Алгоритм MD5 (Message Digest 5). Алгоритм хэширования, применяемый для аутентификации пакетов данных. В продуктах Cisco используется вычисляемый с помощью MD5 код НМАС (Hashed Message Authentication Code -- хэшированный код аутентичности сообщения)- вариант кода аутентичности сообщения, которому обеспечивается дополнительная защита с помощью хэширования. Хэширование представляет собой процесс одностороннего (т.е. необратимого) шифрования, в результате которого для поступающего на вход сообщения произвольной длины получается вывод фиксированной длины. IKE, АН и ESP используют MD5 для аутентификации данных.
Алгоритм SHA-1 (Secure Hash Algorithm-1 -- защищенный алгоритм хэширования 1). Алгоритм хэширования, используемый для аутентификации пакетов данных. В продуктах Cisco применяется вариант кода НМАС, вычисляемый с помощью SHA-1. IKЕ, АН и ESP используют SHA-1 для аутентификации данных.
В рамках протокола IKE симметричные ключи создаются с помощью алгоритма Диффи-Хеллмана, использующего DES, 3DES, MD5 и SHA. Протокол Диффи-Хеллмана является криптографическим протоколом, основанным на применении открытых ключей. Он позволяет двум сторонам согласовать общий секретный ключ, не имея достаточно надежного канала связи. Общие секретные ключи требуются для алгоритмов DES и НМАС. Алгоритм Диффи-Хеллмана используется в рамках IKE для создания сеансовых ключей. В продуктах Cisco поддерживаются 768- и 1024-битовые группы Диффи-Хеллмана. 1024-битовая группа обеспечивает более надежную защиту.
Каждой ассоциации защиты IPSec присваивается индекс SPI (Security Parameter Index -- индекс параметров защиты) -- число, используемое для идентификации ассоциации защиты IPSec. Ассоциация защиты IPSec определяет используемое преобразование IPSec (ESP и/или АН и соответствующие алгоритмы шифрования и хэширования), предел времени существования ассоциации защиты IPSec в секундах или килобайтах, указывает необходимость применения опции PFS, IP-адреса сторон, а также общие значения секретных ключей для алгоритмов шифрования и другие параметры. Все ассоциации защиты IPSec являются односторонними. Один цикл согласования ассоциации защиты IPSec завершается созданием двух ассоциаций защиты - одной входящей и одной исходящей.
Протоколы АН и ESP IPSec могут действовать или в туннельном, или в транспортном режимах. Туннельный режим используется для связи между шлюзами IPSec, и в этом случае средствам IPSec приходится создавать совершенно новый заголовок IPSec. Транспортный режим обычно применяется между клиентом и сервером VPN, и при этом используется существующий заголовок IP.
Do'stlaringiz bilan baham: |