432
keladigan autentifikasiyalash va deshifrlash algoritmlari, uning kalitlarini aniqlashi
mumkin. Tartib raqamli maydon takror hujumlardan himoyalashga yordam beradi.
Jo‘natuvchi qurilma, shuningdek, deytagrammaga autentifikasiyalash MAS-
kodini biriktiradi. Yuqorida ko‘rsatilganidek, bu qurilma butun “enchilada taomi”
uchun MAS-kodni hisoblaydi (ESP-sarlavha, dastlabki IP-deytagramma,
shuningdek deytagramma va shifrlangan ko‘rinishda
uzatiladigan ESP oxiridan
tashkil topgan). Shuningdek eslatamizki, MASni hisoblash uchun jo‘natuvchi
“enchilada taomiga” maxfiy MAS-kalitni biriktiradi, keyin esa natija uchun qayd
etilgan uzunlik xeshini hisoblaydi.
M2 marshrutizator IPsec-deytagrammani olganida, u aynan uning o‘zi, M2
marshrutizator ekanligiga ishonch hosil qiladi (sarlavhadagi IP-adres bo‘yicha) va
bu IP-deytagrammani qabul qiluvchi hisoblanadi. Bundan keyin M2 marshrutizator
deytagrammani qayta ishlaydi.
Binobarin, protokol maydoni (IP-sarlavhadagi
chapki chetdagi) 50 qiymatga ega ekan, M2 marshrutizator bu deytagramma bilan
ma’lumot sifatida ishlash kerakligi qarorini chiqaradi. M2 marshrutizator
“enchilada taomiga” qarash bilan birinchi bo‘lib himoya parametri indeksini oladi
va u bo‘yicha deytagramma kiradigan xavfsiz uyushmani aniqlaydi. Keyin u
“enchilada taomining” MAS-kodini hisoblaydi va bu natija ESP MAC maydonida
yozilgan qiymatga mos kelishiga ishonch hosil qiladi.
Shunday qilib, M2
marshrutizator bu deytagramma M1 marshrutizatordan kelganligini va yo‘lda
o‘zgartirilmaganligini biladi. Uchinchilarini u tartib raqami maydonini tekshiradi
va olingan deytagramma yangiligiga (takroran qayta tiklanmaganligiga) ishonch
hosil qiladi. To‘rtinchilarida u xavfsiz uyushma bilan bog‘langan
deshifrlash
algoritmi va kalitni qo‘llash bilan shifrlangan axborot birligini deshifrlaydi.
Beshinchilarida u to‘ldiruvchi baytlarni tashlab yuboradi va dastlabki oddiy IP-
deytagrammani ajratib oladi. Nihoyat, oltinchilarida u dastlabki deytagrammani
qayerga mo‘ljallangan bo‘lsa, ofis yoki filial tarmog‘iga uzatadi.
Bu yerda muhokama qilish kerak bo‘ladigan yana
bir muhim nozik tafsilot
mavjud. U quyidagi savolga javob berishdan iborat: agar Ml marshrutizator bosh
433
ofisda joylashgan xostdan deytagrammani (himoyalanmagan) olsa va bu
deytagramma bosh ofisdan tashqaridagi qandaydir IP-adresga yo‘naltirilsa, M1
marshrutizator bu deytagrammani IPsec formatiga o‘zagrtirish kerakligini qanday
qilib bilib oladi? Agar u IPsec yordamida o‘zgartirilishi kerak bo‘lsa, M1
marshrutizator qaysi xavfsiz uyushma (yoki SAD ma’lumotlar
omboridan bir
necha uyushmalar) IPsec-deytagrammani yaratilishi uchun ishlatilishi kerakligini
qanday biladi? Mana qanday muammo hal etiladi. SAD ma’lumotlar ombori bilan
bir qatorda IPsec-qurilma, xavfsizlik siyosati ma’lumotlar ombori (Security Policy
Database, SPD) deyiladigan ma’lumotlar tuzilmasini qo‘llaydi. U IPsec
qo‘llanilishi bilan deytagrammalarning qanday turlarini
qayta ishlash zarurligini
(dastlabki IP-adres, oxirgi IP-adres va protokol turiga bog‘liq ravishda) ko‘rsatadi.
Bunday deytagrammalar uchun SPD, qaysi xavfsiz uyushma qayta ishlashda
hisobga olinishi kerakligini ko‘ratadi.
Aytish mumkinki, SPD ma’lumotlar
omboridan ma’lumotlar kelgan deytagramma bilan nima qilishni, SAD
ma’lumotlar omboridan ma’lumotlar esa buni qanday qilish kerakligini
tushunishga imkon beradi.
