|
.L: Tasodifiy yopiq kalitni yaratadi x a. va ochiq kalitni hisoblaydi u \u003d a Ha (mod. r}.
2. Ammo -» Ichida (Va boshqa barcha tarmoq abonentlari): a. (Abonentlarning ochiq kalitlari ommaviy katalogga joylashtiriladi).
3. Ichida: Tasodifiy yopiq kalitni yaratadi x B. va ochiq kalitni hisoblaydi u \u003d a X (mod. r).
4. Ichida -> Javob: u ichida.
5. Ammo: AV \u003d y b xa (mod r) = = va XA (mod r).
6. Istlash: Umumiy maxfiy kalitni hisoblaydi AV \u003d y / y (tob r} = \u003d a "ch | MOC J. r)
Umumiy maxfiy kalit AV gacha Abonentlar oralig'ini shifrlash uchun to'g'ridan-to'g'ri foydalanilmaydi. Ammo va Ichida Va bu buzilishi mumkin emas (kriantallist uni oshkor qilish uchun etarlicha material bo'lmaydi). Ma'lumot almashishni tezlashtirish uchun himoyalangan tarmoq tugunlarining har birining umumiy sirli kalitlari oldindan asimmetrik shifrlash kalitlari bilan bir qatorda shifrlangan shaklda hisoblab chiqilishi va shifrlangan shaklda saqlanishi mumkin.
O'tkazib yuborish Protokolining davomi:
7. Ammo (Jo'natuvchi): tasodifiy partiya (sessiya) kalitini yaratadi P, Ushbu kalit manbai iP-Founcket yordamida shifrlash P c \u003d e cr (p), Skip paket blokini blokirovka qilish (kapalash). Shifriylar R. umumiy maxfiy kalitdan foydalanish Ek \u003d e quav (to R), Uni Skip-paketli sarlavhada joylashtiradi (sarlavha nazorat qiymati /) uchun saqlanadi, qabul qilingan O'tkazib yuborish paketini yangi IP to'plamining yangi IP to'plamiga ulaydi R " (Uning sarlavhasi sarlavhaga to'g'ri keladi R), Hisoblang / \u003d N (k r, r ») va qo'yadi I. Skip-to'plam sarlavhasida.
Kantning kaliti tarmoqning ikkinchi abonentining umumiy maxfiy kaliti, IMITAVA / EPLE IP paketini o'zgartirish imkoniyati.
8. A -\u003e. Oluvchi Savol: P
9. Istlash: Ekstrakti EK va partiyaviy kalitlar K R - D Kab (EK), ekstrakt /, boshqaruv qiymatini hisoblaydi N (k r, r ») va uni /, ekstrakti bilan taqqoslaydi Dan, IP paketini aniqlang P \u003d d kp (c).
Paket kalitini almashtirish birja almashinuvini kuchaytiradi, chunki uning oshkor etilishi IP paketlaridan faqat bitta (yoki kichik qismini) shifrlashini e'lon qiladi. Yangi dasturlarda o'tkazib yuboring Ek \u003d E SK (k p), Qayerda seans kaliti SK \u003d H (AV, n), n - Jo'natuvchi tomonidan yaratilgan va u bilan birga ketma-ket kesuvchilarga kiritilgan tasodifiy raqam EK va I (n - Soatdagi vaqt 01.01.95 dan. Agar joriy vaqt boshqacha bo'lsa N. 1 dan ortiq, keyin qabul qiluvchi paketni qabul qilmaydi.
O'tkazib yuborish protokoli ochiq kalitlarga asoslangan bo'lib, ular autentifikatsiyalarni tasdiqlash uchun siz ITU tavsiyalarida tavsiflangan raqamli sertifikatlardan foydalanishingiz mumkin. X.509. Qo'shimcha protokol spetsifikatsiyasi qo'llab-quvvatlanadigan shifrlash algoritmlari to'g'risida ma'lumot almashish tartibini belgilaydi.
IPSEC protokoli arxitekturasi anjirda ko'rsatilgan. 1.25. Autentifikatsion sarlavhasi - sarlavha protokoli (autentifikatsiya bo'yicha sarlavhani a) paketning tarkibidagi ruxsatsiz o'zgartirish bilan bog'liq hujumlardan himoya qilish uchun, shu jumladan tarmoq qatlamini jo'natuvchining almashtirilishi bilan bog'liq. Kasb-hunar qilingan xavfsizlik ma'lumotlari protokolini (qamishli xavfsizlikni yuklash - ESP) ma'lumotlarni maxfiyligini ta'minlash uchun mo'ljallangan. Ushbu Protokolda ixtiyoriy autentifikatsiya opsiyasi qo'shimcha ravishda shifrlangan ma'lumotlarning yaxlitligini ta'minlaydi.
Anjir. 1.25.
IIPSEC bayonnomasida, Xavfsizlik assotsiatsiyasi va ISAKMP (Internet-xavfsizligi va kalitasi) va ba'zan IKE (Internet almashinuvi) tomonidan himoyalangan aloqa kalitlarini boshqarish uchun ishlatiladi.
IPSEC ulanish jarayoni ikki bosqichga bo'lingan (1.26-rasm). Birinchi bosqichda IPSEC tugun uzoq tugun yoki tarmoqqa ulanishni o'rnatadi. Masofaviy tugun / tarmoq ma'lumotni talab qiladigan ma'lumotlarni tekshirish va ikkala tomon ulanish uchun ishlatiladigan autentifikatsiya usuli haqida kelishib oladi.
Kompyuter Ammo Kompyuter Ichida
Muassasa
Anjir. 1.26.
Xavfsizlik assotsiatsiyasi (SA) IPSEC tugunlari o'rtasidagi Ipsec ulanishining ikkinchi bosqichida yaratiladi. Shu bilan birga, konfiguratsiya to'g'risidagi ma'lumotlar SA ma'lumotlar bazasiga (DOI sohasi, tarjima domini), xususan shifrlash algoritmi, sessiya kalitlari parametrlari va boshqalar. tarmoqlar.
ISAKMP protokoli SA ni tashkil etishning asosini belgilaydi va aniq kriptografik algoritm yoki protokol bilan bog'liq emas. Obley Protokol - bu diffie-helmananing kalit birja algoritmidan foydalanadi (DFFFIE-Hellman - DX).
Okley Protokol shkafga oid hujumlar bilan bog'liq bo'lgan dh protokolning kamchiliklarini bartaraf etish uchun mo'ljallangan (buzuvchi IP-manzilni qabul qiluvchiga almashtiradi va uni oluvchi IP-manzilni almashtiradi va uni modulning darajasiga qaytaradi). va "o'rtadagi odam" ning hujumlari.
Okley Protokol-dagi har bir partiya boshlang'ich xabarda tasodifiy raqamni yuborishi kerak (retsept) R, Qaysi boshqa Tomon uning javobi xabarini tasdiqlashi kerak (ochiq kalitni o'z ichiga olgan birinchi xabar). Agar yuboruvchining IP manzili o'zgartirilsa, qoidabuzarni tasdiqlash xabarini olmaydi, uning tasdiqlovini to'g'ri tuza olmaydi va keraksiz ish bilan boshqa tugunni yuklay olmaydi.
Do'stlaringiz bilan baham: |
