IPsec qo’llanilganida kalitlarni boshqarish

434 
IKE protokoli SSL texnologiyasidagi qo‘l berish mexanizmiga 
o‘xshashlikka ega. Har bir IPsec-qurilma, bu qurilmaning ochiq kaliti 
ko‘rsatiladigan sertifikatga ega. SSL bilan holdagi kabi, IKE protokoli ikkita 
qurilmalar sertifikatlarini almashadi, autentifikasiyalash va shifrlash algoritmlarini 
muvofiqlashtiradi, shuningdek himoyalangan rejimda IPsec xavfsiz uyushmalar 
doirasida seans kalitlarini yaratish bilan kalit haqidagi ma’lumotlarni almashishni 
ko‘zda tutadi. SSLdan farqli ravishda, IKE bu masalalarni ikkita bosqichda hal 
etadi. 
Bu bosqichlarni 31.2-rasmda tasvirlangan Ml va M2 marshrutizatorlar 
misolida ko‘rib chiqamiz. Birinchi bosqich, Ml va M2 marshrutizatorlar orasida 
ikkita xabarlar juftliklarini almashish operatsiyalaridan iborat: 
• Birinchi ma’lumotlarni almashish bosqichida har ikkala tomonlar 
marshrutizatorlar orasida IKE SA ikki yo‘nalishli xavfsiz uyushmani hosil qilish 
uchun Diffi — Xellman algoritmidan (atroflicha bu bobga mustaqil ish uchun 
topshiriqqa qarang) foydalanadi. Ta’kidlaymizki, bu ikkita IKE ikki yo‘nalishli 
xavfsiz uyushmalar, IPsec xavfsiz uyushmalaridan tubdan farq qiladi. IKE xavfsiz 
uyushma ikkita marshrutizatorlar orasida autentifikasiyalangan va shifrlangan 
kanalni o‘rnatishga imkon beradi. Bu birinchi xabarlarni almashish bosqichida, bu 
IKE xavfsiz uyushmada shifrlash va autentifikasiyalash uchun ishlatiladigan 
kalitlar yaratiladi. Shuningdek, keyinroq ikkinchi bosqichda qo‘llaniladigan IPsec, 
xavfsiz uyushma kalitlarini hisoblash uchun qo‘llaniladigan bosh maxfiy kalit 
yaratiladi. E’tibor bering, birinchi bosqichda RSA ni ochiq kalitlari va yopiq 
kalitlari ishlatilmaydi. Xususan, M1 marshrutizator va M2 marshrutizator o‘z 
identifikatsion ma’lumotlarini ochmaydi, chunki xabarni yopiq kalit bilan 
imzolamaydi. 
• Xabarlarni ikkinchi almashish bosqichida, har ikkala tomonlar bir-birlariga 
o‘z xabarlarini imzolash bilan o‘z identifikatsion ma’lumotlarini ochadi. Lekin 
bunday identifikatsion ma’lumotlar passiv qo‘lga kiritadigan tahlilchi (sniffer) 
uchun mumkin bo‘lmay qoladi, chunki u IKE xavfsiz uyushmasi himoyalangan 

435 
kanali bo‘yicha uzatiladi. Bundan tashqari, bu bosqichda ikkala tomonlar IPsec 
xavfsiz uyushmalarida ishlatiladigan IPsec-shifrlash va autentifikasiyalash 
algoritmlarini muvofiqlashtiradi. 
IKEdan foydalanishning ikkinchi bosqichida, ikkala tomonlar ikkita 
yo‘nalishlardan har birida xavfsiz uyushmalarni hosil qiladi. Ikkinchi bosqichning 
oxirida har ikkala tomonlarda bu ikki xavfsiz uyushmalar uchun shifrlash va 
autentifikasiyalash seans kalitlari yaratiladi. Keyin har ikkala tomonlar 
himoyalangan deytagrammalarni jo‘natish uchun o‘z xavfsiz uyushmalarini 
qo‘llaydi. IKEning ishlashidagi ikkita bosqich birinchi navbatda hisoblash 
kechikishlarini kamaytirish uchun talab qilinadi. Modomiki, ikkinchi bosqichda 
ochiq kalitlar bilan qandaydir kriptografiya qo‘llanilmas ekan, IKE ikkita IPsec-
qurilmalar orasida minimal kechikishli ko‘p sonli xavfsiz uyushmalarni yaratishga 
imkon beradi. 

Download 11,41 Mb.