость, трещиностойкость, оцениваются их внешний вид, толщина защитного слоя бетона. Изделия с дефектами, с обнажением стальных деталей, с превышением допустимых показателей отклонений по размеру сколов, наплывов бетона, раковин на ребрах приемке не подлежат. Каждая партия ребристых плит должна сопровождаться потребителю с документом о качестве, установленного образца.
Транспортировка и хранение
Железобетонные ребристые плиты ПСБ 3 (ГОСТ 9491-60) надлежит хранить на оборудованных складах и площадках. Изделия укладываются в горизонтальном положении в штабеля. Для того чтобы защитить плиты от деформации и повреждений следует соблюдать следующие правила:
— штабеля располагать, так чтобы они не мешали выполнять работу обслуживающему персоналу, был доступ к захвату верхнего изделия;
— между рядами конструкций устанавливать прокладки одинаковых размеров по толщине в одной вертикальной плоскости, друг над другом;
— маркировочные надписи были доступны к прочтению.
Погрузо-разгрузочные работы необходимо выполнять специальным транспортом, оснащенным захватными приспособлениями за строповочные отверстия или петли.
При транспортировании к месту монтажа ребристым плитам должно гарантироваться надежное фиксирование, исключающее их смещение, трение с кузовом транспорта и между изделиями, а так же опрокидывание.
Уважаемые покупатели! Сайт носит информационный характер.
Указанные на сайте информация не являются публичной офертой (ст.435 ГК РФ).
Стоимость и наличие товара просьба уточнять в офисе продаж или по телефону 8 (800) 500-22-52
Пенопласт — ПрофТеплоСнаб
Оптовые цены на пенопласт
| Марка | Цена |
|---|---|
| Пенопласт ППС 10 (ПСБ-С15) | от 3000 руб/м3 |
| Пенопласт ППС 14 (ПСБ-С25) | от 3800 руб/м3 |
| Пенопласт ППС 16Ф (ПСБ-С25Ф) | от 4200 руб/м3 |
| Пенопласт ППС 25 (ПСБ-С35) | от 6000 руб/м3 |
| Пенопласт ППС 35 (ПСБ-С50) | от 9600 руб/м3 |
| Гранулы пенопласта (2-10 мм) | от 3300 руб/м3 |
Что такое пенопласт?
Пенопласт — материал, который является вспенненной , то есть ячеистой , пластической массой.
Плотность полимера, то есть исходного сырья, из которого производится пенопласт, значительно больше плотности самого пенопласта. Это вполне объяснимо по причине того, что основной объём пенопласта — это воздух.
Благодаря этому достигаются достаточно высокие теплоизоляционные свойства пенопласта. Принцип теплоизоляции следующий: теплопередача происходит только в каждой отдельной ячейке, а теплопередача через стенки ячеек крайне незначительна.
Звукоизоляция пенопласта тоже велика за счёт наличия тонких и эластичных перегородок ячеек пенопласта. Таким образом , перегородки ячеек пенопласта — плохой проводник звуковых колебаний.
Основой для производства пенопластов являются все виды известных пластмасс, другое название — полимеры. Среди пенопластов наиболее известны карбамидно-формальдегидные, поливинилхлоридные, фенол-формальдегидные, полиуретановые и пенополистирольный.
Пенопласт выпускается разной механической прочности, устойчивости к разным видам воздействия на него, разной плотности.
Этими факторами и обусловлен конкретный вид производимого пенопласта. Состав сырья для производства пенопласта зависит именно от потребностей потребителя пенопласта.
В быту люди чаще всего имеют дело с так называемым беспрессовым пенополистиролом. Он был изобретён немецким концерном BASF в 1951 году и был запущен в производство под торговой маркой «стиропор».
Способ производства таков: гранулы стиропора (ПСВ или ESP) получают благодаря полимеризации стирола с добавлением пентана — порошкообразующего вещества. Конечный продукт широко известен в человеческой цивилизации. Это пенопласт ПСБ-С — теплоизоляционный материал, который почти полностью, на 98% состоит из воздуха, который содержится в микроскопических ячейках с тонкими стенками из полистирола.
Пенопласт: Его структура и состав
Пенопласт это белого цвета материал, жёстко структурированный, состоящий из 2 процентов полистирола и 98 процентов воздуха.
Пенопласт изготавливается путём вспенивания гранул полистирола.
Потом микроскопические гранулы обдувают очень горячим паром. Эту процедуру проделывают несколько раз, плотность и вес пенопласта сильно уменьшаются.
Потом полученную массу тщательно высушивают для полного удаления влаги. Сушка производится на открытом воздухе в специально разработанных сушильных камерах.
В результате последней операции форма гранул пенопласта приобретает законченный вид. Размеры гранул находятся в пределах от 3 до 15 мм.
Далее начинается этап прессования для придания нужной формы в виде плит. Оно проводится на специальных станках , которые придают пенопласту знакомую нам форму.
После прессования пенопласт обрабатывается горячим паром. В результате формируются белые блоки заданной ширины и высоты. Блоки разрезаются специальными инструментами (струнами) на толщины, которые требуются клиенту.
Пенопласт производится толщиной от 20 до 1000 мм. Стандартные габариты плит бывают:
1000х1000 мм
1000х2000 мм
Пенопласт бывает также нестандартных габаритов.
Пенопласт: Описание марок
Марки пенопласта в соответствии со старым ГОСТом 15588-86 назывались ПСБ-С. Основные марки ПСБС, которые мы здесь рассмотрим:
- ПСБ-С15 10-12 кг/м3
- ПСБ-С25 15-17 кг/м3
- ПСБ-С25Ф 16-17 кг/м3
- ПСБ-С35 25-27 кг/м3
- ПСБ-С50 35-37 кг/м3
В Российской Федерации и Советском Союзе прессовый пенопласт обозначался ПС, а беспрессовый пенопласт обозначался ПСБ. Аббревиатура ПСБ-С обозначает беспрессовый пенопласт, способный к самозатуханию.
Марки пенопласта в соответствии с новым ГОСТом 15588-2014 называются ППС. Основные марки, которые мы здесь рассмотрим:
- ППС10 10 кг/м3 (вместо ПСБ-С15)
- ППС14 14 кг/м3 (вместо ПСБ-С25)
- ППС16Ф 16 кг/м3 (вместо ПСБ-С25Ф)
- ППС25 25 кг/м3 (вместо ПСБ-С35)
- ППС35 35 кг/м3 (вместо ПСБ-С50)
Аббревиатура ППС обозначает пенополистирол (пенополистирольный пенопласт).
Области применения в зависимости от марок:
ППС 10 применяется для:
- звукоизоляции и утепления конструкций, не подверженным механическим воздействиям и нагрузкам, таким как пенопласт между стропилами, лежащий в совмещённой кровле или на крыше без чердачного этажа.
- Утепления бытовок, вагонов, контейнеров.
ППС 14 применяется для:
- утепления стен, полов и крыш без нагрузки, лоджий, частных домов , квартир и так далее.
ППС 16Ф применяется для:
- тепло- и звукоизоляции оштукатуриваемых фасадов. Пенопласт ППС 16Ф создаётся таким образом, что обладает очень высокой адгезией наносимого штукатурного слоя и обеспечивает ровное нанесение и
- отличное прилипание последнего.
ППС 25 применяется для:
- тепло-, гидро- и звукоизоляции фундаментов, подземных конструкций и цокольных этажей при большой нагрузочной способности.
- тепло- и звукоизоляции плоских нагружаемых кровель.
- предотвращения грунтопромерзания.
ППС 35 применяется для:
- тепло-, гидро- и звукоизоляции фундаментов, подземных конструкций и цокольных этажей при ещё большей нагрузочной способности, чем ППС 25.
- тепло- и звукоизоляции плоских нагружаемых кровель при ещё большей нагрузочной способности, чем ППС 25.
- предотвращения грунтопромерзания.
- устройстве аэродромного покрытия.
Преимущества пенопласта:
Пенопласт используется как в строительстве для теплоизоляции, так и для упаковки, например для упаковки пищи, для изготовления одноразовой посуды, так как пенопласт не токсичен. Также пенопласт используется не только для изготовления пищевой упаковки , но и просто для упаковки различных непищевых изделий.
Это крайне лёгкий материал, следовательно чрезвычайно удобен при погрузке, выгрузке, монтаже и укладке. Справиться с вышеуказанными операциями может и один человек. Пенопласт не создаёт сильной нагрузки на крепёж и несущие конструкции.
Пенопласт не подвержен гниению , воздействию агрессивной микрофлоры и препятствует размножению гнилостных микроорганизмов.
Пенопласт легко поддаётся обработке любыми режущими инструментами, как то пила, нож, а также горячей проволоки(струны).
Возможность изготовления самых нестандартных изделий методом контурной резки, которые невозможно изготовить из других теплоизоляционных материалов.
Наконец, есть ещё один фактор, способствующий популярности пенопласта — его низкая отпускная цена по сравнению с другими видами популярных утеплителей — экструдированного пенополистирола и базальтовой минваты в сочетании с централизованной доставкой потребителю с завода-изготовителя.
Области применения:
Из-за замечательных тепло- и звукоизоляционных свойств пенопласт применяется и в наружних , и во внутренних работах. Серийно выпускаются такие промышленные изделия, как листы пенопласта разных габаритных размеров и толщины, так и в виде пенопластовой скорлупы для трубной изоляции.
Из пенопласта на заказ изготавливают самые различные нестандартные изделия на заказ, возможна контурная резка , изготовление различных объёмных фигур, таких как скульптуры, элементы декора, лепнина, потолочная плитка, плинтусы , театральных декораций и т.д.
Изготавливаются также из пенопласта поплавки, ёлочные украшения , спасательные жилеты для тонущих в море и терпящих бедствие пассажиров, пенопласт служит и в качестве упаковки высокотехнологичного оборудования, приборов и бытовой техники при перевозке и транспортировке.
Для повышения живучести судов их отсеки заполняют пенопластом. Также это упаковка для дорогих и хрупких товаров, подложка для продуктов , одноразовая посуда.
Наконец, политерм и полистиролбетон используются в отделке и строительстве.
Характеристики пенопласта:
В данном разделе сайта мы приводим характеристики (физико-механические свойства) пенополистирола (пенопласта) ППС, производимого в соответствии с ГОСТом 15588-2014, пришедшему на смену старому ГОСТу 15588-86 (ПСБ-С):
Эта таблица с характеристиками (физико-механическими свойствами) плит пенополистирола (пенопласта) соответствует типу Р. Тип Р, в соответствии с ГОСТом, означает: резаные из крупногабаритных блоков. Далее буква А (вид А) означает: плиты с прямоугольной боковой кромкой.
Показатели физико-механических свойств пенопласта
| ППС10 | ППС14 | ППС16Ф | ППС25 | ППС35 | |
|---|---|---|---|---|---|
| Плотность пенопласта | не менее 10 кг/м3 | не менее 14 кг/м3 | не менее 16 кг/м3 | не менее 25 кг/м3 | не менее 35 кг/м3 |
| Прочность пенопласта на сжатие при 10 %-ной линейной деформации | не менее 40 кПа | не менее 80 кПа | не менее 100 кПа | не менее 160 кПа | не менее 250 кПа |
| Предел прочности пенопласта при изгибе | не менее 60 кПа | не менее 150 кПа | не менее 180 кПа | не менее 250 кПа | не менее 350 кПа |
| Предел прочности пенопласта при растяжении в направлении, перпендикулярном поверхности | не норми- руется | не норми- руется | не менее 100 кПа | не норми- руется | не норми- руется |
| Теплопроводность плит в сухом состоянии при температуре (10 ± 1) °С (283 К) | не более 0,041 Вт/(м∙К) | не более 0,038 Вт/(м∙К) | не более 0,036 Вт/(м∙К) | не более 0,034 Вт/(м∙К) | не более 0,036 Вт/(м∙К) |
| Теплопроводность плит в сухом состоянии при температуре (25 ± 5) °С (298 К) | не более 0,044 Вт/(м∙К) | не более 0,040 Вт/(м∙К) | не более 0,038 Вт/(м∙К) | не более 0,036 Вт/(м∙К) | не более 0,038 Вт/(м∙К) |
| Влажность по массе | не более 5,0% | не более 3,0% | не более 2,0% | не более 2,0% | не более 2,0% |
| Водопоглощение по объему, за 24 ч | не более 4,0% | не более 3,0% | не более 1,0% | не более 2,0% | не более 2,0% |
| Время самостоятельного горения | не более 4 сек | не более 4 сек | не более 4 сек | не более 4 сек | не более 4 сек |
Приведём пример обозначения пенополистирола (пенопласта) в соответствии с ГОСТом 15588-2014:
ППС25-Р-А-1000-1000-50 ГОСТ 15588-2014
Что фактически означает : пенополистирол (пенопласт) марки ППС25 типа Р, вида А, далее следуют размеры плиты в миллиметрах 1000х1000х50, произведённый в соответствии с ГОСТом 15588-2014
Компания оказывает услуги по доставке материалов по Москве, Московской области и близлежащим областям.
Осуществляется экспедирование доставки,на материалы предоставляются сертификаты и паспорта качества..
При необходимости предоставляется отсрочка оплаты.
СРОКИ — ПО ДОГОВОРЁННОСТИ
Теплоизоляционные скорлупы для труб
В статье будем рассматривать как синонимы понятия пенопласт, пенополистирол, вспененный полистирол, ППС, а ППУ – это пенополиуретан или вспененный полиуретан.
Скорлупы ППС из пенополистирола марок ПСБ-С
Скорлупы ППС, так же как и Скорлупы ППУ, изготавливают в виде полуцилиндров. Для теплоизоляции прямого участка трубопровода, два сегмента скорлупы надеваются на трубу с двух сторон и фиксируются клеем или хомутами. Полуцилиндры (и ППС и ППУ) имеют замковое соединение, что облегчает монтаж и позволяет сделать соединение герметичным.
Скорлупы ППС производят из вспененного полистирола марок серии ПСБ-С.
Аббревиатура «ПСБ» расшифровывается как «пенополистирол суспензионный беспрессовый». В состав пенополистирола входят специальные вещества – антипирены. Антипирены замедляют воспламенение и горение. «С» в составе марки означает самозатухающий.
Скорлупы ППС из пенопласта ПСБ-С всех марок относятся к классу горючести Г3. Время горения, при отсутствии открытого пламени, не более 3 секунд.
Пенопласт ПСБ-С применяется не только как утеплитель, но и в других сферах. Например, в пищевой промышленности его применяют в качестве упаковки, что указывает на его гигиеничность и экологичность.
Технологии производства скорлуп ППС и ППУ
Пенопласт ПСБ-С делают из гранул стирола, заполненных углекислым газом. В процессе нагревания гранулы стирола спекаются между собой и расширяются в объеме до 50 раз. Скорлупы ППС вырезаются из готовых кубов пенопласта раскаленной проволокой на автоматизированных станках.
Скорлупы ППУ непосредственно отливаются в формы нужного типоразмера с использованием заливочных машин высокого давления.
Технологии производства скорлуп ППУ и ППС различны, но все они обеспечивают небольшой вес готовой продукции и заданные теплоизоляционные характеристики при хороших показателях прочности.
Сравнительные характеристики Скорлуп ППС
В таблицу сведены характеристики Скорлуп ППС, произведенных из пенопласта ПСБ-С различных марок.
| ПСБ-С25 |
ПСБ-С25ф |
ПСБ-С25ф+ |
ПСБ-С25Т |
ПСБ-С35 |
ПСБ-С35Т |
ПСБ-С50 | |
|---|---|---|---|---|---|---|---|
| Плотность, кг/м3 | 15,5 | 16 | 18 | 20 | 25,5 | 35 | 35,5 |
| Теплопроводность в сухом состоянии при (25±5)°С, Вт/(м·К), не более | 0,0386 | 0,035 | 0,035 | 0,0386 | 0,0369 | 0,0369 | 0,0368 |
| Прочность на сжатие при 10 % линейной деформации, МПа, не менее | 0,114 | 0,137 | 0,144 | 0,134 | 0,178 | 0,184 | 0,217 |
| Предел прочности при изгибе, МПа, не менее | 0,196 | 0,214 | 0,225 | 0,231 | 0,271 | 0,285 | 0,317 |
| Влажность, %, не более | 3 | 2 | 2 | 2 | 1 | 1 | 1 |
| Водопоглощение за 24 ч, % по объему, не более | 1,3 | 0,9 | 0,75 | 1,1% | 0,9 | 0,8 | 0,7 |
Пенополистирол марки ПСБ-С 25
Пенополистирол ПСБ-С 25 также известен под марками пенопласта ПСБС 25 и ПСБ 25.
Благодаря своей универсальности, ПСБ-С 25 – самая распространённая марка пенопласта. В отличии от более низкой марки ПСБ-С 15, плотность ПСБ-С 25 такова, что сдавить его до вмятин двумя пальцами сложно.
Пенополистирол марки ПСБ-С 25Ф
Пенополистирол ПСБ-С 25Ф также известен под марками пенопласта ПСБС 25Ф и ПСБ 25Ф, ПСБ-С 25 Фасадный.
ПСБ-С-25Ф отличается от ПСБ-С 25 тем, что имеет ровную поверхность с мелкой гранулой и с высокоадгезивными свойствами.
Пенополистирол марки ПСБ-С 35
Пенополистирол ПСБ-С 35 также известен под марками пенопласта ПСБС 35 и ПСБ 35.
Высокопрочный пенопласт ПСБ-С-35 высокой плотности. Выглядит, как вспененный термопласт белого цвета, состоящий из сплавившихся гранул.
Пенополистирол марки ПСБ-С 50
Пенополистирол ПСБ-С 50 также известен под марками пенопласта ПСБС 50 и ПСБ 50.
Пенопласт ПСБ-С 50 характеризуется наибольшей плотностью, пенопласт способен выдерживать наибольшие механические нагрузки.
Чем выше плотность материала, тем его цена выше. Учитывайте, не всегда есть смысл гнаться за наибольшими прочностными характеристиками. С ценами на скорлупы ППС из пенопласта различных марок можно ознакомиться в нашем прайс-листе.
Устойчивость ППУ и ППС к солнечным лучам
Пенополиуретан (ППУ) боится солнечных лучей. От их прямого воздействия он желтеет и начинает крошиться. Для изоляции труб наружной прокладки используют скорлупы ППУ в облицовке фольгой, стеклопластиком, или защищенные кожухом. Ультрафиолетовые лучи на облицованной скорлупе ППУ или в окожушке уже никак не сказываются.
Пенополистирол (ППС) сам по себе более устойчив к солнечным лучам, но и он подвержен их разрушительному воздействию. Ультрафиолет разлагает пенополистирол со скоростью примерно 1 мм в год.
Скорлупы ППС, изначально защищенные фольгой или стеклопластиком, НЕ производятся. Если утепленная скорлупой ППС труба проходит в местах воздействия солнца, то скорлупу лучше дополнительно защитить обмоткой или выполнить окожушку.
Купить скорлупу ППС
Скорлупы ППС и скорлупы ППУ в облицовке и без вы можете приобрести у нас. Также предлагаем клей, хомуты для монтажа и оцинкованные кожуха (окожушку) на скорлупы для защиты.
Позвоните по телефону бесплатной горячей линии 8-800-250-53-21 или оставьте сообщение ниже.
Промсвязьбанк объявляет о ребрендинге – Коммерсантъ Пермь
Промсвязьбанк объявляет о ребрендинге: теперь во всех коммуникациях будет использоваться обновленный логотип – «ПСБ» или «ПСБ Банк». При этом официальное наименование банка не меняется.
Последние полтора года были для банка временем кардинальных изменений. В прошлом году Промсвязьбанк стал кредитной организацией с государственным участием, а также опорным банком по работе с оборонно-промышленным комплексом (ОПК) и сопровождению гособоронзаказа (ГОЗ). Ребрендинг призван сделать облик ПСБ более целостным, соответствующим его текущим позициям и задачам, он станет завершающим этапом перемен.
Новый логотип банка – более минималистичный и современный, при этом сохраняет преемственность не только в форме, но и в цвете: осталось сочетание оранжевого цвета и синего. Аббревиатура ПСБ отражает тренд к использованию более емких и запоминающихся коротких названий.
«Когда мы рассматривали варианты логотипов и фирменных стилей, у нас было много разных идей, в том числе полностью транслирующие новое позиционирование банка цветовые варианты. Тем не менее нашей задачей было сохранить баланс в имидже банка, сделать так, чтобы он перекликался со стратегией универсального банка, работающего как с военным сегментом клиентов, так и с гражданским. Не менее важно, что у ПСБ – долгая история, налаженные связи, широкая узнаваемость среди клиентов. Новый банк мы создаем на базе старого, поэтому самым главным в ребрендинге для нас стало именно сохранение преемственности», – рассказывает директор департамента маркетинга Промсвязьбанка Елена Мелихова.
Обновление дизайна офисов и вывесок будет происходить поэтапно.
В первую очередь будет произведена замена вывесок в действующих офисах. Задача новой палитры для помещений – сделать их более светлыми, воздушными, технологичными, а новое расположение мебели и стоек операционистов добавит ощущения легкости и новизны. Предпочтение в офисах ПСБ отдано светлым, спокойным тонам, зоны обслуживания клиентов также получат свою цветовую кодировку. Во всех отремонтированных офисах появятся отдельные зоны для обучения клиентов, в которых специалисты банка будут демонстрировать возможности мобильного банкинга и рассказывать об онлайн-услугах ПСБ.
Использование командной строки
для инструментов — ulysseswu/freemote Wiki
Для получения справки по каждому инструменту используйте -h ( --help для FreeMoteViewer).
ЭмтКонверт
Шифрование/дешифрование PSB, необходимо указать ключ.
пиксель
Когда вы извлекаете изображения из других инструментов, а цвет изображений выглядит неправильно, используйте это для преобразования изображений, чтобы пиксели выглядели правильно.
Switch02
Для каждых 4 байтов переключать байт [0] [2].
РОР
Круговой сдвиг вправо.
РОЛ
Круговая смена влево.
RGBA428
Шибуя Схватка!
Расширение 4-битного пикселя до 8-битного пикселя.
RGBA2L8Оттенки серого
Преобразование цвета в оттенки серого в стиле L8.
До
Раскрутить
Плитка
Свиззл
пакет
Упаковка/распаковка PSB в/из оболочки, такой как mdf, lz4 и т. д. (требуются FreeMote.Plugins)
распечатать
Распечатать PSB ЕМТ.(для исходного состояния скорее всего выглядит странно)
мдф
Упаковать/Распаковать MDF с шифрованием MT19937. (Требуются FreeMote.Plugins)
исправить
Применить некоторые исправления для PSB.
База метаданных
Исправлена проблема отсутствия [метаданные/база/движение] для частично экспортированных PSB.
PsbDecompile
Преобразование PSB в JSON-файлы описания и ресурсы.
PsbDecompile sample.psb
изображение
Получить комбинированное изображение из файлов pig.
PsbDecompile image sample.psb
отвязать
Отвязать текстуры от PSB EMT, получить все текстуры и PSB без текстур внутри (иначе PSB внешней текстуры).
PsbDecompile развязать образец.psb
информация-psb
Извлечь файлы из info.psb.m и body.bin. (Требуются FreeMote.Plugins)
PsDecompile info-psb xxx_info.psb.m -k {key}
PsBuild
Преобразование JSON-файлов описания и ресурсов в PSB.
Образец PsBuild.psb.json
ссылка
Связать текстуры во внешнюю текстуру (EMT) PSB.
Образец ссылки PsBuild.psb tex000.png tex001.png
порт
Перекомпилировать PSB ЕМТ на другую платформу (например, с KRKR на Win).
Поддерживаемые платформы для порта: win , krkr , common , ems
Порт PsBuild -p win sample-krkr.psb
информация-psb
Упаковать файлы в info.psb.m и body.bin . (Требуются FreeMote.Plugins)
PsBuild info-psb xxx_info.psb.m.json
заменить
Замена на месте: заменить текстуры PSB. Работает только для чистых PSB с несжатыми текстурами (RGBA8, RGBA4444).
Если с восстановленным PSB что-то не так, эта функция будет полезна.
PsBuild заменить sample.psb sample.json
- sample.json: сгенерировано
PsbDecompile sample.psb, а затем замените изображения в папкеsample(ресурс).
Средство просмотра FreeMote
Предварительный просмотр EMT PSB и его движений.
ЭмтМейк
Конвертировать EMT PSB в файл проекта MMO.
Заявка на патент США на СИСТЕМУ И СПОСОБ ПРИМЕНЕНИЯ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ Патентная заявка (заявка № 20210271776, выданная 2 сентября 2021 г.
)
ОБЛАСТЬ ИЗОБРЕТЕНИЯ
Настоящее изобретение относится к системам связи. Более конкретно, настоящее изобретение относится к архитектуре систем связи и способам реализации политик конфиденциальности, которые обеспечивают контролируемое согласование обмена данными и сбора метаданных.
ПРЕДПОСЫЛКИ ИЗОБРЕТЕНИЯ
В последние годы все больше и больше коммуникационных сеансов смещаются (с точки зрения общих данных и использования приложений) в сторону одной стороны, которая имеет определенные преимущества, которые могут быть получены либо из технологического превосходства, либо из власти формального регулирования, и /или любой другой предмет. Такая предвзятость может возникнуть из-за быстрого развития программного обеспечения, связанного с коммуникацией, а также из-за развития компьютерных технологий. Кроме того, в настоящее время нет средств для обеспечения соблюдения и обеспечения каких-либо соглашений о конфиденциальности или расчетов между пользователями и поставщиками услуг, поэтому протоколы конфиденциальности не отслеживаются в достаточной степени.
Защита элементов конфиденциальности устройства пользователя, взаимодействующего с другими пользователями (в том числе с поставщиками приложений) и/или выполняющего различные транзакции через сеть связи с помощью компьютерных приложений, в течение многих лет была проблемой в связи с быстрым развитием компьютерные технологии. Например, поставщики социальных сетей используют файлы cookie и/или социальные плагины в браузерах и/или приложениях компьютеров, такие файлы cookie могут собирать данные пользователя. Основная роль подключаемых модулей заключается в том, чтобы помогать и улучшать взаимодействие с пользователем путем: ссылки на веб-сайты, выполнения объектов, отметки «Нравится» контента, «поделиться» данными и т.п.Такие плагины могут быть настроены с дополнительными скрытыми операторами (например, специальными сценариями Java), которые стимулируют сбор личных данных с устройства пользователя на сервер провайдера социальной сети.
Как правило, сеансы связи осуществляются через архитектуру взаимодействия открытых систем (OSI), которая представляет собой концептуальную архитектуру, характеризующую и стандартизирующую функции связи телекоммуникационной или вычислительной системы без учета их базовой внутренней структуры и технологии.
Его целью является совместимость различных систем связи со стандартными протоколами. Эта архитектура разделяет систему связи на многочисленные уровни абстракции, где каждый уровень обслуживает уровень выше него и обслуживает уровень ниже него. Первоначальная версия модели определяет семь слоев. На каждом уровне N два объекта взаимодействующих систем (одноранговые узлы уровня N) обмениваются блоками данных протокола (PDU) посредством протокола уровня N. Каждый PDU содержит полезную нагрузку, называемую блоком служебных данных (SDU), а также связанные с протоколом заголовки и/или нижние колонтитулы.
Примером коммерческого использования архитектуры OSI является набор протоколов Интернета, в котором компоновка компьютеров, серверов, маршрутизаторов и других устройств и набор протоколов связи используются для формирования компьютерных сетей и/или систем связи. Например, TCP/IP обеспечивает сквозную передачу данных. Эта функциональность организована в четыре уровня абстракции, которые используются для сортировки всех связанных протоколов в соответствии с областью задействованной сети.
Другим примером могут быть поставщики приложений, желающие либо представить предоплаченную рекламу, либо продать статистическую информацию о пользователе определенным третьим сторонам, и поэтому, например, желают взамен обеспечить взаимодействие пользователей с их социальным приложением, посредством чего такие приложение может проверить, что информация о пользователе доступна (по согласованию сторон) и не подвергается манипулированию.
Другим примером могут быть поставщики приложений, которым необходимо доказать официальным регулирующим органам (например, GDPR ЕС — общие положения о защите данных), что они соблюдают взаимно согласованное соглашение о конфиденциальности, которое представляет собой согласованный компромисс конфиденциальности между конкретным пользователем и/или другого конкретного поставщика приложений в полном объеме, чтобы быть освобожденным от нормативных ограничений и штрафов.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Таким образом, в соответствии с некоторыми вариантами осуществления изобретения предложен способ применения политики конфиденциальности для обеспечения согласования между пользователями, общающимися через коммуникационную архитектуру открытого системного взаимодействия (OSI), способ включает получение политика конфиденциальности как минимум для одного устройства пользователя; получение политики использования по меньшей мере для одного пользователя, при этом политика использования определяет по меньшей мере первый уровень использования и второй уровень использования, при этом первый уровень использования соответствует первой политике конфиденциальности, а второй уровень использования соответствует второй политике конфиденциальности; получение кодов шифрования; прием по меньшей мере одного набора данных от первого пользователя для отправки второму пользователю, при этом по меньшей мере один набор данных содержит по меньшей мере один сегмент данных; шифрование первым сервером полученных сегментов данных; прием вектора применения политики конфиденциальности, имеющего ключи расшифровки, соответствующие кодам шифрования, и сконфигурированного для обеспечения возможности расшифровки сегментов данных, соответствующих совпадению между политикой пользователя и политикой использования; и выполнение выборочного дешифрования вторым сервером для каждого сегмента данных.
Согласно некоторым вариантам осуществления сегменты данных, которые соответствуют совпадению между политикой конфиденциальности и политикой использования, могут быть расшифрованы. В соответствии с некоторыми вариантами осуществления по меньшей мере один из первого сервера и второго сервера может быть внешним по отношению к первому пользователю и второму пользователю
. В некоторых вариантах осуществления по меньшей мере один пользователь может быть поставщиком услуг.
В соответствии с некоторыми вариантами осуществления способ может дополнительно включать создание матрицы политики конфиденциальности из полученной политики конфиденциальности и политики использования.
В соответствии с некоторыми вариантами осуществления матрица политики конфиденциальности может храниться в бюро расчета конфиденциальности.
В соответствии с некоторыми вариантами осуществления способ может дополнительно включать идентификацию по меньшей мере одного сегмента данных, который применим для обработки для обеспечения соблюдения политики конфиденциальности.
В соответствии с некоторыми вариантами осуществления способ может дополнительно включать маркировку сегментов данных, которые не были расшифрованы.
В соответствии с некоторыми вариантами осуществления способ может дополнительно включать аннулирование сегментов данных, которые не были расшифрованы.
В некоторых вариантах осуществления шифрование может выполняться в восходящем направлении.
В некоторых вариантах осуществления дешифрование может выполняться ниже по потоку.
В соответствии с некоторыми вариантами осуществления способ может дополнительно включать отправку по меньшей мере расшифрованных данных второму пользователю.
В соответствии с некоторыми вариантами осуществления способ может дополнительно включать отправку нерасшифрованных данных второму пользователю.
В некоторых вариантах осуществления данные могут быть получены через коммуникационную архитектуру взаимодействия открытых систем (OSI).
В некоторых вариантах осуществления данные могут передаваться через коммуникационную архитектуру взаимодействия открытых систем (OSI).
В соответствии с некоторыми вариантами осуществления, по крайней мере, один из первого сервера и второго сервера может быть частью сетевой инфраструктуры архитектуры связи OSI
Кроме того, в соответствии с другим вариантом осуществления изобретения система обеспечения соблюдения политики конфиденциальности для обеспечивать согласование между пользователями, осуществляющими связь через сеть, имеющую архитектуру связи открытого взаимодействия систем (OSI), при этом система содержит по меньшей мере одну базу данных, сконфигурированную для хранения политики конфиденциальности первого пользователя и политики использования второго пользователя; уровень конфиденциальности, добавленный в архитектуру OSI, при связи по крайней мере с одним устройством пользователя; бюро урегулирования конфиденциальности, связанное с сетью OSI и сконфигурированное для обеспечения контроля за шифрованием и расшифровкой данных; и по меньшей мере один процессор, сконфигурированный для обеспечения возможности шифрования, и по меньшей мере еще один процессор для обеспечения возможности расшифровки данных, проходящих через уровень конфиденциальности.
Согласно некоторым вариантам осуществления сегменты данных, соответствующие совпадению между политикой конфиденциальности и политикой использования, могут быть расшифрованы по меньшей мере одним процессором. Согласно некоторым вариантам осуществления по крайней мере один процессор может быть внешним по отношению к первому пользователю и второму пользователю
. В некоторых вариантах осуществления по крайней мере один пользователь может быть поставщиком услуг.
В некоторых вариантах осуществления шифрование может выполняться в восходящем направлении.
В некоторых вариантах осуществления дешифрование может выполняться ниже по потоку.
В соответствии с некоторыми вариантами осуществления сегменты данных, которые не соответствуют совпадению между политикой конфиденциальности и политикой использования, могут быть аннулированы.
В некоторых вариантах осуществления первый сервер может быть настроен на шифрование данных, а второй сервер может быть настроен на дешифрование данных.
В некоторых вариантах осуществления данные могут передаваться через коммуникационную архитектуру взаимодействия открытых систем (OSI).
В соответствии с некоторыми вариантами осуществления по крайней мере один процессор является частью сетевой инфраструктуры архитектуры связи OSI. спецификация.Изобретение, однако, как в отношении организации, так и в отношении способа работы, вместе с его задачами, признаками и преимуществами, лучше всего можно понять, обратившись к следующему подробному описанию при прочтении сопроводительных чертежей, на которых:
РИС. 1A схематически иллюстрирует известную систему связи с платформой управления конфиденциальностью;
РИС. 1B схематически иллюстрирует известную систему связи с платформой управления конфиденциальностью и локальными блоками управления;
РИС.2 схематически иллюстрирует систему связи с расширенной архитектурой OSI, включающей в себя уровень конфиденциальности, согласно некоторым вариантам осуществления изобретения;
РИС.
3 показана блок-схема реализации политики конфиденциальности между пользователем и поставщиком услуг в соответствии с некоторыми вариантами осуществления изобретения;
РИС. 4 схематически иллюстрирует поток данных в сеансе связи от пользователя к поставщику услуг в рамках открытой системы связи согласно некоторым вариантам осуществления изобретения; и
РИС.5 схематично иллюстрирует поток данных в сеансе связи от поставщика услуг к пользователю в рамках открытой системы связи согласно некоторым вариантам осуществления изобретения.
Следует понимать, что для простоты и ясности иллюстрации элементы, показанные на фигурах, не обязательно нарисованы в масштабе. Например, размеры некоторых элементов могут быть преувеличены по сравнению с другими элементами для ясности. Кроме того, если это считается уместным, ссылочные позиции могут повторяться на фигурах для обозначения соответствующих или аналогичных элементов.
ПОДРОБНОЕ ОПИСАНИЕ НАСТОЯЩЕГО ИЗОБРЕТЕНИЯ
В последующем подробном описании изложены многочисленные конкретные детали, чтобы обеспечить полное понимание изобретения.
Однако специалистам в данной области техники будет понятно, что настоящее изобретение можно применять на практике без этих конкретных подробностей. В других случаях хорошо известные способы, процедуры и компоненты подробно не описаны, чтобы не затенять настоящее изобретение.
Следует отметить, что используемый здесь термин «данные» может относиться к частным данным и/или данным, идентифицированным как таковые, которые структурированы как данные любого типа, включая наборы данных (например,г. кластерные, группирующие и/или интегрированные данные), сегменты данных и/или фрагменты данных (например, единица личной информации и/или единица взаимодействия с пользователем и/или любая другая единица данных, выбранная пользователями в качестве личных данных). Используемый здесь термин данные может также относиться к любому типу информации, сигналам, метаданным, выходным данным алгоритма искусственного интеллекта, выходным данным ботов, работе автоматических роботов и т.п. В некоторых вариантах осуществления данные, используемые в дальнейшем, могут также включать применимые или релевантные данные, например информацию, которая может быть сгенерирована отдельно и/или в ответ на запрос пользователя и/или поставщика услуг.
Теперь обратимся к фиг. 1A-1B, которые схематически иллюстрируют известную систему 100 связи с платформой 108 управления конфиденциальностью. Система связи 100 соединяет пользователя 102 , например, с помощью компьютеризированного устройства, с поставщиком услуг 106 , который предоставляет некоторые услуги пользователю через по меньшей мере одну сеть связи 104 , 114 . Следует понимать, что используемый здесь термин «сеть» может относиться к проводной, беспроводной и/или сотовой сети.
Сеть 104 , 114 содержит архитектуру взаимодействия открытых систем (OSI), которая действует как третья сторона при связи с платформой управления конфиденциальностью 108 , обеспечивая политику взаимодействия (например, в сеансах связи) между пользователем 102 и поставщик услуг 106 таким образом, что ни пользователь, ни поставщик услуг не влияют и/или не контролируют архитектуру OSI сети 104 , 114 (например,г.
контроль передачи личных данных через параллельные системы и/или платформу управления конфиденциальностью).
Следует отметить, что данные, проходящие от пользователя 102 к поставщику услуг 106 , сначала проходят восходящий поток 103 к первой сети 104 с архитектурой OSI, где термин восходящий относится к направлению, в котором данные могут быть переданы от клиента к серверу (например, загрузка). Затем данные передаются по нисходящему каналу 113 на платформу управления конфиденциальностью 108 для управления конфиденциальностью, где термин нисходящий поток относится к «противоположному» направлению, в котором данные могут передаваться с сервера на клиент (например,г. скачивание). От платформы управления конфиденциальностью 108 к поставщику услуг 106 данные передаются вверх по течению 115 во вторую сеть 114 (также имеющую архитектуру OSI), а затем вниз по течению 105 к поставщику услуг 106 7.
Следует понимать, что в такой системе связи вся информация должна проходить через архитектуру OSI через сетевой протокол 104 , 114 , а затем, кроме того, вся информация должна проходить через платформу управления конфиденциальностью 108 , что создает дополнительный высокий сетевой трафик. проходя через платформу управления конфиденциальностью 108 , тем самым снижая эффективность, что может потребовать дополнительных (например,г. удвоенные) аппаратные средства (дополнительные маршрутизаторы, серверы и т.п. для обработки всех сетевых протоколов и обеспечения конфиденциальности) вместе с дополнительным временем обработки.
Следует отметить, что при передаче данных от поставщика услуг 106 пользователю 102 направление данных может быть обратным. В частности, данные могут быть загружены вверх по течению 105 до второй сети 114 , затем Downstream 115 на платформу управления конфиденциальностью 108 , затем вверх по течению 113 до первой сети 104 , и, наконец, ниже по течению 103 для пользователя устройство 102 .
По крайней мере некоторые меры по обеспечению соблюдения политики конфиденциальности могут выполняться на локальных устройствах (например, такая архитектура может включать частичное обеспечение соблюдения конфиденциальности локальным(и) устройством(ами), частичное управление передачей личных данных через параллельную(ые) систему(ы) и/или квазиплатформу управления конфиденциальностью ). Как показано на фиг. 1B, система 100 связи может дополнительно содержать блок 107 управления конфиденциальностью пользователя и блок 109 управления конфиденциальностью поставщика услуг. Таким образом, объективность системы и сетевого протокола может быть скомпрометирована и манипулирована в случае, если дополнительные элементы имеют доступ к конечным устройствам, при этом такие блоки управления конфиденциальностью 107 , 109 могут, по крайней мере, частично обеспечивать соблюдение политики конфиденциальности передаваемых данных вместо все политики конфиденциальности применяются платформой управления конфиденциальностью 108 .
Следует понимать, что в такой системе связи может быть утрачена объективность, поскольку конфиденциальность управляется конечными устройствами (т. е. пользователями), а не третьей стороной.
Следует отметить, что используемый здесь термин «сеть» может относиться к любой проводной, беспроводной, глобальной и/или локальной, сотовой, облачной или любой другой сети связи.
Теперь обратимся к фиг. 2, которая схематически иллюстрирует систему 200 связи с уровнем 211 конфиденциальности согласно некоторым вариантам осуществления изобретения.Следует понимать, что в этой системе связи , 200, разные типы данных могут передаваться на разные элементы. Подобно системе, показанной на фиг. 1A-1B, конкретная конфигурация политики конфиденциальности может быть настроена для пользователя 202 через сеть связи 204 (например, проводную, беспроводную сеть или облачную сеть), при этом пользователь 202 может определить все предпочтения конфиденциальности в отношении фрагменты данных и услуги (например, личные данные и пользовательский опыт), которые можно получить у поставщика услуг 206 .
Следует отметить, что в некоторых случаях поставщик услуг может также рассматриваться как «пользователь», общающийся с другим поставщиком услуг.
В некоторых вариантах осуществления поставщик услуг 206 может также предоставлять пользователю 202 общие параметры по умолчанию в отношении настроек конфиденциальности с соответствующей политикой использования. Следует отметить, что такие общие параметры не относятся к конкретному пользователю, в результате чего пользователь не идентифицируется. Примером политики конфиденциальности может быть совместное использование местоположения и выходных данных социальных плагинов (например,г. плагины приложений, SDK, API и плагины браузера, такие плагины обычно создаются как операторы и/или коммуникационные утилиты для улучшения и эффективного взаимодействия с пользователем, которые связывают действия, обмениваются контентом и службами поддержки), а также пример для политика использования может разрешать доступ к данным и содержимому приложения, например, политика использования для предоставления услуги при условии получения рекламы или без нее от поставщика услуг 206 .
В некоторых вариантах осуществления поставщик услуг 206 также может специально определять параметры взаимодействия с пользователем и обмениваться данными с сетью 204 , как дополнительно описано ниже.
В некоторых вариантах осуществления сеть 204 может включать архитектуру 210 взаимодействия открытых систем (OSI), которая может действовать как третья сторона, предоставляющая политику и/или протокол для взаимодействия (т. е. сеанса связи) между пользователем 202 и поставщик услуг 206 таким образом, что ни пользователь, ни поставщик услуг не могут влиять или манипулировать политикой посредством управления архитектурой 210 OSI сети 204 .
В соответствии с некоторыми вариантами осуществления архитектура OSI 210 может иметь структуру, основанную на уровне абстракции, например, в неограничивающем варианте осуществления с семью уровнями данных, где каждый уровень данных связывается с соседними уровнями и по-разному увеличивает и/или уменьшает данные.
строка (например, путем добавления полезной нагрузки, относящейся к уровню, и/или изменения в заголовке и/или нижнем колонтитуле, относящемся к шаблону и/или протоколу). В некоторых вариантах осуществления к структуре уровней архитектуры OSI 210 может быть добавлен дополнительный уровень конфиденциальности или протокол 211 при сохранении его структуры уровней (т.е. изменение строки данных и обслуживание уровня выше и обслуживание уровня ниже), так что основная архитектура системы может поддерживаться как расширенная архитектура OSI. Следует отметить, что уровень конфиденциальности или протокол 211 могут использоваться для совместного использования данных и метаданных на основе предпочтений пользователей, как дополнительно описано ниже. Следует понимать, что в отличие от некоторых коммерчески доступных решений может потребоваться только одна уже существующая сеть 204 , поскольку больше нет необходимости добавлять отдельную дублирующую инфраструктуру (например,г.
серверы, маршрутизаторы и т. п.), и вся связь может проходить через одну и ту же сеть 204 .
Следует отметить, что связь между пользователем 202 и сетью 204 , например, включая расширенную архитектуру OSI 210 и 211 , может быть настроена и определена с конкретными конфигурациями для каждого пользователя 202 (( выбранный уровень пользовательского опыта, состоящий из контента, действий и/или услуг, которыми поставщик услуг может поделиться с пользователем).Тем самым определяя начальный уровень ввода конфиденциальности, который поступает пользователю 202 . При таком подключении пользователь 202 может, например, просматривать и/или изменять и/или сбрасывать настройки конфиденциальности. В некоторых вариантах осуществления данные, поступающие от пользователя 202 (например, в виде набора данных), могут быть фрагментированы на несколько единиц фрагментов данных, которые могут использоваться совместно с другими пользователями и/или поставщиками услуг, например информация об устройстве пользователя и/или результат и /или ответ на сценарий социального плагина.
Аналогичным образом связь между поставщиком услуг 206 и сетью 204 может быть настроена и определена с помощью общих конфигураций для каждой услуги и контента (например,g., единица взаимодействия с пользователем), использующая по крайней мере один входной объект конфиденциальности и один выходной уровень службы. В некоторых вариантах осуществления конфигурация по умолчанию для всех услуг может быть определена как «закрытая», так что связь может быть установлена только тогда, когда обе стороны (т. е. пользователь и поставщик услуг) соглашаются совместно использовать конкретный элемент контента. В некоторых вариантах осуществления данные, поступающие от поставщика услуг 206 (например, в виде кластера взаимодействия с пользователем), могут быть фрагментированы или разделены на несколько единиц взаимодействия с пользователем, которые впоследствии могут быть включены для других пользователей и/или поставщиков услуг, например информация о контенте или реклама.
.
В соответствии с некоторыми вариантами осуществления пользователь 202 и поставщик услуг 206 могут дополнительно связываться с Бюро урегулирования конфиденциальности (PSB) 208 (например, сервер, реализованный как отдельный удаленный сервер и/или облачный сервер, и/или другой независимый набор серверов, управляющих политиками удаленно от пользователя и поставщика услуг, чтобы сохранить объективность и иметь возможность удостоверить расчет в соответствии с требованиями официальных органов), например, по сети 204 или какой-либо другой сети.Бюро урегулирования конфиденциальности 208 может обмениваться данными с архитектурой OSI 210 с добавленным уровнем конфиденциальности 211 через сеть 204 , чтобы управлять конфигурациями конфиденциальности передачи данных между пользователем 202 и поставщиком услуг 206 .
В некоторых вариантах осуществления предпочтения конфиденциальности для пользователя 202 могут быть первоначально установлены с помощью первого соединения 203 с бюро расчетов конфиденциальности 208 , и аналогичным образом общие предпочтения использования для поставщика услуг 206 могут быть первоначально установлены со вторым подключение 205 к расчетному бюро конфиденциальности 208 .Таким образом, бюро расчета конфиденциальности 208 может получать только политику конфиденциальности и политику использования от пользователя 202 и поставщика услуг 206 (соответственно), так что дополнительная информация может быть передана другим элементам, как дополнительно описано ниже. В некоторых вариантах осуществления политика конфиденциальности и политика использования могут быть получены в виде матрицы конфиденциальности, имеющей различные векторы конфиденциальности для разных пользователей.
В соответствии с некоторыми вариантами осуществления все передаваемые данные могут находиться в «нормально закрытом» состоянии (т.е. закрыты по умолчанию), что означает, что все данные могут быть изначально (в восходящем направлении) зашифрованы. В случае, если политика конфиденциальности пользователя 202 соответствует политике использования поставщика услуг 206 для определенных сегментов данных, тогда эти данные могут быть (внизу) раскрыты 209 (или расшифрованы). В некоторых вариантах осуществления сегмент данных, не соответствующий (или противоречащий) политике конфиденциальности, может отображаться как нерасшифрованные нечитаемые помеченные сегменты нежелательных данных и/или аннулироваться, например, заменяться случайной строкой символов или заменяться предопределенной строкой. отмеченных ненужных символов и/или null.
Следует понимать, что уровень конфиденциальности 211 может быть добавлен с использованием той же сети связи 204 (таким образом, что дополнительные серверы и маршрутизаторы и другие элементы сетевого оборудования не требуются), при сохранении полного объективного контроля передачи данных между пользователь 202 и поставщик услуг 206 (например, для целей сертификации).
Следует отметить, что поставщик услуг 206 может иметь начальное шифрование всех данных (которое не изменяется системой 200 ), а шифрование системы 200 , проходящее через уровень конфиденциальности 211 , может быть добавлен в качестве второго (восходящего) уровня шифрования данных к этому начальному шифрованию, например, начальному шифрованию «А», как показано на фиг.4. В некоторых вариантах осуществления такой второй уровень шифрования (например, шифрование «B», как показано на фиг. 4) может обеспечивать шифрование в реальном времени на основе предопределенных параметров, которые пользователь 202 и поставщик услуг 206 желают раскрыть. (например, соответствие политике конфиденциальности), а также параметры, которые пользователь 202 и поставщик услуг 206 не желают раскрывать (например, несоответствие и/или противоречие политике конфиденциальности и, таким образом, помечаются и не расшифровываются).
В некоторых вариантах осуществления данные, переданные от пользователя 202 , могут передаваться на уровень конфиденциальности 211 по отдельному каналу 213 , и аналогичным образом данные, передаваемые от поставщика услуг 206 , могут передаваться на уровень конфиденциальности 211 по отдельному каналу 213 . канал 215 .В некоторых вариантах осуществления все данные, проходящие через уровень конфиденциальности 211 , могут отслеживаться бюро 208 расчетов конфиденциальности, например, с предварительно заданным управлением сеансом 201 .
В соответствии с некоторыми вариантами осуществления передача данных между пользователем 202 и поставщиком услуг 206 может быть зашифрована и/или расшифрована на основе политики конфиденциальности и политики использования, которые первоначально предоставлены бюро расчета конфиденциальности 208 при первом соединении 203 и второе соединение 205 , как описано выше.
Таким образом, данные от пользователя 202 могут проходить вверх по течению в сеть 204 , чтобы подвергаться шифрованию на уровне конфиденциальности 211 в расширенной архитектуре OSI. Затем сеанс 201 с бюро расчета конфиденциальности 208 , применяя вектор политики конфиденциальности, может проверить или сравнить политику конфиденциальности с политикой использования, чтобы предоставить уровень конфиденциальности 211 с элементами для обеспечения соблюдения предпочтений политики конфиденциальности (от пользователя 202 ). которые соответствуют политике использования и поэтому должны быть расшифрованы, как дополнительно описано на фиг.4. Затем расшифрованные данные могут пройти вниз по течению от сети 204 к поставщику услуг 206 , в то время как элементы, которые не соответствуют и/или противоречат политике использования, могут передаваться нерасшифрованными как помеченные ненужные данные.
Точно так же данные от поставщика услуг 206 могут передаваться вверх по течению в сеть 204 , чтобы пройти шифрование на уровне конфиденциальности 211 расширенной модели OSI. Затем сеанс 201 с бюро расчета конфиденциальности 208 , применяя вектор политики использования, может проверить или сравнить политику конфиденциальности с политикой использования, чтобы предоставить уровень конфиденциальности 211 с элементами уровня политики использования (от поставщика услуг 206 ). которые соответствуют политике конфиденциальности и поэтому должны быть расшифрованы, как дополнительно описано на фиг.5. Затем расшифрованные данные могут пройти вниз по течению от сети 204 к пользователю 202 , в то время как элементы, которые не соответствуют и/или противоречат политике использования, могут пройти нерасшифрованными как помеченные ненужные данные и/или аннулированные.
Следует понимать, что с помощью такой системы можно поддерживать объективность, поскольку бюро 208 урегулирования конфиденциальности хранит только политику конфиденциальности и политику использования, в то время как шифрование и дешифрование выполняются с уровнем конфиденциальности 211 во внешней сети 204 .
В некоторых вариантах осуществления такая система может также предотвращать доступ к поведению автоматического/компьютеризированного робота с искусственным интеллектом, пытающегося обойти уровень конфиденциальности и/или протоколы, поскольку создается дополнительный уровень данных, и такой робот не может проникнуть к пользователю или поставщику услуг, как уровень конфиденциальности «нормально закрытый». Например, предупреждение может быть создано, если система идентифицирует попытку манипулирования на уровне конфиденциальности.
В соответствии с некоторыми вариантами осуществления, такая система связи 200 , имеющая дополнительный уровень конфиденциальности 211 (в качестве расширенной модели OSI), может обеспечивать контролируемое, структурированное и согласованное согласование обмена данными и сбора метаданных между пользователями.
Следует понимать, что добавление уровня конфиденциальности и/или протокола в архитектуру OSI в качестве расширенной OSI может быть выполнено как часть структуры уровня OSI и может включать несколько шагов (например, реализованных в виде сценария или алгоритма), которые может включать первоначальную идентификацию релевантных или применимых данных (например, элементы личных данных, такие как местоположение пользователя, история браузера пользователя и т. п., и элементы взаимодействия с пользователем поставщиком услуг, такие как извлечение данных из внешнего источника, активация внешней службы и т. п.), такие как обрабатываются только те типы данных, которые могут быть обработаны такой системой связи, т.е.е. данные от пользователя и/или поставщика услуг должны быть зашифрованы и расшифрованы в соответствии с политикой конфиденциальности и использования. После такой идентификации все данные могут быть (в восходящем направлении) зашифрованы, а затем сегменты данных, соответствующие совпадению между политикой конфиденциальности и политикой использования, выборочно дешифруются (в нисходящем направлении), в то время как оставшиеся сегменты данных (с несоответствием и/или противоречащей политике) не расшифровываются (например, помечаются, а затем аннулируются или становятся ненужными данными).
Следует также отметить, что такой уровень конфиденциальности может также поддерживать структуру передачи данных между уровнями архитектуры OSI, поэтому дополнительный этап интеграции доступа к другим уровням и/или из них (т.е. изменение строки данных и обслуживание уровня выше и обслуживание уровня ниже) также может быть реализовано. Таким образом, операцию добавления дополнительного уровня конфиденциальности в модель OSI можно рассматривать как эквивалентную выполнению этих шагов.
Ссылка теперь сделана на фиг. 3, на которой показана блок-схема реализации политики конфиденциальности между пользователем и поставщиком услуг в соответствии с некоторыми вариантами осуществления. Первоначально политика конфиденциальности по крайней мере для одного пользовательского устройства и политика использования по крайней мере для одного поставщика услуг могут быть получены по номеру 301 , например, бюро урегулирования конфиденциальности через архитектуру OSI.Например, политика конфиденциальности и политика использования могут быть получены бюро расчетов конфиденциальности во время первоначальной настройки системы, т.
е. как описано на фиг. 2. В некоторых вариантах осуществления поставщик услуг также может рассматриваться как пользователь с политикой конфиденциальности и/или политикой использования, позволяющей осуществлять связь по меньшей мере между двумя пользователями. Следует отметить, что политика использования может определять по меньшей мере два уровня использования, первый уровень использования и второй уровень использования, при этом первый уровень использования может соответствовать первой политике конфиденциальности, а второй уровень использования может соответствовать второй политике конфиденциальности. .Например, поставщик услуг предлагает различные способы использования, для которых у пользователя разные политики конфиденциальности.
Затем фрагментированный набор данных, который применим (например, элементы личных данных, такие как выходные данные аудиосенсора пользователя, история веб-поиска пользователя и т. п., а также элементы взаимодействия с пользователем поставщиком услуг, такие как обновленные данные во внешнем источнике, активировать ссылку для закрытого списка членов и т.
п.), которые должны быть обработаны системой, могут быть идентифицированы 302 , например, как часть добавления уровня конфиденциальности к архитектуре OSI (тем самым создавая расширенную архитектуру OSI), чтобы разрешить передачу сегментов данных между пользовательскими устройство и поставщик услуг, при этом уровень конфиденциальности может содержать некоторую справочную информацию, такую как идентификация сеанса связи, в отношении политики конфиденциальности и политики использования.Затем коды шифрования можно получить по номеру 303 из бюро расчетов по вопросам конфиденциальности, а соответствующие выборочные ключи дешифрования будут предоставлены на более позднем этапе. Затем все сегменты данных могут быть зашифрованы 304 , а затем переданы 305 между пользователем и поставщиком услуг. Например, шифруйте (в восходящем направлении) все данные, передаваемые от пользователя в сеть через расширенную архитектуру OSI.
Затем вектор обеспечения соблюдения политики конфиденциальности может быть получен 306 уровнем конфиденциальности расширенной архитектуры OSI, например, полученным от бюро урегулирования конфиденциальности.В зависимости от вектора применения политики конфиденциальности зашифрованные элементы данных могут быть выборочно расшифрованы или предоставлены 307 для чтения другой стороной (например, для чтения поставщиком услуг).
В случае, если сегменты данных не соответствуют (или противоречат) хотя бы одному из политик конфиденциальности и политики использования, то эти сегменты данных могут быть помечены и тем самым останутся как нерасшифрованные, как помеченные нежелательные данные и/ или аннулировать то, что не может быть прочитано другой стороной. Наконец, фрагментированный набор данных (т.например, сегменты данных) могут быть отправлены 308 другой стороне с элементами, которые раскрыты (т.е. расшифрованы) и, возможно, с элементами, не соответствующими политикам конфиденциальности, которые выглядят как нерасшифрованные, помеченные ненужными данными и/или аннулируют, например что соблюдение политики конфиденциальности может быть наконец достигнуто.
В соответствии с некоторыми вариантами осуществления такой вектор применения политики конфиденциальности может обеспечивать контролируемое, структурированное и последовательное согласование обмена данными и сбора метаданных между пользователями (например,г. для выдачи официальных сертификатов).
Теперь обратимся к фиг. 4, которая схематически иллюстрирует поток данных от пользователя , 402, к поставщику услуг , 406 в системе связи согласно некоторым вариантам осуществления. Следует понимать, что на фиг. 4 иллюстрирует примерный поток данных в системе связи , 200, , например, как показано на фиг. 2.
Пользователь 402 может предоставить набор данных сегментов данных 409 , например, набор данных (или список) с массивом различных типов данных, имеющих информацию, касающуюся по крайней мере одного адреса интернет-протокола (IP), географического местоположение и данные как минимум с одного датчика 1 — i , например данные с датчика камеры.
Следует отметить, что хотя некоторые типы данных являются общей структурой данных (например, IP-адрес), другая информация и/или сигнал могут представлять собой специфическую структуру данных, такую как движение мыши по экрану, поэтому по крайней мере некоторая информация в наборе данных 409 может быть выбран пользователем как изначально заблокированный 403 в политике конфиденциальности пользователя. В некоторых вариантах осуществления набор данных 409 может включать единицы фрагментов данных.
В некоторых вариантах осуществления некоторые элементы в наборе данных 409 изначально зашифрованы 403 (т.г. внешним приложением) до использования политики конфиденциальности. Это первоначальное шифрование может быть позже расшифровано (вне описанной здесь системы связи) после завершения передачи данных между пользователем 402 и поставщиком услуг 406 , так что это базовое шифрование 403 не может повлиять на шифрование 413 протокол конфиденциальности 410 , так как эти два метода шифрования разделены разными уровнями и не могут быть объединены.
Например, фрагмент данных, изначально зашифрованный 403 внешней стороной (т.г. социальным приложением) дополнительно шифруется 413 с помощью протокола конфиденциальности 410 , так что только после удаления шифрования с помощью протокола конфиденциальности 410 (т. е. дешифрования, если оно соответствует политике конфиденциальности), первоначальное шифрование 403 также может быть удалено внешним поставщиком приложений.
Набор данных 409 затем может быть передан в сеть 404 (например, проводная или облачная сеть) с протоколом конфиденциальности 410 и передан на первый сервер (или процессор) 407 для шифрования (восходящего потока) 405 таким образом, что каждый элемент в наборе данных получает соответствующий зашифрованный элемент восходящего потока B 1 -Bi 413 для создания зашифрованного набора данных 412 .
Следует отметить, что шифрование 413 первым сервером 407 соответствует направлению данных, и, поскольку данные передаются от пользователя 402 в сеть 404 , передача идет вверх по течению, и поэтому все данные шифруются 405 с протоколом конфиденциальности 410 . В противоположном случае, как, например, показано на фиг. 5, данные проходят вниз по течению от сети 404 к пользователю 402 .
Следует понимать, что первый сервер 407 может получить вектор 416 обеспечения конфиденциальности с кодами для шифрования 405 набора данных 409 .Вектор соответствующих избирательных ключей 418 для вектора кодов 416 может затем быть отправлен на второй сервер 417 для расшифровки 415 , как дополнительно описано ниже.
Следует отметить, что используемые здесь термины «первый и второй серверы» относятся к логическим ссылкам на серверы, а не обязательно к последовательным серверам, поскольку между первым и вторым серверами могут быть реализованы дополнительные серверы.
Следует иметь в виду, что Бюро расчета конфиденциальности (PSB) 408 может контролировать шифрование кодов или замков B 1 -Bi 416 и соответствующих ключей B 1 -Bi 418 в рамках политики конфиденциальности. вектор.Таким образом, принимая во внимание открытую связь между PSB 408 и либо первым сервером 407 , либо вторым сервером 417 , PSB 408 может управлять как шифрованием, так и дешифрованием, например, на основе принятого вектора политики конфиденциальности. Следует отметить, что набор ключей 418 , загруженный на серверы, может соответствовать политике конфиденциальности, так что только при совпадении с политикой конфиденциальности ключ может разблокировать соответствующую блокировку (например, расшифровать сегмент зашифрованных данных).
Затем зашифрованный набор данных 412 может передавать данные на второй сервер (или процессор) 417 для дальнейшего раскрытия или расшифровки 415 с вектором политики конфиденциальности от PSB 408 для согласования и обеспечения политики конфиденциальности пользователя 6072 и политика использования поставщика услуг 406 .
Следует понимать, что второй сервер 417 может запросить у PSB 408 ключи для расшифровки всех элементов набора данных 412 , а PSB 408 может затем определить, какие элементы следует расшифровать, а какие оставить нерасшифрованными. (т.е.г. помечаются, а затем становятся ненужными данными и/или аннулируются), выборочно не предоставляя соответствующий(е) ключ(и).
Во время нисходящего дешифрования 415 протокол конфиденциальности 410 может определить, все ли элементы в зашифрованном наборе данных 412 имеют соответствующие элементы политики, чтобы не было несоответствия между политикой конфиденциальности и политикой использования.
Таким образом, после расшифровки 415 нисходящего потока оставшийся набор 420 расшифрованных данных может быть окончательно получен поставщиком услуг 406 .Следует отметить, что в случае, если какой-либо элемент в зашифрованном наборе данных 412 не соответствует и/или противоречит политике конфиденциальности и политике использования, то этот элемент может быть не расшифрован, помечен и затем помечен как нежелательные данные и/или или аннулировать, в то время как все остальные элементы (соответствующие совпадению) могут быть расшифрованы.
В некоторых вариантах осуществления, если нет связи между пользователем 402 и поставщиком услуг 406 , все данные могут быть получены как нерасшифрованные и помеченные ненужными данными (т.е. изначально закрыто) и/или аннулировано.
Теперь делается ссылка на фиг. 5, которая схематически иллюстрирует поток данных от поставщика услуг , 506, к пользователю , 502, в рамках открытой системы связи согласно некоторым вариантам осуществления.
Следует понимать, что на фиг. 5 иллюстрирует примерный поток данных в системе связи , 200, , например, как показано на фиг. 2.
Поставщик услуг 506 может предоставить набор данных 509 , например набор данных (или список) с массивом различных типов данных, содержащий информацию, касающуюся по крайней мере одного из адресов интернет-протокола (IP). представленные на экране пользователя, социальная информация и/или сигнал, а также данные как минимум из одного контента 1 — j .В некоторых вариантах осуществления набор данных 509 может включать в себя фрагментированные единицы взаимодействия с пользователем.
В некоторых вариантах осуществления некоторые элементы в наборе данных 509 могут быть первоначально зашифрованы или заблокированы 503 (внешним приложением) до реализации политики использования протоколом политики 510 .
Следует понимать, что Бюро расчета конфиденциальности (PSB) 508 может контролировать шифрование замков B 1 -Bj 516 и соответствующих ключей B 1 -Bj 518 .Таким образом, при открытой связи между PSB 508 и либо первым сервером 507 , либо вторым сервером 517 PSB 508 может управлять как шифрованием, так и дешифрованием, например, на основе полученного вектора политики конфиденциальности. Следует отметить, что набор ключей 518 , загруженный на серверы, может соответствовать политике использования, так что только при совпадении с политикой использования ключ может разблокировать соответствующую блокировку (например, расшифровать сегмент зашифрованных данных).Следует отметить, что используемые здесь термины «первый и второй серверы» относятся к логическим ссылкам на серверы, а не обязательно к последовательным серверам, поскольку между первым и вторым серверами могут быть реализованы дополнительные серверы.
Набор данных 509 затем может быть передан в сеть 504 (например, проводная или облачная сеть) с протоколом конфиденциальности 510 и передан на первый сервер (или процессор) 507 для шифрования 505 что каждый элемент в наборе данных получает соответствующий зашифрованный элемент B 1 -Bj 513 для создания зашифрованного набора данных 512 .Затем зашифрованный набор данных 512 может передавать данные на второй сервер (или процессор) 517 для выборочного дешифрования 515 с вектором политики конфиденциальности от PSB 508 для установления и подтверждения пользователя 502 и политики использования службы провайдер 506 .
Во время расшифровки 515 протокол конфиденциальности 510 может определить, все ли элементы в зашифрованном наборе данных 512 имеют соответствующие элементы политики, чтобы не было несоответствия и/или противоречия между политикой конфиденциальности и политикой использования.
Таким образом, после расшифровки 515 расшифрованный набор данных 520 может быть окончательно получен пользователем 502 . Следует отметить, что в случае, если какой-либо элемент в зашифрованном наборе данных 512 не соответствует совпадению в политике конфиденциальности и политике использования, то этот элемент может быть помечен как нерасшифрованный, а затем стать ненужными данными или аннулироваться, в то время как все остальные элементы ( соответствующий совпадению) может быть расшифрован.
В некоторых вариантах осуществления, если нет связи между пользователем 502 и поставщиком услуг 506 , все данные могут быть получены как расшифрованные и нечитаемые и/или аннулированные (т.е. изначально закрытый).
Несмотря на то, что некоторые признаки изобретения были проиллюстрированы и описаны здесь, многие модификации, замены, изменения и эквиваленты теперь очевидны специалистам в данной области техники.
Таким образом, следует понимать, что прилагаемая формула изобретения предназначена для охвата всех таких модификаций и изменений, которые соответствуют истинной сущности изобретения.
Были представлены различные варианты исполнения. Каждый из этих вариантов осуществления, конечно, может включать в себя функции из других представленных вариантов осуществления, а варианты осуществления, не описанные конкретно, могут включать в себя различные функции, описанные в настоящем документе.
Receiver 2 — Все расшифрованные записи, оставленные Шарлин (спойлеры)
Все расшифрованные записи, оставленные Шарлин. Включает в себя, как решить их самостоятельно.
Как решить!
Если вы соберете достаточно заметок Шарлин, она сошлется на шифр для зашифрованных заметок: шифр Виженера . Вам понадобится пароль или ключевое слово , чтобы решить эту проблему. Я использовал этот веб-сайт декодера шифра Виженера, чтобы угадывать ключевые слова, пока не получил достаточно четкое сообщение, чтобы сузить правильный ответ.
Попробуй сам. Обратите внимание, что для его работы заголовок заметки и тело заметки должны быть декодированы отдельно.
Если вы застряли, вот подсказка: ключевое слово можно найти в одной из заметок Генри !
Вторая подсказка: слово, близкое к ключевому слову ПОЛУЧАТЕЛЬ
Если у вас нет на это времени, ключевое слово ОБМАНЫВатели
Если у вас нет нужных заметок и нет времени прочесывать уровни для них, вы можете обмануть свой путь к заметкам:
- Открытие режима отладки с помощью Ctrl + F12.
- Отключить врагов, включить noclip и, самое главное, включить рентген предмета . После этого вы сможете видеть все предметы сквозь стены, обозначенные цветными точками. Заметки, как правило, оранжевые, ленты фиолетовые и т. д.
- Летите по уровню, собирая заметки. У вас могут закончиться заметки на уровне, и вам нужно будет попробовать другой. Загрузите другой уровень через кампанию> выберите уровень для загрузки. Я сделал это для всех 5 уровней.
Я сделал это для всех 5 уровней. Не расстраивайтесь, если воспользуетесь этим методом.Некоторые заметки были в очень странных местах, например, на вершине одной из стропил в помещении строительной площадки.
Все зашифрованные и расшифрованные записи Шарлин
Примечание 3/12 «Hacker life forev3r»
Зашифровано:
Vlqsb olv ldtgw. Bcip sui nmmn. Xywb и LZGVAYITW. Gjyi dljg ma v pzw. Bswv miidq lw psb tslj hrgqg. Ri rjh xji miidq.
Расшифровано:
Стреляйте в кассеты. Это ложь. Они ОБМАНЧИКИ.Твоя жизнь — ложь. Ваш враг не ваш враг. Мы враг.
Особое примечание: кажется, что съемка лент ничего не разблокирует / не изменит концовку. Стрельба по ленте просто соберет ее без воспроизведения звука, даже для последних трех на уровне 5.
Примечание 10/12 «WVCMBJV»
Зашифровано:
ВВКМБДЖВ
Vmv fixo, kzlw qrm’n kffqe uxqik: Kzh Xjvmvx ysv gqvzptkwg xji Zzgvayitw.
Bciiw dvg xzvmkguw qyb olvjh, gqptvffjdxkro rmkz wlg Xpmirl, imilbdrx sjekrao yj.Aw’w tscbl rfg enp, jpx Z cqsy sn vx cwdwv svz fp fdqg:
«ЛМИВП»
Zh’w vvgdrx lr xtmx tsl ms fa wxmirvlri pqzw rtryv xpz Vvuhmxizn. Мк’к мюйкс иискжв йег аси лки Влззек лр агэсзр лк.
Расшифровано:
ПРЕДАТЕЛЬ
Расслабьтесь, это будет жалить: Угроза испортила приемники. Там есть предатели, сотрудничающие с Угрозой, сражающиеся против нас. Это грубо и все такое, но я знаю по крайней мере одного по имени:
.
«ГЕНРИ»
Он пытается сбить вас с толку, распространяя ложь о Приемниках.Это просто еще один способ Угрозы ослабить нас.
Особое примечание: Генри, скорее всего, не настоящий предатель. Вместо этого он наткнулся на одну из пьяных заметок Шарлин о кодах, что привело его к паранойе и недоверию. Это заставляет Генри писать свои заметки о «Большой лжи».
Примечание 11/12 «WVCRAHMKLLRI LWKI»
Зашифровано:
WVCRAHMKLLRI LWKI
Lx’u rwo ecd eef rmrw.
Pwv, ag fimicq vytzqqi zf wlkw xgetw, drf xpz Xyjhev yazh “Kzh Htiihmey” ws ryb amcd lx ymbc rrkwc uyzkvzkhw, dyb olvjh mu evjxywu jcgbdse xuso vmvpzlb E, vvgdrx lr lgpx pw.Kzhc cvm OLV THRGJIXXFJV, eph bcip sui vlm nsljfi qj bci kssiu, xpz eder, xji oprj, sqh cpaj xrjjivil hijkdkgw bj lvds yu fmxsdw dacvm jj flkit hiikvjv.
Расшифровано:
ПЕРЕДАЧА НАДЕЖДЫ
Это не все плохие новости. Да, мы едва выживаем в этом месте, и Угроза использовала «Сновидение», чтобы наполнить его неприятными сюрпризами, но есть еще одна фракция из реальности А, пытающаяся нам помочь. Они БЛАГОТВОРИТЕЛИ, и они являются источником лент, боеприпасов, оружия, а также адресных сообщений, которые помогают нам узнать о других опасностях.
Примечание 12/12 «WVWI UZEEAQK QJ BCI NGUPF»
Зашифровано:
WVWI UZEEAQK QJ BCI NGUPF
Ec pse tsl sovgelt oegz edsco vvsomvc I vru T, umilb? Vru thmpk ojsu dlxvpm Mitwlzgva ri nsqx vs xmskwfx qyznicnhw kr Zzecawc D.
Fco M’d kwetxqik kg vyutmxx jgpivlqik. Z lkmpo bciiw lw CRWOLVJ oeaiz os gwhp dekf lvjh, eph qo’w rdo edsco xyav gteht pzees yszgh nw dvg mv isn. Lkmpo MOIIFDP UYVNLZFH SH XPZ WGGWPGWA HMEV Peafm olzk spcgm dwe’l myux I wekloi ivwpru, aw lcw I kyihrwg…
Apvx zk UICPQOC T?
Расшифровано:
ИСТИННЫЙ СМЫСЛ МИРА
Вы уже знаете о реальности A и B, верно? И, будучи хорошими маленькими Получателями, мы хотим защитить себя в Реальности Б.Но я начинаю что-то подозревать. Я думаю, что здесь есть ДРУГОЙ слой, который нужно снять, и все дело в этом сумасшедшем неопределенном мире, в котором мы сейчас находимся. Подумайте о ВЕЧНОМ СОЛНЕЧНОМ СИЯНЕ ЧИСТОГО РАЗУМА Может быть, это место не просто Поле битвы, у него есть цель…
Что такое РЕАЛЬНОСТЬ C?
Вам также может понравиться
- Приемник 2 — Отголоски угроз / Ленты самоубийств
- Приемник 2 — Все чит-коды
Фонд свободы прессы наращивает усилия по шифрованию для журналистов
В связи с тем, что в этом году АНБ постоянно появляется в заголовках, важно изучить, как защитить журналистов, которым необходимо общаться с конфиденциальными источниками.
Фонд свободы прессы стремится поддерживать и защищать транспарентную журналистику в эпоху, когда она подвергается особому контролю.
Фонд недавно объявил о краудфандинговой кампании по улучшению разработки инструментов шифрования с открытым исходным кодом, чтобы помочь журналистам в их общении с источниками. Инструменты включают в себя:
«Для того, чтобы критически важная информация стала достоянием общественности, утечки становятся фундаментальной частью того, как этот журналистский процесс осуществляется в состоянии такой секретности.» – Джош Стернс, Фонд свободы прессы.
- Проект Tor, организация, проводящая обширные исследования и создающая технологические решения, включая пакет Tor Browser Bundle, используемый журналистами для анонимизации своих привычек просмотра веб-страниц и физического местоположения. Проект Tor стремится предоставлять технологии, обучать и повышать осведомленность журналистов по всему миру в области цифровой безопасности.
- Tails — новаторская операционная система, которую можно запустить практически на любом компьютере с DVD-диска или USB-накопителя и которая никогда не затрагивает ваш жесткий диск. Tails пытается решить многие проблемы наблюдения, «делая правильные вещи» по умолчанию — от анонимного просмотра веб-страниц до использования современных криптографических инструментов для шифрования файлов, электронной почты и мгновенных сообщений.
- RedPhone и TextSecure, зашифрованные приложения для телефона и текстовых сообщений, созданные известным экспертом по безопасности Мокси Марлинспайком и его проектом Open WhisperSystems. И RedPhone, и TextSecure предназначены для реализации сквозного шифрования, одновременно делая эти усовершенствования максимально незаметными и легкими для пользователя.
- LEAP Encryption Access Project, новая некоммерческая организация, основанная давними экспертами в области безопасности связи, направлена на адаптацию технологии шифрования, чтобы сделать ее простой в использовании и широкодоступной. Они создали систему электронной почты с открытым исходным кодом, которая автоматически обрабатывает управление ключами, расшифровку и шифрование, а также серверное программное обеспечение, которое позволяет любому провайдеру предлагать услуги электронной почты, совместимые с приложением.
Tails пытается решить многие проблемы наблюдения, «делая правильные вещи» по умолчанию — от анонимного просмотра веб-страниц до использования современных криптографических инструментов для шифрования файлов, электронной почты и мгновенных сообщений. 
Я поговорил с Джошем Стернсом, членом совета директоров FPF (и участником MediaShift), о кампании, направленной на то, чтобы узнать больше о важности этих инструментов в современной редакции.Ниже приводится отредактированная стенограмма этого разговора.
Вопросы и ответы
Джош Стернс.
В: Почему эти инструменты сейчас совершенно необходимы для журналистов?
Джош Стернс: Прямо сейчас в Вашингтоне, округ Колумбия, и по всей стране бушуют баталии о том, как защитить журналистские источники. Традиционно это закон щита. Почти в каждом штате сейчас есть закон о щите. Он защищает журналистов от раскрытия своих источников в суде. Однако правоохранительным органам все чаще не нужно, чтобы журналисты давали показания в суде, потому что они могут получить секретную повестку в суд для просмотра записей их телефонных разговоров и метаданных.Итак, что нам сейчас нужно от журналистов для защиты источников, так это новые инструменты, которые могут предотвратить подобную слежку, а также реформирование законов, которые разрешают такую слежку.
Почему важно, чтобы эти проекты были с открытым исходным кодом?
Stearns: Открытый исходный код позволяет любому внимательно изучить код этих инструментов и найти слабые места. Если инструмент проприетарный или закрытый, люди не могут войти в него и убедиться, что в нем нет бэкдоров, встроенных ни компанией, ни АНБ.Таким образом, открытый исходный код — это действительно важная часть того, почему мы действительно поддерживаем эти инструменты в фонде. Они гарантируют, что вещи могут быть доступными, проверенными и надстроенными. С точки зрения журналистики, я думаю, что открытый исходный код является важной этикой для журналистов, которые работают в общественных интересах и хотят, чтобы инструменты, которые они используют, также были ориентированы на общественные интересы.
Чем эти инструменты отличаются от других инструментов шифрования?
Stearns: Существует множество инструментов для шифрования.Тем не менее, я думаю, что исторически журналисты не были так вовлечены в эти обсуждения или в разработку этих инструментов, и поэтому эти инструменты не особенно подходят или адаптированы для отдела новостей или для журналистов.
Итак, что мы пытаемся сделать, так это создать набор инструментов шифрования или поддержать уже существующие инструменты шифрования, которые мы действительно можем адаптировать и сделать максимально полезными для отделов новостей и журналистов. Эти четыре инструмента, которые мы собираемся поддерживать, созданы проверенными экспертами по безопасности, которым мы действительно доверяем, и мы считаем, что они создают инструменты, которые будут наиболее полезными для журналистов и отделов новостей.Мы работаем с ними над созданием индивидуальной и адаптированной информации, сообщений в блогах, руководств и тренингов, чтобы помочь журналистам понять, как они используют эти инструменты.
Если кампания полностью профинансирована, есть ли у вас примерный график того, когда проекты будут доступны для использования?
Stearns: Некоторые проекты уже используются. У нас есть руководство по шифрованию на веб-сайте Freedom of the Press Foundation, которое дает вам отличный обзор того, как начать использовать некоторые из этих инструментов.
Но все они могли бы быть сильнее и удобнее. Так много технологий с открытым исходным кодом создается людьми, которые действительно увлечены, но чьи проекты в основном недофинансируются, и людьми, которые занимаются этим в свободное время. Мы считаем, что если мы хотим, чтобы эти инструменты широко применялись, нам необходимо укрепить их и сделать максимально удобными для пользователей, чтобы журналисты не испугались, начав использовать эти инструменты.
Как вы планируете продавать эти инструменты, чтобы о них узнали журналисты?
Stearns: К счастью, характер самой кампании позволяет нам распространять много информации об этих инструментах и представлять их людям.Наш исполнительный директор и наш главный технический директор были в ONA, на конференциях и проводили вебинары, чтобы попытаться стимулировать внедрение этих и других важных инструментов. Мы будем сочетать это с образовательными усилиями и обучением.
Почему вы, ребята, решили пойти по пути краудфандинга для финансирования этих проектов?
Стернс: На этой идее основан наш фонд.
Когда мы запускали год назад, мы считали, что нам нужно переосмыслить то, как делается пожертвование на свободу прессы и некоммерческую журналистику.Мы сталкиваемся с действительно критическими сообщениями на протяжении всей нашей повседневной жизни — будь то через Facebook или Twitter или поиск отличных ссылок — и людям слишком сложно вернуться, щелкнуть и найти страницу пожертвования и пожертвовать. Вы никогда не поддержите весь спектр журналистики, которую вы потребляете таким образом, потому что она приходит таким раздробленным образом.
Итак, что мы хотели сделать, так это создать единый магазин для пожертвований на нелицеприятную, подотчетную журналистику и усилия по обеспечению свободы прессы.Мы создаем место, где одним пожертвованием вы можете поддержать все эти разные инструменты. Так что усилия, которые мы начали год назад, оказались чрезвычайно успешными. В прошлом году более 6 000 человек пожертвовали почти 500 000 долларов на некоммерческие журналистские усилия, которые мы распределили на эти проекты.
Так что мы собираемся продолжать развивать идею о том, что люди действительно хотят поддерживать сильную некоммерческую журналистику, но нам просто нужно продолжать облегчать им задачу и повышать их осведомленность о лучшей журналистике, происходящей там.
Можете ли вы также рассказать нам о проекте SecureDrop? Как именно это работает, и вы надеетесь распространить это на большее количество новостных организаций?
Stearns: покойный Аарон Шварц начал программировать пару лет назад. Первый отдел новостей, внедривший его версию кода — он прошел аудит безопасности, и пара исследователей безопасности обнаружила, по их мнению, некоторые серьезные проблемы с ним. Таким образом, мы фактически приняли код с открытым исходным кодом, внесли в него целую кучу улучшений, и те же самые исследователи безопасности проверили его, и они очень довольны тем, что получилось.
Итак, теперь мы внедряем это в отделы новостей. Это позволит редакциям новостей размещать свои собственные WikiLeaks на своем собственном сайте, чтобы обеспечивать безопасные анонимные утечки и общение с источниками через их веб-сайт таким образом, который является настолько безопасным, насколько мы можем его получить.
Это позволяет источникам оставлять документы для журналистов или иметь возможность туда и обратно. Вместо того, чтобы использовать электронную почту, вы можете использовать эту систему. Это позволяет безопасно общаться.
Это то, о чем действительно должны думать все отделы новостей, потому что, если вы посмотрите на кого-то вроде Челси Мэннинг, она пыталась на самом деле слить New York Times или Washington Post, прежде чем пойти на WikiLeaks, но не могла понять, как это сделать.Тогда она отправилась на WikiLeaks. Прямо сейчас у нас есть около двух отделов новостей, которые внедрили это, у нас есть еще около дюжины, которые ждут, чтобы установить его на свой сайт, и мы надеемся, что в ближайшие пару месяцев мы это настроим для них.
С тех пор, как WikiLeaks и в этом году Эдвард Сноуден появились в новостях, как, по вашему мнению, изменилось представление широкой публики о разоблачителях?
Фотография Стива Роудса на Flickr, использована здесь с лицензией Creative Commons.
Стернс: Мы определенно наблюдаем эпоху повышенной государственной безопасности и секретности. В то время, когда Обама обещал быть самым прозрачным президентом, мы на самом деле наблюдаем ситуацию, когда эта администрация является одной из самых скрытных и контролирующих прессу.
Для того, чтобы критическая информация стала достоянием общественности, утечки становятся фундаментальной частью того, как этот журналистский процесс осуществляется в состоянии такой секретности. Я думаю, общественность начинает это понимать.Это сложная вещь для публики, которая не до конца понимает, что публикует кто-то вроде Эдварда Сноудена. И в то время, когда доверие к журналистике находится на рекордно низком уровне, идея о том, что журналисты являются арбитрами этих документов, которые могут содержать информацию о национальной безопасности, я думаю, для некоторых людей является проблемой.
Я очень благодарен за то, что увидел у журналистов, как они отнеслись к этим документам, что решили раскрыть.
Так что я на самом деле думаю, что то, что это делает — и данные Pew подтверждают это — возрождает веру людей в сторожевой мир журналистики, даже если доверие к журналистике все еще находится на низком уровне.Согласно статистике Pew, идея о том, что журналисты должны быть сторожевыми псами, на самом деле растет.
Заметили ли вы увеличение числа журналистов, которые обращаются к вам за этими инструментами вслед за популярными новостями? Как вы думаете, повлияло ли это изменение восприятия на FPF?
Stearns: Я думаю, что в журналистской индустрии разоблачения Сноудена стали огромным тревожным звонком, особенно после того, как стало известно, что Министерство юстиции тайно конфисковало 20 записей телефонных разговоров AP.Этим летом все это произошло одновременно, и это вызвало шок в журналистском ландшафте. Таким образом, мы наблюдаем огромное увеличение количества семинаров, тренингов и дискуссий на конференциях и в Интернете об инструментах безопасности и шифрования, и мы определенно были завалены запросами от отдельных журналистов и редакций, которые хотят встроить эти методы в свою работу.
рутины.
Как вы думаете, изменит ли это способ отчетности в будущем?
Stearns: Я думаю, что эти разоблачения коренным образом изменили то, как журналисты собираются сообщать о конфиденциальной деятельности, и это заставит людей действительно не воспринимать свою личную жизнь как должное.Насколько быстро мы увидим широкое внедрение этих инструментов шифрования, действительно неизвестно, и это будет означать, что нам нужно действительно инвестировать в эти инструменты, поэтому мы запустили этот проект.
Это улица с двусторонним движением: шифрование не работает, если его использует только один человек. Вам нужно, чтобы источнику было удобно его использовать, вам нужно, чтобы весь отдел новостей чувствовал себя в безопасности, потому что достаточно одного коллеги, чтобы открыть зараженное письмо, и что-то попадет в сеть. Так что впереди нас ждет долгая кривая обучения.Я действительно воодушевлен ответом до сих пор. Я думаю, что если школы журналистики действительно активизируются и начнут делать это частью своей учебной программы, это поможет, и я надеюсь, что мы можем помочь им в этом.
Нас не интересует просто шифрование для New York Times, Washington Post или ProPublica. Крайне важно, чтобы любой, кто хочет внедрить эти инструменты, мог это сделать. Мы действительно стремимся к тому, чтобы журналисты-фрилансеры, альтернативные новостные организации и другие организации любого размера и бюджета могли начать работу с этими инструментами.Это действительно должно быть шифрованием для всех, а также свободой прессы для всех.
Дениз Лу — стажер редактора PBS Mediashift. Журналист, специализирующийся на культуре, технологиях и онлайн-медиа, она участвовала в Mashable, Pretty Much Amazing, Evolver.fm и других изданиях. В настоящее время Дениз учится на выпускном в Школе журналистики Медилла Северо-Западного университета. В январе она присоединится к команде дизайнеров Washington Post в рамках своей журналистской резиденции.
DTN Research Group S. Symington
Интернет-проект Корпорация MITRE
Истекает: 26 октября 2007 г. С. Фаррелл
Тринити-колледж в Дублине
Х.
Вайс
П. Ловелл
СПАРТА, ООО24 апреля 2007 г.
Спецификация протокола безопасности пакета
черновик-irtf-dtnrg-bundle-security-03
Статус этого меморандума
Отправляя этот Интернет-проект, каждый автор заявляет, что любой
применимые патенты или другие притязания на интеллектуальную собственность, о которых ему или ей известно
были или будут раскрыты, и любой из которых он или она станет
будут раскрыты в соответствии с Разделом 6 BCP 79.
Интернет-Черновики являются рабочими документами Интернет-Инженерии.
Целевая группа (IETF), ее направления и рабочие группы.Обратите внимание, что
другие группы также могут распространять рабочие документы в Интернете.
Черновики.
Интернет-проекты – это проекты документов, действительные не более шести месяцев.
и могут быть обновлены, заменены или устаревшими другими документами в любое время.
время. Неуместно использовать Internet-Drafts в качестве справочного материала.
материал или цитировать их, кроме как «в процессе».
Список текущих интернет-драфтов можно найти по адресу
http://www.ietf.org/ietf/1id-abstracts.txt.
Доступ к списку теневых каталогов Internet-Draft можно получить по адресу
http://www.ietf.org/shadow.html.
Срок действия настоящего Интернет-проекта истекает 26 октября 2007 г.
Уведомление об авторских правах
Авторское право (C) The IETF Trust (2007 г.).
Симингтон и др. Истекает 26 октября 2007 г. [Страница 1]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Абстрактный
Этот документ определяет пакетный протокол безопасности, который обеспечивает
услуги по обеспечению целостности и конфиденциальности данных. Мы также описываем
различные соображения безопасности пакета, включая параметры политики.Оглавление
1. Введение . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Связанные документы .
. . . . . . . . . . . . . . . . . . . 3
1.2. Терминология. . . . . . . . . . . . . . . . . . . . . . . 4
2. Блоки безопасности. . . . . . . . . . . . . . . . . . . . . . . 6
2.1. Абстрактный блок безопасности. . . . . . . . . . . . . . . . . 7
2.2. Пакетный блок аутентификации. . . . . . . . . . . . . . . 10
2.3. Блок безопасности полезной нагрузки. . . .. . . . . . . . . . . . . . 11
2.4. Блок конфиденциальности. . . . . . . . . . . . . . . . . . 12
2.5. Комбинации PSB и CB. . . . . . . . . . . . . . . . . 14
3. Обработка безопасности. . . . . . . . . . . . . . . . . . . . . 16
3.1. Узлы как точки применения политик. . . . . . . . . . . . 16
3.2. Канонизация связок. . . . . . . . . . . . . . . 16
3.3. Конфиденциальность идентификатора конечной точки. . . . . . . . . . . . . . . 22
3.4. Связки, полученные от других узлов.. . . . . . . . . . . 22
3.5. Вариант доставки «не более одного раза». . . . . . . . . . . . . 24
3.6.
Фрагментация и повторная сборка пакетов. . . . . . . . . . . 24
3.7. Реактивная фрагментация. . . . . . . . . . . . . . . . . . 25
4. Обязательные наборы шифров. . . . . . . . . . . . . . . . . . . . 27
4.1. БАБ-ХМАК. . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2. ПСБ-РСА-ША256 . . . . . . . . . . . . . . . . . . . . . . 28
4.3. CB-RSA-AES128-ПОЛЕЗНАЯ НАГРУЗКА-PSB .. . . . . . . . . . . . . . . 28
5. Управление ключами. . . . . . . . . . . . . . . . . . . . . . . . 30
6. Политика безопасности по умолчанию. . . . . . . . . . . . . . . . . . . 31
7. Вопросы безопасности. . . . . . . . . . . . . . . . . . . 33
8. Соображения IANA. . . . . . . . . . . . . . . . . . . . . 34
9. Ссылки. . . . . . . . . . . . . . . . . . . . . . . . . . 35
9.1. Нормативные ссылки . . . . . . . . . . . . . . . . . . . 35
9.2. Информативные ссылки.. . . . . . . . . . . . . . . . . 35
Комментарии редакции. . . . . . . . . . . . . . . . . . . . . . . .
Адреса авторов.
. . . . . . . . . . . . . . . . . . . . . . . 38
Заявления об интеллектуальной собственности и авторских правах. . . . . . . . . . 39
Симингтон и др. Истекает 26 октября 2007 г. [Страница 2]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
1. Введение
Ключевые слова «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ТРЕБУЕТСЯ», «ДОЛЖЕН», «НЕ ДОЛЖЕН»,
«СЛЕДУЕТ», «НЕ СЛЕДУЕТ», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в этом
документ следует интерпретировать, как описано в [1].Этот документ определяет функции безопасности для пакетного протокола [2].
предназначены для использования в сетях, устойчивых к задержкам, чтобы обеспечить
Службы безопасности DTN, как описано в Обзоре безопасности DTN и
Мотивационный документ [8].
Пакетный протокол используется в DTN, которые перекрывают несколько сетей.
некоторые из которых могут быть оспорены ограничениями, такими как прерывистый
и, возможно, непредсказуемая потеря связи, длительная или переменная
задержки, асимметричные скорости передачи данных и высокий уровень ошибок.
Цель
пакетный протокол должен поддерживать взаимодействие между такими
нагруженные сети. Пакетный протокол накладывается поверх
нижележащие слои конвергенции, специфичные для сети, поверх сетевых
определенные нижние уровни, чтобы приложение в одной сети могло
общаться с приложением в другой сети, обе из которых
охватывает DTN.
Безопасность будет важна для протокола пакета. Стресс
среда базовых сетей, в которых используется пакетный протокол
будет работать, делает важным, чтобы DTN была защищена от
несанкционированное использование, и эта напряженная среда создает уникальные
проблемы с механизмами, необходимыми для защиты пакетного протокола.Кроме того, DTN, скорее всего, могут быть развернуты в средах, где
часть сети может быть скомпрометирована, что представляет собой обычную
проблемы безопасности, связанные с конфиденциальностью, целостностью и
доступность.
1.1. Связанные документы
Этот документ лучше всего читать и понимать в контексте
следующие другие документы DTN:
Сетевая архитектура, устойчивая к задержкам [9], определяет
архитектура для сетей, устойчивых к задержкам, но не обсуждает
безопасность на любом сроке.
Протокол DTN Bundle [2] определяет формат и обработку
блоки, используемые для реализации протокола связки, за исключением
определенные здесь блоки безопасности.
Обзор безопасности сети, устойчивой к задержкам [8], предоставляет
информативный обзор и высокоуровневое описание безопасности DTN.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 3]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
1.2. Терминология
Для ясности введем следующую терминологию:
источник — узел пакета, из которого происходит пакет
назначение — узел пакета, к которому пакет в конечном итоге
предназначенный
пересылка — узел пакета, который перенаправил пакет на его наиболее
недавний скачок
промежуточный приемник или «следующий переход» — соседний узел пакета
которому экспедитор пересылает пакет.|
+————+ +————+ +—————+ +——- —-+
| | | |
|| ||
| | | |
BN = «Bundle Node» (как определено в Спецификации протокола Bundle).
Узлы Bundle находятся на прикладном уровне интернет-модели.
Рисунок 1
Узел пакета BN1 создает пакет, который он пересылает на BN2. БН2
пересылает пакет на BN3, а BN3 пересылает пакет на BN4.БН1
является источником пакета, а BN4 является пунктом назначения пакета.
BN1 — первый сервер пересылки, а BN2 — первый промежуточный сервер.
получатель; Затем BN2 становится экспедитором, а BN3 — промежуточным звеном.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 4]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
получатель; После этого BN3 становится последним экспедитором, а BN4 — последним.
промежуточный получатель, а также пункт назначения.
Если узел BN2 создает пакет (например, отчет о состоянии пакета
или кастодиальный сигнал), который затем перенаправляется на BN3, а затем
до BN4, то BN2 является источником пакета (а также
первый экспедитор пакета), а BN4 является пунктом назначения
комплект (а также являющийся конечным промежуточным приемником).
Мы вводим следующую терминологию DTN, относящуюся к безопасности:
security-source — узел пакета, который добавляет блок безопасности к
пучок
security-destination — узел пакета, который обрабатывает
блок пучка
Снова обратимся к рисунку 1:
Если пакет, исходящий из BN1 в качестве источника, получает ценную бумагу
блокируется BN1, то BN1 является источником безопасности этого пакета с
относительно этого блока безопасности, а также является источником
пучок.
Если пакет, исходящий из BN1 в качестве источника, получает ценную бумагу
блокируется BN2, то BN2 является источником безопасности этого пакета с
относительно этого блока безопасности, даже если BN1 является источником.Если пакет, исходящий из BN1 в качестве источника, получает ценную бумагу
блок BN1, который предназначен для обработки BN3, тогда BN1 является
security-source, а BN3 — безопасный пункт назначения по отношению к
этот защитный блок.
Пакет может иметь несколько блоков безопасности.
Источник безопасности
пакет по отношению к данному защитному блоку в пакете может быть
такой же или отличный от источника безопасности пакета с
относительно другого блока безопасности в комплекте.Точно так же
безопасность-назначение пакета по отношению к каждому из этих
блоки безопасности комплекта могут быть одинаковыми или разными.
Узлы пересылки ДОЛЖНЫ передавать блоки в том же порядке, в котором они были
получила. Это требование распространяется на все узлы dtn, а не только на
которые реализуют обработку безопасности. Блоки в связке могут быть добавлены
или удален в соответствии с применимой спецификацией, но блокирует
которые принимаются, а затем передаются, ДОЛЖНЫ оставаться в одном и том же
относительный порядок.Симингтон и др. Истекает 26 октября 2007 г. [Страница 5]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
2. Блоки безопасности
Существует три типа защитных блоков, которые МОГУТ быть включены в
пучок. Это блок аутентификации пакетов (BAB), полезная
Блок безопасности (PSB) и блок конфиденциальности (CB).
BAB используется для подтверждения подлинности пакета на протяжении
один переход от отправителя к промежуточному получателю.PSB используется для подтверждения подлинности пакета от
PSB security-source, который создает PSB, в PSB security-
пункт назначения, который проверяет аутентификатор PSB. То
аутентификационная информация в PSB может (если набор шифров
позволяет) быть проверено любым узлом между источником безопасности PSB
и пункт назначения безопасности PSB, который имеет доступ к
криптографические ключи и информация о статусе отзыва, необходимые для
Сделай так.
Так как BAB защищает на основе «от прыжка к узлу», а PSB защищает на
(своего рода) «сквозная» основа, когда оба присутствуют BAB
ДОЛЖЕН формировать «внешний» слой защиты — то есть БАБ ДОЛЖЕН
всегда рассчитываться и добавляться в комплект после того, как PSB
рассчитаны и добавлены в комплект.CB указывает, что некоторые части пакета были зашифрованы
находясь в пути между источником безопасности CB и источником безопасности CB
назначения.
Каждый из блоков безопасности использует формат Canonical Bundle Block Format.
определено в Спецификации пакетного протокола. То есть каждая ценная бумага
Блок состоит из следующих элементов:
— Код типа блока
— Флаги управления обработкой блока
— Заблокировать справочный список EID (необязательно)
— Длина блока данных
— Поля данных для конкретного типа блока
Поскольку три блока безопасности имеют большинство общих полей, мы можем
сократить описание полей данных, специфичных для типа блока,
каждый блок безопасности, если мы сначала определим абстрактный блок безопасности
(ASB), а затем указать каждый из реальных блоков в терминах полей
которые присутствуют/отсутствуют в ASB.Обратите внимание, что ни один пакет никогда
содержит ASB, который является просто артефактом спецификации.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 6]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
2.1. Абстрактный блок безопасности
ASB состоит из следующих обязательных и необязательных полей:
— Код блочного типа (один байт) — как и во всех блоках бандл-протокола
кроме основного блока пакетов.
Коды типов блоков для
Блоки безопасности это:
БАБ: 0x02
ПСБ: 0x03
КБ: 0x04
— Флаги управления блочной обработкой (SDNV) — определены как во всех пакетах
блоки протокола, за исключением основного блока пакета (как описано в
Bundle Protocol [2]).Кодирование SDNV описано в
пакетный протокол. Нет ограничений на использование блока
флаги обработки.[Комментарий.1]
— ссылки EID — составное поле, определенное в [2], содержащее
ссылки на один или два EID. Наличие EID обозначается
установкой бита 6 («блок содержит поле EID-reference»)
флагов управления обработкой блоков. Если присутствует один или несколько,
флаги в поле идентификатора набора шифров, описанные ниже, укажите, какие.
Возможные EID:
— (необязательно) Security-source — указывает источник безопасности для
сервис.Если это опущено, то источником пакета является
считается источником безопасности.
— (необязательно) Security-destination — указывает
назначения для службы.
Если это опущено, то
пунктом назначения пакета считается ценная бумага.
назначения.
Оба поля EID могут быть опущены, и в этом случае составное поле
пусто, как определено в [2]. В этом случае ни то, ни другое не считается
ссылки не появляются, и бит 6 не установлен.- Длина блока данных (SDNV) — как и во всех блоках связки протоколов
кроме основного блока пакетов. Кодирование SDNV описано в
пакетный протокол.
— Поля данных, специфичные для типа блока, следующие:
— Ciphersuite ID — идентифицирует используемый набор шифров. Это
два байта, хотя старшие пять битов используются для обозначения
Симингтон и др. Истекает 26 октября 2007 г. [Страница 7]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
наличие или отсутствие необязательных полей ниже.- (необязательно) Коррелятор — когда более одного связанного блока
вставлено, то это поле должно иметь одинаковое значение в каждом
связанный экземпляр блока.
Это кодируется как SDNV. Смотрите примечание
в разделе 3.6 в отношении значений коррелятора в связке
фрагменты.
— (необязательно) Параметры Ciphersuite — составное поле следующего
два предмета
— Длина параметров Ciphersuite — указывает длину
следующее поле данных параметров Ciphersuite и
кодируется как SDNV.- Данные параметров Ciphersuite — параметры, которые будут использоваться с
используемый набор шифров, например. идентификатор ключа или
вектор инициализации (IV). Правила кодирования для этого
Поле определено как часть спецификации набора шифров.
— (необязательно) Результат безопасности — составное поле следующих двух элементов
— Длина результата безопасности — содержит длину следующего
поле и кодируется как SDNV.
— Данные о результатах безопасности – содержат результаты
соответствующий расчет для набора шифров (например,г. а
подпись, MAC или ключ блока зашифрованного текста).
+—————-+—————-+—————————— -+—————-+
| тип | флаги (СДНВ) | Список ссылок EID (комп.) |
+—————-+—————-+—————————— -+—————-+
| длина (СДНВ) |
+—————-+—————-+—————————— -+—————-+
| набор шифров | коррелятор (SDNV) |
+—————-+—————-+—————————— -+—————-+
|параметры len(SDNV)| данные параметров ciphersuite |
+—————-+—————-+—————————— -+—————-+
|res-len (SDNV) | данные результатов безопасности |
+—————-+—————-+—————————— -+—————-+
Структура абстрактного блока безопасности
фигура 2
Идентификатор набора шифров представляет собой 16-битное значение, пять старших бит
указывающее, какие из необязательных полей присутствуют (значение = «1») или
Симингтон и др.
Истекает 26 октября 2007 г. [Страница 8]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
отсутствует (значение = «0»). Оставшиеся 11 бит указывают набор шифров.
Некоторые шифровальные наборы указаны в разделе 4, где также указывается
правила, которым ДОЛЖНЫ удовлетворять спецификации набора шифров.
Дополнительные наборы шифров МОГУТ быть определены в отдельных спецификациях.
Структура байтов идентификатора набора шифров показана на рисунке 3. В
в каждом случае наличие необязательного поля указывается установкой
значение соответствующего флага равно единице.Значение нуля
указывает, что соответствующее необязательное поле отсутствует.
src — старший бит (бит 0) указывает, является ли ASB
содержит необязательную длину источника безопасности и источник безопасности
поля.
dest — бит 1 указывает, являются ли параметры security-destination-length и
поля назначения безопасности присутствуют или нет.
parm — бит 2 указывает, является ли длина набора параметров шифра
и поля данных параметров набора шифров присутствуют или нет.
corr — бит 3 указывает, содержит ли ASB необязательную
коррелятор.res — бит 4 указывает, содержит ли ASB безопасность.
длина результата и поля данных результата безопасности.
биты 5-15 представляют номер набора шифров, что дает максимум
2048 различных наборов шифров.
Идентификатор набора шифров
Бит Бит Бит Бит Бит Бит Бит Бит Бит
0 1 2 3 4 5 … 15
+——+——+——+——+——+——+——+——+- —-+——+
|src |dest |parm |corr |res | ID набора шифров |
+——+——+——+——+——+——+——+——+- —-+——+
Рисунок 3
Еще немного терминологии: когда блок является PSB, мы ссылаемся
к источнику PSB, когда мы имеем в виду поле источника безопасности в PSB.Точно так же мы можем обратиться к CB-dest, имея в виду безопасность-
поле назначения CB. Например, если обратиться к рисунку 1
опять же, если пакету, происходящему из BN1 в качестве источника, присваивается
Блок конфиденциальности (CB) BN1, который защищен удерживаемым ключом
от BN3, а блок безопасности полезной нагрузки (PSB) от BN1, затем
Симингтон и др.
Истекает 26 октября 2007 г. [Страница 9]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
BN1 является одновременно источником CB и источником PSB пакета, а BN3
является CB-назначением расслоения.Поле коррелятора используется для связывания нескольких связанных экземпляров.
блока безопасности. Это может быть использовано для размещения BAB, который содержит
информация о зашифрованном наборе на «переднем» (вероятно, большом)
bundle и другой коррелированный BAB, который содержит результат безопасности
в «конце» пачки. Это позволяет даже очень ограниченным в памяти
узлы, чтобы иметь возможность обрабатывать пакет и проверять BAB. Есть
аналогичные варианты использования для нескольких связанных экземпляров PSB и CB, как
будет видно ниже.Спецификация набора шифров ДОЛЖНА указывать, действительно ли
разрешено несколько экземпляров блока, и если да, то в каком
условия. Некоторые наборы шифров, конечно, могут оставить гибкость на усмотрение
реализации, в то время как другие могут предписывать фиксированное количество
экземпляры.
2.2. Пакетный блок аутентификации
В этом разделе мы опишем типичные значения поля BAB для двух
сценарии — где один экземпляр BAB содержит все
информации, а когда используются два связанных экземпляра, один «впереди»
который содержит набор шифров и еще один, следующий за полезной нагрузкой
который содержит результат безопасности (т.г. МАК).
Для случая, когда используется один BAB:
Значение поля кода блочного типа ДОЛЖНО быть 0x02.
Значение флагов управления обработкой блока может быть любым.
значения требуются локальной политикой.
Идентификатор набора шифров ДОЛЖЕН быть задокументирован как шаг за шагом.
authentication-ciphersuite, для которого требуется один экземпляр BAB.
Поле коррелятора НЕ ДОЛЖНО присутствовать.
Поле параметров набора шифров МОЖЕТ присутствовать, если это указано
в спецификации набора шифров.Поле источника безопасности ДОЛЖНО присутствовать, и если оно присутствует,
он ДОЛЖЕН идентифицировать отправителя пакета.
(Если переадресация
узел идентифицируется в другом блоке связки, что следующий
hop поддерживает, например, блок вставки предыдущего прыжка,
пересылающий узел не обязательно должен быть идентифицирован в BAB.)
Симингтон и др. Истекает 26 октября 2007 г. [Страница 10]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Поле назначения безопасности НЕ ДОЛЖНО присутствовать, если только
ciphersuite требует эту информацию (поскольку первый узел
получение пакета должно быть тем, кто проверяет BAB).Результат безопасности ДОЛЖЕН присутствовать, поскольку он фактически
«выход» из расчета набора шифров (например, MAC или
подпись), применяемая к (соответствующим частям) пакета (как
указано в определении набора шифров).
В случае использования двух связанных экземпляров BAB первый экземпляр
как определено выше, за исключением того, что идентификатор набора шифров ДОЛЖЕН быть задокументирован как
набор шифров для проверки подлинности hop-by-hop, который требует двух экземпляров
БАБ.
Кроме того, коррелятор ДОЛЖЕН присутствовать и
длина результата безопасности и поля результата безопасности ДОЛЖНЫ отсутствовать.Второй экземпляр BAB ДОЛЖЕН иметь такое же значение коррелятора
присутствует и ДОЛЖЕН содержать длину результата безопасности и результат безопасности
поля. Другие необязательные поля НЕ ДОЛЖНЫ присутствовать. Как правило,
этот второй экземпляр BAB будет последним блоком пакета.
2.3. Блок безопасности полезной нагрузки
PSB — это ASB со следующими дополнительными ограничениями:
Значение кода типа блока ДОЛЖНО быть 0x03.
Значение флагов управления обработкой блока может быть любым.
значения требуются локальной политикой.Идентификатор набора шифров ДОЛЖЕН быть задокументирован как сквозной
набор шифров аутентификации или сквозное обнаружение ошибок.
набор шифров.
Коррелятор ДОЛЖЕН присутствовать, если набор шифров требует больше
в комплекте присутствует более одного связанного экземпляра PSB. То
коррелятор НЕ ДОЛЖЕН присутствовать, если набор шифров требует только
один экземпляр PSB в комплекте.
Поле параметров набора шифров МОЖЕТ присутствовать.
Поле источника безопасности МОЖЕТ присутствовать.Поле назначения безопасности МОЖЕТ присутствовать.
Результат безопасности фактически является «выходом» из
расчет набора шифров (например, MAC или подпись), применяемый к
(соответствующие части) комплекта. Как и в случае с БАБ, это
Поле ДОЛЖНО присутствовать, если коррелятор отсутствует. Если больше чем
требуется один связанный экземпляр PSB, тогда это обрабатывается
Симингтон и др. Истекает 26 октября 2007 г. [Страница 11]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
так же, как описано для БАБ выше.Для некоторых наборов шифров (например, тех, которые используют асимметричный ключ для получения
подписи или использующие симметричный ключ с групповым ключом),
информацию о безопасности можно проверить на любом прыжке на пути к
пункт назначения, который имеет доступ к необходимой ключевой информации.
Большинство асимметричных наборов шифров PSB будут использовать источник PSB для указания
подписывающая сторона и не требует поля PSB-dest, поскольку ключ
необходимо проверить, что аутентификатор PSB будет открытым ключом
связанный с PSB-источником.
2.4. Блок конфиденциальности
Типичный набор шифров конфиденциальности шифрует полезную нагрузку, используя
случайно сгенерированный пакетный ключ шифрования (BEK) и будет использовать CB
результат безопасности для переноса BEK, зашифрованного с помощью некоторого долгосрочного ключа
ключ шифрования (КЕК). или общеизвестный открытый ключ. Если ни
назначение или безопасность-назначение разрешает ключ для использования для
расшифровки, поле параметров набора шифров может использоваться для указания
ключ дешифрования, с помощью которого можно восстановить BEK.Последующий
Результаты безопасности CB будут содержать блоки, зашифрованные с помощью BEK, если
блоки, не относящиеся к полезной нагрузке, должны быть зашифрованы.
Полезная нагрузка шифруется «на месте», то есть после шифрования
поле полезной нагрузки блока полезной нагрузки содержит зашифрованный текст, а не открытый текст.
Флаги обработки блока полезной нагрузки не изменены. [Комментарий 2].
Допускается супершифрование полезной нагрузки.
Если набор шифров CB поддерживает
такого супершифрования, то набор шифров ДОЛЖЕН предоставить
однозначный способ выполнения операций расшифровки в правильном порядке
(т.е.г. путем кодирования информации «уровня» в виде набора шифров
параметр). Это «на месте» шифрование байтов полезной нагрузки предназначено для
позволяют выполнять фрагментацию полезной нагрузки пакета и повторную сборку без
знание о том, произошло ли шифрование. Побочный эффект этого
Шифрование «на месте» заключается в том, что полезная нагрузка обычно расширяется.
до размера блока зашифрованного текста, если объемный шифр является блочным шифром.
Другое дело, что 2-е применение конфиденциальности не
обычно защищают параметры первого, которые представляют собой
уязвимость в некоторых обстоятельствах.CB — это ASB со следующими дополнительными ограничениями:
Значение кода типа блока ДОЛЖНО быть 0x04.
Значение флагов управления обработкой блока может быть любым.
значения требуются локальной политикой.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 12]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Идентификатор набора шифров ДОЛЖЕН быть задокументирован как конфиденциальный.
набор шифров.
Коррелятор ДОЛЖЕН присутствовать, если более одного связанного CB
требуется экземпляр.Может потребоваться более одного экземпляра CB
если полезная нагрузка должна быть зашифрована для более чем одной безопасности-
пункт назначения, чтобы быть устойчивым к маршрутизации
неопределенности. Однако эти несколько экземпляров CB не будут
связаны и, следовательно, не требуют корреляторов. С другой
стороны, потребуется несколько связанных экземпляров CB, если оба
полезная нагрузка и блоки PSB в связке должны были быть зашифрованы.
Эти несколько экземпляров CB потребуют корреляторов для связи
их друг с другом.Коррелятор НЕ ДОЛЖЕН присутствовать, если
не являются связанными экземплярами CB.
Поле параметров набора шифров МОЖЕТ присутствовать
Поле источника безопасности МОЖЕТ присутствовать.
Поле назначения безопасности МОЖЕТ присутствовать (и, как правило,
быть).
Результат безопасности МОЖЕТ присутствовать и обычно представляет собой
зашифрованный ключ шифрования пакета или зашифрованные версии пакета
блоки, кроме блока полезной нагрузки.
Как и в случае с BAB и PSB, если набор шифров требует больше
чем один экземпляр CB, то первое вхождение ДОЛЖНО содержать
любые необязательные поля (т.г. назначения безопасности и т. д.), которые применяются к
все экземпляры с этим коррелятором. Они ДОЛЖНЫ содержаться в
первый экземпляр и НЕ ДОЛЖЕН повторяться в других коррелированных блоках.
Поля, специфичные для конкретного экземпляра CB, МОГУТ
появляются в этом ЦБ. Например, поле результата проверки МОЖЕТ (и
вероятно, будет) включен в несколько связанных экземпляров CB.
Точно так же каждый последующий CB может содержать параметры набора шифров.
поле с IV, специфичным для этого экземпляра CB.Иными словами: когда узел шифрует некоторые (не полезные) блоки,
он ДОЛЖЕН сначала создать CB с требуемым идентификатором набора шифров,
параметры и т. д., как указано выше. Как правило, этот CB появляется
«рано» в комплекте. Если этот «первый» CB не содержит всех
зашифрованный текст, то за ним может следовать другой (сопоставленный) CB, который
НЕ ДОЛЖЕН повторяться параметры ciphersuite, security-source или
поля security-destination из первого CB.
Набор шифров CB может указывать, а может и не указывать, какие блоки должны быть
зашифровано.Если набор шифров не указывает это, то узел
может свободно шифровать любые блоки, какие пожелает. Если набор шифров CB делает
Симингтон и др. Истекает 26 октября 2007 г. [Страница 13]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
указать, какие блоки должны быть зашифрованы, иначе
ошибка.
Поскольку один результат защиты CB может содержать зашифрованный текст для
несколько (не полезных) блоков открытого текста, узел просто связывает
эти блоки открытого текста перед шифрованием.После расшифровки
восстановленный открытый текст должен затем заменить CB в комплекте для
дальнейшая обработка (например, проверка PSB).
Это восстановлено
открытый текст ДОЛЖЕН содержать все соответствующие типы блоков, обрабатывая
флаги и информация о длине. Другими словами, удалите CB в
задайте вопрос и поместите восстановленный открытый текст, который состоит из
дополнительные (неполезные) блоки, в комплекте на месте от
который CB был удален.
Даже если блок, подлежащий шифрованию, имеет установленный флаг «отбрасывания», независимо от того,
или не установлен флаг «отбросить» CB, является реализацией/политикой
решение для шифрующего узла.(Флаг «отбросить» больше
правильно называется флагом «отбросить, если блок не может быть обработан».)
2.5. Комбинации PSB и CB
Учитывая приведенные выше определения, узлы могут свободно комбинировать приложения.
PSB и CB как угодно — значение коррелятора позволяет
несколько приложений служб безопасности должны обрабатываться отдельно.
Тем не менее, есть некоторые явные проблемы безопасности, которые могут возникнуть, когда
применение нескольких сервисов, например, если мы зашифровали полезную нагрузку
но оставил результат проверки безопасности PSB, содержащий сигнатуру, незашифрованным, это
позволит подтвердить предположения о полезной нагрузке.
В общем случае мы не можем предотвратить все такие проблемы, поскольку мы не можем
предположим, что каждое определение набора шифров учитывает все остальные
определение набора шифров. Тем не менее, мы можем ограничить потенциал для таких
проблемы, требуя, чтобы любой набор шифров, применимый к одному
экземпляр PSB или CB, должен применяться ко всем экземплярам с
тот же коррелятор.
Теперь мы перечислим комбинации PSB и CB, которые мы рассматриваем как
полезно для поддержки:
Зашифрованные туннели — один и тот же пакет может быть зашифрован много раз.
в пути к месту назначения.Ясно, что его нужно расшифровать
одинаковое количество раз, но мы можем представить каждое шифрование как
представляет собой вход в еще один слой туннеля. Это
поддерживается при использовании нескольких экземпляров CB, но с полезной нагрузкой
шифруется несколько раз, «на месте».
Симингтон и др. Истекает 26 октября 2007 г. [Страница 14]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Несколько параллельных аутентификаторов — один источник безопасности может
хотите защитить целостность пакета несколькими способами, в надежде
что один из них будет полезен.Это может потребоваться, если
путь, по которому пойдет пакет, непредсказуем, и если различные узлы
могут быть задействованы в качестве пунктов назначения безопасности. Точно так же, если
источник безопасности не может заранее определить, какие алгоритмы использовать.
use, то использование all может быть разумным. Это приведет к
использования PSB, которые предположительно все защищают полезную нагрузку, и которые
вообще не могут защитить друг друга. Обратите внимание, что эта логика может
также применяются к BAB, если непредсказуемая маршрутизация происходит в
уровень конвергенции, поэтому мы также предусматриваем поддержку нескольких
параллельное использование BAB.Множественные последовательные аутентификаторы — если какой-либо пункт назначения безопасности
требует уверенности в маршруте, по которому идут пакеты, тогда
он может настаивать на том, чтобы каждый передающий узел добавлял свой собственный PSB.
Более
однако, скорее всего, исходящие «бастионные» узлы будут
настроен на подписание пакетов как способ разрешить отправку
«домен», чтобы взять на себя ответственность за пакет. В этом случае
различные PSB, скорее всего, будут многоуровневыми, чтобы каждый защищал
более ранние приложения PSB.Аутентифицированные и зашифрованные пакеты — для одного пакета может потребоваться
как подлинность, так и конфиденциальность. В этом случае большинство
спецификации сначала применяют аутентификатор, а затем
шифрование полезной нагрузки и аутентификатора. Как отмечалось ранее в
случае, когда аутентификатором является подпись,
соображения безопасности для этого заказа. (См. CB-RSA-AES128-
Набор шифров PAYLOAD-PSB, определенный позже в Разделе 4.3.)
Несомненно, есть и другие допустимые способы объединения экземпляров PSB и CB,
но это «основной» набор, который мы хотим поддерживать.Было сказано, что,
как будет видно, обязательные наборы шифров, определенные здесь, вполне
конкретный и ограничительный с точки зрения ограничения предлагаемой гибкости
по корреляционному механизму.
Это в первую очередь для того, чтобы сохранить это
максимально простая спецификация и в то же время
поддерживающие вышеуказанные сценарии.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 15]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
3. Обработка безопасности
В этом разделе описываются аспекты безопасности обработки пакетов.3.1. Узлы как точки применения политики
Все узлы ТРЕБУЮТСЯ иметь собственные настраиваемые
политики безопасности, независимо от того, являются ли эти политики явными или заданными по умолчанию, т.к.
определено в разделе 6.
Все узлы служат точками применения политики (PEP) в той мере, в какой они
применять политики, которые могут ограничивать разрешения узлов пакета на
вводить трафик в сеть. Если конкретная передача
запрос удовлетворяет политике узла и поэтому принимается, то
можно создать и отправить исходящий пакет.Если нет, то в
своей роли PEP, узел не будет создавать или пересылать пакеты.
Обработка ошибок для таких случаев в настоящее время считается выходящей за рамки
этот документ.[Прим.3]
Код, обеспечивающий соблюдение политики, МОЖЕТ переопределить все остальные этапы обработки.
описаны здесь и в других местах этого документа. Например, это
подходит для реализации узла, который всегда пытается подключить PSB.
Точно так же допустимо реализовать узел, который всегда отклоняет
все запросы, подразумевающие использование PSB.Узлы ДОЛЖНЫ сверяться со своей политикой безопасности, чтобы определить критерии
что полученный пакет должен встретиться, прежде чем он будет отправлен.
Эти критерии ДОЛЖНЫ включать определение того,
полученный пакет должен включать действующие BAB, PSB или CB. Если расслоение
не соответствует критериям политики узла, то пакет ДОЛЖЕН быть
выбрасывается и больше не обрабатывается; в этом случае статус пакета
МОЖЕТ быть создан отчет, указывающий на сбой, предназначенный для
собственная конечная точка узла пересылки.
[Комментарий.4]
Политика узла МОЖЕТ потребовать от узла добавить или вычесть некоторые
блоки безопасности, например, требующие от узла попытки шифрования
(части) пакета для некоторого пункта назначения безопасности или требующего
чтобы узел добавил PSB. Если политика узла требует, чтобы BAB
добавляется в комплект, он ДОЛЖЕН быть добавлен последним, чтобы расчет
его результат безопасности может учитывать значения всех
другие блоки в комплекте.
3.2. Канонизация связок
Для проверки подписи или MAC на связке точно такой же
биты в точно таком же порядке должны быть введены в вычисление после
проверка, как было введено при первоначальном вычислении исходного
подпись или значение MAC.Следовательно, узел НЕ ДОЛЖЕН изменять
Симингтон и др. Истекает 26 октября 2007 г. [Страница 16]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
кодирование любого URI в поле словаря, например, изменение DNS
часть некоторого URL-адреса HTTP из нижнего регистра в верхний регистр.
Потому что связки
могут быть изменены во время транспортировки (правильно или из-за
ошибки реализации), каноническая форма любого данного пакета (который
содержит BAB или PSB) должны быть определены.В этом разделе определяются два алгоритма канонизации расслоения, которые могут
использоваться различными наборами шифров.
3.2.1. Строгая канонизация
Первый алгоритм, который можно использовать, в принципе не допускает никаких изменений в
все в пакет между тем, когда он пересылается в источнике безопасности
и когда он получен в пункте назначения безопасности и в основном
предназначен для использования в шифровальных наборах BAB. Этот алгоритм просто включает
связывание всех блоков в представленном порядке, но опускает всю безопасность
поля результатов, которые присутствуют в блоках типа ciphersuite в
вопрос — то есть, когда набор шифров BAB указывает этот алгоритм
затем мы опускаем все результаты безопасности BAB, когда набор шифров PSB
указывает этот алгоритм, то мы опускаем все результаты безопасности PSB.
(Все
поля длины результата безопасности включены, хотя их
соответствующие поля длины результата защиты могут быть опущены.)
Примечания:
— Выше мы призываем исключить результаты безопасности. Этот
означает, что ни один байт результата защиты не вводится. Мы
не устанавливайте длину результата безопасности равной нулю. Скорее, мы
предполагая, что длина результата безопасности будет известна
модуль, который реализует набор шифров перед результатом безопасности
рассчитывается, и что это значение будет в результате безопасности
длина поля, даже если сам результат безопасности будет
опущено.- Бит res идентификатора набора шифров, который указывает,
не длина результата безопасности и поле данных результата безопасности
присутствует, является частью канонической формы.
-Значение поля длины данных блока, которое указывает
длина блока, также является частью канонической формы. Его
значение указывает длину всего пакета, когда пакет
включает поле результата безопасности.
-BAB всегда добавляются в пакеты после PSB, поэтому, когда PSB
ciphersuite определяет этот алгоритм строгой канонизации и
PSB получен с комплектом, который также включает один или несколько
BABs, применение строгой канонизации в рамках PSB
Процесс проверки результатов безопасности требует, чтобы все BAB в
Симингтон и др.Истекает 26 октября 2007 г. [Страница 17]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
пакет полностью игнорируется.
3.2.2. Изменяемая канонизация
Этот алгоритм в основном предназначен для защиты частей пакета
который не должен изменяться в пути, и, следовательно, он опускает
изменяемые части пакета.
Основной подход заключается в определении канонической формы для первичного
блок и соедините его с блоками безопасности и полезной нагрузки в
порядок их передачи.Этот алгоритм игнорирует все
другие блоки на том основании, что мы не можем сказать, являются ли они
может изменяться по мере прохождения пакета по сети.
Ссылки на ID конечной точки в блоках безопасности канонизированы с помощью
текстовая форма без ссылок вместо ссылочной пары. То
счетчик ссылок не включен.
Каноническая форма основного блока показана ниже. По сути,
он отменяет ссылку на блок словаря, регулирует длину, где
необходимо и игнорирует флаги, которые могут измениться в пути.Симингтон и др. Истекает 26 октября 2007 г. [Страница 18]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
+—————-+—————-+—————————— -+—————-+
| Версия | проц. Флаги | Флаги COS | Флаги SRR |
+—————-+—————-+—————————— ——————+
| Каноническая длина первичного блока |
+—————-+—————-+—————————— ——————+
| Длина идентификатора конечной точки назначения |
+—————-+—————-+—————————— ——————+
| |
| Идентификатор конечной точки назначения |
| |
+—————-+—————-+—————————— ——————+
| Длина идентификатора исходной конечной точки |
+—————-+—————-+—————————— -+—————-+
| |
| Идентификатор исходной конечной точки |
| |
+—————-+—————-+—————————— ——————+
| Длина идентификатора конечной точки отчета |
+—————-+—————-+—————————— -+—————-+
| |
| Идентификатор конечной точки отчета |
| |
+—————-+—————-+—————————— -+—————-+
| |
+ Отметка времени создания (2 x SDNV) +
| |
+———————————+—————- ——————+
| Срок службы |
+—————-+—————-+—————————— -+—————-+
| Смещение фрагмента (необязательно) |
+—————-+—————-+—————————— ——————+
| Общая длина блока данных приложения (необязательно) |
+—————-+—————-+—————————— ——————+
Каноническая форма блока первичного пучка.
Рисунок 4
Показаны поля:
Версия, флаги обработки, COS, SRR — все копируется из
первые четыре байта основного блока и будут содержать версию
и значения неизменяемых флагов из основного блока. Образована
копирование полей флагов обработки, COS и SRR из первичного
блок, а затем последовательно устанавливая все изменяемые биты в
нуль. Для этого требуется операция И с (четырехбайтным) значением 0xFF3E031F.
так что изменяемые и зарезервированные биты установлены в ноль.Единственный
в настоящее время изменчивый бит, замаскированный здесь, — это «bundle is a
Симингтон и др. Истекает 26 октября 2007 г. [Страница 19]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
фрагмент» — все остальные являются зарезервированными битами. Также обратите внимание, что
поскольку поля флагов упакованы в SDNV, добавление бита может
изменить ее длину и тем самым аннулировать подпись, даже если
дополнительный бит не включается в канонизацию.
Предотвращать
эта ошибка, канонизация использует не-SDNV форму флагов
поле вместе с соответствующей маской. Как описано в [2],
максимальный размер, поддерживаемый для кодирования SDNV, составляет 64 бита.
Поэтому канонизация использует 64-битное декодированное значение, замаскированное
как описано выше.
Здесь есть проблема, которую ДОЛЖНЫ решать шифровальные наборы PSB. Если
пакет фрагментирован до применения PSB, затем PSB
применяется к фрагменту, а не ко всему пакету.Тем не менее
защищенный фрагмент может быть впоследствии фрагментирован, что
оставит верификатор не в состоянии узнать, какие байты были защищены
со стороны ПСБ. По этой причине наборы шифров PSB, поддерживающие
применение PSB к фрагментам ДОЛЖНО указывать, какие байты пакета
полезная нагрузка защищена как часть параметров набора шифров. Когда
проверки такого фрагмента только байты из фрагмента
вход в проверку PSB. Конечно, если справедливо и для
ciphersuite должен быть указан, чтобы применяться только ко всем пакетам
а не на осколки.
Длина — четырехбайтовое значение, содержащее длину (в байтах)
эта структура. [Прим.5]
Длина и значение идентификатора конечной точки назначения — это длина (как
четырехбайтовое значение) и значение идентификатора конечной точки назначения из
первичный блок пучка. URI просто копируется из соответствующего
часть (части) словарного блока и сама по себе не канонизирована.
Длина и значение идентификатора конечной точки источника обрабатываются аналогично
назначения.
Длина и значение идентификатора конечной точки отчета обрабатываются аналогично
назначение.Время создания и время жизни просто копируются из основного
блокировать.
Смещение фрагмента и общая длина блока данных приложения копируются.
из первичного блока, если они там присутствуют (что
управляется одним из флагов).
Блоки полезной нагрузки обычно копируются как есть, за исключением
значение флагов обработки в канонической версии ДОЛЖНО быть объединено по И
с 0x37, чтобы убедиться, что в настоящее время «зарезервированные» флаги очищены и
что флаг «последний блок» игнорируется.Причина игнорировать
Симингтон и др. Истекает 26 октября 2007 г. [Страница 20]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Флаг «последний блок» означает, что если пакет создается как с PSB, так и с
BAB, то следующий переход удалит экземпляры BAB, и если один из
это был последний блок, он может установить флаг «последний блок», например,
экземпляр ПСБ. Таким образом, флаг «последний блок» является изменяемым битом и
следует исключить из канонической формы.Обратите внимание, что «Блок был
флаг перенаправлен без обработки» включен в канонический
форму блока полезной нагрузки, потому что этот флаг никогда не ожидается
устанавливается любым узлом; все узлы должны иметь возможность обрабатывать
Блок полезной нагрузки. Соображения SDNV, описанные выше для
поле флагов основного блока применяется также к полю флагов
полезная нагрузка и другие неосновные блоки.
Еще одно исключение возникает в тех случаях, когда только фрагмент
полезная нагрузка была защищена, когда только те байты блока полезной нагрузки
поле полезной нагрузки считаются частью канонической формы.Блоки безопасности обрабатываются аналогично, за двумя исключениями:
— ДОЛЖЕН быть установлен флаг «Блок был отправлен без обработки»
исключен из канонической формы PSB и CB, потому что это
флаг может быть установлен узлом, расположенным между источником безопасности и
пункт назначения безопасности. Следовательно, значение флагов обработки
PSB и CB в канонической версии ДОЛЖНЫ быть объединены по И с
0x17, чтобы убедиться, что изменяемый блок был перенаправлен без
обработанный» флаг игнорируется во время канонизации этих
блоки.- набор шифров, скорее всего, укажет, что «текущая» безопасность
блокировать поле результата безопасности не считается частью
каноническая форма. Это отличается от случая строгого
канонизация, так как мы могли бы использовать изменяемую канонизацию
алгоритм для обработки последовательных подписей, где более поздние подписи
должны охватывать более ранние.
Примечания:
— Каноническая форма связки не то, что передается. Это
это просто артефакт, который используется в качестве входных данных для переваривания.- Мы опускаем зарезервированные флаги на основании того, что мы не можем определить
будут ли они меняться в пути. Это означает, что это
алгоритм, возможно, придется пересмотреть, если эти флаги
определение, и если мы хотим защитить их.
— Наша кодировка URI не сохраняет «нулевое завершение»
соглашение от словарного поля, и мы не отделяем
схема и ссп как там сделано.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 21]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
— Обратите внимание, что приведенная выше кодировка URI будет причиной ошибок, если
любой узел перезаписывает словарь, например, изменяя часть DNS
некоторого URL-адреса HTTP из нижнего регистра в верхний регистр.Это может случиться
прозрачно, например, когда пакет синхронизируется с диском с помощью
один набор программного обеспечения, а затем считывается с диска и пересылается
Второй комплект программного обеспечения. Потому что нет точных общих правил
для канонизации URI (или еще хуже IRI) эта проблема может быть
неизбежный источник нарушений целостности.
— Все поля длины здесь представляют собой четырехбайтовые значения в сетевом байте.
приказ. Нам не нужно оптимизировать кодировку, так как значения
никогда не передаются по сети.3.3. Конфиденциальность идентификатора конечной точки
Поскольку каждый пакет ДОЛЖЕН содержать первичный блок, который не может быть
зашифрованы и содержат идентификатор исходной конечной точки (и другие), если
мы хотим обеспечить конфиденциальность идентификатора конечной точки, тогда мы должны
придумать поддельный первичный блок с ложными значениями для этих полей и
затем новый тип блока, содержащий фактические значения.
Точно так же могут быть требования конфиденциальности, применимые к
другие части первичного блока (например, текущий хранитель), и мы
поддерживать их таким же образом.Поскольку мы не знаем, будем ли мы это делать… подробности уточняются :-)[Comment.6]
3.4. Пакеты, полученные от других узлов
Узлы, реализующие эту спецификацию, ДОЛЖНЫ консультироваться со своей безопасностью.
политика, чтобы определить, требуется ли полученный пакет для
политика включения BAB. Если в комплекте не требуется наличие
BAB, то обработка BAB на полученном пакете завершена, и
пакет готов к дальнейшей обработке для обработки CB/PSB или
доставка или пересылка.
Если пакет должен иметь БАБ, но его нет, то
пакет ДОЛЖЕН быть отброшен и больше не обрабатывается.Если пучок
требуется иметь BAB, но все его BAB идентифицируют другой узел
кроме принимающего узла в качестве пункта назначения безопасности BAB, затем
пакет ДОЛЖЕН быть отброшен и не подлежит дальнейшей обработке.
В противном случае, если в комплекте есть ВАВ, который либо не имеет
поле назначения безопасности или которое идентифицирует принимающий узел как
назначения безопасности BAB, затем значение в результате безопасности
поле BAB ДОЛЖНО быть проверено в соответствии с набором шифров
Спецификация.Если для всех таких БАБ в связке либо БАБ
источник безопасности не может быть определен или значение результата безопасности
Симингтон и др. Истекает 26 октября 2007 г. [Страница 22]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
проверка не удалась, пакет не прошел аутентификацию и пакет
НЕ ДОЛЖНЫ быть отброшены и не подлежат дальнейшей обработке. В противном случае, если какой-либо из
присутствующие BAB подтверждают, что пакет готов к обработке CB
(если он включает один).При пересылке пакета, который включал несколько BAB, когда он был
полученные, эти BAB ДОЛЖНЫ быть удалены из пакета. Новые BAB МОГУТ
быть добавлены в соответствии с требованиями политики. Это может потребовать исправления
Поле «последний блок» пересылаемого пакета.
Если в пакете есть CB, а принимающий узел является пунктом назначения CB
для комплекта (либо потому, что узел указан в CB-
поле назначения или потому что узел указан как место назначения пакета
и поле CB-dest отсутствует), узел ДОЛЖЕН расшифровать соответствующий
части пакета в соответствии со спецификацией набора шифров и
удалить рассматриваемый CB.Если соответствующие части комплекта
не может быть расшифрован (т. е. ключ дешифрования не может быть выведен или
расшифровка не удалась), то пакет ДОЛЖЕН быть отброшен и обработан без
дальше; в этом случае отчет о состоянии удаления пакета (см.
Протокол [2]), указывающий, что МОЖЕТ быть сгенерирован сбой дешифрования,
предназначенный для собственной конечной точки принимающего узла. Если ЦБ безопасности
результат включал зашифрованный текст чего-либо, кроме зашифрованного
BEK, который использовался для шифрования полезной нагрузки пакета, восстановленный
блоки открытого текста ДОЛЖНЫ быть помещены в пакет в местоположении от
который CB был удален.Если в пакете есть PSB, а принимающий узел является пунктом назначения PSB
для комплекта (либо потому, что узел указан в
поле PSB-dest или потому, что узел указан как узел пакета.
пункт назначения и поле PSB-dest отсутствует), узел ДОЛЖЕН проверить
значение в поле результата безопасности PSB в соответствии с
спецификация набора шифров. Если проверка не пройдена, пакет не пройден.
для аутентификации, и пакет ДОЛЖЕН быть отброшен и обработан без
дальше; отчет о состоянии пакета, указывающий на сбой, МОЖЕТ быть
сгенерированный, предназначенный для собственной конечной точки принимающего узла.В противном случае, если PSB подтвердит, пакет готов к обработке.
для доставки или пересылки. Перед отправкой пакета
узлу СЛЕДУЕТ удалить PSB из пакета, если нет
вероятность того, что какой-либо нижестоящий узел также сможет проверить
ПСБ.
Если в связке есть PSB, а принимающий узел не является PSB-dest
для пакета, но набор шифров позволяет, принимающий узел МОЖЕТ, если
это возможно, проверьте значение в поле результатов безопасности. Если
проверка не пройдена, узел ДОЛЖЕН отбросить пакет и МОЖЕТ отправить
отчет о состоянии пакета, указывающий на сбой в принимающем узле
собственная конечная точка.Симингтон и др. Истекает 26 октября 2007 г. [Страница 23]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
3.5. Вариант доставки «не более одного раза»
Приложение может запросить (в зависимости от конкретной реализации)
что узел должен быть зарегистрирован как член конечной точки и что
полученные пакеты, предназначенные для этой конечной точки, будут доставлены в эту
применение.
Мы определяем новую опцию для использования в таких случаях, известную как «не более одного раза».
Доставка».Если выбран этот вариант, приложение
указывая, что он хочет, чтобы узел проверял наличие дубликатов пакетов,
отбрасывать дубликаты и доставлять не более одной копии каждого полученного
комплект к приложению. Если этот параметр не выбран,
приложение указывает, что оно хочет, чтобы узел доставлял все
полученные копии пакета к приложению. Если выбран этот вариант,
узел ДОЛЖЕН доставить не более одной копии каждого полученного пакета в
приложение. Если опция не выбрана, узел ДОЛЖЕН
(в соответствии с политикой) доставить все пакеты.Чтобы обеспечить это, узел ДОЛЖЕН просмотреть пару (источник, временная метка).
стоимость каждого полного (при необходимости собранного) пакета
и определить, является ли эта пара, которая должна однозначно идентифицировать набор,
был получен ранее. Если это так, то пакет является дубликатом.
Если нет, то пакет не является дубликатом. Источник,
отметка времени) пара ДОЛЖНА быть уже добавлена в список парных значений
полученный этим узлом.
Продолжительность, в течение которой узел поддерживает записи в таком списке, является
дело реализации.Если какое-либо приложение указало, что оно хочет, чтобы узел использовал
вариант доставки «самый раз» для определенного идентификатора конечной точки назначения
в комплекте, то узел ДОЛЖЕН сравнить (источник,
метка времени, смещение фрагмента, длина фрагмента) значения пакета
с локальным списком таких значений уже полученных пакетов.
Дополнительное обсуждение, относящееся к максимальной доставке, находится в DTN.
Спецификация блока повторной передачи [10].
3.6. Фрагментация и повторная сборка пакета
Если узлу необходимо фрагментировать пакет и безопасность
используется в этом пакете, следующая обработка, связанная с безопасностью
требуется:
Во-первых, BAB, PSB или CB НЕ ДОЛЖНЫ быть фрагментированы.В это время только
поле полезной нагрузки блока полезной нагрузки МОЖЕТ быть фрагментировано.
Если пакет требует, чтобы политика безопасности имела BAB перед
Симингтон и др. Истекает 26 октября 2007 г. [Страница 24]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
при пересылке все фрагменты, полученные из этого пакета, ДОЛЖНЫ
содержат отдельные значения BAB.
Если исходный пакет имел PSB, то каждый экземпляр PSB ДОЛЖЕН
быть включенным в какой-либо фрагмент.Один экземпляр PSB НЕ ДОЛЖЕН быть отправлен
больше чем единожды.
Если в исходном комплекте был CB, то каждый из экземпляров CB
ДОЛЖЕН быть включен в какой-то фрагмент. Один экземпляр CB НЕ ДОЛЖЕН быть
отправлял не один раз.
Примечание: различные фрагменты могут иметь дополнительные блоки безопасности, добавленные в
этой или более поздних стадиях, и возможно, что корреляторы могут столкнуться.
Для обеспечения уникальности комплекты шифров ДОЛЖНЫ включать
фрагмент-смещение фрагмента как старшего компонента
коррелятор.3.7. Реактивная фрагментация
Когда исходная пакетная передача прекращается до окончания всего
пакет был передан, принимающий узел ДОЛЖЕН проконсультироваться со своим
политика безопасности, чтобы определить, разрешено ли преобразовывать
полученную часть связки во фрагмент связки для дальнейшего
пересылка. Разрешена ли такая реактивная фрагментация
ДОЛЖЕН зависеть от политики безопасности в сочетании с
набор шифров, используемый для вычисления аутентификационной информации BAB, если
обязательный.(Некоторые наборы шифров BAB, т. е. обязательный BAB-HMAC
набор шифров, определенный в Разделе 4.1, не поддерживает реактивный
фрагментация, потому что результат безопасности в BAB требует, чтобы
весь пакет должен быть подписан. Однако можно предположить, что БАБ
ciphersuite может быть определен таким образом, что несколько результатов безопасности
рассчитаны, каждый на отдельном сегменте пучка, и что эти
результаты безопасности могут быть перемежены между полезной нагрузкой пакета
сегменты таким образом, чтобы можно было приспособить реактивную фрагментацию.)
Если исходный пакет фрагментирован промежуточным получателем
(реактивно), а набор BAB-шифров соответствующего типа (например,
с несколькими результатами безопасности, встроенными в полезную нагрузку), пакет
ДОЛЖЕН быть фрагментирован сразу после последнего значения результата безопасности
в полученной частичной полезной нагрузке. Любые данные, полученные после
последнее значение результата безопасности ДОЛЖНО быть удалено.
Если первоначальная пакетная передача прекращается до того, как все
пакет был передан, если усеченный пакет, поступающий в
промежуточный получатель реактивно фрагментируется и перенаправляется, только
часть пакета, которая не была получена, ДОЛЖНА быть передана повторно,
хотя большая часть пакета МОЖЕТ быть повторно передана.До
ретранслируя часть пакета, он ДОЛЖЕН быть изменен на
Симингтон и др. Истекает 26 октября 2007 г. [Страница 25]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
фрагмент и, если исходный пакет включал БАБ, фрагментированный
комплект ДОЛЖЕН также, и его БАБ ДОЛЖЕН быть пересчитан.
Эта спецификация в настоящее время не определяет какой-либо набор шифров, который
может хорошо справиться с этим случаем реактивной фрагментации.
Симингтон и др.Истекает 26 октября 2007 г. [Страница 26]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
4. Обязательные наборы шифров
В этом разделе определяются обязательные наборы шифров для этого
Спецификация. В настоящее время существует один обязательный набор шифров для каждого
БАБ, ПСБ и ЦБ. Набор шифров BAB основан на общих секретах.
с помощью HMAC. Набор шифров PSB основан на цифровых подписях с использованием
RSA с SHA256. Набор шифров CB основан на использовании RSA в качестве ключа.
транспорт и AES для массового шифрования.4.1. БАБ-HMAC
Набор шифров BAB-HMAC имеет значение идентификатора набора шифров 0x001.
Параметры безопасности являются необязательными для этой схемы, но если они используются, то
значение параметра ciphersuite ДОЛЖНО использоваться как ключ
идентификатор. Точный тип используемого идентификатора ключа — это
вопрос реализации. При отсутствии идентификатора ключа
ожидается, что промежуточный получатель сможет найти правильный ключ
на основе отправляющего идентификатора (из источника безопасности и/или
слой конвергенции).BAB-HMAC использует алгоритм строгой канонизации, описанный в разделе 3.2.1.
Используемый вариант HMAC — HMAC-SHA1, как определено в RFC 2104.
[3].[Прим.7]
Этот набор шифров требует использования двух связанных экземпляров
БАБ. Он включает в себя размещение первого экземпляра BAB (как определено в
Раздел 2.2) сразу после основного блока. Второй (соотнесенный)
Экземпляр BAB ДОЛЖЕН быть помещен после всех остальных блоков (кроме
возможно другие блоки BAB) в комплекте.
Это означает, что обычно BAB будет вторым и последним блоком.
комплекта.Если экспедитор хочет применить более одного
коррелированная пара БАБ, то это можно сделать. Нет требований
что каждое приложение «обертывает» другие, но сервер пересылки ДОЛЖЕН
вставьте все «передние» BAB и их «задние» «партнеры»
(без какого-либо результата безопасности), перед канонизацией.
Вставка более одной коррелированной пары BAB была бы полезна, если
пакет может быть перенаправлен более чем на один потенциальный «следующий переход» или если
как старый, так и новый ключ были действительны во время отправки, без
уверенность в ситуации, которая будет получена во время приема.Результатом безопасности является результат вычисления HMAC-SHA1 с
ввод является результатом запуска всего пакета через
строгий алгоритм канонизации. Оба требуемых экземпляра BAB ДОЛЖНЫ
быть включены в комплект перед канонизацией.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 27]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
4.2. ПСБ-RSA-SHA256
Набор шифров PSB-RSA-SHA256 имеет значение идентификатора набора шифров 0x002.Если подписываемый пакет был фрагментирован до подписания, то
мы должны указать, какие байты были подписаны, в случае, если подписанный пакет
впоследствии фрагментируется во второй раз. Итак, если комплект представляет собой
фрагмент, то параметры набора шифров ДОЛЖНЫ включать два SDNV
закодированные числа, представляющие смещение и длину подписанного
фрагмент. Если весь пакет подписан, то эти номера ДОЛЖНЫ быть
опущено.
Поле параметров набора шифров МОЖЕТ также содержать идентификатор ключа.Точный тип используемого идентификатора ключа — это реализация
проблема. При отсутствии идентификатора ключа верификатором PSB является
ожидается, что он сможет использовать источник безопасности (если он предоставлен) или иначе
источник пакета (если нет источника безопасности), чтобы
определить правильный открытый ключ для проверки PSB.
PSB-RSA-SHA256 использует изменяемый алгоритм канонизации.
Раздел 3.2.2. Полученная каноническая форма расслоения есть
вклад в процесс подписания.Этот набор шифров требует использования
единственный экземпляр PSB.
RSA используется с SHA256, как указано для sha256WithRSAEncryption.
Схема подписи PKCSv1.5 в RFC 4055 [4]. Результат подписания
процесс является результатом безопасности для PSB.
Криптография «соизмеримой силы» обычно считается хорошей
идея. Считается, что для комбинации RSA с SHA256 требуется код 3076.
битный ключ RSA в соответствии с этой логикой. Немногие реализации выберут
эта длина по умолчанию (и, вероятно, некоторые просто не будут поддерживать такую
длинные ключи).Поскольку это экспериментальный протокол, мы ожидаем, что
Во многих случаях будут использоваться 1024- или 2048-битные ключи RSA.
будет хорошо, так как мы также ожидаем, что хеш-функция «выдает»
будет решен до того, как из этого будет выведен какой-либо стандарт
протокол.[Прим.8]
4.3. CB-RSA-AES128-ПОЛЕЗНАЯ НАГРУЗКА-PSB
[Комментарий.9]
Набор шифров CB-RSA-AES128-PAYLOAD-PSB имеет значение идентификатора набора шифров.
0x003.
Эта схема допускает только шифрование полезной нагрузки и PSB и включает
шифрование каждого экземпляра PSB, а также полезной нагрузки.Этот набор шифров требует использования одного экземпляра CB, если
Симингтон и др. Истекает 26 октября 2007 г. [Страница 28]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
комплект не содержит PSB и несколько экземпляров CB, если
комплект включает один или несколько PSB. Создается первый ЦБ, который
содержит зашифрованный пакетный ключ шифрования (BEK). Размер ключа для
этот набор шифров составляет 128 бит.
Для первого CB ДОЛЖЕН быть параметр ciphersuite, который
содержит 16-байтовый IV, за которым может следовать идентификатор ключа (чей
формат здесь снова выходит за рамки).(Если параметры набора шифров
поле длины имеет значение равное 16, тогда поле данных параметров
состоит только из 16-бай IV. Если длина параметров набора шифров
поле имеет значение больше 16, то параметры набора шифров
поле данных состоит из 16-байтового IV, за которым следует идентификатор ключа, и
длина этого ключевого идентификатора является значением в наборе шифров
длина поля параметров минус 16.) Результат безопасности содержит
BEK зашифрован с использованием PKCSv1.5 rsaEncryption, как указано в RFC 3370.
[5].Для каждого последующего PSB весь блок заменяется CB, который
коррелируется с первым CB и результатом безопасности которого является
форма зашифрованного текста PSB, включая тип блока и т. д.
Поле параметров содержит 16-байтовый IV, специфичный для этого блока.
Для полезной нагрузки используются только байты поля полезной нагрузки пакета.
затрагивается, заменяется зашифрованным текстом.
Мы отдельно шифруем полезную нагрузку и каждый из блоков PSB, используя
BEK и другой IV. IV для полезной нагрузки содержится в
первый CB, IV для каждого из PSB находится в поле параметра
замены блока С.BEK использует алгоритм AES в режиме CBC, как указано идентификатором.
идентификатор объекта aes-cbc в RFC 3565 [6]
[Комментарий.10][Комментарий.11][Комментарий.12]
Симингтон и др. Истекает 26 октября 2007 г. [Страница 29]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
5. Управление ключами
Поскольку управление ключами в сетях, устойчивых к задержкам, все еще находится в стадии исследования.
тема, которую мы не можем предоставить в плане полезного управления ключами
здесь. Однако исключительно в целях поддержки осуществления и
тестирование, реализации ДОЛЖНЫ поддерживать:
— Долгосрочные предварительно общие симметричные ключи для BAB-HMAC
набор шифров.- Использование общеизвестных открытых ключей RSA для PSB-RSA-SHA256 и CB-
Наборы шифров RSA-AES128-PAYLOAD-PSB.
Поскольку идентификаторы конечных точек являются URI, а URI могут быть размещены в X.509 [7]
сертификаты открытого ключа (в расширении subjectAltName)
реализации ДОЛЖНЫ поддерживать этот способ распространения открытых ключей.
Реализации НЕ ДОЛЖНЫ быть очень строгими в том, как они обрабатывают X.509.
хотя, например, настаивать на
Проверка списка отзыва сертификатов (CRL) во многих контекстах DTN.В остальном управление ключами подлежит дальнейшему изучению.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 30]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
6. Политика безопасности по умолчанию
Каждый узел служит точкой применения политики (PEP) в той мере, в какой он
применяет некоторую политику, которая контролирует пересылку и доставку
пакеты через одну или несколько реализаций протокола уровня конвергенции.
Следовательно, каждый узел ДОЛЖЕН иметь и работать в соответствии со своими
настраиваемая политика безопасности, независимо от того, является ли политика явной или
дефолт.Политика ДОЛЖНА указывать:
При каких условиях полученные пакеты ДОЛЖНЫ быть переадресованы.
При каких условиях полученные пакеты ОБЯЗАНЫ
включать действительные BAB.
При каких условиях аутентификационная информация, предоставленная в
BAB комплекта ДОЛЖЕН считаться достаточным для аутентификации комплекта.
При каких условиях полученные пакеты ОБЯЗАНЫ иметь
действующие PSB и/или CB.
При каких условиях аутентификационная информация, предоставленная в
PSB комплекта ДОЛЖЕН считаться достаточным для аутентификации комплекта.При каких условиях БАБ ДОЛЖЕН быть добавлен к полученному пакету
до того, как этот пакет будет перенаправлен.
При каких условиях PSB ОБЯЗАТЕЛЬНО будет добавлен к полученному пакету
до того, как этот пакет будет перенаправлен.
При каких условиях CB ДОЛЖЕН быть добавлен к полученному пакету
до того, как этот пакет будет перенаправлен.
Действия, которые ДОЛЖНЫ быть предприняты в случае получения
пакет не соответствует политике безопасности принимающего узла
критерии.
Эта спецификация не касается того, как политики безопасности получают
распределены по узлам.ТРЕБУЕТСЯ только, чтобы узлы имели и применяли
политики безопасности. [Комментарий.13]
Если на данном узле не указана политика безопасности или если
политика указана лишь частично, политика по умолчанию для этого узла
относительно неуказанных критериев ДОЛЖНЫ состоять из следующего:
Пакеты, которые неправильно сформированы, не соответствуют политике безопасности.
критерии.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 31]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
ДОЛЖНЫ использоваться обязательные наборы шифров.Все полученные пакеты ДОЛЖНЫ иметь BAB, который ДОЛЖЕН быть проверен на
содержать допустимый результат безопасности. Если в комплекте нет
BAB, то пакет ДОЛЖЕН быть отброшен и не подлежит дальнейшей обработке; а
отчет о состоянии пакета, указывающий на сбой аутентификации, МОЖЕТ быть
сгенерированный, предназначенный для собственной конечной точки принимающего узла.
Никакие полученные пакеты НЕ ОБЯЗАНЫ иметь PSB; если получен
комплект имеет PSB, однако PSB можно игнорировать, если только
принимающий узел является PSB-dest, и в этом случае PSB ДОЛЖЕН быть
проверено.Никакие полученные пакеты НЕ ДОЛЖНЫ требовать наличия CB; если получен
комплект имеет CB, однако CB можно игнорировать, если только
принимающий узел является CB-dest, и в этом случае CB ДОЛЖЕН быть
обработанный. Если обработка CB дает PSB, этот PSB ДОЛЖЕН быть
обрабатывается узлом в соответствии с политикой безопасности узла.
PSB НЕ ДОЛЖЕН быть добавлен в пакет до поиска или пересылки
Это.
CB НЕ ДОЛЖЕН добавляться в пакет до поиска или пересылки
Это.BAB всегда ДОЛЖЕН быть добавлен к пакету до того, как этот пакет
отправлено.
Если узел назначения получает пакет, который имеет PSB-назначение
поле, но значение в этом поле назначения PSB не является EID
узла назначения, пакет ДОЛЖЕН быть доставлен в этот
узел назначения.
Если полученный пакет не соответствует политике безопасности узла
по какой-либо причине, пакет ДОЛЖЕН быть отброшен и обработан без
дальше; в этом случае отчет о состоянии удаления пакета (см.
Bundle Protocol [2]), указывающий, что сбой СЛЕДУЕТ генерировать,
предназначенный для собственной конечной точки принимающего узла.Симингтон и др. Истекает 26 октября 2007 г. [Страница 32]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
7. Вопросы безопасности
[Комментарий.14]
Если набор шифров BAB использует цифровые подписи, но не включает
место назначения безопасности (которое для BAB является следующим хостом), то это
позволяет отправить пакет на какой-либо узел, отличный от предполагаемого
соседний узел. Поскольку BAB по-прежнему будет аутентифицироваться,
принимающий узел может ошибочно принять и переслать пакет.Когда
используются асимметричные наборы шифров BAB, поле назначения безопасности
СЛЕДУЕТ, следовательно, быть включенным в BAB.
Если PSB-dest пакета не совпадает с его пунктом назначения, то некоторые
узел, отличный от пункта назначения (узел, идентифицированный как PSB-dest)
ожидается, что он проверит результат безопасности PSB, пока пакет
в пути. Однако, если по какой-то причине PSB не проходит валидацию,
пункт назначения не может узнать об этом.
Как правило, PSB-dest удаляет PSB из пакета после
проверка PSB и перед его пересылкой.Однако, если есть
возможность того, что PSB также будет проверен на нисходящем узле,
PSB-dest оставит PSB в комплекте. Следовательно, если
получатель получает пакет с PSB, у которого есть PSB-dest (который
не пункт назначения), это может, но не обязательно, указывать
возможная проблема.
Если пакет фрагментирован после пересылки его источником PSB, но
до получения его PSB-dest полезная нагрузка в пакете ДОЛЖНА
быть собраны перед проверкой результата безопасности PSB, чтобы
результат безопасности для правильной проверки.Таким образом, если PSB-
dest не может выполнять повторную сборку полезной нагрузки, его полезность
PSB-dest будет ограничен проверкой только тех пакетов, которые
не был фрагментирован с момента пересылки из PSB-источника.
Точно так же, если пакет фрагментирован после того, как его
PSB-source, но до получения его PSB-dest все фрагменты
ДОЛЖЕН быть получен на этом PSB-dest, чтобы полезная нагрузка пакета
быть в состоянии собраться заново. Если не все фрагменты получены на
узел PSB-dest, пакет не сможет быть аутентифицирован, и
поэтому никогда не будет пересылаться этим узлом PSB-dest.Спецификация пункта назначения безопасности, отличного от пакета
пункт назначения создает требование маршрутизации, чтобы пакет каким-то образом
направляется к узлу безопасности на пути к конечному
назначения. Это требование в настоящее время является частным для
ciphersuite, так как узлы маршрутизации не обязаны реализовывать
обработка безопасности.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 33]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
8.Рекомендации IANA
В настоящее время нет. Если пакетный протокол станет стандартом
протокола, то мы можем захотеть рассмотреть возможность создания IANA
регистр типов блоков и, в частности, для этой спецификации
отдельный реестр спецификаций набора шифров.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 34]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
9. Ссылки
9.1. Нормативные ссылки
[1] Браднер, С.и Дж. Рейнольдс, «Ключевые слова для использования в RFC для
Укажите уровни требований», RFC 2119, октябрь 1997 г.
[2] Скотт, К. и С. Берли, «Спецификация протокола пакета»,
черновик-irtf-dtnrg-bundle-spec-09.txt, в разработке,
апрель 2007 г.
[3] Кравчик, Х., Белларе, М., и Р. Канетти, «HMAC: Keyed-Hashing
для аутентификации сообщений», RFC 2104, февраль 1997 г.
[4] Шаад, Дж., Калиски, Б., и Р. Хаусли, «Дополнительные алгоритмы».
и идентификаторы для криптографии RSA для использования в Интернете
ИКС.509 Сертификат инфраструктуры открытого ключа и сертификат
Профиль списка отзыва (CRL)», RFC 4055, июнь 2005 г.
[5] Хаусли, Р., «Алгоритмы синтаксиса криптографических сообщений (CMS)»,
RFC 3370, август 2002 г.
[6] Шаад, Дж., «Использование расширенного стандарта шифрования (AES)».
Алгоритм шифрования в синтаксисе криптографических сообщений (CMS)»,
RFC 3565, июль 2003 г.
[7] Хаусли, Р., Полк, В., Форд, В., и Д. Соло, «Интернет X.509
Сертификат и сертификат инфраструктуры открытых ключей
Профиль списка отзыва (CRL)», RFC 3280, апрель 2002 г.9.2. Информативные ссылки
[8] Фаррелл, С., Саймингтон, С., и Х. Вайс, «Допускающие задержки
Обзор сетевой безопасности»,
черновик-irtf-dtnrg-sec-overview-03.txt, в разработке,
апрель 2007 г.
[9] Серф, В., Берли, С., Дерст, Р., Фолл, К., Гук, А., Скотт,
К., Торгерсон Л. и Х. Вайс, «Сеть, устойчивая к задержкам».
Архитектура», RFC 4838, апрель 2007 г.
[10] Симингтон, С., «Блок ретрансляции сети, устойчивый к задержкам»,
черновик-irtf-dtnrg-bundle-retrans-00.txt, работа в процессе,
апрель 2007 г.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 35]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Редакционные комментарии
[Комментарий 1] Стивен: Я думаю, это может быть какой-то странный случай.
где набор шифров CB, использующий встречный режим, позволил бы
фрагменты, подлежащие индивидуальной расшифровке, и в этом
случае мы можем захотеть установить репликацию для каждого
фрагмент.Таким образом, мы не можем полностью исключить установку этого флага
для всех PSB/CB.
[Комментарий.2] Стивен: Это нужно пересмотреть!
[Комментарий.3] Стивен: Нужно ли указывать обработку ошибок для
случай, когда узел отбрасывает пакет по соображениям политики?
Может ли / может ли он сообщить источнику, что это сделано?
[Комментарий.4] Хауи: База данных политик безопасности должна быть
где-то обсуждалось. Это относится к этому документу,
спецификация протокола пакета., оба, какой-то другой документ?
[Комментарий.5] Редакторы: Проверяйте значение маски в самый последний момент.
(в т.ч. во время auth-48), чтобы убедиться, что это (все еще) правильно.
[Комментарий.6] Стивен: Должны ли мы поддерживать конфиденциальность источника?
Может усложнить PSB, что является недостатком IMO.
[Комментарий.7] Редакторы: На данный момент, судя по всему, безопасности нет.
причина отказа от HMAC-SHA1, так как HMAC
конструкция, насколько нам известно, не подвержена влиянию
коллизии в базовом алгоритме дайджеста (который
почти практически вычислимы для SHA-1).Тем не менее, поскольку мы используем SHA-256 в подписи
ciphersuite (поскольку коллизии имеют значение), он может
желательно перейти на HMAC-SHA-256, как указано в
RFC 4321. Так что, если вы пишете код на основе этого…
предупредил!
[Комментарий.8] Редакторы: В настоящее время существуют нерешенные «проблемы» с
алгоритмы дайджеста, которые могут привести к изменению здесь до
до, но, скорее всего, после того, как был выпущен RFC.Так
ждите перемен!
[Комментарий.9] Редакторы: Весь этот раздел следует рассматривать как
соломенный человек в настоящее время.
[Комментарий.10] Предположение: была бы интересная возможность
открылось, что мы можем использовать потоковый шифр с REK.
То есть мы могли бы тогда зашифровать и расшифровать
независимо — Алиса могла бы зашифровать для Боба, тогда
Симингтон и др. Истекает 26 октября 2007 г. [Страница 36]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Чарли мог зашифровать для Десси, тогда Боб мог
расшифровать, затем Десси.Лучше не добавлять
дополнение, но хуже тем, что оно тривиально позволяет
манипулирование открытым текстом, если нет PSB.
[Комментарий.11] Редакторы: можно также переключиться на
используя режим счетчика, а не CBC, который имел бы
преимущество в том, что некоторые фрагменты могут быть расшифрованы даже
если не все фрагменты приходят. Хотя это кажется милым
достаточно сделать, это, конечно, потребует от нас подумать
больше о фрагментах и так для следующей версии, если
вообще.[Комментарий.12] Петр: вроде нет подходящего режима CTR
реализация для AES, но, возможно, CFB (также поток
режим) подойдет. Это также позволяет избежать заполнения.
[Комментарий.13] Хауи: В конце концов нам нужно будет указать, где
информация о политике безопасности/БД действительно обсуждается/
указано.
[Комментарий.14] Редакторы: Без сомнения, здесь нужно гораздо больше текста.
Симингтон и др. Истекает 26 октября 2007 г. [Страница 37]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Адреса авторов
Сьюзан Флинн Симингтон
Корпорация МИТЕР
7515 Колшир Драйв
Маклин, Вирджиния 22102
нас
Телефон: +1 (703) 983-7209
Электронная почта: susan@mitre.организация
URI: http://mitre.org/
Стивен Фаррелл
Тринити-колледж в Дублине
Группа распределенных систем
Департамент компьютерных наук
Тринити-колледж
Дублин 2
Ирландия
Телефон: +353-1-608-1539
Электронная почта: [email protected]
Говард Вайс
СПАРТА, ООО
7110 Сэмюэл Морс Драйв
Колумбия, Мэриленд, 21046
нас
Телефон: +1-443-430-8089
Электронная почта: [email protected]
Питер Ловелл
СПАРТА, ООО
7110 Сэмюэл Морс Драйв
Колумбия, Мэриленд, 21046
нас
Телефон: +1-443-430-8052
Электронная почта: Питер[email protected]
Симингтон и др. Истекает 26 октября 2007 г. [Страница 38]
Internet-Draft Bundle Security Protocol, апрель 2007 г.
Полное заявление об авторских правах
Авторское право (C) The IETF Trust (2007 г.).
На этот документ распространяются права, лицензии и ограничения
содержится в BCP 78, и, за исключением случаев, указанных в нем, авторы
сохраняют все свои права.
Этот документ и информация, содержащаяся в нем, предоставляются на
Принцип «КАК ЕСТЬ» и УЧАСТНИК, ОРГАНИЗАЦИЯ, КОТОРУЮ ОН/ОНА ПРЕДСТАВЛЯЕТ
ИЛИ СПОНСИРУЕТСЯ (ЕСЛИ СУЩЕСТВУЕТ), ИНТЕРНЕТ-ОБЩЕСТВОМ, IETF TRUST И
ИНЖЕНЕРНАЯ ГРУППА INTERNET ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ВЫРАЖЕННЫХ
ИЛИ ПОДРАЗУМЕВАЕМЫЕ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЛЮБОЙ ГАРАНТИЕЙ, ЧТО ИСПОЛЬЗОВАНИЕ
ДАННАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ КАКИХ-ЛИБО ПОДРАЗУМЕВАЕМЫХ
ГАРАНТИИ КОММЕРЧЕСКОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.Интеллектуальная собственность
IETF не занимает никакой позиции в отношении законности или объема любого
Права на интеллектуальную собственность или другие права, которые могут быть заявлены
относятся к внедрению или использованию технологии, описанной в
этот документ или степень, в которой любая лицензия в соответствии с такими правами
может быть или не быть доступным; и не представляет, что у него есть
предприняли какие-либо независимые усилия для определения любых таких прав. Информация
о процедурах в отношении прав в документах RFC можно
обнаружены в BCP 78 и BCP 79.Копии раскрытия информации о правах интеллектуальной собственности, сделанные в Секретариат IETF, и любые
гарантии предоставления лицензий или результат
предпринята попытка получить генеральную лицензию или разрешение на использование
такие права собственности со стороны разработчиков или пользователей этого
Спецификацию можно получить в онлайн-репозитории IPR IETF по адресу
http://www.ietf.org/ipr.
IETF предлагает любой заинтересованной стороне доводить до ее сведения любые
авторские права, патенты или заявки на патенты, или другие проприетарные
права, которые могут охватывать технологии, которые могут потребоваться для реализации
этот стандарт.Пожалуйста, отправьте информацию в IETF по адресу
[email protected].
Подтверждение
Финансирование функции редактора RFC предоставляется IETF.
Деятельность по административной поддержке (IASA).
Симингтон и др. Истекает 26 октября 2007 г. [Страница 39]
Internet Key Exchange for IPsec VPNs Configuration Guide, Cisco IOS Release 15M&T — Configuring Internet Key Exchange for IPsec VPNs [Support]
В IKE есть две фазы согласования ключей: фаза 1 и фаза 2.Фаза 1 согласовывает ассоциацию безопасности (ключ) между двумя
сверстники ИКЕ. Ключ, согласованный на этапе 1, позволяет одноранговым узлам IKE безопасно обмениваться данными на этапе 2. Во время согласования на этапе 2
IKE устанавливает ключи (ассоциации безопасности) для других приложений, таких как IPsec.
Согласование фазы 1 может происходить с использованием основного режима или агрессивного режима.Основной режим пытается защитить всю информацию во время переговоров,
Это означает, что потенциальному злоумышленнику недоступна никакая информация. При использовании основного режима идентификаторы двух одноранговых узлов IKE
скрыты. Хотя этот режим работы очень безопасен, он относительно дорог с точки зрения времени, необходимого для завершения.
переговоры. Агрессивный режим требует меньше времени для согласования ключей между одноранговыми узлами; тем не менее, он отказывается от части безопасности
обеспечивается согласованием основного режима.Например, личности двух сторон, пытающихся установить ассоциацию безопасности.
подвергаются подслушиванию.
Эти два режима служат разным целям и имеют разную силу. Основной режим медленнее, чем агрессивный режим, но основной режим
является более безопасным и более гибким, поскольку он может предложить одноранговому узлу IKE больше предложений по безопасности, чем агрессивный режим.агрессивный
режим менее гибкий и не такой безопасный, но намного быстрее.
В ПО Cisco IOS эти два режима не настраиваются. Действие по умолчанию для аутентификации IKE (rsa-sig, rsa-encr или
preshared) должен инициировать основной режим; однако в случаях, когда нет соответствующей информации для инициации аутентификации,
и имеется предварительный общий ключ, связанный с именем узла узла, программное обеспечение Cisco IOS может инициировать агрессивный режим.Сиско
Программное обеспечение IOS ответит в агрессивном режиме узлу IKE, который инициирует агрессивный режим.
UlyssesWu/FreeMote — Гитерс
Управляемые библиотеки инструментов EMT/PSB.
Скачать набор инструментов FreeMote
О ПСБ
FreeMote — это набор инструментов/библиотек для файлов формата M2 Packaged Struct Binary . Заголовок файла обычно начинается с ПСБ / ПСЗ / мдф ,
а расширения файлов обычно .psb|.psz|.mdf|.pimg|.scn|.mmo|.emtbytes|.mtn|.dpak .
Однако есть и другие форматы файлов, использующие те же расширения. НЕ поддерживаются:
-
.psb: Двоичный файл PlayStation (PS3) | PhotoShop Большой (Фотошоп) -
.mdf: Файл зеркального диска (спирт 120%) | Первичный файл данных (MSSQL) -
.mtn: Файл движения (Live2D)
Прежде чем отправить сообщение или задать вопрос, проверьте заголовок файла PSB с помощью шестнадцатеричного редактора.
Компоненты
FreeMote
Основные функции. Расшифруйте или зашифруйте файлы EMT PSB.
FreeMote SDK
Специальные библиотеки API для механизма EMT, которые принимают чистых (незашифрованных) файлов PSB в качестве входных данных.
FreeMote.Psb
Разобрать формат PSB. Нарисуйте модель EMT (статически) без двигателя EMT.
FreeMote.PsBuild
Компилировать и декомпилировать файлы PSB. Конвертируйте PSB между разными платформами. Восстановление проектов ЕМТ.
FreeMote.Плагины
Внешние/экспериментальные функции. Читайте вики для использования.
FreeMote.Purify (неизданный)
Получите и вычислите ключ, используемый файлом PSB ЕМТ, только из файла PSB (а не из ядра).
Инструменты
EmtConvert (FreeMote.Tools.EmtConvert)
Преобразование файлов EMT PSB.
PsbDecompile (FreeMote.Tools.PsbDecompile)
Декомпилировать файлы PSB в файлы и ресурсы json.
PsBuild (FreeMote.Инструменты.PsBuild)
Скомпилируйте JSON-файлы и ресурсы PSB в PSB.
EmtMake (FreeMote.Tools.EmtMake) (предварительная версия)
Декомпилировать проект EMT PSB в MMO. Выходной файл всегда находится под лицензией CC-BY-NC-SA 4.0. Коммерческое использование запрещено!
Средство просмотра FreeMote (FreeMote.Tools.Viewer)
Открыть и визуализировать EMT в чистом виде PSB. Этот инструмент работает на FreeMote.NET.
Сборка
Для этого проекта требуется VS 2019 и .NET 4.7.2 — 4.8 для сборки.
FreeMote.Plugins / FreeMote.Plugins.x64 требуется фид MyGet для получения внешних библиотек, сделанных нами. Если вам не нужны плагины FreeMote, вы можете выгрузить проекты плагинов и удалить их из справочника других проектов.
Чтобы установить наши собственные пакеты nuget, добавьте этот канал в VS:
.
https://www.myget.org/F/monarchsolutions/api/v3/index.json
Тест
Получите образцы PSB для тестирования и исследования от FreeMote.Образцы.
Спасибо всем, кто предоставил эти образцы!
по Улисс (******@***.***) из проекта AZUSA
FreeMote находится под лицензией Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License (CC-BY-NC-SA 4.0).
Необходимо прикрепить текст FreeMote.LICENSE к вашему релизу, если вы используете библиотеки FreeMote.
Некоторые выходные данные FreeMote (mmo/psd и т. д.) преобразованы из кода FreeMote и считаются Адаптированным материалом .Поэтому они всегда имеют лицензию CC-BY-NC-SA 4.0 . вики
Отчет о проблеме
· Запрос на слияние · Вики
Спасибо
.
Want to say something? Post a comment
Want to say something? Post a comment