Протокол управления криптоключами SKIP
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
packet при работе по протоколу SKIP мы получаем IP packet -> SKIP packet -> ESP packet -> TCP packet. Еще один результат появления в заголовке информации о следующем протоколе заключается в том, что теперь протокол SKIP отвечает только за передачу сеансового ключа и номера алгоритма для использования внутри инкапсулируемого протокола ESP. В качестве протокола ESP может применяться любой протокол. SKIP не накладывает никаких ограничений на конкретную реализацию ESP.
6. Дополнительные спецификации
Как уже отмечалось, в рабочей группе IETF по безопасности находятся на рассмотрении еще несколько рабочих материалов, связанных с протоколом SKIP. Проект протокола SKIP базируется на открытых ключах, поэтому естественна озабоченность разработчиков проблемой подтверждения авторства открытого ключа. В качестве одного из возможных решений предлагается использовать процедуру, описанную в рекомендации X.509. Специальный документ выпущен авторами протокола SKIP для описания особенностей применимости рекомендации X.509 для целей SKIP. Однако кроме рекомендации X.509 рассматриваются и другие возможные представления сертификатов.
Другой интересный проект протокола, разрабатываемый совместно с основной спецификацией SKIP, - это процедура обмена информацией о поддерживаемых алгоритмах шифрования для данного узла. Важность стандартизации этой процедуры обусловлена потенциальной возможностью работы двух узлов на различных алгоритмах - невозможностью понимать друг друга в стандартном режиме. Предлагаемый протокол базируется на расширении известного протокола ICMP (Internet Control Message Protocol, RFC 792). При использовании этого протокола для защиты от приема неавторизованной информации обязательным требованием является наличие авторизации в SKIP-пакете, в котором передается ICMP-пакет. В случае несовпадения подписи и содержимого данный пакет отбраковывается.
Опуская ряд идейно более мелких коррекций спецификации, следует отметить проработку в новой спецификации вопросов совместимости SKIP со следующей версией протокола IP v6.
7. Эволюция линии продуктов SKIP
Хотя SKIP пока не является стандартом Internet, с этим протоколом, на правах открытого индустриального стандарта, начали работать, по меньшей мере, три организации: компания Sun, Swiss Federal Institute of Technology и АО ЭЛВИС+. Уже в июле 1995 года на сессии IETF этими организациями были представлены реализации протоколов и проверена их совместимость. Тогда эти программы были еще далеки от состояния, которое можно было бы охарактеризовать как "программный продукт". На сегодняшний день картина изменилась, и мы имеем масштабируемый ряд продуктов защиты информации на основе спецификации SKIP. В разработке этого ряда приняли участие, по существу, все три из упомянутых организаций - каждая в соответствии со своей специализацией и внутренней спецификой.
Компания Sun Microsystems использовала SKIP как базовое средство защиты трафика в устройстве SunScreen, получившее признание как продукт 1996 года по категории firewall в журнале LAN Magazine. SunScreen анонсирован в мае 1995 года и с тех пор находится в эксплуатации, правда, только на территории США. Практически начиная с самого анонса продукта SunScreen подпадал под федеральные экспортные ограничения США для продуктов защиты информации. Постепенно эти ограничения удалось преодолеть, сначала путем получения ограниченной экспортной лицензии для финансовых организаций, затем последовало объявление о пересмотре цен на продукт и снятии экспортных ограничений на SunScreen SPF 100 G. Кроме устройства SunScreen Sun предлагает программную реализацию SKIP для ОС Solaris.
В Швейцарии выпущена public domain версия протокола SKIP. Разработка продуктных предложений, видимо, вследствие некоммерческой ориентации Swiss Federal Institute of Technology, не анонсировалась.
Компания ЭЛВИС+, ориентируясь на специфику российского рынка, пошла по пути разработки недорогих программных реализаций SKIP для распространенных платформ UNIX и Windows. Помимо деления на платформы эта компания предлагает версии продукта с различной функциональностью: от простой программы для защиты трафика оконечного устройства, работающего с одним выделенным сервером, до полнофункционального продукта защиты станции в корпоративной сети, который обеспечивает учет топологии сети и индивидуальную настройку дисциплины взаимодействия с различными ее узлами. Кроме того, было разработано и предлагается сегодня в виде готового продукта устройство для коллективной защиты локальных сетей SKIPbridge. Это - аппаратно-программный комплекс на основе станции SPARCserver 5, который устанавливается на интерфейсе LAN/WAN и обеспечивает решение двух задач: SKIP-защиту входящего и исходящего трафика и реализацию заданной политики безопасности на интерфейсе LAN/WAN путем расширенной пакетной фильтрации. На текущий момент все продукты компаний ЭЛВИС+ и Sun Microsystems прошли тестирование на совместимость, и можно говорить о едином, широко масштабируемом по функциональности и стоимости, ряде продуктов.
8. Устройство обеспечения безопасности локальной сети SKIPBridge
Устройство SKIPBridge представляет собой систему, устанавливаемую на интерфейсе внутренняя/внешняя сеть (локальная сеть/коммуникационный провайдер). Устройство обеспечивает защиту (шифрование) трафика, направляемого из внутренней сети во внешнюю на основе протокола SKIP, а также фильтрацию и дешифрование трафика, поступающего из внешней сети вовнутреннюю. IP-пакеты, принимаемые из внешней сети, обрабатываются протоколом SKIP (расшифровываются, фильтруются открытые пакеты в ре?/p>