Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К
Download 3.91 Mb. Pdf ko'rish
|
axborot-kommunikatsion tizimlar xav- fsizligi
|
i
г г Аутентификация алгоритмлари Шифрлаш алгоритмлари Калитларни бошкдриш алгоритмлари Интерпретация домени DOI 8.20- расм. IP Sec протоколлари стекининг архитектураси - сарлавхдни аутентификацияловчи протокол АН. Бу протокол маълумотлар манбаини аутентификациялашни, уларнинг, кабул килинганидан сунг, яхлитлигини ва хакикийлигини текшириш ва такрорий ахборотларнинг тикиштирилишидан химояни таъминлайди; - химояни инкапсуляцияловчи протокол ESP. Бу протокол узатилувчи маълумотларни криптографик беркитишни, аутентификациялашни ва ях литлигини таъминлайди хамда такрорий ахборотларнинг тикиштирилишидан химоялайди. АН ва ESP протоколлари хар бири алохида ва биргаликда ишлати- лиши мумкин. Бу протоколлар вазифаларининг кискача баёнидан куриниб турибдиики, уларнинг имкониятлари кисман бир хил. АН протоколи факат маълумотларни яхлитлигини ва аутентифика- циялашни таъминлашга жавоб беради. ESP протоколи кувватлирок, хисобланади, чунки у маълумотларни шифрлаши мумкин, ундан ташкари АН протоколи вазифасини х,ам бажариши мумкин. IKE, АН ва ESP протоколларининг узаро алок,алари к,уйидагича кеча- ди. Аввал IKE протоколи буйича иккита нукта орасида мантик,ий уланиш урнатилади. Бу уланиш IPSec стандартларида "хавфсиз ассоциация''-Security Association, SA номини олган. Ушбу мантикий канал урнатилишида канал- нинг охирги нукталарини аутентификациялаш бажарилади хамда маълумот- ларни химоялаш параметрлари, масалан, шифрлаш алгоритми, сессия мах- фий калиги ва х,. танланади. Сунгра хавфсиз ассоциация SA томонидан урнатилган доирада АНва ESP протоколи ишлай бошлайди. Бу протокол- лар ёрдамида узатилувчи маълумотларнинг исталган химояси, танланган па- раметрлардан фойдаланилган хрлда, бажарилади. IPSec архитектурасининг урта сагщини IKE протоколида кулланилувчи параметрларни мувофикдаштириш ва калитларни бошкариш алгоритмлари хамда АН ва ESP протоколларида ишлатилувчи аутентифи- кациялаш ва шифрлаш алгоритмлари ташкил этади. Таъкидлаш лозимки, IPSec архитектурасининг юкрри сатх,идаги вир- туал канални химоялаш протоколлари (АН ва ESP) муайян криптографик алгоритмларга боглик, эмас. Аутентификациялаш ва шифрлашнинг куп сон- ли турли-туман алгоритмларидан фойдаланиш имконияти туфайли IPSec тармокни химоялашни ташкил этишнинг юкрри даражада мосланувчанлиги таъминлайди. IPSecHHHr мосланувчанлиги деганда хар бир масала учун унинг ечилишининг турли усуллари тавсия этилиши тушунилади. Бир маса- ла учун танланган усул, одатда, бошка масалаларни амалга ошириш усулла- рига боглик, эмас. Масалан, шифрлаш учун DES алгоритмининг танланиши маълумотларни аутентификациялашда ишлатилувчи дайджестни хисоблаш функциясини танлашга таъсир к,илмайди. IPSec архитектурасининг пастки сатщ интерпретациялаш домени DOI (Domain of Interpretation)flaH иборат. Интерпретациялаш доменининг кулланиш заруриятига куйидагилар сабаб булди. АН ва ESP протоколлари модулли тузилмага эга, яъни фойдаланувчилар узаро келишилган х,олда шифрлаш ва аутентификациялашнинг турли криптографик алгоритмларидан фойдаланишлари мумкин. Шу сабабли, барча ишлатилувчи ва янги кирити- лувчи протокол ва алгоритмларнинг биргаликда ишлашини таъминловчи модул зарур. Айнан шу вазифалар интерпретациялаш доменига юклатилган. Интерпретациялаш домени маълумотлар базаси сифатида IPSecfla иш- латиладиган протоколлар ва алгоритмлар, уларнинг параметрлари, протокол идентификаторлари ва х,. хусусидаги ахборотларни сакдайди. Мохияти буйича интерпретациялаш домени IPSec архитектурасида фундамент роли- ни бажаради. АН ва ESP протоколларида аутентификациялаш ва шифрлаш алгоритмлари сифатида миллий стандартларга мое келувчи алгоритмлардан фойдаланиш учун бу алгоритмларни интерпретациялаш доменида руйхатдан утказиш лозим. АН ёки ESP протоколлари узатилувчи маълумотларни куйидаги ик- кита режимда химоялаши мумкин: - туннел режимда; IP пакетлар бутунлай, уларнинг сарлавхаси билан бирга химояланади. траспорт режимида; IP пакетларнинг факат ичидагилари химояланади. Туннел режими асосий режим хисобланади. Бу режимда дастлабки пакет янги IP пакетга жойланади ва маълумотлар тармок, буйича узатиш ян- ги IP-пакет сарлавхаси асосида амалга оширилади. Туннел режимида иш- лашда хар бир оддий IP-пакет криптохдмояланган куринишда бутунлайча IPSec конвертига жойланади. IPSec конверти, уз навбатида бошка химояланган IP-пакетга инкапсуляцияланади. Туннел режими одатда мах- сус ажратилган хавфеизлик шлюзларида - маршрутизаторлар ёки тармоклараро экранларда амалга оширилади. Бундай шлюзлар орасида химояланган туннеллар шакллантирилади. Туннелнинг бошка томонида кабул килинган химояланган 1Р-пакетлар "очилади" ва олинган дастлабки IP-пакетлар кабул килувчи локал тармок, компьютерларига стандарт кридалар буйича узатилади. IP-пакетларни тун- неллаш туннелларни эгаси булмиш локал тармокдаги оддий компьютерлар учун шаффоф хисобланади. Охирги тизимларда туннел режими масофадаги ва мобил фойдаланувчиларни мададлаш учун ишлатилиши мумкин. бу хрлда фойдаланувчилар компьютерида IPSecHHHr туннел режимини амалга оширувчи дастурий таъминот урнатилиши лозим. Транспорт режимида тармок, оркали IP-пакетни узатиш бу пакетнинг дастлабки сарлавхаси ёрдамида амалга оширилади. IPSec конвертига криптохдмояланган куринишда факат IP-пакет ичидаги жойланади ва олин- ган конвертга дастлабки IP-сарлавха кушилади. Транспорт режими туннел режимига нисбатан тезкор ва охирги тизимларда кулланиш учун ишлаб чикилган. Ушбу режим масофадаги ва мобил фойдаланувчиларни хамда ло- кал тармок, ичидаги ахборот окимини химоялашни мададлашда ишлатили- ши мумкин. Таъкидлаш лозимки, транспорт режимида ишлаш химояланган узаро алока гурухига кирувчи барча тизимларда уз аксини топади ва акса- рият хрлларда тармок, иловаларини кайта дастурлаш талаб этилади. Туннел ёки транспорт режимидан фойдаланиш маълумотларни химоялашга куйиладиган талабларга хамда IPS ее ишловчи узел ролига боглик,. Химояланувчи канални тугалловчи узел-хост(охирги узел) ёки шлюз (ораликдаги узел) булиши мумкин. Мое хрлда, IPSecHH к,уллашнинг к,уйидагиучта асосий схемаси фаркланади: - "хост - хост"; - "шлюз - шлюз"; - "хост - шлюз"; Биринчи схемада химояланган канал тармокнинг охирги иккита узе- ли, яъни HI ва Н2 хостлар орасида урнатилади (8.21-расм), IPSecHH мадад- ловчи хостлар учун транспорт, хам туннел режимларидан фойдаланишга рухсат берилади. SA х,имояланган канали Download 3.91 Mb. Do'stlaringiz bilan baham: 
|