Книга: TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security)

24.4.2 Конфигурирование аутентификационной информации для сценария 1

24.4.2 Конфигурирование аутентификационной информации для сценария 1

Предположим, что компания XYZ имеет важный сервер с IP-адресом 130.15.20.2. В рамках работ по безопасности администратор сервера нумерует хосты клиентов и присваивает секретные ключи аутентификации каждому клиентскому IP-адресу.

Серверу нужно хранить информацию о безопасности. Для этого можно воспользоваться таблицей (например, 24.1). В ней индексируются все присвоенные клиентским хостам номера, называемые индексами параметров безопасности (Security Parameters Index — SPI). Если сервер имеет несколько IP-адресов, таблица индексируется и по адресам точек назначения.

Таблица 24.1 Информация безопасности в точке назначения 130.15.20.2

SPI (для хоста клиента) IP-адрес источника Ключ аутентификации клиента Метод аутентификации клиента
301 130.15.24.4 X'2E-41-43-11-5A-5A-74-53-E3-01-88-55-10-15-CD-23 MD5
302 130.15.60.10 X35-14-4F-21-2B-2C-12-34-82-22-98-44-C0-1C-33-56 MD5

Конечно, каждый клиент должен быть конфигурирован с SPI и секретным ключом, используемым при доступе к серверу. Таблица 24.2 показывает конфигурационные данные второго клиента. Клиент нуждается в отдельных вхождениях для каждой точки назначения, к которой будет обращаться.

Таблица 24.2 Информация безопасности в источнике 130.15.60.10

IP-адрес назначения SPI IP-адрес источника Ключ аутентификации клиента Метод аутентификации клиента
130.15.20.2 302 130.15.60.10 X'35-14-4F-21-2B-2C-12-34-82-22-98-44-C0-1С-33-56 MD5
130.15.65.4

Что происходит, когда клиентский хост хочет послать аутентифицированную датаграмму серверу?

? Клиент выбирает IP-адрес точки назначения из своей таблицы.

? Для вычисления резюме датаграммы используется ключ аутентификации.

? Номер SPI и резюме сообщения помещаются в заголовок Authentication

? Датаграмма отсылается.

При получении сервером датаграммы выполняются следующие действия:

? Сервер использует SPI из заголовка Authentication, чтобы найти в таблице запись для клиента.

? IP-адрес источника сообщения сравнивается с адресом источника в таблице.

? По ключу аутентификации из таблицы вычисляется резюме сообщения.

? Результат сравнивается со значением из заголовка Authentication.

Оглавление книги


Генерация: 1.270. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз