Sarlavha autentifikatsiyasi (Authentication Headers (AH))

9-Ma’ruza Mavzu: Tarmoq sathida ma’lumotlarni himoyalash Reja


Sarlavha autentifikatsiyasi (Authentication Headers (AH))


Download 410.1 Kb.
bet2/2
Sana18.06.2023
Hajmi410.1 Kb.
#1583291
1   2
Bog'liq
9-mavzu. Tarmoq sathida ma’lumotlarni himoyalash

Sarlavha autentifikatsiyasi (Authentication Headers (AH)). Ushbu funksiya vazifasi bog‘lanish butunligini va IP paketi ma’lumotlari haqiqiyligini ta’minlashda foydalaniladi. Bundan tashqari u ma’lumotni qayta yuborish hujumiga qarshi himoyalashda foydalaniladi.
Xavfsizlik to‘plami (Security Associations (SA)). IPsec ning ushbu vazifasi orqali dastlab ikki tomonlama autentifikatsiya va sessiya kalitlarini almashinish amalga oshiriladi va shundan so‘ng asosiy amallar bajariladi. Bu bosqichni amalga oshirishda quyidagi usullardan foydalaniladi:

  • ochiq kalitli shifrlash (haqiqiy) asosida

    • asosiy rejim

    • agressiv rejim

  • ochiq kalitli shifrlash (shakllantirilgan) asosida

    • asosiy rejim

    • agressiv rejim

  • ochiq kalitli imzolash asosida

    • asosiy rejim

    • agressiv rejim

  • simmetrik shifrlash asosida

    • asosiy rejim

    • agressiv rejim

Ushbu bosqichda ochiq kalitli shifrlash va ularga asoslangan imzolash algoritmlaridan foydalanishdan asosiy maqsad, kalitni maxfiy saqlanishidir. Bunda maxfiy kalit faqat bir tomonda maxfiy holatda saqlanadi. Sessiya kalitini hosil qilishda esa Diffi-Xelman kalitlarni ochiq taqsimlash algoritmidan foydalanadi.
Ochiq kalitli shifrlash algoritmlari asosida imzolashga asoslangan (asosiy rejim):

Bu yerda:

  • CP = taklif etilgan kriptografik algoritmlar ro‘yxati (crypto proposed), CS = tanlangan kriptografik algoritmlar ro‘yxati (crypto selected).

  • IC = initiator “cookie”, RC = responder “cookie”, Ushbu ikki parametr DDOS hujumni oldini olishda foydalaniladi.

  • K = h(IC,RC,gabmod p,RA,RB)

  • SKEYID = h(RA, RB, gabmod p)

  • proofA= [h(SKEYID,gamod p,gbmod p,IC,RC,CP,“Alice”)]Alice

Ochiq kalitli shifrlash algoritmlari asosida imzolashga asoslangan (agressiv rejim):

Asosiy rejimdan farqi foydalanuvchi nomlari yashirinmaganligidir.
Simmetrik kalitli shifrlash algoritmlari asosida imzolashga asoslangan (asosiy rejim):

Bu yerda:

  • KAB= simmetrik almashingan kalit

  • K = h(IC,RC,gabmod p,RA,RB,KAB)

  • SKEYID = h(K, gabmod p)

  • proofA= h(SKEYID,gamod p,gbmod p,IC,RC,CP,“Alice”)

Ushbu protokolda Alis o‘zining ismini 5 chi xabarda jo‘natmoqda. Alisning identifikatori K kalit bilan shifrlanmoqda. Bob ushbu K kalitni topish uchun esa KAV ni bilishi kerak. KAV bilish uchun esa u Alis bilan gaplashayotganini bilishi shart.
Simmetrik kalitli shifrlash algoritmlari asosida imzolashga asoslangan (agressiv rejim):

Ushbu protokolda ham foydalanuvchini nomini yashirish amalga oshirilmagan ammo asosiy rejimda uchraydigan muammo mavjud emas.
Ochiq kalitli shifrlash algoritmlariga asoslangan (asosiy rejim):

CP = crypto proposed, CS = crypto selected


IC = initiator “cookie”, RC = responder “cookie”
K = h(IC,RC,gabmod p,RA,RB)
SKEYID = h(RA, RB, gabmod p)
proofA= h(SKEYID,gamod p,gbmod p,IC,RC,CP,“Alice”)
Ochiq kalitli shifrlash algoritmlari asosida imzolashga asoslangan (agressiv rejim):

K, proofA, proofB asosiy rejimdagi kabi hisoblanadi. Barcha nomlar yashiringan.

OSI modeli

Qatlam

Ma’lumot shakli

Izoh

Misol

7. Application

Ma’lumot




HTTP, FTP, SMTP

6. Presentation




ASCII, EBCDIC, JPEG

5. Session




RPC, PAP

4. Transport

Segment




TCP, UDP

3. Network

Paket/Datagramm




IPv4, IPv6, IPsec, AppleTalk

2. Data link

Bit/freym




PPP, IEEE 802.2, L2TP

1. Physical

Bit




DSL, USB

IP paket formasi





Version

IHL

TOS

Length

IP Identification

Flags

Fragment offsets

TTL

Protocol

IP checksum

Source address

Destination address

IP Options

TCP/UDP /…Payload



Version: 4 bit

  • IPv4 keng tarqalgan

  • IPv6 yendi tarqalyapti

Internet Header Length (IHL): 4 bit

  • IP sarlavhaning 32-bitli so‘zlardagi o‘lchami (20 bayt – 60 bayt);

Type of Service (TOS): 8 bit

0

1

2

3

4

5

6

7

Differentiated Services Code Point (DSCP)

Explicit Congestion Notification (ECN)




DSCP

DS Field Value (Dec)

Precedence (Description)

CS0

0

0 : Best Effort

CS1,AF11-13

8, 10, 12, 14

1 :Priority

CS2,AF21-23

16, 18, 20, 22

2 :Immediate

CS3,AF31-33

24, 26, 28, 30

3 :Flash - mainly used for voice signaling

CS4,AF41-43

32, 34, 36, 38

4 :Flash Override

CS5,EF

40, 46

5 :Critical - mainly used for voice RTP

CS6

48

6 :Internet

CS7

56

7 :Network



Length: 16 bit

  • Sarlavha va ma’lumotning qo‘shilgandagi uzunligi (min 20 bayt sarlavha + 0 bayt ma’lumot, max 65,535 bayt)

IP Identification: 16 bit
IPsec protokoli ikki rejimda ishlaydi:

  • Transport rejimida (ikki host orasida);

  • Tunellash rejimida (host va firewall orasida).

Sarlavha autentifikatsiyasi rejimida yuqoridagi ikki rejim quyidagicha amallarni bajaradi:

Transport rejimda

Tunellash rejimida

SN: for replay detection
Xavfsizlik yuki inkapsulyatsiyasi (Encapsulating Security Payloads (ESP)).

Transport rejimida

Tunellash rejimida



Nazorat savollari

  1. TCP/IP protokolida mavjud muammolar.

  2. IPSec protokolining imkoniyatlari va vazifasi.

  3. IPSec protokolida foydalanilgan autentifikatsiya usullari.

IPSec protokolida paket tuzilishi.
Download 410.1 Kb.

Do'stlaringiz bilan baham:
1   2



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling