434
IKE protokoli SSL texnologiyasidagi qo‘l berish mexanizmiga
o‘xshashlikka ega. Har bir IPsec-qurilma, bu qurilmaning ochiq kaliti
ko‘rsatiladigan sertifikatga ega.
SSL bilan holdagi kabi, IKE protokoli ikkita
qurilmalar sertifikatlarini almashadi, autentifikasiyalash va shifrlash algoritmlarini
muvofiqlashtiradi, shuningdek himoyalangan rejimda IPsec xavfsiz uyushmalar
doirasida seans kalitlarini yaratish bilan kalit haqidagi ma’lumotlarni almashishni
ko‘zda tutadi. SSLdan farqli ravishda, IKE bu masalalarni
ikkita bosqichda hal
etadi.
Bu bosqichlarni 31.2-rasmda tasvirlangan Ml va M2 marshrutizatorlar
misolida ko‘rib chiqamiz. Birinchi bosqich, Ml va M2 marshrutizatorlar orasida
ikkita xabarlar juftliklarini almashish operatsiyalaridan iborat:
• Birinchi ma’lumotlarni almashish bosqichida har ikkala tomonlar
marshrutizatorlar
orasida IKE SA ikki yo‘nalishli xavfsiz uyushmani hosil qilish
uchun Diffi — Xellman algoritmidan (atroflicha bu bobga mustaqil ish uchun
topshiriqqa qarang) foydalanadi. Ta’kidlaymizki, bu ikkita IKE ikki yo‘nalishli
xavfsiz uyushmalar, IPsec xavfsiz uyushmalaridan tubdan farq qiladi. IKE xavfsiz
uyushma ikkita marshrutizatorlar orasida autentifikasiyalangan va shifrlangan
kanalni o‘rnatishga imkon beradi. Bu birinchi xabarlarni almashish bosqichida, bu
IKE xavfsiz uyushmada shifrlash va autentifikasiyalash uchun ishlatiladigan
kalitlar yaratiladi. Shuningdek, keyinroq ikkinchi bosqichda qo‘llaniladigan IPsec,
xavfsiz uyushma kalitlarini hisoblash uchun qo‘llaniladigan
bosh maxfiy kalit
yaratiladi. E’tibor bering, birinchi bosqichda RSA ni ochiq kalitlari va yopiq
kalitlari ishlatilmaydi. Xususan, M1 marshrutizator va M2 marshrutizator o‘z
identifikatsion ma’lumotlarini ochmaydi, chunki xabarni yopiq kalit bilan
imzolamaydi.
• Xabarlarni ikkinchi almashish bosqichida, har ikkala tomonlar bir-birlariga
o‘z xabarlarini imzolash bilan o‘z identifikatsion ma’lumotlarini ochadi. Lekin
bunday identifikatsion ma’lumotlar passiv qo‘lga kiritadigan tahlilchi (sniffer)
uchun mumkin bo‘lmay qoladi, chunki u IKE xavfsiz
uyushmasi himoyalangan
435
kanali bo‘yicha uzatiladi. Bundan tashqari, bu bosqichda ikkala tomonlar IPsec
xavfsiz uyushmalarida ishlatiladigan IPsec-shifrlash va autentifikasiyalash
algoritmlarini muvofiqlashtiradi.
IKEdan foydalanishning ikkinchi bosqichida,
ikkala tomonlar ikkita
yo‘nalishlardan har birida xavfsiz uyushmalarni hosil qiladi. Ikkinchi bosqichning
oxirida har ikkala tomonlarda bu ikki xavfsiz uyushmalar uchun shifrlash va
autentifikasiyalash seans kalitlari yaratiladi. Keyin har ikkala tomonlar
himoyalangan deytagrammalarni jo‘natish uchun o‘z xavfsiz uyushmalarini
qo‘llaydi. IKEning ishlashidagi ikkita bosqich birinchi navbatda hisoblash
kechikishlarini kamaytirish uchun talab qilinadi. Modomiki,
ikkinchi bosqichda
ochiq kalitlar bilan qandaydir kriptografiya qo‘llanilmas ekan, IKE ikkita IPsec-
qurilmalar orasida minimal kechikishli ko‘p sonli xavfsiz uyushmalarni yaratishga
imkon beradi.
