|
7 .19 -rasm . IP -p a ket tuzilm asi.
Autentifikatsiyalashni, uzatiluvchi ma’lumotlaming konfidensial-ligi va yaxlitligini ta’minlash maqsadida, IPSec protokollarining steki qator standartlashtirilgan kriptografik texnologiyalar asosida qurilgan:
kalitlarni almashtirish ochiq tarmoqdan foydalanuvchilar orasida maxfiy kalitlarni taqsimlashning Diffi-Xellman algoritmi bo'yicha amalga oshiriladi;
ikkala tomonning haqiqiyligini kafolatlash va main-in-the-midle (o'tadagi odam) xilidagi hujumlami oldini olish maqsadida Diffi-Xellman algoritmi bo'yicha almashishlarni imzolashda ochiq kalitlar kriptografiyasidan foydalaniladi;
ochiq kalitlarning haqiqiyligini tasdiqlashda raqamli sertifikatlar ishlatiladi;
ma’lumotlami shifrlashda blokli simmetrik algoritmlardan foy dalaniladi;
xeshlash funksiyalari asosida axborotlarni autentifikatsiyalash al-goritmlari ishlatiladi.
Himoyalangan kanalni o'matish va madadlashdagi asosiy masalalar quyidagilar:
foydalanuvchilar yoki kompyuterlami autentifikatsiyalash;
himoyalangan kanalning oxirgi nuqtalari orasida uzatiluvchi ma’lumotlarni shifrlash va'autentifikatsiyalash;
kanalning oxirgi nuqtalarini ma’lumotlami autentifikatsiyalashda va shifrlashda kerak bo'ladigan maxfiy kalitlar bilan ta’minlash.
Yuqorida sanab o'tilgan masalalarni hal etishda IPSec tizimi ax borot almashish xavfsizligi vositalarining kompleksidan foydalanadi.
IPSec protokolining aksariyat amalga oshirilishida quyidagi kom-ponentlardan foydalaniladi:
IPSecning asosiy protokoli. Ushbu komponent himoyani inkapsu-latsiyalovchi protokol ESP (Encapsulation Security Payload)ni va sar-
lavhani autentifikatsiyalovchi protokoli AH(Authentication Header)ni amalga oshiradi. U sarlavhalarni ishlaydi; paketga qo'llaniladigan xavf sizlik siyosatini aniqlash uchun SPD va SAD ma’lumotlar bazasi bilan o‘zaro aloqa qiladi;
kalit axborotlarini almashishni boshqarish protokoli IKE. IKE, odatda, foydalanish sathida qo‘llaniladi (operatsion tizimga o‘matilgani bundan istisno);
xavfsizlik siyosatlarining ma’lumotlar bazasi SPD (Security Pol icy Database). Bu eng muhim komponentlardan biri bo'lib, paketga qo'llaniladigan xavfsizlik siyosatini belgilaydi. SPD dan asosiy protokol IPSec tomonidan kiruvchi va chiquvchi paketlarni ishlashda foy-dalaniladi;
xavfsiz assotsiatsiyalarning ma’lumotlar bazasi SPD (Security Assocition Database). Bu ma’lumotlar bazasi kiruvchi va chiquvchi ax borotni ishlash uchun xavfsiz assotsiatsiyalar SA(Security Association) ro'yxatini saqlaydi. Chiquvchi SA lardan chiquvchi paketlarni himoya-lashda, kiruvchi SAlardan esa IPSec sarlavhali paketlarni ishlashda foy-dalaniladi. SAD ma’lumotlar bazasi SA bilan qoMda yoki kalitlami boshqarish protokollari IKE yordamida toMdiriladi;
xavfsizlik siyosatini va xavfsiz assotsiatsiyalarni boshqarish. Bu - xavfsizlik siyosatini va SA ni boshqaruvchi ilovalar.
Asosiy protokol IPSec (ESP va AH ni amalga oshiruvchi) TCP/IP protokollarining transport va tarmoq steklari bilan o'zaro uzviy aloqada bo'ladi. IPSec ni tarmoq sathining qismi deyish mumkin. IPSecning asosiy moduli ikkita interfeysni - kirish yo‘li va chiqish yo‘li interfeys-lami ta’minlaydi. Kirish yo'li interfeysi kiruvchi paketlar tomonidan, chiqish yoMi interfeysi esa chiquvchi paketlar tomonidan foydalaniladi. IPSecning amalga oshirilishi TCP/IP protokollar stekining transport va tarmoq sathlari orasidagi interfeysga bog'liq bo'lmasligi lozim.
SPD va SAD ma’lumotlar bazasi IPSec ishlashiga jiddiy ta’sir ko'rsatadi. Ulardagi ma’lumotlar tuzilmasini tanlash IPSec ishlashining unumdorligiga ta’sir etadi.
IPSecdagi barcha protokollami ikkita guruhga ajratish mumkin:
uzatiluvchi ma’lumotlami bevosita ishlovchi (ularning xavf-sizligini ta’minlash uchun) protokollar;
birinchi guruh protokollariga kerakli himoyalangan ulanishlar pa-rametrlarini avtomatik tarzda muvofiqlashtirishga imkon beruvchi pro tokollar.
IPSec yadrosini uchta AH, ESP va virtual kanal va kalitlami bosh qarish IKE parametrlarini muvofiqlashtiruvchi protokollar tashkil etadi.
IPSecning xavfsizlik vositalarining arxitekturasi 7.20-rasmda keltirilgan.
Arxitekturaningyuqori sathida quyidagi protokollar joylashgan:
virtual kanal parametrlarini muvofiqlashtiruvchi va kalitlami boshqarish protokoli IKE. Bu protokol himoyalangan kanalni initsiali-zatsiyalash usulini, jumladan, ishlatiluvchi kriptohimoyalash algo-ritmlarini muvofiqlashtirishni hamda himoyalangan ulanish doirasida maxfiy kalitlami almashish va boshqarish muolajalarini belgilaydi;
Do'stlaringiz bilan baham: | 
