Kriptologiya




Download 135,59 Kb.
bet8/14
Sana06.06.2024
Hajmi135,59 Kb.
#260827
1   ...   4   5   6   7   8   9   10   11   ...   14
Bog'liq
1-mustaqil ishi

Tarmoq qatlami
Tarmoq qatlami (IP qatlami). IPSec protokoli qo'llaniladi, u ma'lumotlarni shifrlash va maxfiyligini, shuningdek, abonent autentifikatsiyasini amalga oshiradi. IPSec protokolidan foydalanish korporativ tarmoqqa jismoniy ulanishga teng bo'lgan to'liq xususiyatli kirish imkonini beradi. VPN o'rnatish uchun har bir ishtirokchi ma'lum IPSec parametrlarini sozlashi kerak, ya'ni. Har bir mijoz IPSec dasturini amalga oshiradigan dasturiy ta'minotga ega bo'lishi kerak.
IPSec
Tabiiyki, hech bir kompaniya ochiq transfer qilishni xohlamaydi
Internetdagi moliyaviy yoki boshqa maxfiy ma'lumotlar. VPN kanallari IPsec xavfsizlik protokoli standartlariga asoslangan kuchli shifrlash algoritmlari bilan himoyalangan. IPSec yoki Internet Protocol Security - xalqaro hamjamiyat tomonidan tanlangan standart, IETF - Internet Engineering Task Force, Internet Protokolining xavfsizligi uchun asos yaratadi (IP / IPSec protokoli tarmoq darajasida xavfsizlikni ta'minlaydi va faqat IPSec standartini qo'llab-quvvatlashni talab qiladi. ulanishning har ikki tomonida bir-biri bilan aloqa qiladigan qurilmalardan ular o'rtasida joylashgan barcha boshqa qurilmalar IP paketli trafikni ta'minlaydi.
IPSec texnologiyasidan foydalanadigan shaxslar o'rtasidagi o'zaro ta'sir qilish usuli odatda "xavfsiz birlashma" atamasi bilan belgilanadi - Xavfsizlik Assotsiatsiyasi (SA). Xavfsiz assotsiatsiya bir-biriga uzatiladigan ma'lumotlarni himoya qilish uchun IPSec-dan foydalanadigan tomonlar o'rtasidagi kelishuv asosida ishlaydi. Ushbu shartnoma bir nechta parametrlarni tartibga soladi: jo'natuvchi va qabul qiluvchining IP manzillari, kriptografik algoritm, kalit almashish tartibi, kalit o'lchamlari, kalitning ishlash muddati, autentifikatsiya algoritmi.
IPSec - bu yangi xususiyatlar va protokollar bilan osongina kengaytirilishi mumkin bo'lgan yadroga ega izchil ochiq standartlar to'plami. IPSec yadrosi uchta protokoldan iborat:
ANyoki Autentifikatsiya sarlavhasi - autentifikatsiya sarlavhasi - ma'lumotlarning yaxlitligi va haqiqiyligini kafolatlaydi. AH protokolining asosiy maqsadi shundaki, u qabul qiluvchi tomonga quyidagilarni ta'minlashga imkon beradi:

  • paket xavfsiz assotsiatsiya o'rnatilgan tomon tomonidan yuborilgan;

  • paketning mazmuni uni tarmoq orqali uzatishda buzilmagan;

  • paket allaqachon olingan paketning dublikati emas.

Birinchi ikkita funktsiya AH protokoli uchun majburiydir va oxirgisi assotsiatsiyani o'rnatishda ixtiyoriy ravishda tanlanadi. Ushbu funktsiyalarni bajarish uchun AH protokoli maxsus sarlavhadan foydalanadi. Uning tuzilishi quyidagi sxema bo'yicha ko'rib chiqiladi:
Keyingi sarlavha maydoni yuqori darajadagi protokolning kodini, ya'ni xabari IP paketining ma'lumotlar maydonida joylashgan protokolni ko'rsatadi.
Foydali yuk uzunligi maydoni AH sarlavhasining uzunligini o'z ichiga oladi.
Xavfsizlik sozlamalari indeksi(Xavfsizlik parametrlari indeksi, SPI) paketni mo'ljallangan xavfsiz assotsiatsiyasi bilan bog'lash uchun ishlatiladi.
Tartib raqami (SN) maydoni paketning tartib raqamini ko'rsatadi va firibgarlikdan himoya qilish uchun ishlatiladi (uchinchi tomon haqiqiy autentifikatsiya qilingan jo'natuvchi tomonidan yuborilgan ushlangan xavfsiz paketlarni qayta ishlatishga harakat qilganda).
Butunlikni tekshirish qiymati (ICV) deb ataladigan autentifikatsiya ma'lumotlari maydoni paketning yaxlitligini tekshirish va tekshirish uchun ishlatiladi. Bu qiymat, shuningdek, dayjest deb ataladi, AH protokoli tomonidan talab qilinadigan MD5 yoki SAH-1 hisoblab bo'lmaydigan ikkita funksiyadan biri yordamida hisoblanadi, ammo boshqa har qanday funktsiyadan foydalanish mumkin.
ESPyoki Encapsulating Security Payload - shifrlangan ma'lumotlarning inkapsulyatsiyasi - uzatilgan ma'lumotlarni shifrlaydi, maxfiylikni ta'minlaydi, shuningdek, autentifikatsiya va ma'lumotlar yaxlitligini saqlab turishi mumkin;
ESP protokoli ikki guruh muammolarni hal qiladi.
Birinchisi, AN protokoliga o'xshash vazifalarni o'z ichiga oladi - dayjest asosida autentifikatsiya va ma'lumotlar yaxlitligini ta'minlash,
Ikkinchisi - uzatilgan ma'lumotlarni ruxsatsiz ko'rishdan shifrlash orqali himoya qilish.
Sarlavha ma'lumotlar maydoni bilan ajratilgan ikki qismga bo'lingan.
ESP sarlavhasining o'zi deb ataladigan birinchi qism ikkita maydondan (SPI va SN) hosil bo'ladi, ularning maqsadi AH protokolidagi bir xil nomdagi maydonlarga o'xshash va ma'lumotlar maydonidan oldin joylashtiriladi.
ESP treyleri deb ataladigan qolgan ESP protokoli xizmat maydonlari paketning oxirida joylashgan.
Ikki treyler maydoni - keyingi sarlavha va autentifikatsiya ma'lumotlari - AH sarlavhasi maydonlariga o'xshash. Xavfsiz assotsiatsiyani o'rnatishda ESP protokolining yaxlitlik imkoniyatlaridan foydalanmaslik to'g'risida qaror qabul qilinsa, autentifikatsiya ma'lumotlari maydoni mavjud emas. Ushbu maydonlarga qo'shimcha ravishda, treyler ikkita qo'shimcha maydonni o'z ichiga oladi - to'ldiruvchi va to'ldiruvchi uzunligi.

  • AH va ESP protokollari ma'lumotlarni ikki rejimda himoya qilishi mumkin:

  • transportda– uzatish asl IP sarlavhalari bilan amalga oshiriladi;

  • tunnelda– original paket yangi IP-paketga joylashtiriladi va yangi sarlavhalar bilan uzatiladi.

Bir yoki boshqa rejimdan foydalanish ma'lumotlarni himoya qilish talablariga, shuningdek, xavfsiz kanalni tugatuvchi tugunning tarmoqdagi roliga bog'liq. Shunday qilib, tugun xost (oxirgi tugun) yoki shlyuz (oraliq tugun) bo'lishi mumkin. Shunga ko'ra, IPSec protokolidan foydalanishning uchta sxemasi mavjud:

  • xost egasi;

  • shlyuz-shlyuz;

  • xost-shlyuz.

AH va ESP protokollarining imkoniyatlari qisman bir-biriga mos keladi: AH protokoli faqat ma'lumotlarning yaxlitligi va autentifikatsiyasini ta'minlash uchun javobgardir, ESP protokoli ma'lumotlarni shifrlashi va qo'shimcha ravishda AH protokolining funktsiyalarini bajarishi mumkin (o'chirilgan shaklda). ). ESP har qanday kombinatsiyada shifrlash va autentifikatsiya/yaxlitlik funktsiyalarini, ya'ni butun funktsiyalar guruhini, faqat autentifikatsiya/yaxlitlikni yoki faqat shifrlashni qo'llab-quvvatlashi mumkin.
IKEyoki Internet kalit almashinuvi - Internet kalitlari almashinuvi - autentifikatsiya va ma'lumotlarni shifrlash protokollarining ishlashi uchun zarur bo'lgan maxfiy kalitlar bilan xavfsiz kanalning so'nggi nuqtalarini avtomatik ravishda ta'minlashning yordamchi vazifasini hal qiladi.

Download 135,59 Kb.
1   ...   4   5   6   7   8   9   10   11   ...   14




Download 135,59 Kb.