Бланки бсо для ип: Использование бланков строгой отчетности: актуальная ситуация

Содержание

Бланки строгой отчетности для ИП

Когда заходит речь о применении БСО бизнесменами и предпринимателями, можно с уверенностью сказать, что интерес читателей распространяется не на утвержденные Минфином путевки и наряды-заказы, а на возможность принимать оплату услуг по квитанциям, минуя необходимость установки ККМ. Поговорим о применении БСО в предпринимательской деятельности и особенностях использования этих документов в современном бизнесе.

Что такое БСО для ИП

Денежные расчеты требуют обязательного использования ККТ, однако законодателями в некоторых случаях разрешено применять бланки строгой отчетности, заменяя ими кассовые чеки, т.е. подтверждая факт оплаты. Действовать так можно, если ИП применяет ПСН или работает на ЕНВД, оказывая услуги физическим лицам и предпринимателям.

Сегодня вместо выдачи кассовых чеков они обязаны предоставлять клиентам квитанции на прием оплаты.

Заметим, что замена выдачи кассовых чеков бланками квитанций запрещена при расчетах с организациями, т.е. юридическими лицами, здесь предполагается обязательное оформление операции чеком ККМ. В сегодняшних реалиях остается небольшой перечень услуг, предоставляемых ИП, где применительно использование БСО. Он освещен в законе о ККТ № 54-ФЗ от 22.05.2003 (ст. 2). ИП на патенте и ЕНВД вправе выписывать БСО до 01.07.2018, в дальнейшем им придется переходить на онлайн-кассы.

Вышеозначенным законом о кассах предусмотрен список видов услуг, дающих право работать на БСО в силу специфики деятельности и удаленности, поэтому БСО для ИП не теряют актуальности.   

Бланки строгой отчетности для ИП

Универсальной формы БСО для ИП не существует, поэтому каждый бизнесмен волен выбирать или разрабатывать собственный, приемлемый для своей деятельности документ.

Применение БСО в работе ИП регулируется правительственным постановлением от 06.05.2008 г. № 359, в котором даются рекомендации о наличии обязательных реквизитов. На его основе сегодня ИП самостоятельно создают форму бланка, руководствуясь при этом условиями, выдвигаемыми в законодательстве. Документ должен содержать:

  1. Наименование, серию и шестизначный номер;
  2. ФИО и должность лица, отвечающего за выдачу бланка и его достоверность;
  3. ИНН, ОГРНИП, адрес нахождения предприятия;
  4. Оказываемые услуги и их стоимость;
  5. Даты составления документа и его оплаты;
  6. Подпись, подтверждающую прием денег и печать ИП;

Не возбраняется дополнить набор реквизитов другими, нужными с точки зрения бизнесмена.

Бланки БСО для ИП: как приобрести

Несложно разработать собственный бланк БСО, ориентируясь на условия, установленные законодателем. Сформированный вариант бланка предпринимателю придется заказать в типографии либо выполнить в автоматизированном режиме на специальной технике, созданной по аналогии с ККМ, но не требующей регистрации в ИФНС. Подобные системы оснащены накопителем и хранят в памяти все выписанные квитанции на протяжении 5-ти лет. При этом ИП обязан по требованию ИФНС представлять информацию из такой автоматизированной системы о документах, информация о выдаче которых хранится в ее памяти.

Распечатывать БСО просто на компьютере постановление не предполагает. Впрочем, в каждой типографии или специализированных печатных домах можно приобрести готовые бланки квитанций, соответствующих требованиям законодательства и удобным для оформления услуг.

Как заполнять бланки строгой отчетности для ИП

В бланке квитанции заполняются все поля. Если в документе предусмотрен отрывной талон, полагающийся клиенту, как доказательство оплаты услуги, то он заполняется по аналогии с основным документом, подписывается, отрывается и остается у покупателя. Предлагаем образец заполнения бланка строгой отчетности для ИП:

Если же в БСО нет отрывного талона, то заполняется он в 2-х экземплярах (как минимум). Когда предпринимателем предусмотрено изготовление двух копий к оригиналу, то это должно быть оговорено при заказе. Копии документа могут исполняться под копировальную бумагу, либо в книжке бланков листы вторых и третьих экземпляров при изготовлении обрабатываются специальной пропиткой и копируют записи при заполнении оригинала.

БСО для ИП, оказывающих услуги населению, – фактор фиксации наличных расчетов, поэтому важно придерживаться требований кассовой дисциплины в оформлении и учете квитанций. Заполнение бланков строгой отчетности для ИП подчинено некоторым правилам. Обычно оформляются они сразу после получения оплаты наличными или с банковской карты. Не допускается заполнение формы с опозданием, либо, наоборот, до получения оплаты.

Квитанции, приобретенные в типографии, учитываются в книге регистрации БСО. Их заносят в нее с полными наименованиями, нумерацией и серией. Этот регистр представляет собой прошнурованный и пронумерованный журнал, прошитый, заверенный подписью предпринимателя и оттиском печати. Учет БСО осуществляет бизнесменом или лицо, с которым был заключен договор об ответственности за прием наличных денег.

Каждый бланк заполняется без поправок или подчисток. Исправления в документе не допускаются. Такие экземпляры автоматически считаются испорченными и не должны быть выброшенными. На них делается отметка «испорчено», они перечеркиваются по диагонали и прилагаются к книге учета квитанций в качестве доказательств того, что деньги по ним получены не были.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Вправе ли ИП без работников применять БСО, отпечатанные типографским способом?

Андрей, добрый день.
Я считаю, что имеет. Подтверждение моим словам нашла на сайте ФНС https://kkt-online.nalog.ru, в разделе Часто задаваемые вопросы.
Я скопирую ответ сюда.
ВОПРОС: Каков порядок выдачи БСО при использовании ККТ.
ОТВЕТ: В соответствии с законодательством Российской Федерации о применении контрольно-кассовой техники (далее – ККТ) бланк строгой отчетности (далее — БСО) — первичный учетный документ, приравненный к кассовому чеку, сформированный в электронной форме и (или) отпечатанный с применением автоматизированной системы для бланков строгой отчетности в момент расчета между пользователем и клиентом за оказанные услуги, содержащий сведения о расчете, подтверждающий факт его осуществления.
– БСО, изготовленные типографским способом и соответствующие требованиям Постановления Правительства РФ от 06.05.2008 №359 могут продолжать выдаваться при условии одновременной выдачи кассового чека или БСО, соответствующих законодательству Российской Федерации о применении ККТ. Однако, применение бланков строгой отчетности, изготовленных типографским способом, с 01.07.2019 не является условием освобождения от применения контрольно-кассовой техники.
– Следует отметить, что с 01.07.2019 по 01.07.2021 индивидуальным предпринимателям, не имеющим работников (с которыми заключены трудовые договоры), при реализации товаров собственного производства, а также выполнении работ и оказании услуг законодательством Российской Федерации о применении ККТ предоставлено право не применять контрольно-кассовую технику при расчетах за такие товары, работы, услуги. Другими словами, такие индивидуальные предприниматели могут в указанный период не применять ККТ и выдавать БСО, соответствующие требованиям Постановления Правительства РФ от 06.05.2008 № 359.
– В соответствии с п. 5.8 ст. 1.2 Закона № 54-ФЗ обязанность организаций и индивидуальных предпринимателей по выдаче (направлению) клиенту (покупателю) кассового чека (бланка строгой отчетности) может быть ими исполнена путем передачи клиенту (покупателю) БСО, соответствующего требованиям Постановления Правительства РФ от 06.05.2008 №359, на бумажном носителе с содержащимися на нем реквизитами кассового чека (бланка строгой отчетности), позволяющими идентифицировать этот кас
Источник:
Статья 1.1 Федерального закона от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»–п. п. 2, 5, 5.3 ст. 1.2 Закона № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»–Письмо ФНС России от 13.06.2019 № ЕД-4-20/[email protected]

Краткое резюме: типографский БСО больше не дает права работать без ККТ. Нужно либо формировать БСО на ККТ, либо выдавать типографский БСО вместе с чеком ККТ.
А вот про ИП без наемных сотрудников, имеющих право работать без ККТ до 2021 года, сказано что они МОГУТ выдавать типографские БСО, не применяя ККТ. Т.е. им разрешено использовать «старые» бланки. А не вменяется в обязанность.

Хорошего дня)

Образец заполнения БСО|Как заполнять бланк строгой отчетности для ООО и ИП

Доброго времени суток! Сегодня у меня статья на тему бланка БСО, а точнее образец как нужно правильно заполнять БСО. Тема очень простая, но почему-то у некоторых начинающих предпринимателей заполнение бланка строгой отчетности вызывает трудности.

Так что, раскроем эту тему во всех подробностях.

Для начала я обратился к поисковикам и думал просто людям ссылку давать на готовые статьи, но увы – тема заполнения бланков строгой отчетности раскрыта плохо и даже те которые попадались были 2х летней давности.

Начнем с того когда необходимо заполнять БСО:

Когда заполняется бланк БСО

Данные бланки используют только при оказании услуг, сразу стоит отметить что оказывая услуги Вы не можете пробивать кассовые чеки или давать любой другой документ кроме как бланк БСО.

Так что если Ваш бизнес – это оказание услуг, то документом подтверждающим получение денег за оказанные услуги должен быть выписан бланк БСО, при этом совершенно без разницы какая у Вас форма собственности бизнеса ИП или ООО.

Где заказать бланки БСО

Бланки БСО заказывают в типографии и отличия бланка строгой отчетности ООО или ИП нет совершенно никакой, кроме того, что на бланках БСО в левом верхнем углу указаны данные предпринимателя или организации.

Плюсом заказа БСО в типографии является, то что во первых сразу пропечатаны все данные того, кто оказывал услугу и во вторых они идут сразу пронумерованные и отрывные.

БСО идут двойные – дублирующие друг друга. То есть Вам не нужна копирка для заполнения, бумага второго квитка заполняется автоматически так как пропитана специальным составом и сразу заполняя главный экземпляр дублирующий заполняется автоматически.

Образец заполнения БСО для ООО и ИП

Заполняются бланки строгой отчетности как для ООО так и для ИП одинаково. После заполнения главный лист который Вы заполняли – оставляете себе и прилагаете к договору по оказанию услуг.

Второй квиток (дублирующий) отрываете и отдаете заказчику вместе с договором и актом выполненных работ.

В типографии бланки БСО выдают пачками, рекомендую для каждого заказа отделять главный и дублирующий бланк БСО от общей пачки так как при заполнении Вы можете продавить до следующего квитка и просто его испортить.

Не смотря на то что БСО не регистрируют в налоговой у него идет нумерация и в случае если вдруг бланк который Вы заполняли был испорчен выбрасывать его нельзя, а нужно сохранить, так как в случае налоговой проверки у Вас спросят где он.

Заполняем БСО для ИП и ООО

Как я говорил выше заполняются они совершенно одинаково, так что рассмотрим один образец заполнения БСО для организации:

Образец заполнения БСО главная страница

Образец заполненного отрывного листа БСО

Как видите в заполнении БСО нет ничего сложного. Соблюдайте нумерацию и для каждого БСО делайте договор об оказанных услугах. Так же смотрите подробности как вести учет БСО.

В настоящее время многие предприниматели для расчета налогов, взносов и сдачи отчетности онлайн используют данную Интернет-бухгалтерию, попробуйте бесплатно. Сервис помог мне сэкономить на услугах бухгалтера и избавил от походов в налоговую.

Процедура государственной регистрации ИП или ООО теперь стала еще проще, если Вы еще не зарегистрировали Ваш бизнес, подготовьте документы на регистрацию совершенно бесплатно не выходя из дома через проверенный мной онлайн сервис: Регистрация ИП или ООО бесплатно за 15 минут. Все документы соответствуют действующему законодательству РФ.

Если у Вас остались вопросы, то можно задать их в комментарии к статье или в социальную группу ВКОНТАКТЕ.

Всем успешного бизнеса! Пока!

Печать Бсо с корешком. Бланки строгой отчетности для ИП,ООО

Форма бланка строгой отчетности или просто БСО внедряется в рабочий процесс компаний, в случае если нет возможности приобрести кассовый аппарат. Образец бланка строгой отчетности содержит стандартные элементы: ряд обязательных реквизитов и данных, поля для внесения информации об услуге и принятых средствах, информацию о компании и типографии. Бланки строгой отчетности для ООО и ИП можно разработать индивидуально — вам вовсе не обязательно использовать стандартный вариант. Главное в такой ситуации строго придерживаться формальных требований.

Типография «Формат» занимается производством бланков строгой отчетности и изготовлением печатных носителей для сопутствующих задач. Мы готовы предложить вам как стандартные варианты, так и разработать оригинальную форму бланка специально для вашей компании. Вы также можете представить нам готовый образец, и он будет использован нами при печати заказа.

С типографией «Формат» вы сможете купить или разработать бланки строгой отчетности в сжатые сроки. Мы ценим наших клиентов и любим интересные проекты. Возникли вопросы? Напишите или позвоните нам для уточнения всех условий. Наши менеджеры с удовольствием помогут решить возникшие проблемы или обсудят особенности вашего заказа.

Цены на бланки строгой отчетности

2 слоя

 Формат   Тираж
от 50 от 100 от 200 от 500 от 1000 от 2000 от 4000
 А6  14  10  4,5  4 3,5
А5 17  12 10  5,5  4,5 3,5

3 слоя

 Формат   Тираж
от 50 от 100 от 200 от 500 от 1000 от 2000 от 4000
 А6  21 15 13 10 8 7 6
А5 26 17 15 11 9 8 7

Бланки строгой отчетности (БСО) для ИП

Как мы писали ранее, предприниматель вправе не применять ККМ (контрольно-кассовые машины) при расчетах с населением при условии выдачи бланков строгой отчетности, подтверждающих получение денежных средств за оказанные услуги. Виды услуг, при оказании которых предприниматель вправе использовать бланки строгой отчетности, определяются по Общероссийскому классификатору услуг населению ОК 002-93, утвержденному Постановлением Госстандарта России от 28.06.1993 N 163. БСО для ИП в отношении всех этих услуг позволяют не приобретать предпринимателям ККМ и не нести расходы по его обслуживанию. Порядок использования бланков строгой отчетности, требования к их оформлению регулируются Постановлением Правительства РФ от 06.05.2008 № 359.

БСО для ИП

Согласно установленному порядку БСО ИП должен содержать несколько обязательных реквизитов:

  1. Наименование документа, номер и серию. Например, квитанция, билет, абонемент, талон, путевка. Номер должен быть шестизначным. Серию можно определить самостоятельно при заказе бланка строгой отчетности в типографии.

  2. Ф.И.О. индивидуального предпринимателя.

  3. ИНН индивидуального предпринимателя.

  4. Вид оказываемой услуги.

  5. Стоимость услуги.

  6. Размер оплаты с использованием наличных денежных средств и (или) банковской карты. Клиент может рассчитаться и наличными денежными средствами, и по карточке, а также сделать смешанную оплату, рассчитавшись за часть услуги наличными, а другую часть оплатив по карточке.

  7. Дата оплаты и составления БСО.

  8. Должность, Ф.И.О. лица, ответственного за совершение операции и правильность ее оформления, его личная подпись, печать индивидуального предпринимателя.

    Следует обратить внимание на обязательность последнего реквизита (печати ИП) на бланке строгой отчетности. Как мы писали ранее, ИП в отличие от организации не обязан иметь печать и решает этот вопрос по своему усмотрению. Однако Минфин России в письме от 02.03.2009 г. № 03-01-15/2-69 сделал вывод об обязательности наличия печати ИП на бланке строгой отчетности. Таким образом, если ИП планирует осуществлять расчеты с населением с использованием бланков строгой отчетности, ему надо будет обзавестись печатью.

    Действующими правилами общеобязательная форма бланка строгой отчетности не установлена, поэтому в БСО для ИП по желанию предпринимателя могут быть включены и иные реквизиты. Вместе с тем, обязательным требованием является изготовление бланков строгой отчетности в типографии. Такой вывод сделал Минфин России в письме от 25.11.2010 № 03-01-15/8-250. Изготовить бланк строгой отчетности самостоятельно на компьютере и принтере предприниматель не вправе. 

бланки строгой отчетности для ИП

Опубликовано Среда, 18 апреля, 2012 — admin. В рубрике ЕНВД ИП    

Бланки строгой отчетности для ИП  используются  для расчетов с населением за услуги. При использовании бланков строгой отчетности для ИП необходимо вести кассовую книгу, но нужно пробивать кассовые чеки

Перечень услуг, по которым ИП может использовать бланки строгой отчетности в Общероссийском классификаторе Услуг населению (ОКУН). С точки зрения Гражданского кодекса некоторые услуги являются работами, но все равно при них можно использовать БСО.

Если индивидуальный предприниматель применяет ЕНВД он может не использовать кассовый аппарат. Однако, если ИП оказывает услуги населению и эти услуги указаны в ОКУН, то ему необходимо использовать бланки строгой отчетности. ИП на УСН также при расчетах с населением по услугам, указанным в Общероссийском классификаторе вместо кассового аппарата могут использовать БСО.

Постановлением Правительства Российской Федерации №359 от 06.05.2008 г. Утверждено новое Положение об осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт без применения контрольно-кассовой техники.

Согласно данному Положению организации могут осуществлять наличные денежные расчеты  с помощью пластиковых карт только с населением (то есть физическими лицами, не являющимися предпринимателями.

Бланки строгой отчетности для ИП нужно печатать в типографии или с помощью автоматизированных систем. Изготовленный типографским способом бланк документа должен содержать сведения об изготовителе бланка документа (сокращенное наименование, идентификационный номер налогоплательщика, место нахождения, номер заказа и год его выполнения, тираж).

Номер серия бланка строгой отчетности проставляется предприятием-изготовителем. Дублирование серии и номера бланка допускается только на копии или отрывной части БСО

Оформление бланка строгой отчетности для ИП с помощью автоматизированной системы допускается только в том случае, если автоматизированной системой сохраняется уникальный номер и серия бланка. Кроме того автоматизированная система должна иметь защиту от несанкционированного доступа, идентифицировать, фиксировать и сохранять операции в течение 5 лет.

Бланк строгой отчетности для ИП должен заполняться четким и разборчивым почерком. При заполнении бланка необходимо заполнить не менее одной копии либо бланк документа должен иметь отрывную часть.
Индивидуальный предприниматель заключает договор материальной ответственности с работником, которому доверяется получение, учет и хранение БСО, а также прием от населения наличных денежных средств.

При приемке БСО проверяется их фактическое количество, соответствие номеров и серий документов и составляется акт о приемке документов, который является основание для принятия на учет материально-ответственным лицом

  Акт приемки БСО (15,0 KiB, 8 033 hits)

Для некоторых видов услуг ИП исполнительные органы власти могут утвердить типовые формы.

Какие обязательные реквизиты должен содержать бланки строгой отчетности для ИП?
1.Наименование документа, шестизначный номер и серия.
2.Фамилия, Имя , Отчество индивидуального предпринимателя
3.ИНН индивидуального предпринимателя
4.Вид услуги
5.Стоимость услуги
6.Размер оплаты, полученной в денежном выражении
7.Дата осуществления расчета
8.Личная подпись индивидуального предпринимателя

Хранение бланков строгой отчетности

Копии БСО или корешки документов должны хранится не менее 5 лет.
Если при заполнении БСО была допущена ошибка, то нужно его аннулировать – либо поставить штампик «Анулировано», либо написать от руки.
По истечении 5 лет все копии и корешки БСО, в том числе аннулированные, уничтожаются и составляется акт об уничтожении.

  Акт списания БСО (39,5 KiB, 5 243 hits)


УЧЕТ БСО

Учет бланков строгой отчетности ведется в книге учета бланков.

  Книга учета БСО (15,1 KiB, 13 042 hits)

Листы данной книги должны быть пронумерованы и прошнурованы и подписаны индивидульным предпринимателем. После этого листы скрепляются печатью индивидуального предпринимателя, если ИП имеет печать.

Самокопирующиеся бланки, бланки строгой отчетности

   Этот, уже зарекомендовавший себя, вид продукции занял свое место в ассортименте нашей печатной продукции.  Основными заказчиками самокопирующихся бланков стали компании и индивидуальные предприниматели из сферы обслуживания: различные мастерские по оказанию услуг и ремонту, парикмахерские, транспортные компании, службы доставок, гостевые дома и хостелы, парковки и многие другие.  

Изготавливаем 2-х, 3-х, 4-х и даже 5-ти слойные бланки форматами от А6 до А3. Тиражирование позволяет в кратчайшие сроки отпечатать довольно большое количество самокопирующихся бланков.  Наиболее распространенными являются двухслойные бланки.

 Бланки строгой отчетности БСО.  

Целесообразность использования бланков строгой отчетности  — это упрощение ведения хоз. деятельности, сокращение расходов на содержание кассового аппарата, упрощение налоговой отчетности перед фискальными органами.   В нашей типографии ПринтТайм имеется отличная база готовых шаблонов по отраслям и видам деятельности,  также изготавливаем бланки БСО по Вашим образцам, но при полном соблюдении требований налоговых органов. Изготовить бланки строгой отчетности можно с учетом таких пожеланий заказчика, как, например, размещение логотипа на лицевой стороне бланка или размещение дополнительной информации об организации и предоставляемых ею услугах обороте на бланка. Можно добавить несколько цветов в макет или разместить на изделии логотип в фирменных цветах компании. Это значительно подчеркнет статус компании и выделит ее среди конкурирующих организаций.

Стоимость изготовления БСО в зависимости от формата, тиража и количества необходимых слоев, представлена в разделе «Цены».

Наша типография принимает в работу заказы по изготовлению бланков строгой отчетности: БСО с нумерацией, БСО для ИП, отчетные бланки, номерные бланки самокопирующиеся, двухслойные бланки с номером, типовые формы БО-1, БО-3 тиражами от 100 экз. При желании — склейка в блоки. Изготавливаем бланки БСО только в центральном офисе у метро Автозаводская.

 

Наши работы Онлайн заказ Цены

Испытательный центр

Тестирование Регистрация и вход в систему

Чтобы зарегистрироваться для участия в тестировании, кандидаты должны сначала создать учетную запись. Создание учетной записи и тестовая регистрация могут быть выполнены ТОЛЬКО онлайн.

Зарегистрируйтесь/войдите в систему для PAT & Swim Test

Зарегистрируйтесь/войдите в систему для прохождения теста CJBAT

Обязательно запишите свой логин для дальнейшего использования.

Тест на физическую ловкость. Кандидаты будут парковаться у полосы препятствий в любом другом месте и ждать регистрации на полосе препятствий.

Тест по плаванию — Тест по плаванию проводится в новом месте: Водный центр Пайн-Айленд, 3800 SW 92nd Avenue, Davie, FL 33328. (Расположен на SW 92nd Avenue от Orange Drive между Pine Island Road и Nob Hill Road.) Более подробную информацию см. в информационном буклете.

Кандидаты должны иметь действительную копию формы медицинского освидетельствования своего врача. Ваша медицинская справка действительна только в течение 6 месяцев с даты ее подписания врачом. Административному персоналу НЕ разрешается делать копии.

Нет доступа для тестирования или информации до дальнейшего уведомления. См. раздел «Связь с центром тестирования» внизу этой страницы.

После завершения тестирования соискатели должны немедленно освободить помещение.


Центр тестирования Института общественной безопасности (IPS), расположенный в Центральном кампусе колледжа Броуард, является региональным центром тестирования, обслуживающим кандидатов, желающих работать в правоохранительных органах или исправительных учреждениях.

Тесты

, проводимые в IPS, соответствуют стандартам Комиссии по стандартам и обучению уголовного правосудия штата Флорида (CJSTC) и стандартам Ассоциации начальников полиции округа Бровард.

Мы не агентство по найму. Пожалуйста, направляйте все запросы о трудоустройстве в правоохранительные органы, в которые вы хотите подать заявление.

Как начать карьеру в правоохранительных органах

  1. Загрузить информационный буклет (PDF)
  2. Определите требования агентства, в которое вы хотите подать заявку
  3. Запланируйте и сдайте необходимый тест здесь, в Центре тестирования IPS
  4. Распечатайте результаты и следуйте требованиям агентства

 

Политика конфиденциальности – Scouting BSO Vlaardingen

Кто мы

Адрес нашего веб-сайта: https://scoutingbsovlaardingen.сл.

Какие личные данные мы собираем и почему мы их собираем

Комментарии

Когда посетители оставляют комментарии на сайте, мы собираем данные, указанные в форме комментариев, а также IP-адрес посетителя и строку пользовательского агента браузера, чтобы помочь в обнаружении спама.

Анонимная строка, созданная из вашего адреса электронной почты (также называемая хешем), может быть предоставлена ​​службе Gravatar, чтобы узнать, используете ли вы ее. Политика конфиденциальности сервиса Gravatar доступна здесь: https://automattic.ком/конфиденциальность/. После одобрения вашего комментария изображение вашего профиля становится общедоступным в контексте вашего комментария.

Медиа

Если вы загружаете изображения на веб-сайт, вам следует избегать загрузки изображений со встроенными данными о местоположении (EXIF GPS). Посетители веб-сайта могут загружать и извлекать любые данные о местоположении из изображений на веб-сайте.

Контактные формы

Файлы cookie

Если вы оставляете комментарий на нашем сайте, вы можете согласиться на сохранение вашего имени, адреса электронной почты и веб-сайта в файлах cookie.Это сделано для вашего удобства, чтобы вам не приходилось снова вводить свои данные, когда вы оставляете другой комментарий. Эти файлы cookie будут храниться в течение одного года.

Если вы посетите нашу страницу входа, мы установим временный файл cookie, чтобы определить, принимает ли ваш браузер файлы cookie. Этот файл cookie не содержит личных данных и удаляется при закрытии браузера.

Когда вы входите в систему, мы также настроим несколько файлов cookie, чтобы сохранить вашу регистрационную информацию и варианты отображения экрана. Файлы cookie для входа сохраняются в течение двух дней, а файлы cookie параметров экрана — в течение года.Если вы выберете «Запомнить меня», ваш логин сохранится в течение двух недель. Если вы выйдете из своей учетной записи, файлы cookie для входа будут удалены.

Если вы отредактируете или опубликуете статью, в вашем браузере будет сохранен дополнительный файл cookie. Этот файл cookie не содержит личных данных и просто указывает идентификатор сообщения статьи, которую вы только что отредактировали. Он истекает через 1 день.

Встроенный контент с других веб-сайтов

Статьи на этом сайте могут включать встроенный контент (например, видео, изображения, статьи и т. д.).). Встроенный контент с других веб-сайтов ведет себя точно так же, как если бы посетитель посетил другой веб-сайт.

Эти веб-сайты могут собирать данные о вас, использовать файлы cookie, внедрять дополнительное стороннее отслеживание и отслеживать ваше взаимодействие с этим встроенным содержимым, включая отслеживание вашего взаимодействия со встроенным содержимым, если у вас есть учетная запись и вы вошли на этот веб-сайт.

Аналитика

Кому мы передаем ваши данные

Как долго мы храним ваши данные

Если вы оставляете комментарий, комментарий и его метаданные сохраняются на неопределенный срок.Это сделано для того, чтобы мы могли автоматически распознавать и одобрять любые последующие комментарии, а не держать их в очереди на модерацию.

Для пользователей, которые регистрируются на нашем веб-сайте (если таковые имеются), мы также храним личную информацию, которую они предоставляют в своем профиле пользователя. Все пользователи могут просматривать, редактировать или удалять свою личную информацию в любое время (за исключением того, что они не могут изменить свое имя пользователя). Администраторы веб-сайта также могут просматривать и редактировать эту информацию.

Какие права у вас есть на ваши данные

Если у вас есть учетная запись на этом сайте или вы оставили комментарии, вы можете запросить получение экспортированного файла личных данных о вас, которые мы храним, включая любые данные, которые вы нам предоставили .Вы также можете потребовать, чтобы мы удалили все ваши личные данные, которые мы храним. Сюда не входят какие-либо данные, которые мы обязаны хранить в административных, юридических целях или целях безопасности.

Куда мы отправляем ваши данные

Комментарии посетителей могут быть проверены с помощью автоматизированной службы обнаружения спама.

Ваша контактная информация

Дополнительная информация

Как мы защищаем ваши данные

Какие процедуры утечки данных у нас есть

От каких третьих лиц мы получаем данные

Какие автоматизированные решения и/или профилирование мы делаем с пользовательскими данными

Отраслевые нормативные требования к раскрытию информации

RFC 4302 — Заголовок IP-аутентификации

Заголовок IP-аутентификации


RFC 4302
 Сетевая рабочая группа S.Кент
Запрос комментариев: 4302 BBN Technologies
Устарело: 2402 декабря 2005 г.
Категория: Трек стандартов

                        Заголовок IP-аутентификации

Статус этого меморандума

   Этот документ определяет протокол отслеживания стандартов Интернета для
   Интернет-сообщество, а также запросы на обсуждение и предложения по
   улучшения. Пожалуйста, обратитесь к текущему выпуску «Интернет
   Стандарты официальных протоколов» (STD 1) для состояния стандартизации
   и статус этого протокола.Распространение этой памятки не ограничено.

Уведомление об авторских правах

   Авторское право (C) Общество Интернета (2005 г.).

Абстрактный

   В этом документе описывается обновленная версия IP-аутентификации.
   Заголовок (AH), который предназначен для предоставления услуг аутентификации в
   IPv4 и IPv6. Этот документ отменяет RFC 2402 (ноябрь 1998 г.).

Оглавление

   1. Введение ............................................... .....3
   2. Формат заголовка аутентификации ......................................4
      2.1. Следующий заголовок ...................................................... ..5
      2.2. Длина полезной нагрузки ......................................5
      2.3. Сдержанный ................................................. ..6
      2.4. Индекс параметров безопасности (SPI) ................................6
      2.5. Порядковый номер ................................................8
           2.5.1. Расширенный (64-разрядный) порядковый номер ......................8
      2.6. Значение проверки целостности (ICV) ................................9
   3. Обработка заголовка аутентификации ......................9
      3.1. Расположение заголовка аутентификации ................................9
           3.1.1. Транспортный режим ......................................9
           3.1.2. Туннельный режим ......................................11
      3.2. Алгоритмы проверки целостности ......................................11
      3.3. Обработка исходящих пакетов ................................11
           3.3.1. Поиск ассоциации безопасности ..........................12
           3.3.2. Генерация порядкового номера ......................... 12
           3.3.3. Вычисление значения проверки целостности .................. 13
                  3.3.3.1. Работа с изменяемыми полями ................................13
                  3.3.3.2. Заполнение и расширенные порядковые номера ..... 16

Kent Standards Track [Страница 1]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

           3.3.4. Фрагментация .......................................17
      3.4. Обработка входящих пакетов ................................18
           3.4.1. Повторная сборка ......................................18
           3.4.2. Поиск сопоставления безопасности ........................ 18
           3.4.3. Проверка порядкового номера ......................19
           3.4.4. Проверка значения проверки целостности .......20
   4. Аудит ................................................................ ........21
   5. Требования соответствия ........................................21
   6. Вопросы безопасности ......................................22
   7. Отличия от RFC 2402 ......................................22
   8. Благодарности ....................................................... 22
   9. Ссылки ....................................................... ......22
      9.1. Нормативные ссылки ......................................22
      9.2. Информативные ссылки ......................................23
   Приложение A: Изменяемость опций IP/заголовков расширений ............25
      А1. Параметры IPv4 ......................................................25
      А2. Заголовки расширений IPv6 ......................................26
   Приложение B: Расширенные (64-разрядные) порядковые номера ..................... 28
      Б1. Обзор ...................................................... ..28
      БИ 2. Окно защиты от повторного воспроизведения ......................28
          Б2.1. Управление и использование окна защиты от повторного воспроизведения ..............................................................................................................................................................29
          Б2.2. Определение битов старшего порядка (Seqh)
                Порядковый номер .......................................30
          Б2.3. Пример псевдокода ......................................31
      Б3. Обработка потери синхронизации из-за значительного
          Потеря пакетов ................................................................ 32
          Б3.1. Запуск повторной синхронизации ................................33
          Б3.2. Процесс повторной синхронизации ......................................33

Kent Standards Track [Страница 2]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

1.Введение

   Этот документ предполагает, что читатель знаком с терминами и
   концепции, описанные в «Архитектуре безопасности для Интернета».
   Протокол" [Кен-Арч], именуемый в дальнейшем
   Архитектурный документ. В частности, читатель должен быть знаком
   с определениями услуг безопасности, предлагаемыми
   Инкапсуляция полезной нагрузки безопасности (ESP) [Ken-ESP] и IP
   Заголовок аутентификации (AH), концепция ассоциаций безопасности,
   способы использования ESP в сочетании с аутентификацией
   Заголовок (AH) и различные варианты управления ключами, доступные для
   ЕСП и АХ.Ключевые слова ДОЛЖЕН, НЕ ДОЛЖЕН, ТРЕБУЕТСЯ, ДОЛЖЕН, НЕ ДОЛЖЕН, ДОЛЖЕН,
   НЕ СЛЕДУЕТ, РЕКОМЕНДУЕТСЯ, МОЖЕТ и НЕОБЯЗАТЕЛЬНО, когда они появляются в этом
   document должны интерпретироваться, как описано в RFC 2119 [Bra97].

   Заголовок IP-аутентификации (AH) используется для обеспечения
   целостность и аутентификация источника данных для дейтаграмм IP (далее
   просто «целостность») и для обеспечения защиты от
   повторы. Эта последняя необязательная услуга может быть выбрана
   приемник, когда устанавливается сопоставление безопасности (SA).(
   протокол по умолчанию требует, чтобы отправитель увеличивал порядковый номер
   используется для защиты от повторного воспроизведения, но услуга эффективна, только если
   приемник проверяет порядковый номер.) Однако, чтобы использовать
   Функция расширенного порядкового номера в функциональной совместимости, AH делает
   предъявляют требование к протоколам управления SA, чтобы иметь возможность
   согласовать эту новую функцию (см. Раздел 2.5.1 ниже).

   AH обеспечивает аутентификацию максимально возможной части IP-заголовка,
   а также для данных протокола следующего уровня.Однако некоторый IP-заголовок
   поля могут меняться в пути и значение этих полей, когда
   пакет прибывает к получателю, может быть непредсказуемым для отправителя.
   Значения таких полей не могут быть защищены AH. Таким образом
   защита, предоставляемая AH заголовку IP, является частичной. (Видеть
   Приложение.)

   AH может применяться отдельно, в сочетании с инкапсуляцией IP.
   Security Payload (ESP) [Ken-ESP] или во вложенном виде (см.
   документ «Архитектура безопасности» [Ken-Arch]).Охранные услуги могут быть
   между парой взаимодействующих хостов, между парой
   взаимодействующие шлюзы безопасности или между шлюзом безопасности и
   хозяин. ESP может использоваться для обеспечения такой же защиты от повторного воспроизведения и аналогичных
   услуги по обеспечению целостности, а также обеспечивает конфиденциальность
   (шифрование) службы. Основное отличие целостности
   обеспечивается ESP, а AH является степенью покрытия. Конкретно,
   ESP не защищает никакие поля заголовка IP, если эти поля не

Kent Standards Track [Страница 3]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   инкапсулированный ESP (т.г., используя туннельный режим). Больше подробностей
   о том, как использовать AH и ESP в различных сетевых средах, см.
   Документ по архитектуре безопасности [Ken-Arch].

   Раздел 7 содержит краткий обзор различий между этим
   документ и RFC 2402 [RFC2402].

2. Формат заголовка аутентификации

   Заголовок протокола (IPv4, IPv6 или расширение IPv6) немедленно
   предшествующий заголовку AH ДОЛЖЕН содержать значение 51 в своем протоколе
   (IPv4) или поля «Следующий заголовок» (IPv6, Extension) [DH98]. фигура 1
   иллюстрирует формат для AH.0 1 2 3
     0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
   | Следующий заголовок | Полезная нагрузка Лен | ЗАРЕЗЕРВИРОВАНО |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
   | индекс параметров безопасности (SPI) |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
   | Поле порядкового номера |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+
   | |
   + Значение проверки целостности-ICV (переменная) |
   | |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

                          Фигура 1.Формат АХ

   Следующая таблица относится к полям, которые содержат AH,
   (показано на рисунке 1), а также другие поля, включенные в
   вычисление целостности и иллюстрирует, какие поля покрываются
   ICV и то, что передается.
                                                      Что-что
                                     # из Requ'd Integ составляет
                                     байт [1] Обложки Xmtd
                                     ------ ------ ------ ------
          Переменная IP-заголовка M [2] простая
          Следующий заголовок 1 м года обычный
          Полезная нагрузка Len 1 M Y обычная
          ЗАРЕЗЕРВИРОВАНО 2 млн. лет простой
          SPI 4 MY простой
          Seq# (младшие 32 бита) 4 M Y обычный
          Переменная ICV M Y[3] простая
          IP-датаграмма [4] переменная M Y простая
          Seq# (старшие 32 бита) 4, если ESN Y не xmtd
          Переменная заполнения ICV, если нужно Y, а не xmtd

Kent Standards Track [Страница 4]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

       [1] - M = обязательный
       [2] - См. Раздел 3.3.3, «Вычисление значения проверки целостности», для
             сведения о том, какие поля заголовка IP охватываются.
       [3] - Обнуляется перед расчетом ICV (результат ICV помещается здесь
             после расчета)
       [4] - В туннельном режиме -> IP-датаграмма
             Если транспортный режим -> следующий заголовок и данные

   В следующих подразделах определяются поля, которые составляют AH.
   формат. Все описанные здесь поля являются обязательными; т. е. они
   всегда присутствуют в формате AH и включены в Integrity
   Расчет контрольного значения (ICV) (см. Раздел 2.6 и 3.3.3).

   Примечание. Все криптографические алгоритмы, используемые в IPsec, ожидают своего
   ввод в каноническом сетевом порядке байтов (см. Приложение RFC 791
   [RFC791]) и генерировать их выходные данные в каноническом сетевом порядке байтов.
   IP-пакеты также передаются в сетевом порядке байтов.

   AH не содержит номера версии, поэтому, если есть опасения
   об обратной совместимости, они ДОЛЖНЫ быть решены с помощью
   сигнальный механизм между двумя одноранговыми узлами IPsec для обеспечения совместимости
   версии AH, т.е.g., IKE [IKEv2] или внеполосная конфигурация
   механизм.

2.1. Следующий заголовок

   Следующий заголовок представляет собой 8-битное поле, определяющее тип
   следующая полезная нагрузка после заголовка аутентификации. Значение этого
   Поле выбирается из набора номеров IP-протокола, определенных на
   веб-страница Управления по присвоению номеров в Интернете (IANA). Например,
   значение 4 указывает на IPv4, значение 41 указывает на IPv6, а
   значение 6 указывает TCP.

2.2. Длина полезной нагрузки

   Это 8-битное поле определяет длину AH в 32-битных словах (4-байтовых словах).
   ед.), минус «2».Так, например, если алгоритм целостности
   дает 96-битное значение аутентификации, это поле длины будет "4"
   (3 фиксированных поля 32-битных слов плюс 3 32-битных слова для ICV, минус
   2). Для IPv6 общая длина заголовка должна быть кратна
   8-октетные блоки. (Обратите внимание, что хотя IPv6 [DH98] характеризует AH как
   заголовок расширения, его длина измеряется в 32-битных словах, а не в
   64-битные слова, используемые другими заголовками расширения IPv6.) См. Раздел 2.6,
   «Значение проверки целостности (ICV)», для комментариев по заполнению этого поля,
   и раздел 3.3.3.2.1, «Заполнение ICV».

Kent Standards Track [Страница 5]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

2.3. Сдержанный

   Это 16-битное поле зарезервировано для будущего использования. ДОЛЖЕН быть установлен на
   «ноль» отправителем, и его ДОЛЖЕН игнорировать получатель.
   (Обратите внимание, что значение включено в расчет ICV, но
   в противном случае игнорируется получателем.)

2.4. Индекс параметров безопасности (SPI)

   SPI — это произвольное 32-битное значение, которое используется приемником для
   определить SA, к которой привязан входящий пакет.Для одноадресной передачи
   SA, SPI может использоваться сам по себе для указания SA, или он может использоваться
   в сочетании с типом протокола IPsec (в данном случае AH).
   Поскольку для одноадресных SA значение SPI генерируется получателем,
   является ли значение достаточным для идентификации SA само по себе или
   следует ли использовать его вместе со значением протокола IPsec.
   является местным делом. Поле SPI является обязательным, и этот механизм
   для отображения входящего трафика на одноадресные SA, описанные выше, ДОЛЖНЫ быть
   поддерживается всеми реализациями AH.Если реализация IPsec поддерживает многоадресную рассылку, она ДОЛЖНА поддерживать
   многоадресные сопоставления безопасности, использующие описанный ниже алгоритм для сопоставления входящего трафика IPsec.
   дейтаграммы в SA. Реализации, поддерживающие только одноадресный трафик
   нет необходимости реализовывать этот алгоритм демультиплексирования.

   Во многих безопасных многоадресных архитектурах, например, [RFC3740], центральный
   Контроллер группы/Сервер ключей в одностороннем порядке назначает безопасность группы
   SPI ассоциации. Это назначение SPI не согласовано или
   согласовано с ключевым руководством (т.г., ИКЭ) подсистемы, которые
   находятся в отдельных конечных системах, составляющих группу.
   Следовательно, возможно, что групповая ассоциация безопасности и
   одноадресная ассоциация безопасности может одновременно использовать один и тот же SPI. А
   Реализация IPsec с поддержкой многоадресной рассылки ДОЛЖНА правильно демультиплексировать
   входящий трафик даже в контексте коллизий SPI.

   Каждая запись в базе данных ассоциации безопасности (SAD) [Ken-Arch] должна
   указать, использует ли поиск SA назначение, или
   пункт назначения и источник, IP-адреса, в дополнение к SPI.Для
   многоадресных SA, поле протокола не используется для поиска SA.
   Для каждого входящего пакета, защищенного IPsec, реализация должна
   выполнить поиск SAD таким образом, чтобы найти запись, которая
   соответствует "самому длинному" идентификатору SA. В этом контексте, если два или более
   Записи SAD совпадают на основе значения SPI, затем запись, которая также
   совпадения на основе пункта назначения или пункта назначения и источника, адреса
   сравнение (как указано в записи SAD) является «самым длинным» совпадением.
   Это подразумевает следующий логический порядок поиска SAD:

Kent Standards Track [Страница 6]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

           1.Найдите в SAD совпадение по {SPI, пункт назначения
              адрес, исходный адрес}. Если запись SAD
              совпадения, затем обработайте входящий AH-пакет с этим
              соответствующая запись SAD. В противном случае перейдите к шагу 2.

           2. Найдите в SAD совпадение по {SPI, пункт назначения
              адрес}. Если запись SAD совпадает, то процесс
              входящий пакет AH с соответствующим SAD
              Вход. В противном случае перейдите к шагу 3.

           3. Найдите в SAD совпадение только по {SPI}, если приемник
              решил поддерживать единое пространство SPI для AH и ESP,
              или на {SPI, протокол} иначе.Если САД
              запись совпадает, затем обработайте входящий пакет AH с помощью
              что соответствует записи SAD. В противном случае отбросить пакет
              и зарегистрируйте проверяемое событие.

   На практике реализация МОЖЕТ выбрать любой метод ускорения.
   этот поиск, хотя его внешне видимое поведение ДОЛЖНО быть
   функционально эквивалентно поиску SAD в приведенном выше
   заказ. Например, программная реализация может индексировать в
   хеш-таблицу с помощью SPI. Записи SAD в каждой корзине хэш-таблицы
   связанный список сохраняется отсортированным, чтобы иметь те записи SAD с
   самые длинные идентификаторы SA первыми в этом связанном списке.Эти записи SAD
   имеющие самые короткие идентификаторы SA, сортируются так, чтобы они были
   последние записи в связанном списке. Аппаратная реализация может
   иметь возможность осуществлять поиск самого длинного совпадения, используя
   общедоступная троичная память с адресацией по содержимому (TCAM)
   Особенности.

   Индикация соответствия адреса источника и получателя
   требуется для сопоставления входящего трафика IPsec с SA, ДОЛЖЕН быть установлен либо как
   побочный эффект ручной настройки SA или согласования с использованием SA
   протокол управления, т.g., IKE или групповой домен интерпретации
   (GDOI) [RFC3547]. Как правило, многоадресная рассылка для конкретного источника (SSM) [HC03]
   группы используют идентификатор SA из трех кортежей, состоящий из SPI,
   групповой адрес и адрес источника. Группа многоадресной рассылки с любым источником
   Для SA требуется только SPI и многоадресный адрес назначения.
   идентификатор.

   Набор значений SPI в диапазоне от 1 до 255 зарезервирован
   Администрация адресного пространства Интернета (IANA) для будущего использования; зарезервированный
   Значение SPI обычно не присваивается IANA, если только не используется
   назначенное значение SPI указано в RFC.Значение SPI равно нулю (0)
   зарезервирован для локального использования в зависимости от реализации и НЕ ДОЛЖЕН быть
   отправили по проводу. (Например, реализация управления ключами
   может использовать нулевое значение SPI для обозначения «Нет ассоциации безопасности»

Kent Standards Track [Страница 7]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   в течение периода, когда реализация IPsec запросила
   его объект управления ключами устанавливает новый SA, но SA еще не
   было установлено.)

2.5. Порядковый номер

   Это 32-битное поле без знака содержит значение счетчика, которое увеличивается на
   по одному для каждого отправленного пакета, т. е. порядковый номер пакета для каждой SA. Для
   одноадресной или многоадресной SA с одним отправителем отправитель ДОЛЖЕН
   увеличивать это поле для каждого передаваемого пакета. Совместное использование SA
   между несколькими отправителями разрешено, хотя, как правило,
   рекомендуемые. AH не предоставляет средства синхронизации счетчиков пакетов
   среди нескольких отправителей или осмысленное управление пакетом получателя
   счетчик и окно в контексте нескольких отправителей.Таким образом, для
   multi-sender SA, функции защиты от ответов AH недоступны (см.
   разделы 3.3.2 и 3.4.3).

   Поле является обязательным и ДОЛЖНО всегда присутствовать, даже если
   получатель не выбирает включение службы защиты от повторного воспроизведения для
   конкретного СА. Обработка поля порядкового номера
   усмотрению получателя, но все реализации AH ДОЛЖНЫ быть
   способный выполнять обработку, описанную в разделе 3.3.2,
   «Создание порядкового номера» и Раздел 3.4.3, «Порядковый номер
   Проверка».Таким образом, отправитель ДОЛЖЕН всегда передавать это поле, но
   получателю не нужно воздействовать на него.

   Счетчик отправителя и счетчик получателя инициализируются до 0
   при создании СА. (Первый пакет, отправленный с использованием данного SA
   будет иметь порядковый номер 1; см. раздел 3.3.2 для более подробной информации
   от того, как генерируется порядковый номер.) Если включена защита от повторного воспроизведения
   (по умолчанию), передаваемый порядковый номер никогда не должен быть разрешен
   ездить на велосипеде.32-го пакета по SA.2.5.1. Расширенный (64-битный) порядковый номер

   Для поддержки высокоскоростных реализаций IPsec появилась новая опция для
   СЛЕДУЕТ предлагать порядковые номера в качестве расширения к текущему,
   Поле 32-битного порядкового номера. Использование расширенного порядкового номера
   (ESN) ДОЛЖЕН согласовываться протоколом управления SA. Обратите внимание, что в
   IKEv2, это согласование является неявным; по умолчанию ESN, если только не 32-битный
   порядковые номера оговариваются явно. (Функция ESN
   применимо как к многоадресным, так и к одноадресным SA.)

   Средство ESN позволяет использовать 64-битный порядковый номер для SA.
   (Подробности см. в Приложении B, «Расширенные (64-разрядные) порядковые номера».)
   Только младшие 32 бита порядкового номера передаются в

Kent Standards Track [Страница 8]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   заголовок AH каждого пакета, тем самым сводя к минимуму служебные данные пакета.
   старшие 32 бита сохраняются как часть порядкового номера
   счетчик передатчиком и приемником и включены в
   вычисления ICV, но не передаются.2.6. Значение проверки целостности (ICV)

   Это поле переменной длины, содержащее проверку целостности.
   Значение (ICV) для этого пакета. Поле должно быть целым кратным
   длиной 32 бита (IPv4 или IPv6). Детали обработки ICV
   описаны в Разделе 3.3.3, "Вычисление значения проверки целостности",
   и Раздел 3.4.4, «Проверка значения проверки целостности». Это поле
   может включать явное заполнение, если требуется, чтобы длина
   заголовка AH является целым числом, кратным 32 битам (IPv4) или 64 битам.
   (IPv6).Все реализации ДОЛЖНЫ поддерживать такое заполнение и ДОЛЖНЫ
   вставьте только достаточное заполнение, чтобы удовлетворить выравнивание IPv4/IPv6
   требования. Подробная информация о том, как вычислить требуемую длину заполнения
   приведены ниже в Разделе 3.3.3.2, «Заполнение». Целостность
   Спецификация алгоритма ДОЛЖНА указывать длину ICV и
   правила сравнения и этапы обработки для проверки.

3. Обработка заголовка аутентификации

3.1. Расположение заголовка аутентификации

   AH может использоваться двумя способами: в транспортном режиме или в туннельном режиме.(Видеть
   документ Архитектура безопасности для описания того, когда каждый
   должен быть использован.)

3.1.1. Транспортный режим

   В транспортном режиме AH вставляется после заголовка IP и перед
   протокол следующего уровня (например, TCP, UDP, ICMP и т. д.) или перед любым другим
   Заголовки IPsec, которые уже были вставлены. В контексте
   IPv4, это требует размещения AH после заголовка IP (и любых опций
   который он содержит), но перед протоколом следующего уровня. (Обратите внимание, что
   термин «транспортный» режим не следует истолковывать как ограничивающий
   его использование для TCP и UDP.) Следующая диаграмма иллюстрирует AH
   позиционирование транспортного режима для типичного пакета IPv4 на «до
   и после" основе.

Kent Standards Track [Страница 9]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

                   ПЕРЕД НАНЕСЕНИЕМ АГ
             ----------------------------
       IPv4 |исходный IP hdr | | |
             |(любые варианты)| TCP | Данные |
             ----------------------------

                   ПОСЛЕ НАНЕСЕНИЯ АГ
             -------------------------------------------------- -----
       IPv4 |исходный IP hdr (любые варианты) | АХ | TCP | Данные |
             -------------------------------------------------- -----
             |<- обработка изменяемых полей ->|<- неизменяемые поля ->|
             |<----- аутентифицировано, за исключением изменяемых полей ----->|

   В контексте IPv6 AH рассматривается как сквозная полезная нагрузка, и, таким образом,
   должно появиться после расширения hop-by-hop, маршрутизации и фрагментации
   заголовки.Заголовки расширения параметров назначения могут отображаться
   до или после или и до, и после заголовка AH в зависимости от
   желаемая семантика. Следующая диаграмма иллюстрирует AH
   позиционирование транспортного режима для типичного пакета IPv6.

                        ПЕРЕД НАНЕСЕНИЕМ АГ
             ---------------------------------------
       IPv6 | | доб. hdrs | | |
             | исходный IP hdr |если есть| TCP | Данные |
             ---------------------------------------

                       ПОСЛЕ НАНЕСЕНИЯ АГ
            -------------------------------------------------- ----------
      IPv6 | |пошагово, пункт назначения*, | | пункт назначения | | |
            |исходный IP hdr |маршрутизация, фрагмент.| АХ | опт* | TCP | Данные |
            -------------------------------------------------- ----------
            |<--- обработка изменяемых полей -->|<-- неизменяемые поля -->|
            |<---- аутентифицировано, за исключением изменяемых полей ----------->|

                  * = если присутствует, может быть до AH, после AH или и то, и другое

   Заголовки ESP и AH можно комбинировать в различных режимах. IPsec
   Документ архитектуры описывает комбинации безопасности
   ассоциации, которые необходимо поддерживать.Обратите внимание, что в транспортном режиме для «удара в стопку» или «удара в
   the-wire», как определено в архитектуре безопасности
   документ, входящие и исходящие IP-фрагменты могут потребовать IPsec
   реализация для выполнения дополнительной сборки/фрагментации IP, чтобы
   как для соответствия этой спецификации, так и для обеспечения прозрачного IPsec
   служба поддержки. Требуется особая осторожность при выполнении таких операций в
   эти реализации, когда используется несколько интерфейсов.

Kent Standards Track [Страница 10]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

3.1.2. Туннельный режим

   В туннельном режиме «внутренний» IP-заголовок содержит окончательный (IP)
   исходный и конечный адреса, а "внешний" IP-заголовок содержит
   адреса «пиров» IPsec, например, адреса безопасности
   шлюзы. Допускаются смешанные внутренние и внешние версии IP, т. е. IPv6.
   через IPv4 и IPv4 через IPv6. В туннельном режиме AH защищает весь
   внутренний IP-пакет, включая весь внутренний IP-заголовок. Положение
   AH в туннельном режиме относительно внешнего IP-заголовка такой же, как
   для АГ в транспортном режиме.Следующая диаграмма иллюстрирует AH
   позиционирование в туннельном режиме для типичных пакетов IPv4 и IPv6.

        -------------------------------------------------- --------------
   IPv4 | | | исходный IP hdr* | | |
        |новый IP-заголовок * (любые варианты) | АХ | (любые варианты) |TCP| Данные |
        -------------------------------------------------- --------------
        |<- обработка изменяемых полей ->|<------ неизменяемые поля ----->|
        |<- аутентифицировано, за исключением изменяемых полей в новом IP hdr->|

        -------------------------------------------------- ------------
   IPv6 | | доб. hdrs*| | | доб. hdrs*| | |
        |новый IP hdr*|если есть| AH |исходный IP hdr*|если присутствует|TCP|данные|
        -------------------------------------------------- ------------
        |<--- изменяемое поле -->|<--------- неизменяемые поля -------->|
        | обработка |
        |<-- аутентифицировано, за исключением изменяемых полей в новом IP hdr ->|

          * = если имеется, построение внешнего IP hdr/расширения и
              модификация внутреннего IP hdr/extensions обсуждается в
              документ «Архитектура безопасности».3.2. Алгоритмы целостности

   Указан алгоритм целостности, используемый для расчета ICV.
   по СА. Для двухточечной связи подходящая целостность
   алгоритмы включают ключи кодов аутентификации сообщений (MAC) на основе
   симметричные алгоритмы шифрования (например, AES [AES]) или одностороннее хэширование
   функции (например, MD5, SHA-1, SHA-256 и т. д.). Для многоадресной рассылки
   связь, различные криптографические стратегии для обеспечения
   целостности были разработаны, и исследования продолжаются в этой области.3.3. Обработка исходящих пакетов

   В транспортном режиме отправитель вставляет заголовок AH после IP-адреса.
   заголовок и перед заголовком протокола следующего уровня, как описано выше.
   В туннельном режиме внешний и внутренний IP-заголовки/расширения могут быть

Kent Standards Track [Страница 11]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   взаимосвязаны различными способами. Строительство внешнего ИП
   заголовка/расширений во время процесса инкапсуляции описано в
   документ «Архитектура безопасности».3.3.1. Поиск ассоциации безопасности

   AH применяется к исходящему пакету только после IPsec.
   реализация определяет, что пакет связан с SA
   который требует обработки AH. Процесс определения того, что, если
   любая, обработка IPsec применяется к исходящему трафику, описана в
   документ «Архитектура безопасности».

3.3.2. Генерация порядкового номера

   Счетчик отправителя сбрасывается в 0 при установлении SA.
   Отправитель увеличивает счетчик порядкового номера (или ESN) для этого сообщения.
   SA и вставляет младшие 32 бита значения в последовательность
   Поле номера.Таким образом, первый пакет, отправленный с использованием данного SA, будет
   содержат порядковый номер 1.

   Если защита от повторов включена (по умолчанию), отправитель проверяет,
   что счетчик не прошел цикл перед вставкой нового значения в
   Поле порядкового номера. Другими словами, отправитель НЕ ДОЛЖЕН отправлять
   пакет в SA, если это приведет к циклическому изменению порядкового номера.
   Попытка передать пакет, который привел бы к порядковому номеру
   переполнение является проверяемым событием. Запись журнала аудита для этого события
   СЛЕДУЕТ включать значение SPI, текущую дату/время, исходный адрес,
   Адрес назначения и (в IPv6) идентификатор потока в открытом виде.Отправитель предполагает, что защита от повторного воспроизведения включена по умолчанию, если только
   получатель уведомляет об ином (см. раздел 3.4.3) или если SA
   был настроен с использованием ручного управления ключами. Таким образом, типичное поведение
   реализации AH требует от отправителя установить новый SA
   когда порядковый номер (или ESN) циклически повторяется, или в ожидании этого
   цикличность значений.

   Если антиповтор отключен (как указано выше), отправителю не нужно
   для контроля или сброса счетчика, например, в случае ручного ключа
   управления (см. раздел 5).Однако отправитель все равно увеличивает
   счетчик и когда он достигает максимального значения, счетчик переворачивается
   вернуться к нулю. (Это поведение рекомендуется для нескольких отправителей,
   многоадресные SA, если только механизмы защиты от повторного воспроизведения не входят в сферу
   этот стандарт согласовывается между отправителем и получателем.)

   Если выбран ESN (см. Приложение B), только младшие 32 бита
   порядковый номер передается в поле Sequence Number,
   хотя и отправитель, и получатель поддерживают полные 64-битные счетчики ESN.Однако в вычисление ICV включаются старшие 32 бита.

Kent Standards Track [Страница 12]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   Примечание. Если получатель решает не включать защиту от повторного воспроизведения для SA,
   получатель НЕ ДОЛЖЕН согласовывать ESN в протоколе управления SA.
   Использование ESN создает необходимость для получателя управлять защитой от повторного воспроизведения.
   окно (чтобы определить правильное значение для старшего
   битов ESN, которые используются при вычислении ICV), т.е.
   обычно противоречит идее отключения защиты от повторов для SA.3.3.3. Расчет значения проверки целостности

   AH ICV рассчитывается по:

        o Поля заголовка IP или расширения перед заголовком AH, которые
          либо неизменны в пути, либо предсказуемы по значению
          по прибытии в конечную точку для AH SA
        o заголовок AH (Next Header, Payload Len, Reserved, SPI,
          Порядковый номер (младшие 32 бита) и ICV (который устанавливается
          обнулить для этого вычисления) и явные байты заполнения (если
          Любые))
        o все после AH считается неизменным при передаче
        o старшие биты ESN (если используются) и любые неявные
          заполнение, требуемое алгоритмом целостности

3.3.3.1. Обработка изменяемых полей

   Если поле может быть изменено во время передачи, значение поля равно
   устанавливается равным нулю для целей расчета ICV. Если поле
   изменяемый, но его значение в приемнике (IPsec) предсказуемо, то
   это значение вставляется в поле для целей ICV
   расчет. Поле Integrity Check Value также установлено равным нулю в
   подготовка к этому расчету. Обратите внимание, что при замене каждого
   значение поля с нулем, вместо того, чтобы опустить поле, выравнивание
   сохраняется для расчета ICV.Кроме того, подход с нулевым заполнением
   гарантирует, что длина обрабатываемых таким образом полей не может быть
   изменены во время передачи, даже если их содержимое явно не
   покрывается ICV.

   При создании нового заголовка расширения или параметра IPv4 он будет
   определены в собственном RFC и ДОЛЖНЫ включать (в
   раздел «Соображения») инструкции о том, как с этим следует обращаться, когда
   расчет AH ICV. Если реализация IP (v4 или v6)
   встречает заголовок расширения, который он не распознает, он
   отбросить пакет и отправить ICMP-сообщение.IPsec никогда не увидит
   пакет. Если реализация IPsec встречает параметр IPv4
   что он не распознает, он должен обнулить всю опцию, используя
   второй байт опции как длина. параметры IPv6 (в
   Заголовки расширения назначения или заголовок расширения перехода)
   содержат флаг, указывающий на изменчивость, который определяет
   обработка таких опций.

Kent Standards Track [Страница 13]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

3.3.3.1.1. Вычисление ICV для IPv4

3.3.3.1.1.1. Базовые поля заголовка

   Поля базового заголовка IPv4 классифицируются следующим образом:

   Неизменный
           Версия
           Длина интернет-заголовка
           Общая длина
           Удостоверение личности
           Протокол (это должно быть значение для AH.)
           Адрес источника
           Адрес назначения (без свободной или строгой исходной маршрутизации)

   Изменчивый, но предсказуемый
           Адрес назначения (с свободной или строгой исходной маршрутизацией)

   Изменяемый (обнуляется перед расчетом ICV)
           Точка кода дифференцированных услуг (DSCP)
              (6 бит, см. RFC 2474 [NBBB98])
           Явное уведомление о перегрузке (ECN)
              (2 бита, см. RFC 3168 [RFB01])
           Флаги
           Смещение фрагмента
           Время жить (TTL)
           Контрольная сумма заголовка

   DSCP — маршрутизаторы могут перезаписывать поле DS по мере необходимости, чтобы обеспечить
   желаемая локальная или сквозная услуга, поэтому ее стоимость при приеме
   не может быть предсказано отправителем.ECN — это изменится, если маршрутизатор на маршруте
   перегрузки, и, таким образом, его значение при приеме не может быть предсказано
   Отправитель.

   Флаги — это поле исключено, поскольку промежуточный маршрутизатор может
   установить бит DF, даже если источник не выбрал его.

   Смещение фрагмента — поскольку AH применяется только к нефрагментированному IP-адресу.
   пакеты, поле смещения всегда должно быть равно нулю, и, таким образом,
   исключено (хотя и предсказуемо).

   TTL — изменяется в пути как обычный ход обработки
   маршрутизаторы, и, таким образом, его значение в приемнике не может быть предсказано
   отправитель.Kent Standards Track [Страница 14]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   Контрольная сумма заголовка — это изменится, если какое-либо из этих других полей
   измениться, и, таким образом, его значение при приеме не может быть предсказано
   отправитель.

3.3.3.1.1.2. Опции

   Для IPv4 (в отличие от IPv6) нет механизма пометки опций, т.к.
   изменяемый в пути. Следовательно, параметры IPv4 явно перечислены в
   Приложение А и классифицируются как неизменяемые, изменяемые, но предсказуемые или
   изменчивый.Для IPv4 вся опция рассматривается как единое целое; так даже
   хотя поля типа и длины в большинстве опций неизменяемы
   в пути, если опция классифицируется как изменяемая, вся опция
   обнуляется для целей вычисления ICV.

3.3.3.1.2. Вычисление ICV для IPv6

3.3.3.1.2.1. Базовые поля заголовка

   Поля базового заголовка IPv6 классифицируются следующим образом:

   Неизменный
           Версия
           Длина полезной нагрузки
           Следующий заголовок
           Адрес источника
           Адрес назначения (без заголовка расширения маршрутизации)

   Изменчивый, но предсказуемый
           Адрес назначения (с заголовком расширения маршрутизации)

   Изменяемый (обнуляется перед расчетом ICV)
           DSCP (6 бит, см. RFC2474 [NBBB98])
           ECN (2 бита, см. RFC3168 [RFB01])
           Метка потока (*)
           Ограничение прыжков

        (*) Метка потока, описанная в AHv1, была изменяемой, а в
            RFC 2460 [DH98] потенциально мог быть изменен.Сохранить
            совместимость с существующими реализациями AH,
            Метка потока не включена в ICV в AHv2.

3.3.3.1.2.2. Заголовки расширения, содержащие параметры

   Параметры IPv6 в заголовках расширения Hop-by-Hop и Destination Extension.
   содержат бит, указывающий, может ли параметр измениться
   (непредсказуемо) во время транспортировки. Для любого варианта, для которого содержание
   могут измениться в пути, необходимо обработать все поле «Дополнительные данные»
   как нулевые октеты при вычислении или проверке ICV.

Kent Standards Track [Страница 15]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   Option Type и Opt Data Len включены в расчет ICV.
   Все параметры, для которых бит указывает неизменность, включены в
   расчет ICV. Дополнительные сведения см. в спецификации IPv6 [DH98].
   Информация.

3.3.3.1.2.3. Заголовки расширения, не содержащие параметров

   Заголовки расширений IPv6, которые не содержат опций, явно
   перечислены в Приложении А и классифицируются как неизменяемые, изменяемые, но
   предсказуемы или изменчивы.3.3.3.2. Заполнение и расширенные порядковые номера

3.3.3.2.1. ICV заполнение

   Как упоминалось в разделе 2.6, поле ICV может включать явное
   заполнение, если требуется, чтобы заголовок AH был кратен 32
   бит (IPv4) или 64 бита (IPv6). Если требуется заполнение, его длина равна
   определяется двумя факторами:

           - длина ICV
           - версия протокола IP (v4 или v6)

   Например, если выход выбранного алгоритма равен 96 битам,
   заполнение требуется для IPv4 или IPv6.Однако, если другая длина
   ICV генерируется из-за использования другого алгоритма, а затем заполнения
   может потребоваться в зависимости от длины и версии IP-протокола.
   содержимое поля заполнения произвольно выбирается отправителем.
   (Заполнение произвольно, но не должно быть случайным для достижения
   безопасность.) Эти байты заполнения включены в расчет ICV,
   считается частью длины полезной нагрузки и передается в конце
   поле ICV, чтобы приемник мог выполнить расчет ICV.Включение отступов сверх минимального количества, необходимого для
   удовлетворять требованиям выравнивания IPv4/IPv6 запрещено.

3.3.3.2.2. Неявное заполнение пакетов и ESN

   Если для SA выбрана опция ESN, то старшие 32 бита
   ESN должен быть включен в расчет ICV. Для целей
   Вычисление ICV, эти биты добавляются (неявно) немедленно
   после окончания полезной нагрузки и до любого неявного заполнения пакета.

   Для некоторых алгоритмов целостности строка байтов, по которой ICV
   выполняемые вычисления должны быть кратны указанному размеру блока
   по алгоритму.Если длина IP-пакета (включая AH и 32
   старшие биты ESN, если они включены) не соответствует размеру блока
   требования к алгоритму, неявное заполнение ДОЛЖНО быть добавлено к
   конец пакета, до вычисления ICV. Октеты заполнения

Kent Standards Track [Страница 16]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   ДОЛЖЕН иметь нулевое значение. Размер блока (и, следовательно, длина
   заполнение) определяется спецификацией алгоритма.Этот
   заполнение не передается вместе с пакетом. Документ, который
   определяет алгоритм целостности, с которым ДОЛЖНЫ консультироваться, чтобы определить,
   требуется неявное заполнение, как описано выше. Если документ
   не определяет ответ на этот вопрос, то по умолчанию предполагается
   что требуется неявное заполнение (по мере необходимости, чтобы соответствовать пакету
   длина до размера блока алгоритма.) Если требуются байты заполнения
   но алгоритм не указывает содержимое заполнения, то
   октеты заполнения ДОЛЖНЫ иметь нулевое значение.3.3.4. Фрагментация

   При необходимости фрагментация IP происходит после обработки AH в течение
   Реализация IPsec. Таким образом, транспортный режим AH применяется только к
   целые дейтаграммы IP (не фрагменты IP). Пакет IPv4, к которому AH
   был применен, может сам быть фрагментирован маршрутизаторами в пути, и
   такие фрагменты должны быть повторно собраны перед обработкой AH на
   получатель. (Это не относится к IPv6, где нет маршрутизатора).
   инициированная фрагментация.) В туннельном режиме AH применяется к IP
   пакет, полезной нагрузкой которого может быть фрагментированный IP-пакет.Для
   например, шлюз безопасности или «удар в стеке» или «удар в стеке».
   реализация IPsec the-wire (см. Архитектуру безопасности
   документ для получения подробной информации) может применить к таким фрагментам туннельный режим AH.

   ПРИМЕЧАНИЕ. Для транспортного режима. Как упоминалось в конце раздела 3.1.1,
   реализации типа «удар в стеке» и «удар в проводе», возможно, придется
   сначала собрать пакет, фрагментированный локальным IP-уровнем, затем
   применить IPsec, а затем фрагментировать полученный пакет.

   ПРИМЕЧАНИЕ. Для IPv6 -- для встреч в стеке и в цепях.
   реализации необходимо будет изучить все расширения
   заголовки, чтобы определить, есть ли заголовок фрагментации и, следовательно,
   что пакет нуждается в повторной сборке перед обработкой IPsec.Фрагментация, независимо от того, выполняется ли она реализацией IPsec или
   маршрутизаторов на пути между одноранговыми узлами IPsec, значительно снижает
   представление. Более того, требование, чтобы AH-приемник принимал
   фрагменты для повторной сборки создают уязвимости типа «отказ в обслуживании».
   Таким образом, реализация AH МОЖЕТ отказаться от поддержки фрагментации.
   и может помечать передаваемые пакеты битом DF, чтобы облегчить
   Обнаружение MTU (PMTU). В любом случае реализация AH ДОЛЖНА поддерживать
   генерация сообщений ICMP PMTU (или эквивалентных внутренних
   для собственных реализаций хоста), чтобы свести к минимуму вероятность
   фрагментация.Подробная информация о поддержке, необходимой для управления MTU
   содержатся в документе «Архитектура безопасности».

Kent Standards Track [Страница 17]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

3.4. Обработка входящих пакетов

   Если присутствует более одного заголовка/расширения IPsec,
   обработка для каждого игнорирует (не обнуляет, не использует) любые
   Заголовки IPsec применяются после обрабатываемого заголовка.

3.4.1. Сборка

   При необходимости повторная сборка выполняется перед обработкой AH.Если
   пакет, предложенный AH для обработки, выглядит как IP-фрагмент,
   т. е. поле OFFSET не равно нулю или установлен флаг MORE FRAGMENTS,
   получатель ДОЛЖЕН отбросить пакет; это проверяемое событие.
   Запись журнала аудита для этого события СЛЕДУЕТ включать значение SPI,
   дата/время, адрес источника, адрес назначения и (в IPv6)
   Идентификатор потока.

   ПРИМЕЧАНИЕ. Для повторной сборки пакетов текущая спецификация IPv4 НЕ требует
   либо обнуление поля OFFSET, либо очистка MORE
   ФРАГМЕНТЫ флаг.Чтобы повторно собранный пакет мог быть обработан
   IPsec (в отличие от отброшенного как видимого фрагмента), код IP
   должен сделать эти две вещи после повторной сборки пакета.

3.4.2. Поиск ассоциации безопасности

   При получении пакета, содержащего заголовок IP-аутентификации,
   получатель определяет подходящую (однонаправленную) SA посредством поиска в
   грустный. Для одноадресной SA это определение основано на SPI или
   поле SPI плюс протокол, как описано в разделе 2.4.Если
   реализация поддерживает многоадресный трафик, адрес назначения
   также используется при поиске (в дополнение к SPI), а отправитель
   адрес также может быть использован, как описано в Разделе 2.4. (Этот
   процесс описан более подробно в архитектуре безопасности
   документ.) Запись SAD для SA также указывает,
   Поле порядкового номера будет проверено и будет ли 32- или 64-битным
   порядковые номера используются для SA. Запись SAD для SA
   также определяет алгоритм(ы), используемые для вычисления ICV, и
   указывает ключ, необходимый для проверки ICV.Если для этого пакета не существует действительной ассоциации безопасности, получатель
   ДОЛЖЕН отбросить пакет; это проверяемое событие. Журнал аудита
   запись для этого события ДОЛЖНА включать значение SPI, дату/время, источник
   Адрес, адрес назначения и (в IPv6) идентификатор потока.

   (Обратите внимание, что трафик управления SA, такой как пакеты IKE, не требует
   обрабатываться на основе SPI, т.е. можно демультиплексировать этот трафик
   отдельно на основе полей «Следующий протокол» и «Порт», например.)

Kent Standards Track [Страница 18]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

3.4.3. Проверка порядкового номера

   Все реализации AH ДОЛЖНЫ поддерживать службу защиты от повторов, хотя
   его использование может быть разрешено или запрещено получателем для каждой SA.
   Защита от повторного использования применима как к одноадресным, так и к многоадресным SA.
   Тем не менее, этот стандарт не определяет механизмов для обеспечения анти-
   воспроизведение для SA с несколькими отправителями (одноадресной или многоадресной рассылки). В отсутствие
   согласования (или ручной настройки) механизма защиты от повторного воспроизведения
   для такого SA рекомендуется, чтобы отправитель и получатель проверяли
   Порядковый номер для SA должен быть отключен (посредством согласования или
   ручная настройка), как указано ниже.Если получатель не включает защиту от повторного воспроизведения для SA, входящие
   проверки выполняются по порядковому номеру. Однако из
   точки зрения отправителя, по умолчанию предполагается, что
   включен на приемнике. Чтобы отправитель не делал
   ненужный мониторинг порядковых номеров и настройка SA (см. раздел
   3.3.2, «Генерация порядкового номера»), если протокол установления SA
   таких как IKE, получатель ДОЛЖЕН уведомить отправителя,
   во время установления SA, если получатель не будет обеспечивать защиту от повторного воспроизведения
   защита.Если получатель включил службу защиты от повторов для этой SA,
   счетчик принимаемых пакетов для SA ДОЛЖЕН быть инициализирован нулем, когда
   устанавливается СА. Для каждого полученного пакета получатель ДОЛЖЕН
   убедитесь, что пакет содержит порядковый номер, который не
   дублировать порядковый номер любых других пакетов, полученных во время
   жизнь этого СА. Это ДОЛЖНО быть первой проверкой AH, примененной к
   пакет после того, как он был сопоставлен с SA, чтобы ускорить отклонение
   дубликаты пакетов.Дубликаты отклоняются с помощью скользящего окна приема.
   Как реализовано окно - дело локальное, но следующее
   текст описывает функциональность, которую реализация должна
   экспонат.

   «Правый» край окна представляет самый высокий проверенный
   Значение порядкового номера, полученное в этом SA. Пакеты, содержащие
   порядковые номера ниже «левого» края окна
   отклоненный. Пакеты, попадающие в окно, проверяются на
   список полученных пакетов в окне.Если для SA выбрана опция ESN, только младшие 32 бита
   порядкового номера явно передаются, но получатель
   использует полный порядковый номер, вычисленный с использованием старшего порядка 32
   бит для указанного СА (от его локального счетчика) при проверке
   полученный порядковый номер в окне приема. При строительстве
   полный порядковый номер, если младшие 32 бита передаются в

Kent Standards Track [Страница 19]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   пакет меньше по значению, чем младшие 32 бита
   счетчик порядкового номера получателя, получатель предполагает, что
   старшие 32 бита были увеличены, переходя к новой последовательности
   числовое подпространство.(Этот алгоритм компенсирует промежутки в приеме для
   один SA размером до 2**32-1 пакетов. Если образовался больший зазор,
   дополнительные эвристические проверки повторной синхронизации данных получателя.
   МОЖЕТ использоваться счетчик порядковых номеров, как описано в Приложении B.)

   Если полученный пакет попадает в окно и не является
   дубликат, или если пакет находится справа от окна, то
   получатель переходит к проверке ICV. Если проверка ICV не удалась,
   получатель ДОЛЖЕН отбросить полученную IP-датаграмму как недействительную.Этот
   является проверяемым событием. Запись в журнале аудита для этого события ДОЛЖНА
   включают значение SPI, дату/время, исходный адрес, пункт назначения
   Адрес, порядковый номер и (в IPv6) идентификатор потока. получить
   окно обновляется только в случае успешной проверки ICV.

   ДОЛЖЕН поддерживаться МИНИМАЛЬНЫЙ размер окна 32 пакета, но окно
   размер 64 предпочтителен и ДОЛЖЕН использоваться по умолчанию.
   Другой размер окна (больше, чем МИНИМАЛЬНЫЙ) МОЖЕТ быть выбран пользователем.
   получатель. (Получатель НЕ уведомляет отправителя о появлении окна
   размер.) Размер окна приема должен быть увеличен для более высокой скорости
   окружающей среды, независимо от вопросов обеспечения. Минимальные значения
   и рекомендуемые размеры окна приема для очень высокой скорости (например,
   несколько гигабит в секунду) не указаны в этом стандарте.

3.4.4. Проверка целостности Проверка значения

   Получатель вычисляет ICV по соответствующим полям
   пакет, используя указанный алгоритм целостности, и проверяет, что он
   совпадает с ICV, включенным в поле ICV пакета.Детали расчета приведены ниже.

   Если вычисленные и полученные ICV совпадают, то дейтаграмма действительна,
   и это принято. Если тест не пройден, получатель ДОЛЖЕН
   отбросить полученную дейтаграмму IP как недействительную. Это подлежащий аудиту
   мероприятие. Запись в журнале аудита СЛЕДУЕТ включать значение SPI, дату/время.
   получено, адрес источника, адрес назначения и (в IPv6) поток
   Я БЫ.

   Примечание реализации:

      Реализации могут использовать любой набор шагов, который приводит к одному и тому же результату.
      результат в виде следующего набора шагов.Начните с сохранения ICV
      value и заменив его (но не любое заполнение поля ICV) нулем.
      Обнулите все остальные поля, которые могли быть изменены во время передачи.
      (См. Раздел 3.3.3.1, «Обработка изменяемых полей», для обсуждения
      из которых поля обнуляются перед выполнением вычисления ICV.)

Kent Standards Track [Страница 20]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

      Если для данного SA выбрана опция ESN, добавьте старший разряд 32.
      бит ESN после окончания пакета.Проверьте общий
      длина пакета (как описано выше), и если это требует
      неявное заполнение на основе требований целостности
      алгоритм, добавляющий заполненные нулями байты в конец пакета
      (после ESN, если он есть) по мере необходимости. Выполните ICV
      вычисления и сравнить результат с сохраненным значением, используя
      правила сравнения, определенные спецификацией алгоритма. (Для
      например, если для
      Вычисление ICV, процесс сопоставления является более сложным.)

4. Аудит

   Не все системы, реализующие AH, будут реализовывать аудит. Однако,
   если AH включен в систему, поддерживающую аудит, то
   Реализация AH ДОЛЖНА также поддерживать аудит и ДОЛЖНА позволять системе
   администратор, чтобы включить или отключить аудит для AH. Для большинства
   часть, степень детализации аудита является локальным вопросом. Однако,
   в этой спецификации определены несколько событий, подлежащих аудиту, и
   для каждого из этих событий минимальный набор информации, который СЛЕДУЕТ
   включены в журнал аудита.Дополнительная информация также МОЖЕТ
   включаться в журнал аудита для каждого из этих событий, а дополнительные
   события, явно не указанные в данной спецификации, также МОГУТ
   привести к записям в журнале аудита. Нет требования к
   получатель для передачи любого сообщения предполагаемому отправителю в ответ
   обнаружению проверяемого события из-за возможности
   вызвать отказ в обслуживании с помощью такого действия.

5. Требования соответствия

   Реализации, которые заявляют о соответствии или соответствии этому
   Спецификация ДОЛЖНА полностью реализовать синтаксис и обработку AH
   описаны здесь для одноадресного трафика и ДОЛЖНЫ соответствовать всем
   требованиям документа «Архитектура безопасности» [Ken-Arch].Кроме того, если реализация заявляет о поддержке многоадресной рассылки
   трафик, он ДОЛЖЕН соответствовать дополнительным требованиям, указанным
   для поддержки такого трафика. Если ключ, используемый для вычисления ICV,
   распределенное вручную, корректное предоставление сервиса антиповтора
   потребует корректного обслуживания состояния счетчика у отправителя,
   пока ключ не будет заменен, и, скорее всего, не будет автоматизированного
   обеспечение восстановления, если переполнение счетчика было неизбежным. Таким образом,
   совместимая реализация НЕ ДОЛЖНА предоставлять эту услугу в
   в сочетании с SA, которые вводятся вручную.Описаны обязательные к реализации алгоритмы для использования с АН.
   в отдельном RFC [Eas04], чтобы облегчить обновление алгоритма
   требования независимо от протокола как такового. Дополнительный
   МОГУТ поддерживаться алгоритмы, помимо тех, которые предусмотрены для AH.

Kent Standards Track [Страница 21]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

6. Вопросы безопасности

   Безопасность занимает центральное место в разработке этого протокола, и эти
   соображения безопасности пронизывают спецификацию.Дополнительный
   обсуждаются связанные с безопасностью аспекты использования протокола IPsec
   в документе «Архитектура безопасности».

7. Отличия от RFC 2402

   Этот документ отличается от RFC 2402 [RFC2402] следующим образом.

        o SPI — изменено для указания единого алгоритма поиска SAD.
          для одноадресных и многоадресных SA, охватывающих более широкий диапазон
          многоадресные технологии. Для одноадресной передачи можно использовать SPI.
          отдельно для выбора SA или может быть объединен с протоколом,
          по выбору получателя.Для многоадресных SA SPI
          в сочетании с адресом назначения и, при необходимости,
          исходный адрес, чтобы выбрать SA.
        o Расширенный порядковый номер -- добавлена ​​новая опция для 64-битного
          порядковый номер для очень высокоскоростной связи. Уточненный
          Требования к обработке отправителя и получателя для многоадресных SA
          и SA с несколькими отправителями.
        o Ссылки на обязательные алгоритмы вынесены в отдельный
          документ [Eas04].

8. Благодарности

   Автор хотел бы отметить вклад Ran
   Аткинсон, сыгравший решающую роль в начальных действиях IPsec, и
   автор первой серии стандартов IPsec: RFC 1825-1827.Карен Сео заслуживает особой благодарности за помощь в редактировании.
   этой и предыдущей версии данной спецификации. Автор
   также хотел бы поблагодарить членов рабочей группы IPsec и MSEC.
   группы, которые внесли свой вклад в разработку этого протокола
   Технические характеристики.

9. Ссылки

9.1. Нормативные ссылки

   [Bra97] Брэднер, С., «Ключевые слова для использования в RFC для указания
              Уровень требований», BCP 14, RFC 2119, март 1997 г.

   [DH98] Диринг С. и Р.Хинден, «Интернет-протокол, версия 6.
              (IPv6) Спецификация», RFC 2460, декабрь 1998 г.

Kent Standards Track [Страница 22]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   [Eas04] 3rd Eastlake, D., "Реализация криптографического алгоритма
              Требования к инкапсуляции полезной нагрузки безопасности (ESP) и
              Заголовок аутентификации (AH)", RFC 4305, декабрь 2005 г.

   [Кен-Арч] Кент, С. и К. Сео, "Архитектура безопасности для
              Интернет-протокол", RFC 4301, декабрь 2005 г.[RFC791] Постел, Дж., «Интернет-протокол», STD 5, RFC 791, сентябрь.
              1981.

   [RFC1108] Кент, С., «Параметры безопасности Министерства обороны США для
              Интернет-протокол», RFC 1108, ноябрь 1991 г.

9.2. Информативные ссылки

   [AES] Расширенный стандарт шифрования (AES), федеральная информация
              Стандарт обработки 197, Национальный институт стандартов
              и технологии, 26 ноября 2001 г.

   [HC03] Холбрук, Х. и Б. Кейн, "Многоадресная рассылка, зависящая от источника, для
              IP», Work in Progress, 3 ноября 2002 г.[IKEv2] Кауфман, К., изд., «Обмен ключами через Интернет (IKEv2)
              Протокол», RFC 4306, декабрь 2005 г.

   [Ken-ESP] Кент, С., "IP-инкапсуляция полезной нагрузки безопасности (ESP)", RFC
              4303, декабрь 2005 г.

   [NBBB98] Николс К., Блейк С., Бейкер Ф. и Д. Блэк,
              «Определение поля дифференцированных услуг (DS
              поле) в заголовках IPv4 и IPv6», RFC 2474, декабрь
              1998.

   [RFB01] Рамакришнан К., Флойд С. и Д. Блэк, «Дополнение
              явного уведомления о перегрузке (ECN) для IP", RFC
              3168, сентябрь 2001 г.[RFC1063] Могул, Дж., Кент, К., Партридж, К., и К. Макклори, "IP
              Опции обнаружения MTU", RFC 1063, июль 1988 г.

   [RFC1122] Брейден Р., «Требования к интернет-хостам —
              Коммуникационные уровни», STD 3, RFC 1122, октябрь 1989 г.

   [RFC1191] Могул, Дж. и С. Диринг, "Обнаружение MTU пути", RFC 1191,
              ноябрь 1990 г.

   [RFC1385] Ван З., "EIP: расширенный интернет-протокол", RFC 1385,
              ноябрь 1992 года.

Kent Standards Track [Страница 23]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   [RFC1393] Малкин, Г., «Трассировка с использованием параметра IP», RFC 1393,
              Январь 1993 года.

   [RFC1770] Графф, К., «Опция IPv4 для
              Доставка в пункт назначения», RFC 1770, март 1995 г.

   [RFC2113] Кац, Д., «Вариант оповещения IP-маршрутизатора», RFC 2113, февраль.
              1997.

   [RFC2402] Кент, С. и Р. Аткинсон, «Заголовок IP-аутентификации», RFC
              2402, ноябрь 1998 г.

   [RFC3547] Богер, М., Вайс, Б., Харджоно, Т., и Х. Харни, "The
              Групповой домен интерпретации», RFC 3547, июль 2003 г.[RFC3740] Hardjono, T. and B. Weis, "Безопасность группы многоадресной рассылки".
              Архитектура», RFC 3740, март 2004 г.

Kent Standards Track [Страница 24]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

Приложение A: Изменяемость опций IP/заголовков расширений

А1. Параметры IPv4

   В этой таблице показано, как варианты IPv4 классифицируются в зависимости от
   «изменчивость». Если даны две ссылки, вторая
   превосходит первое.Эта таблица частично основана на информации
   предоставлено в RFC 1700, « ПРИСВОЕННЫЕ НОМЕРА » (октябрь 1994 г.).

               Опц.
    Скопировать номер класса Справочник по имени
    ---- ----- --- ---------- --------
    IMMUTABLE -- включено в расчет ICV
      0 0 0 Конец списка опций [RFC791]
      0 0 1 Нет операции [RFC791]
      1 0 2 Безопасность [RFC1108] (исторический, но
                                               в использовании)
      1 0 5 Расширенная безопасность [RFC1108] (исторический, но
                                               в использовании)
      1 0 6 Коммерческая безопасность
      1 0 20 Предупреждение маршрутизатора [RFC2113]
      1 0 21 Многонаправленный отправитель [RFC1770]
                    Доставка в пункт назначения
    ИЗМЕНЯЕМЫЙ -- обнуляется
      1 0 3 Свободный исходный маршрут [RFC791]
      0 2 4 Отметка времени [RFC791]
      0 0 7 Запись маршрута [RFC791]
      1 0 9 Строгий исходный маршрут [RFC791]
      0 2 18 Трассировка [RFC1393]

    ЭКСПЕРИМЕНТАЛЬНЫЙ, ЗАМЕНЕННЫЙ -- обнулен
      1 0 8 Идентификатор потока [RFC791, RFC1122 (хост
                                               Треб.)]
      0 0 11 Зонд MTU [RFC1063, RFC1191 (PMTU)]
      0 0 12 Ответ MTU [RFC1063, RFC1191 (PMTU)]
      1 0 17 Расширенный интернет-протокол [RFC1385, DH98 (IPv6)]
      0 0 10 Экспериментальное измерение
      1 2 13 Экспериментальное управление потоком
      1 0 14 Экспериментальный контроль доступа
      0 0 15 ???
      1 0 16 Дескриптор трафика IMI
      1 0 19 Расширение адреса

   ПРИМЕЧАНИЕ. Использование параметра Router Alert потенциально несовместимо с
   использование IPsec.Хотя этот параметр неизменяем, его использование подразумевает, что
   каждый маршрутизатор на пути пакета будет «обрабатывать» пакет и
   следовательно, может измениться пакет. Это произойдет на прыжке
   по шагам, когда пакет идет от маршрутизатора к маршрутизатору. До

Kent Standards Track [Страница 25]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   обрабатывается приложением, которому передается содержимое опции
   направленный (например, протокол резервирования ресурсов (RSVP)/интернет-группа
   Протокол управления (IGMP)), пакет должен столкнуться с AH
   обработка.Однако для обработки AH потребуется, чтобы каждый маршрутизатор
   по пути является членом многоадресной SA, определенной SPI.
   Это может создать проблемы для пакетов, которые не являются строго исходными.
   маршрутизируется, и для этого требуются методы поддержки многоадресной рассылки, которых в настоящее время нет.
   доступный.

   ПРИМЕЧАНИЕ. Добавление или удаление меток безопасности (например,
   Опция (BSO), Расширенная опция безопасности (ESO) или Коммерческий Интернет
   Опция безопасности протокола (CIPSO)) системами на пути пакета
   конфликтует с классификацией этих параметров IP как неизменяемых
   и несовместим с использованием IPsec.ПРИМЕЧАНИЕ. Опции в конце списка опций СЛЕДУЕТ повторять по мере необходимости.
   убедитесь, что заголовок IP заканчивается 4-байтовой границей, чтобы
   убедитесь, что нет неуказанных байтов, которые могут быть использованы для
   скрытый канал.

А2. Заголовки расширения IPv6

   В этой таблице показано, как заголовки расширений IPv6 классифицируются с помощью
   в отношении «изменчивости».

       Ссылка на название опции/расширения
       -------------------- ---------
       ИЗМЕНЯЕМЫЙ, НО ПРЕДСКАЗУЕМЫЙ -- включен в расчет ICV
         Маршрутизация (Тип 0) [DH98]

       БИТ УКАЗЫВАЕТ, ИЗМЕНЯЕТСЯ ЛИ ОПЦИЯ (НЕПРЕДСКАЗУЕМО ИЗМЕНЯЕТСЯ ВО ВРЕМЯ
       ТРАНЗИТ)
         Пошаговые опции [DH98]
         Варианты назначения [DH98]

       НЕПРИГОДНЫЙ
         Фрагментация [DH98]

       Параметры -- параметры IPv6 в полях Hop-by-Hop и Destination.
   Заголовки расширений содержат бит, указывающий, является ли опция
   может измениться (непредвиденно) во время транспортировки.Для любого варианта для
   содержимое которого может измениться в пути, все поле «Дополнительные данные»
   должны рассматриваться как октеты с нулевым значением при вычислении или проверке
   ICV. Тип опциона и Opt Data Len включены в ICV.
   расчет. Все параметры, для которых бит указывает неизменность
   включаются в расчет ICV. См. спецификацию IPv6
   [DH98] для получения дополнительной информации.

Kent Standards Track [Страница 26]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

       Маршрутизация (тип 0) — заголовок маршрутизации IPv6 «Тип 0» будет
   переупорядочивать поля адреса в пакете во время передачи от
   источник к месту назначения.Однако содержимое пакета, как
   появятся у получателя, известны отправителю и всем
   промежуточные прыжки. Следовательно, заголовок маршрутизации IPv6 «Тип 0»
   включены в расчет значения проверки целостности как изменяемые, но
   предсказуемый. Отправитель должен заказать поле так, чтобы оно отображалось как
   он будет в приемнике до выполнения вычисления ICV.

       Фрагментация. Фрагментация происходит после исходящего IPsec.
   обработка (раздел 3.3) и повторная сборка происходят до входящего IPsec.
   обработка (раздел 3.4). Таким образом, заголовок расширения фрагментации, если
   он существует, IPsec его не видит.

   Обратите внимание, что на принимающей стороне реализация IP может оставить
   Заголовок расширения фрагментации на месте при повторной сборке. Если
   это происходит, то когда AH получает пакет, прежде чем делать ICV
   обработке, AH ДОЛЖЕН "удалить" (или пропустить) этот заголовок и изменить
   поле «Следующий заголовок» предыдущего заголовка должно быть «Следующим заголовком»
   поле в заголовке расширения фрагментации.

   Обратите внимание, что на стороне отправки реализация IP может дать
   IPsec кодирует пакет с заголовком расширения фрагментации со смещением
   0 (первый фрагмент) и флаг дополнительных фрагментов 0 (последний фрагмент).Если это произойдет, то перед выполнением обработки ICV AH ДОЛЖЕН сначала
   "удалить" (или пропустить) этот заголовок и изменить предыдущий заголовок
   Поле «Следующий заголовок» должно быть полем «Следующий заголовок» в
   Заголовок расширения фрагментации.

Kent Standards Track [Страница 27]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

Приложение B: Расширенные (64-разрядные) порядковые номера

Б1. Обзор

   В этом приложении описывается схема расширенного порядкового номера (ESN) для
   использовать с IPsec (ESP и AH), который использует 64-битный порядковый номер,
   но в котором только младшие 32 бита передаются как часть
   каждый пакет.Он охватывает как оконную схему, используемую для обнаружения
   воспроизведенных пакетов и определение старших битов
   порядковый номер, который используется как для отказа от воспроизведения, так и для
   расчет ICV. Также обсуждается механизм обработки
   потеря синхронизации относительно (не переданного) старшего разряда
   биты.

БИ 2. Окно защиты от повторного воспроизведения

   Получатель будет поддерживать окно защиты от повторного воспроизведения размером W. Это
   окно будет ограничивать, насколько неупорядоченным может быть пакет относительно
   пакет с наибольшим порядковым номером, который был
   аутентифицировано до сих пор.32 порядковых номера, связанных с любым фиксированным значением
   для старших 32 битов (Seqh) в дальнейшем будет называться последовательностью
   числовое подпространство. В следующей таблице перечислены соответствующие переменные и
   их определения.

        Вар. Размер
        Имя (биты) Значение
        ---- ------ ---------------------------
        W 32 Размер окна
        T 64 Самый высокий порядковый номер, аутентифицированный до сих пор,
                       верхняя граница окна
          Tl 32 Младшие 32 бита T
          Th 32 Верхние 32 бита T
        B 64 Нижняя граница окна
          Bl 32 Младшие 32 бита B
          Bh 32 Верхние 32 бита B
        Seq 64 Порядковый номер полученного пакета
          Seql 32 Младшие 32 бита Seq
          Seqh 32 Верхние 32 бита Seq

Kent Standards Track [Страница 28]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   При выполнении антиповторной проверки или при определении того, какой
   старшие биты, используемые для аутентификации входящего пакета,
   два случая:

     + Случай A: Tl >= (W - 1).В этом случае окно находится в пределах одного
                              подпространство порядковых номеров. (См. рис. 1)
     + Случай B: Tl < (W - 1). В этом случае окно охватывает два
                              подпространства порядковых номеров. (См. рис. 2)

   На приведенных ниже рисунках нижняя строка ("----") показывает два последовательных
   подпространства порядкового номера, с нулями, указывающими на начало
   каждое подпространство. Две более короткие линии над ним показывают более высокий порядок
   применимые биты. "====" представляет окно.32 - 1 в значении. Самый нижний бит соответствует B и
   самый старший бит соответствует T, и каждый порядковый номер из Bl
   через Tl представляется соответствующим битом. Значение
   бит указывает, был ли пакет с этим порядковым номером
   были получены и аутентифицированы, так что повторы могут быть обнаружены и
   отклоненный.

Kent Standards Track [Страница 29]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

   Когда пакет с 64-битным порядковым номером (Seq) больше T
   получено и подтверждено,

      + B увеличивается на (Seq - T)
      + (Seq - T) биты удаляются из нижнего конца окна
      + (Seq - T) биты добавляются к верхнему концу окна
      + Верхний бит указывает, что пакет с такой последовательностью
        номер получен и подтвержден
      + Новые биты между T и старшим битом устанавливаются, чтобы указать, что
        пакеты с такими порядковыми номерами еще не были получены.+ T устанавливается на новый порядковый номер

   При проверке воспроизведенных пакетов

      + В случае A: если Seql >= Bl (где Bl = Tl - W + 1) И
        Seql <= Tl, затем проверьте соответствующий бит в окне, чтобы
        посмотрите, не видели ли уже этот Sql. Если да, отклоните
        пакет. Если нет, выполните проверку целостности (см. Приложение B2.2).
        ниже для определения SeqH).

      + В случае B: если Seql >= Bl (где Bl = Tl - W + 1) ИЛИ
        Seql <= Tl, затем проверьте соответствующий бит в окне, чтобы
        посмотрите, не видели ли уже этот Sql.Если да, отклоните
        пакет. Если нет, выполните проверку целостности (см. Приложение B2.2).
        ниже для определения Seqh).

Б2.2. Определение старших битов (Seqh) порядкового номера

   Поскольку с пакетом будет передаваться только `Seql', получатель
   должны вывести и отследить подпространство порядковых номеров, в которое
   пакет падает, т.е. определяют значение Seqh. Последующий
   уравнения определяют, как выбрать Seqh в «нормальных» условиях; видеть
   Приложение B3 для обсуждения того, как восстановиться после экстремального пакета
   потеря.+ В случае А (рис. 1):
        Если Seql >= Bl (где Bl = Tl - W + 1), то Seqh = Th
        Если Seql < Bl (где Bl = Tl - W + 1), то Seqh = Th + 1

      + В случае B (рис. 2):
        Если Seql >= Bl (где Bl = Tl - W + 1), то Seqh = Th - 1
        Если Seql < Bl (где Bl = Tl - W + 1), то Seqh = Th

Kent Standards Track [Страница 30]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

Б2.3. Пример псевдокода

   Следующий псевдокод иллюстрирует описанные выше алгоритмы для защиты от
   повтор и проверка целостности.32.

        Если (Tl >= W - 1) Случай A
            Если (Seql >= Tl - W + 1)
                Seqh = Th
                Если (Seql <= Tl)
                    Если (пройти повторную проверку)
                        Если (пройти проверку целостности)
                            Установите бит, соответствующий Seql
                            Передайте пакет дальше
                        В противном случае отклонить пакет
                    В противном случае отклонить пакет
                Еще
                    Если (пройти проверку целостности)
                        Tl = Seql (биты сдвига)
                        Установите бит, соответствующий Seql
                        Передайте пакет дальше
                    В противном случае отклонить пакет
            Еще
                Seqh = Th + 1
                Если (пройти проверку целостности)
                    Tl = Seql (биты сдвига)
                    Т = Т + 1
                    Установите бит, соответствующий Seql
                    Передайте пакет дальше
                В противном случае отклонить пакет
        В противном случае случай Б
            Если (Seql >= Tl - W + 1)
                Seqh = Th - 1
                Если (пройти повторную проверку)
                    Если (пройти проверку целостности)
                        Установите бит, соответствующий Seql
                        Передать пакет дальше
                    В противном случае отклонить пакет
                В противном случае отклонить пакет
            Еще
                Seqh = Th
                Если (Seql <= Tl)
                    Если (пройти повторную проверку)
                        Если (пройти проверку целостности)
                            Установите бит, соответствующий Seql
                            Передать пакет дальше
                        В противном случае отклонить пакет
                    В противном случае отклонить пакет

Kent Standards Track [Страница 31]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.32 пакетов.Также для любого би-
   направленное приложение, даже работающее выше UDP, такое
   продолжительное отключение, вероятно, приведет к срабатыванию какой-либо формы
   тайм-аут. Однако однонаправленное приложение, работающее по протоколу UDP,
   может отсутствовать обратная связь, которая вызвала бы автоматическое обнаружение потери
   такая величина, отсюда и мотивация разработать метод восстановления для
   Это дело.

   Выбранное нами решение было выбрано для:

     + минимизировать влияние на нормальную обработку трафика.

     + избегать создания возможности для новой атаки типа «отказ в обслуживании»
       например, если позволить злоумышленнику принудительно перенаправить
       ресурсы для процесса повторной синхронизации.+ ограничить механизм восстановления получателем, т.к.
       является услугой только для приемника, а передатчик вообще
       не знает, использует ли получатель порядковые номера в
       поддержку этой дополнительной услуги. Предпочтительнее для восстановления
       механизмы должны быть локальными для получателя. Это также позволяет
       Обратная совместимость.

Kent Standards Track [Страница 32]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

Б3.1. Запуск повторной синхронизации

   Для каждой SA получатель записывает количество последовательных пакетов.
   которые не проходят аутентификацию. Этот счетчик используется для запуска повторного
   процесс синхронизации, который должен выполняться в фоновом режиме
   или с помощью отдельного процессора. Получение действительного пакета в SA
   сбрасывает счетчик на ноль. Значение, используемое для запуска повторного
   процесс синхронизации является локальным параметром. Здесь нет
   требование поддерживать разные значения триггера для разных SA,
   хотя разработчик может сделать это.Б3.2. Процесс повторной синхронизации

   Когда достигается указанная выше точка срабатывания, выбирается «плохой» пакет.
   для которых аутентификация повторяется с использованием последовательно больших значений
   для верхней половины порядкового номера (Seqh). Эти значения
   генерируется путем увеличения на единицу для каждой повторной попытки. Номер
   повторные попытки должны быть ограничены, если это пакет из "прошлого"
   или поддельный пакет. Предельное значение является локальным параметром. (Потому что
   значение Seqh неявно помещается после полезной нагрузки AH (или ESP), оно
   можно оптимизировать эту процедуру, выполнив проверку целостности
   алгоритм над пакетом до конечной точки полезной нагрузки, затем
   вычислить различные ICV-кандидаты, изменяя значение Seqh.)
   Успешная аутентификация пакета с помощью этой процедуры сбрасывает
   количество последовательных отказов и устанавливает значение T равным значению
   полученный пакет.

   Это решение требует поддержки только со стороны получателя,
   тем самым обеспечивая обратную совместимость. Кроме того, поскольку повторно
   усилия по синхронизации будут происходить либо в фоновом режиме, либо
   использовать дополнительный процессор, это решение не влияет
   обработка трафика и атака типа «отказ в обслуживании» не может
   ресурсы, не связанные с обработкой трафика.Адрес автора

   Стивен Кент
   ББН Технологии
   Моултон-стрит, 10
   Кембридж, Массачусетс, 02138
   США

   Телефон: +1 (617) 873-3988
   Электронная почта: [email protected]

Kent Standards Track [Страница 33]
RFC 4302 Заголовок IP-аутентификации, декабрь 2005 г.

Полное заявление об авторских правах

   Авторское право (C) Общество Интернета (2005 г.).

   На этот документ распространяются права, лицензии и ограничения
   содержится в BCP 78, и, за исключением случаев, указанных в нем, авторы
   сохраняют все свои права.Этот документ и информация, содержащаяся в нем, предоставляются на
   Принцип «КАК ЕСТЬ» и УЧАСТНИК, ОРГАНИЗАЦИЯ, КОТОРУЮ ОН/ОНА ПРЕДСТАВЛЯЕТ
   ИЛИ ПОДДЕРЖИВАЕТСЯ (ЕСЛИ ЕСТЬ) ОБЩЕСТВОМ ИНТЕРНЕТ И ИНТЕРНЕТОМ
   ENGINEERING TASK FORCE ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ,
   ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ​​ЛЮБОЙ ГАРАНТИЕЙ ТОГО, ЧТО ИСПОЛЬЗОВАНИЕ
   ДАННАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ КАКИХ-ЛИБО ПОДРАЗУМЕВАЕМЫХ
   ГАРАНТИИ КОММЕРЧЕСКОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.

Интеллектуальная собственность

   IETF не занимает никакой позиции в отношении законности или объема любого
   Права на интеллектуальную собственность или другие права, которые могут быть заявлены
   относятся к внедрению или использованию технологии, описанной в
   этот документ или степень, в которой любая лицензия в соответствии с такими правами
   может быть или не быть доступным; и не представляет, что у него есть
   предприняли какие-либо независимые усилия для определения любых таких прав.Информация
   о процедурах в отношении прав в документах RFC можно
   обнаружены в BCP 78 и BCP 79.

   Копии раскрытия информации о правах интеллектуальной собственности, сделанные в Секретариат IETF, и любые
   гарантии предоставления лицензий или результат
   предпринята попытка получить генеральную лицензию или разрешение на использование
   такие права собственности со стороны разработчиков или пользователей этого
   Спецификацию можно получить в онлайн-репозитории IPR IETF по адресу
   http://www.ietf.org/ipr.

   IETF предлагает любой заинтересованной стороне доводить до ее сведения любые
   авторские права, патенты или заявки на патенты, или другие проприетарные
   права, которые могут охватывать технологии, которые могут потребоваться для реализации
   этот стандарт.Пожалуйста, отправьте информацию в IETF по адресу ietf-
   [email protected]

Подтверждение

   Финансирование функции редактора RFC в настоящее время предоставляется
   Интернет-общество.

Kent Standards Track [Страница 34]
 

Справочник по командам отладки Cisco IOS — Команды с I по L — сжатие заголовка ip rtp отладки через отладку ipv6 icmp [Поддержка]

Примеры

В следующих выходных данных показан пример, в котором связь установлена, отправлено несколько тактов, удаленная конечная точка терпит неудачу, и ассоциация перезапускается.

 
Router#   сегменты отладки ip sctp  
SCTP: отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 56
SCTP: INIT_CHUNK, тег: 3C72A02A, TSN: 3C72A02A
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 56
SCTP: INIT_CHUNK, тег: 13E5AD6C, TSN: 13E5AD6C
SCTP: отправлено: Assoc NULL: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 136
SCTP: INIT_ACK_CHUNK, тег: 3C72A02A, TSN: 3C72A02A
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, д=10.1.0.2 8787, длина 100
SCTP: COOKIE_ECHO_CHUNK, длина 88
SCTP: отправлено: Assoc NULL: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 16
SCTP: COOKIE_ACK_CHUNK
SCTP: отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 52
SCTP: HEARTBEAT_CHUNK
SCTP: отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 52
SCTP: HEARTBEAT_CHUNK
SCTP: отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 52
SCTP: HEARTBEAT_CHUNK
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 56
SCTP: INIT_CHUNK, тег: 4F2D8235, TSN: 4F2D8235
SCTP: отправлено: Assoc NULL: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 136
SCTP: INIT_ACK_CHUNK, тег: 7DD7E424, TSN: 7DD7E424
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 100
SCTP: COOKIE_ECHO_CHUNK, длина 88
SCTP: отправлено: Assoc NULL: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 16
SCTP: COOKIE_ACK_CHUNK
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 144
SCTP: SACK_CHUNK, TSN ack: 7DD7E423, rwnd 18000, количество фрагов 0
SCTP: DATA_CHUNK, 4/0/100/4F2D8235
SCTP: Отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 28
SCTP: SACK_CHUNK, TSN ack: 4F2D8235, rwnd 8900, количество фрагов 0
SCTP: отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 128
SCTP: DATA_CHUNK, 4/0/100/7DD7E424
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 28
SCTP: SACK_CHUNK, TSN ack: 7DD7E424, rwnd 17900, количество фрагов 0
SCTP: Recv: Assoc 0: s=10.6.0.4 8787, d=10.2.0.2 8787, длина 44
SCTP: HEARTBEAT_CHUNK
SCTP: отправлено: Assoc 0: s=10.2.0.2 8787, d=10.6.0.4 8787, длина 44
SCTP: HEARTBEAT_ACK_CHUNK
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, д=10.1.0.2 8787, длина 128
SCTP: DATA_CHUNK, 7/0/100/4F2D8236
SCTP: отправлено: Assoc 0: s=10.1.0.2 8787, d=10.5.0.4 8787, длина 144
SCTP: SACK_CHUNK, TSN ack: 4F2D8236, rwnd 9000, количество фрагов 0
SCTP: DATA_CHUNK, 7/0/100/7DD7E425
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 28
SCTP: SACK_CHUNK, TSN ack: 7DD7E424, rwnd 18000, количество фрагов 0
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, d=10.1.0.2 8787, длина 28
SCTP: SACK_CHUNK, TSN ack: 7DD7E425, rwnd 17900, количество фрагов 0
SCTP: Recv: Assoc 0: s=10.5.0.4 8787, д=10.1.0.2 8787, длина 128
SCTP: DATA_CHUNK, 1/4/100/4F2D8237
  

В таблице ниже описаны важные поля, отображаемые на дисплее.

Таблица 9. сегменты отладки ip sctp Описание полей

Поле

Описание

с

Исходный адрес и порт.

д

Адрес назначения и порт.

лен

Длина чанка в байтах.

Тег

Идентификатор блока инициализации.

ТСН

Порядковый номер передачи.

ряд

Значение окна приемника.

фрагов

Количество полученных фрагментов.

7/0/100/4F2D8236

(Фрагменты данных) Номер потока / порядковый номер дейтаграммы / длина фрагмента в байтах / порядковый номер передачи фрагмента.

 
  

BIP SXM принимает участие в двухдневном семинаре COSME по вопросам ИС на Кюрасао

Бюро интеллектуальной собственности (Бюро) приняло участие в двухдневном семинаре, проведенном на Кюрасао 17 и 18 августа и организованном Министерством экономического развития Кюрасао при поддержке программы COSME.

Координатор мероприятия г-жа Каянн Андерсон получила контракт от COSME на проведение исследования по использованию интеллектуальной собственности малыми и средними предприятиями в качестве инструмента повышения конкурентоспособности в Заморских Карибских Территориях (OCT's). Г-жа Андерсон специализируется на праве интеллектуальной собственности и является основателем IP Exchange Caribbean.

В центре внимания двухдневного семинара была дискуссия о том, как лучше всего реализовать предложенную стратегию регистрации и использования интеллектуальной собственности малыми и средними предприятиями в OCT.Участники приехали из Ангильи, Арубы, Бонайре, Британских Виргинских островов, Кюрасао, Сент-Эстатиуса, Синт-Мартена и островов Теркс и Кайкос. Среди участников были представители операторов бизнес-услуг (BSO), министерств и ведомств интеллектуальной собственности (IPO).

Программа COSME была запущена в 2014 году. Общая цель программы — внести вклад в устойчивую и устойчивую к изменению климата экономическую диверсификацию и процветание ОКТ. Это за счет повышения конкурентоспособности малых и средних предприятий на участвующих территориях.Для получения дополнительной информации о COSME см.: http://www.cosmeprogramme.org/

В ходе семинара состоялись оживленные дискуссии об использовании интеллектуальной собственности как инструмента повышения конкурентоспособности предприятий. Например: как OCT может поощрять использование системы интеллектуальной собственности предприятиями в регионе? На основе отчета было приведено несколько примеров, таких как сотрудничество BSO и IPO в регионе.

Бюро уже не в первый раз сотрудничает с COSME и ведущей мероприятия, г-жой К.Кайян Андерсон. В июне прошлого года COSME совместно с Департаментом экономики, транспорта и телекоммуникаций и Фондом INFOBIZZ провела клинику IP на Синт-Мартене. Бюро установило партнерские отношения с этими организациями для предоставления информации местным предпринимателям, касающейся процедурных аспектов регистрации товарных знаков и других прав интеллектуальной собственности на Синт-Мартене.

Директор Бюро г-жа Розен-Сэндифорд говорит: «Сотрудничество жизненно важно для успеха Бюро и использования интеллектуальной собственности малыми и средними предприятиями в регионе.Она также говорит, что надеется на дальнейшие обсуждения этой темы с заинтересованными сторонами. данные в безопасности и сохранности, а также обработка их в соответствии с нашими юридическими обязательствами.

Политика конфиденциальности

Введение

Этот новый закон основан на принципах прозрачности и контроля, которыми BSO всегда гордилась.Таким образом, чтобы помочь вам сохранить контроль над своими данными, наши обновленные политики содержат более подробную информацию о том, что мы собираем, как мы их используем, а также о ваших правах. Всякий раз, когда вы предоставляете личную информацию, мы будем обращаться с этой информацией в соответствии с действующим Общим регламентом защиты данных Великобритании (который заменил GDPR ЕС с 1 января 2021 года) и соответствующим законодательством о конфиденциальности и будет стремиться соответствовать современным передовым методам работы в Интернете.

GDPR Великобритании по существу аналогичен GDPR ЕС. Например, субъекты данных имеют те же права:

.
  • Право на получение информации
  • Право доступа
  • Право на исправление
  • Право на стирание
  • Право на ограничение обработки
  • Право на переносимость данных
  • Право на объект
  • Права в отношении автоматизированного принятия решений и профилирования.

По-прежнему существует шесть принципов обработки данных и шесть законных оснований для законной обработки, и мы будем продолжать обеспечивать безопасность персональных данных, которые мы обрабатываем. Однако GDPR ЕС по-прежнему будет применяться, если мы обрабатываем персональные данные жителей ЕС.

Ваши личные данные

Мы собираем, храним и обрабатываем персональные данные о фактических/потенциальных/бывших членах BSO, клиентах BSO, фактических/потенциальных/бывших членах BSO, пользователях услуг (включая пользователей нашего веб-сайта), партнерах, деловых контактах, персонале (музыкантах и администрации) и попечителей.

BSO хранит и обрабатывает персональные данные для следующих целей, в зависимости от обстоятельств:

  1. Управление членством в BSO
  2. Управление доступом к нашему веб-сайту (в том числе с помощью файлов cookie — см. отдельную Политику использования файлов cookie), включая размещение вакансий
  3. Управление правами членов в соответствии с конституцией BSO
  4. Управление доступом к нашим услугам и мероприятиям, включая централизованные услуги в интересах законных деловых интересов наших клиентов
  5. Рассылка информации, которая, как мы обоснованно полагаем, может представлять интерес для клиентов и Участников, например информационные бюллетени, информация о будущих концертах и ​​других совместных семинарах/сессиях и мероприятиях по сбору средств
  6. Поиск информации о мнении клиентов/членов BSO по соответствующим вопросам или их организации
  7. Ищу отзывы о концертах/мероприятиях
  8. Передача анонимных данных конкретным сторонним консультантам в целях отраслевых исследований и защиты интересов в соответствии с соглашением о финансировании нашей Национальной портфельной организации с Советом по искусству Англии.Это помогает в отчетности перед спонсорами и стратегическом планировании, помогая нам принимать более эффективные бизнес-решения

Мы можем использовать системы сторонних поставщиков для обработки данных от имени BSO (например, облачные ИТ-сети, CRM, системы электронного маркетинга и бронирования мероприятий) на безопасной и конфиденциальной основе.

Мы не будем передавать ваши данные третьим лицам без вашего разрешения или в коммерческих целях.

BSO может раскрыть личную информацию, если это требуется по закону, или если он считает, что такие действия необходимы для защиты прав, собственности или личной безопасности BSO, его помещений или посетителей.

В тех случаях, когда вы дали согласие на использование нами вашей личной информации для определенной цели, вы имеете право передумать в любое время. Если мы используем вашу информацию, потому что у нас есть законный интерес, вы имеете право возражать против такого использования.

Мы также можем хранить и использовать фотоизображения и видеоматериалы клиентов/членов BSO и посетителей мероприятий. У вас есть право возражать против этого, если вы хотите, чтобы сделать это, пожалуйста, свяжитесь с нашим сотрудником по данным и CRM по адресу [email protected]

Всякий раз, когда мы обрабатываем данные для этих целей, мы всегда обеспечиваем соблюдение ваших прав на личные данные и учитываем эти права. Вы имеете право возражать против этой обработки, если хотите, и если вы хотите сделать это или отказаться от наших сообщений, пожалуйста, свяжитесь с [email protected] или обновите свои контактные данные, войдя в свою учетную запись онлайн. или с помощью ссылки «Отписаться» в нижней части любого электронного письма BSO. Пожалуйста, имейте в виду, что если вы возражаете, это может повлиять на нашу способность выполнять вышеуказанные задачи в ваших интересах.

BSO придает большое значение безопасности всей личной информации, связанной с нашими клиентами и Участниками. Мы внедрили технологии и политики для защиты вашей конфиденциальности от несанкционированного доступа и ненадлежащего использования и будем продолжать обновлять эти меры по мере необходимости.

Вы имеете право в любое время получить доступ к личной информации о вас, которую мы храним. Если вы хотите сделать это, свяжитесь с нашим сотрудником по данным и CRM по адресу [email protected], который свяжется с вами, чтобы получить от вас соответствующую идентификацию, и предоставит результаты вашего запроса на доступ в течение одного календарного месяца.

Сторонние процессоры данных

Как и большинство организаций, мы полагаемся на несколько сторонних поставщиков для поддержки наших повседневных операций, например, в таких областях, как онлайн-хранилище файлов, доставка электронной почты и удаленные хранилища. Мы также можем нанимать третьих лиц для работы, обслуживания или улучшения нашего веб-сайта и других цифровых услуг.Некоторые из этих поставщиков услуг по необходимости будут иметь доступ или будут непосредственно участвовать в обработке или хранении подмножества личной информации, которой вы делитесь с нами.

Все наши сторонние обработчики данных были тщательно отобраны в качестве поставщиков услуг, которые также практикуют ответственное обращение с данными. Мы считаем, что у каждого из них есть соответствующие средства защиты для обеспечения безопасности данных, которые мы храним или обрабатываем с ними, и у них есть четкие политики в отношении того, как они обрабатывают эти данные. Но если вы сомневаетесь, вам следует ознакомиться с их индивидуальной политикой конфиденциальности.

Прежде чем использовать или передавать вашу информацию третьим лицам способами, не описанными здесь или ранее разрешенными вами, мы предоставим вам уведомление и возможность контролировать дальнейшее использование или раскрытие вашей личной информации.

Переводы за пределы Великобритании или Европейской экономической зоны

При определенных обстоятельствах мы будем передавать вашу информацию за пределы Европейской экономической зоны. Мы будем делать это только с вашего информированного согласия, когда это необходимо для выполнения контракта, заключенного с вами, или если у принимающей организации есть адекватные гарантии — например, сертификация в соответствии с ЕС-U.S. Система защиты конфиденциальности.

Членство

Мы считаем, что в законных интересах вас и BSO, а также важной частью вашего членства, регулярно связываться с вами с соответствующей информацией в виде регулярных информационных бюллетеней и обновлений событий и, время от времени, с маркетинговой информацией или искать информацию о вас и ваших взглядах. Вы можете отказаться от этих сообщений в любое время, нажав «Отменить подписку» в электронном письме, но имейте в виду, что если вы откажетесь от этих сообщений, вы можете не получить информацию, которая поможет вам максимально использовать преимущества членства в BSO.Если вы решите отказаться, мы все равно свяжемся с вами по поводу управления вашим членством, например. продление членства и оплата. Мы также можем связаться с вами по поводу роли членов в управлении BSO, например, о нашем ежегодном общем собрании и выборах в правление. Нам необходимо обрабатывать ваши данные таким образом, чтобы выполнять наши договорные обязательства перед вами и управлять вашими правами в соответствии с Уставом BSO. Поэтому участники не могут отказаться от таких сообщений.

Общий просмотр и веб-сайт BSO

Хостинг нашего веб-сайта — британский центр обработки данных Every City Ltd, управляемый Cog Design Ltd. Когда вы посещаете наш веб-сайт или получаете доступ к одному из файлов, хранящихся на нашем веб-сервере, информация об этом запросе будет автоматически сохранена в нашем log-файлы для предоставления статистики использования, включения функций безопасности и помощи в устранении технических неполадок. Это делается на правовой основе законных коммерческих интересов. В этих случаях ваш IP-адрес в то время действует как уникальный идентификатор и сохраняется вместе с информацией о вашей операционной системе, версии браузера и страницах/файлах, к которым вы обращаетесь.Эти журналы хранятся на сервере до 60 дней, после чего автоматически удаляются.

Гугл аналитика

Как и большинство организаций, мы используем Google Analytics, чтобы понять, как наш веб-сайт обнаруживается и как с ним взаимодействуют, и мы используем эту информацию, чтобы улучшить взаимодействие с нашими посетителями и принять решения о будущем развитии. Google Analytics предоставляет нам совокупную информацию о географическом местоположении, типах устройств и операционных системах, используемых посетителями нашего веб-сайта, но не таким образом, чтобы идентифицировать вас лично.Кроме того, Google запишет IP-адрес вашего компьютера и установит ряд временных файлов cookie в вашем браузере, чтобы помочь отличить вас как отдельного посетителя при перемещении по нашему сайту. В интересах ограничения объема данных, которые Google собирает через наш сайт, мы используем стандартную реализацию Google Analytics и не включили какие-либо дополнительные рекламные функции, такие как теги ремаркетинга, которые связывали бы использование вами нашего сайта с вашими более широкими привычками просмотра. .

CRM и электронный маркетинг

Мы используем Spektrix Ltd и dotdigital (ранее dotmailer, часть dotdigital Group PLC) для облегчения общения с нашими членами и партнерами.Таким образом, когда вы решите получать рассылки, отправленный вами адрес электронной почты и имя будут надежно храниться BSO, Spektrix и dotdigital.

Серверы Spektrix расположены в Великобритании, и Spektrix не будет передавать вашу информацию неуполномоченным третьим лицам или связываться с вами напрямую в любое время.

Серверы dotdigital расположены в Европе, поэтому ваша информация может передаваться, храниться или обрабатываться за пределами Великобритании. dotdigital участвует и сертифицировала свое соответствие требованиям EU-U.S. Privacy Shield Framework, подтверждающий наличие адекватных мер безопасности. dotdigital использует третьих лиц для размещения серверов приложений dotdigital для предоставления Услуг. Как уважаемый поставщик услуг электронной почты, dotdigital не будет передавать вашу информацию неуполномоченным третьим лицам или связываться с вами напрямую в любое время.

Вы можете обновить свои данные или отказаться от наших электронных писем в любое время, используя ссылки «Отписаться» или «Настройки электронной почты», расположенные внизу каждого электронного письма, которое мы отправляем, или войдя в свою учетную запись онлайн и изменив свои контактные предпочтения.Если вы откажетесь от подписки, и Spektrix, и dotdigital сохранят ваш адрес электронной почты для целей списка исключений, чтобы гарантировать, что никакие дальнейшие маркетинговые сообщения не могут быть отправлены, если вы снова активно не решите подписаться.

В дополнение к информации, которую вы предоставляете при регистрации, Spektrix и dotdigital также будут собирать данные о вашем взаимодействии с нашими электронными письмами и веб-сайтом, например, какие ссылки вы нажимаете в электронном письме и какие страницы вы посещаете на нашем веб-сайте. Это достигается с помощью комбинации пикселей отслеживания и файлов cookie.Вы можете узнать больше о них в Политике использования файлов cookie.

Заказ билетов на концерты и мероприятия

При бронировании билетов или регистрации для участия в наших мероприятиях непосредственно через веб-сайт BSO вы должны заполнить форму бронирования, которая затем отправит форму на наши серверы электронной почты. Онлайн-платежи и платежи по картам обрабатываются Sage Pay, британской компанией по обработке платежей. Затем мы вводим предоставленную вами информацию, включая ваше имя, номер телефона, почтовый адрес и адрес электронной почты, в нашу основную базу данных.Если вы бронируете билеты на концерт BSO через место, где проходит представление, они будут хранить ваши данные, и они могут связаться с вами напрямую. Вы должны ознакомиться с их политикой конфиденциальности во время бронирования. Мы можем получить от них вашу информацию, чтобы мы могли добавить ваши данные в нашу базу данных, чтобы мы могли информировать вас о будущих концертах / мероприятиях BSO и других мероприятиях по сбору средств в рамках соглашений об обмене данными с площадками. Затем BSO информирует клиентов, впервые включенных в базу данных BSO, о том, что мы получили эти данные в течение 30 дней, и подтверждает, что у них есть возможность отказаться в любое время.Эта информация будет доступна нам в связи с нашей законной заинтересованностью в ведении финансовой отчетности, контроле доступа к нашим концертам/мероприятиям и предоставлении участникам важной информации о мероприятии по электронной почте.

Представление вакансии

Когда вы отправляете сведения о вакансии, предоставленная вами информация отправляется нам по электронной почте. Это включает ваше имя, адрес электронной почты, номер телефона и место работы. Эта информация будет использоваться нашей командой только для обработки вашей заявки на вакансию.Мы также запишем ваш IP-адрес и отметку времени в целях выполнения нашего обязательства в соответствии с правилами защиты данных по надлежащему протоколированию отправки персональных данных.

По пути к нам ваше сообщение будет проходить через антиспамовые фильтры, которыми управляют Keyfort Ltd и Microsoft, для выявления некачественного контента или вирусов. Это автоматизированные процессы без участия человека. Эти третьи стороны будут получать доступ к содержимому электронной почты только при очень ограниченных обстоятельствах, таких как расследование мошеннических или оскорбительных действий.

Поскольку ваша заявка может включать вложения и другую информацию, мы не можем ограничить данные, которыми вы нам делитесь. Мы просим вас делиться только информацией, непосредственно связанной с вашим представлением, и чтобы у вас было соответствующее согласие на раскрытие информации, которой вы делитесь.

Пишите нам

Когда вы отправляете нам электронное письмо либо через контактную форму на нашем веб-сайте, либо отдельному сотруднику, мы собираем ваш адрес электронной почты и любую другую информацию, которую вы предоставляете в своем электронном письме.

Microsoft является нашим поставщиком услуг электронной почты, поэтому любые электронные письма, которые вы отправляете нам, будут храниться на их серверах. Поэтому ваша электронная почта и любые связанные с ней личные данные могут быть переданы за пределы Европейской экономической зоны на серверы, расположенные в США. Сертификация Microsoft в рамках EU-U.S. Privacy Shield Framework обязуется поддерживать надлежащие меры безопасности для международной передачи данных.

Предоставленная вами информация будет обрабатываться только в связи с целью вашей переписки с нами.У нас нет фиксированного периода хранения корреспонденции по электронной почте, но мы обязуемся хранить ваши данные не дольше, чем это необходимо для наших законных интересов ведения документации или для выполнения контракта, который мы заключили с вами.

Утечка персональных данных

BSO и наши доверенные поставщики обязуются обеспечивать безопасность любых личных данных, хранящихся о физических лицах. С этой целью все наши репозитории, хранящиеся в цифровом виде, защищены паролем и/или надежно хранятся в запертых шкафах.Любой обмен информацией с третьими сторонами для обработки, например, почтовая компания, используемая для отправки информации BSO, любые файлы будут также зашифрованы с защитой паролем. Данные будут храниться в течение соответствующего периода времени, чтобы соответствовать другим законодательным нормам или пока клиент продолжает регулярно участвовать в BSO посредством посещения концертов, членства и т. д. Если личные данные перестают быть полезными, они будут удалены. быть удалены или уничтожены – обычно в течение 5-7 лет.Нарушением считается любая потеря, изменение, несанкционированное раскрытие или доступ к персональным данным. Мы обязуемся сообщать о любых утечках персональных данных, которые могут неблагоприятно повлиять на ваши права и свободы, без неоправданной задержки, чтобы вы могли принять соответствующие меры. О любых нарушениях, подлежащих уведомлению, также будет сообщено в Управление Комиссара по информации Великобритании в течение 72 часов. Это включает в себя нарушения, затрагивающие сторонние службы, указанные в этой политике конфиденциальности, когда личные данные хранятся от нашего имени.

Вопросы и запросы доступа

Закон о защите данных (DPA) 2018 года дает вам право знать, какие личные данные мы храним, обновлять их, если они неточны, или полностью удалять их, если вы больше не даете согласия на их использование. Мы постараемся ответить на любые такие запросы в течение одного месяца, подтвердив получение и указав, какие последующие действия будут предприняты и когда.
Мы также приветствуем вопросы о нашей политике конфиденциальности, и эти или любые запросы на доступ должны быть направлены нашему сотруднику по данным и CRM Джоанне Перкинс (старший менеджер по маркетингу) по адресу [email protected]

Симфонический оркестр Борнмута
2 Seldown Lane
Poole
Bh25 1UF

Изменения политики

Любые обновления, которые мы можем внести в нашу Политику конфиденциальности в будущем, будут опубликованы на этой странице, а существенные изменения указаны ниже.

15 января 2021 г. — Обновленная политика конфиденциальности: включение нового GDPR Великобритании, который заменил GDPR ЕС после выхода Великобритании из ЕС 1 января 2021 г.

ОФИС ШЕРИФА ОКРУГА ОЗЕРА

ОФИС ШЕРИФА ОКРУГА ОЗЕРА

10-1

10-1

30-1 7

10-2 Получение скважины

10-3 Прекратить

10-4 O.К.

10-5

8

10-6 2 Busine

10-7 Услуги

10- 8 в эксплуатации

7

10-9

10-9

7 9

10-10

10-10 2

10-12 Посетитель или с Человек

41 10-13

10-13

7

8

10-14

Escort

10-14B Baker Act Transport

10- 15   Заключенный под стражей

10-16   Забрать заключенного по адресу ______

90-141 10-16 поведение исследования

10-19

10-19

10-19A

3 10-19A

10-19B суд

10- 20 Местоположение

10-21

7

10-22 2 Разведающие

10-23 Стенд на

10 24 Беда, отправить помощь, офицер на

10-25

10-25

в контакт с

10-26 Сообщение Получено

10-27 Водительские права Чек

10-28   Чек регистрации

10-29 9014 2 FCIC / NCIC Проверьте

10-29P 1 человек Человек

10-30 2 против правил

10-31

3 10-31

10-32 Алкотестели Доступны / Оператор

10-33 Аварийное сообщение

10-36

10-36 2

10-37 Оператор на службе / Сотрудник

10-39

7 Сообщение доставляло

10-40

3 10-40128

9004

10-42 Главная / Residence

10-45 Телефон ______

10-46 Срочно

9 0141 10-48

  Конец сообщения. Вы скопировали?

10-49 Требуется человек / ордер

10-49A

Гражданские статьи 2

10-50 Traffic Stop

50F   Попытка остановки движения с бегством

10-51   В пути

9014

104-52 EТ.А.

10-53 Приходит в свой Office

10-54

отрицательный

10-56

10-56 Meet _______

10-60   Check Tower Lights

10-62   Изменить на канал __

7 Вы можете скопировать 10-62

?

10-66 Отмена

10-68

10-68

7 юридические консультации

10-71 Отправить скорую помощь

10-75 Дежурный, дежурный автомобиль

10-81 Отправить эвакуатора

10-88 По какому номеру телефона с вами можно связаться?

10-96 Невозможно найти

10-97

10-97

10-98

Законченный звонок

10-99

10-99 Невозможно прочитать

Код 1

Код 1

Код 2 Expedite

Код 3 RegiCe Lights и Siren

Код 4 Отмена Отмена реагирования

S0   Охрана или осторожность

S1   DUI; Алкоголь или наркотики

S2

S3

S3000 2 Хит и беги с травмами

S4 Авария

S4F Автомобиль Авария с травмах

S5 Убийство

S6 Сбежавший Узник

S7 умерший человек

S8 S8 пропавших без вести

S8R

S9

S9

S9A

7 Потерянные номерные знаки

S10   Сто Лен автомобиль

S10IP Украденный автомобиль в прогрессе

S10R

7 украденный автомобиль Recovery

S11 2

S11P Частный буксир

7

S12 лихач

S13 Подозрительный Автомобиль

S13A Подозрительный Инцидент

S13P Подозрительные лица

S13X подозрительный пакет

S14

3 S14

4

S14i Clermont Intelligence отчет

S15

S15 Специальная деталь

S1 5 м Специальная деталь: Marine

S15R

3 S15R

S16

7

S17 Попытка найти

S17A Welfare Проверить

S20 душевнобольных

S20H смертоносных

S21 Разбоя

S21A взлома бизнеса

S21A

S21A IP Красок Бизнес в прогрессе

S21B 7

S21b IP Краска резиденции в прогреве

S22 Вербал Нарушение E

S22 IP Устное возмущение в прогрессе

S22 S0

S22 S0

9004

S23

S23

7

S24 Ограбление

S24A Кошелек Snatch

S24 S0 вооруженным разбоем

S25 Огонь

S25A Структура Огонь

S25B Кисть Огонь

S25C Автомобиль Огонь

S25F Multiple Dwelling Огонь

S25H Коммерческий Огонь

S25X Взрывчатые Задача 90 128

S26 Drowning

S27 Trespasser

S28 Бунт

S28A гражданские беспорядки

S29 Бесшабашный Лодка

S30 Bomb Threat

S31 Наркотики

S32 Мошенничество

S32A плеву Проверить

S33 Штурм и аккумулятор

S33IP

S33IP

S33 S0

S33 S0 Assault и аккумулятор с оружием

S34

7 Rape

S34A Пол Нападение

S34B Проверка Пол Predator

S34BAV Пол Преступник / Predator Адрес Проверка

S35 автомобилей Взлом

S36 Стрельба

S36A Человек Выстрел

S36B Съемка в зоне

S36C Оружие Жалоба

S37 Самоубийство

S37A попытки суицида

S37T Суицидальные Мысли

S38 Gambling Жалоба

S39 ювенальной

S39A Austistic Ювенальная

S39T Ювенальная Tobacco Проблема

S40 Вандализм

S40A Вандализм Город / Область недвижимости

S41 нецензурный телефонный звонок

S41A

S41A A

S41S

7

9004

S42

S42 Гражданская жалоба 28

S42A Anolicitor

S43 Кража / Воровство

S43C Shoplifter

S43C IP- Shoplifter в Progress

S44 Похищение

S44A Заложник

S44B Покушение Похищение

S49 Партнер

S49A Встреча Партнер в ______

S53 Control Ожог

S81 охранной сигнализации

S82 Пожарная сигнализация

S83 Разное

S83A Заброшенные 911

S83M   Разное; Ag / Marine

S83R Repo

S86 Утерянных

S86A Найдено недвижимости

S87 Потери Person

S87A Найдено человек

S88 MOOSE TELET

S88F Нарекание шума; Фейерверки

S88G Большой Сбор

S90 Animal Жалоба

S90A животных Укус

S92 больной человек

S92A Раненный Person

S92B наркотиками Передозировка

S93 Teletype

S95 BOLO Person / Транспортные средства

S96 Plane Crash

S96A

S96A Другое самолет Аварийна

S97 2

20128

S97A Другое катера на лодку

S98 Опасная улица

S99 2 Проверка недвижимости

S

S99M

7 AG / Marine Patrol

S100

4

ACO

ACO 2 Животные жалобы (S90)

AOA 1 КС

COP

COPPS

DAV   Автомобиль для инвалидов

DCF   Отдел по делам детей и семьи

2022 | Офис шерифа округа Лейк | Все права защищены

.

Добавить комментарий

Ваш адрес email не будет опубликован.