|
Retsept talablari:
1) u qo'zg'atuvchi tomonning parametrlariga bog'liq bo'lishi kerak;
2) ishlab chiqaradigan retsept tuguni yuborilgan retsept nusxalarini saqlash zarur bo'lmagan joyda mahalliy maxfiy ma'lumotlarni ishlatishi kerak;
3) Dossiyalik hujumlarini blokirovka qilish uchun tasdiqlangan retseptlarni tekshirish va tasdiqlash kerak.
Oakley Protokol ham guruhlardan foydalanishni qo'llab-quvvatlaydi G.protokol uchun. Har bir guruh ikkita global parametrni (ochiq kalitning qismlari) va kriptografik algoritmni belgilaydi (Difff - Hellman yoki elliptik chiziqlar asosida). Reproduktsiya hujumlaridan himoya qilish uchun tasodifiy raqamlar qo'llaniladi (o'tishi) N, javob xabarlarida va muayyan bosqichlarda yangraydi.
Okley Protokol-da Tomonlarning o'zaro autentifikatsiyasi uchun quyidagilardan foydalanish mumkin:
1) Ikkala tomon uchun ham xesh qiymatini imzolash uchun ERS mexanizmi;
2) identifikatorlarning assimetrik shifrlanishi va ishtirokchining shaxsiy (yopiq) kaliti;
3) Qo'shimcha algoritm yordamida yaratilgan nosimmetrik sessiya boshlangan.
Oakley protokoli bo'yicha energiya almashinuvining misoli (asosiy versiya to'rt bosqichdan iborat - birinchi va ikkinchi bosqichdan iborat - faqat ochiq kalitlarni va seans tugmachasini hisoblashsiz himoyalangan aloqaning parametrlari to'g'risida):
1. Ammo -> Savol: R a, xabar turi G, u a, Taklif qilingan kriptoalgormlar C, a, b, n a, e Ska (h (a, b, n a, g, u a, Q).
2. Ichida -> A: r b, r a, xabar turi Jin, Tanlangan kriptomalgormlar C, b, a a n b, n a n a Skb (h (b (b, a n b, n a, g, y b, y a, Q).
3. A -\u003e Savol: Men, men ham Xabar turi (?, ya, A, B, s ichida, M va N ichida (7, u a, y, c)).
2-bosqichda. Ichida ERI-ni tekshiradi Rk a, retsept bo'yicha xabarni qabul qilish L a Javob xabariga retsepti va ikkita xaridni qo'shadi. 3-bosqichda. Ammo ERI-ni tekshiradi Rkda, Men retseptingizni majburlayman va shakllantiraman va javob xabarini yuboraman.
EN drayver sarlavhasi formatida rasmda ko'rsatilgan. 1.27.
Anjir. 1.27.
Xavfsizlik parametrlari maydoni (Xavfsizlik parametrlari indeksi - SPI) xavfsizlik birlashmasiga ko'rsatgichdir. Sekundlar sonining qiymati raqami jo'natuvchi tomonidan shakllanadi va autentifikatsiya jarayonini qayta ishlatish bilan bog'liq hujumlardan himoya qilishga xizmat qiladi. Autentifikatsiya ma'lumotlarini yaratish jarayonida Hash funktsiyasi dastlabki paketni va oldindan izchil kalitni birlashtirish, keyin olingan natijani va o'zgartirilgan kalitni birlashtirishdan qat'iy hisoblangan.
Paketli o'tish paytida yoqilgan autentifikatsiya šilinishi uchun IP-paketli manipulyatsiyani oldini oladi, ammo bu protokol tarmoq manzili mexanizmi (NAP) boshliqlari foydalanish uchun zarur bo'lgan muhitda qo'llanilmaydi.
ESP protokol sarlavhasi formatida ko'rsatilgan. 1.28. ESPning asosiy maqsadi ma'lumotlarning maxfiyligini ta'minlashdir, turli xil turlar Ma'lumot turli shifrlash algoritmlaridan foydalanishni talab qilishi mumkin va ESP formatida ishlatiladigan kriptografikitmalar uchun jiddiy o'zgarishlar bo'lishi mumkin. Autentifikatsiya ma'lumotlari MES sarlavhasida majburiy emas. ESP-paketni qabul qiluvchilar ESP boshchiligini shifrlaydi va transport darajasining ma'lumotlarini shifrlash uchun qo'llanilgan kriptografik algoritmning parametrlari va ma'lumotlarni ishlatadi.
Anjir. 1.28.
ESP va ANSdan (shuningdek ularning kombinatsiyalari) - transport va tunneldan foydalanishning ikki rejim mavjud:
Transport rejimi Transport darajasidagi protokollar (TCP, UDP, ICMP) bo'lgan IP paketli ma'lumotlar maydonini himoya qilish uchun ishlatiladi, ular o'z navbatida ilovalar mavjud. Transport rejimidan foydalanishning misoli elektron pochta orqali uzatiladi. Yuboruvchidan qabul qiluvchiga yuklovchidan olingan barcha oraliq tugunlar faqat ochiq tarmoq qavatlari haqida ma'lumot va, ehtimol, ba'zi ixtiyoriy paketli sarlavhalardan foydalaning. Transport rejimining noqulayligi - bu ma'lum yuboruvchi va paketni oluvchini yashirish mexanizmlarining etishmasligi, shuningdek trafikni tahlil qilish qobiliyatining etishmasligi. Bunday tahlilning natijasi Axborot uzatilishi hajmi va yo'nalishlari, abonentlarning foizlari, rahbarlar to'g'risidagi ma'lumotlar to'g'risida ma'lumot bo'lishi mumkin;
Tunnel rejimi butun paketni, shu jumladan tarmoq qatlami sarlavhasini himoya qiladi. Tunnel rejimi Tashkilotning tashqi dunyo bilan ma'lumot almashishni yashirish kerak bo'lsa, qo'llaniladi. Shu bilan birga, tunnel rejimidan foydalanadigan tarmoq qatlami sarlavhasining manzili (masalan, tashkilotning xavfsizlik devori) bilan to'ldiriladi va paketning aniq jo'natuvchisi haqida ma'lumotga ega emas. Tashqi dunyodan ma'lumotlarni Tashkilotning mahalliy tarmog'iga uzatishda xavfsizlik devori manzili belgilangan manzil sifatida ishlatiladi. Dastlabki tarmoq qatlami sarlavhasini shifr etgandan so'ng, manba paketini oluvchiga yuboriladi.
Yorliqda. 1.3 Bu IPSEC va SSL protokollarini taqqoslash.
1.3-jadval. IPSEC va SSL protokollarini taqqoslash
Xarakterli
|
|
|
Uskuna mustaqilligi
|
|
|
Kodni o'zgartirish
|
Arizalar uchun hech qanday o'zgartirish shart emas. TCP / IP protokolining dastlabki kodini olishni talab qilishi mumkin
|
Arizalardagi o'zgarishlar. Yangi DLLs talab qilinishi yoki dasturiy ta'minot kodini olishi mumkin.
|
|
IP to'plami butun. Yuqori darajadagi protokollarni himoya qilishni o'z ichiga oladi
|
Faqat dasturlar darajasi
|
Paketli filtrlash
|
Tasdiqlangan sarlavhalar, jo'natuvchi va qabul qiluvchi manzillar va boshqalarga asoslangan holda
|
Yuqori darajadagi mazmuni va semantika asosida. Ko'proq intellektual va yanada murakkab
|
Ijro
|
Kontekstni almashtirish va ma'lumotlar harakati
|
Biroq kontekstni almashtirish va ma'lumotlar harakati katta. Katta ma'lumotlar bloklari kriptografik operatsiyalarni tezlashtirishi va yaxshi siqishni ta'minlaydi.
|
Platforma
|
Har qanday tizim, shu jumladan yo'riqnomalar
|
Asosan endlar (mijozlar / serverlar), shuningdek xavfsizlik devori
|
Olovsiz EKTRS / RI
|
Barcha trafik himoyalangan
|
Faqatgina ariza berish darajasi trafik himoya qilinmoqda. ICMP, RSVP, QOS va boshqalar. Protokol xabarlari himoya qilinmasligi mumkin
|
Shaffoflik
|
Foydalanuvchilar va dasturlar uchun
|
Faqat foydalanuvchilar uchun
|
Internetda ishlash paytida axborot xavfsizligini ta'minlash uchun dasturiy ta'minot va apparat va dasturiy vositalar orasida siz xavfsizlik devori (zaif skanerlash), hujum tizimlari va tarkibni boshqarish tizimlari (kontent tahlili, tarkibni filtrlash) tanlashingiz mumkin.
Xavfsizlik devori (xirik devorlar, xavfsizlik devori) tarqatilgan politsiyachilar (ochiq) boshqa qismdan boshqa qismdan (himoyalangan) ma'lumot paketlarini olish uchun shartlarni belgilaydigan qoidalar to'plamini amalga oshiradi. Odatda, avtoulovning mahalliy tarmoqlari va tashkilotning mahalliy tarmog'i o'rtasida (1.29-rasm) o'rtasida (1.29-rasm) o'rtasida (1.29-rasm) o'rtasida (1.29-rasm) o'rtasida o'rnatiladi. Tarmoq buyumlarining o'zaro ta'siri, mendagi asosiy navlari Haykonlar, sessiya darajasidagi shlyuzlar va qo'l stantsiyalari. Ikki yoki uchta belgilangan uchta navlarga mos keladigan komponentlar ekspert darajasiga kiritiladi.
Do'stlaringiz bilan baham: |
