АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Согласование преобразований IPSec

Читайте также:
  1. Router(config)#crypto map vpn 10 ipsec-isakmp
  2. Архитектура IPSec
  3. Виртуальные частные сети. IPSec-туннель
  4. Выбор темы и согласование ее с научным руководителем
  5. Две основные фазы IPsec
  6. Задача для уравнения фрактальной диффузии с запаздывающим аргументом по времени. Метод интегральных преобразований.
  7. Задача Коши дифференциально-разностного уравнения диффузии дробного порядка по времени. Метод интегральных преобразований.
  8. Задача Коши. Метод интегральных преобразований Фурье.
  9. Как работает IPSec
  10. Матричное представление преобразований
  11. Методы криптографических преобразований с открытым ключом.
  12. Необходимость трансформационных преобразований

В ходе второй фазы в рамках протокола IKE ведутся переговоры о преобразованиях IPSec (алгоритмах защиты IPSec). IPSec состоит из двух главных протоколов защиты и множества протоколов поддержки. Преобразования IPSec и связанные с ними алгоритмы шифрования являются следующими.

Протоколы защиты:

Протокол АН (Authentication Header — заголовок аутентификации). Протокол зашиты, обеспечивающий аутентификацию и (в качестве опции) сервис выявления воспроизведения. Протокол АН действует как цифровая подпись и гарантирует, что данные в пакете IP не будут несанкционированно изменены. Протокол АН не обеспечивает сервис шифрования и дешифрования данных. Данный протокол может использоваться или самостоятельно, или совместно с протоколом ESP.

Протокол ESP (Encapsulating Security Payload — включающий защиту полезный груз). Протокол защиты, обеспечивающий конфиденциальность и защиту данных, а также (в качестве опции) сервис аутентификации и выявления воспроизведения. Поддерживающие IPSec продукты Cisco используют ESP для шифрования полезного груза IP-пакетов. Протокол ESP может использоваться самостоятельно или совместно с АН.

Протоколы поддержки:

Стандарт DES (Data Encription Standard — стандарт шифрования данных). Алгоритм шифрования и дешифрования данных пакетов. Алгоритм DES используется как в рамках IPSec, так и IKE. Для алгоритма DES используется 56-битовый ключ, что означает не только более высокое потребление вычислительных ресурсов, но и более надежное шифрование. Алгоритм DES является симметричным алгоритмом шифрования, для которого требуются идентичные секретные ключи шифрования в устройствах каждой из сообщающихся сторон IPSec. Для создания симметричных ключей применяется алгоритм Диффи-Хеллмана. IKE и IPSec используют алгоритм DES для шифрования сообщений.

"Тройной" DES (3DES). Вариант DES, основанный на использовании трех итераций стандартного DES с тремя разными ключами, что практически утраивает стойкость DES. Алгоритм 3DES используется в рамках IPSec для шифрования и дешифрования потока данных. Данный алгоритм использует 168-битовый ключ, что гарантирует высокую надежность шифрования. IKE и IPSec используют алгоритм 3DES для шифрования сообщений.

 

При преобразовании IPSec используется также два стандартных алгоритма хэширования, обеспечивающих аутентификацию данных.

Алгоритм MD5 (Message Digest 5). Алгоритм хэширования, применяемый для аутентификации пакетов данных. В продуктах Cisco используется вычисляемый с помощью MD5 код НМАС (Hashed Message Authentication Code — хэшированный код аутентичности сообщения) — вариант кода аутентичности сообщения, которому обеспечивается дополнительная защита с помощью хэширования. Хэширование представляет собой процесс одностороннего (т.е. необратимого) шифрования, в результате которого для поступающего на вход сообщения произвольной длины получается вывод фиксированной длины. IKE, АН и ESP используют MD5 для аутентификации данных.

Алгоритм SHA-1 (Secure Hash Algorithm-1 — защищенный алгоритм хэширования 1).

Алгоритм хэширования, используемый для аутентификации пакетов данных. В продуктах Cisco применяется вариант кода НМАС, вычисляемый с помощью SHA-1. IKЕ, АН и ESP используют SHA-1 для аутентификации данных.

 

В рамках протокола IKE симметричные ключи создаются с помощью алгоритма Диффи-Хеллмана, использующего DES, 3DES, MD5 и SHA. Протокол Диффи-Хеллмана является криптографическим протоколом, основанным на применении открытых ключей. Он позволяет двум сторонам согласовать общий секретный ключ, не имея достаточно надежного канала связи. Общие секретные ключи требуются для алгоритмов DES и НМАС. Алгоритм Диффи-Хеллмана используется в рамках IKE для создания сеансовых ключей. В продуктах Cisco поддерживаются 768- и 1024-битовые группы Диффи-Хеллмана. 1024-битовая группа обеспечивает более надежную защиту.

Каждой ассоциации защиты IPSec присваивается индекс SPI (Security Parameter Index — индекс параметров защиты) — число, используемое для идентификации ассоциации защиты IPSec. Ассоциация защиты IPSec определяет используемое преобразование IPSec (ESP и/или АН и соответствующие алгоритмы шифрования и хэширования), предел времени существования ассоциации защиты IPSec в секундах или килобайтах, указывает необходимость применения опции PFS, IP-адреса сторон, а также общие значения секретных ключей для алгоритмов шифрования и другие параметры. Все ассоциации защиты IPSec являются односторонними. Один цикл согласования ассоциации защиты IPSec завершается созданием двух ассоциаций защиты — одной входящей и одной исходящей.

Протоколы АН и ESP IPSec могут действовать или в туннельном, или в транспортном режимах. Туннельный режим используется для связи между шлюзами IPSec, и в этом случае средствам IPSec приходится создавать совершенно новый заголовок IPSec. Транспортный режим обычно применяется между клиентом и сервером VPN, и при этом используется существующий заголовок IP.

 


1 | 2 | 3 | 4 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)