Книга: TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security)

24.4.2 Конфигурирование аутентификационной информации для сценария 1

24.4.2 Конфигурирование аутентификационной информации для сценария 1

Предположим, что компания XYZ имеет важный сервер с IP-адресом 130.15.20.2. В рамках работ по безопасности администратор сервера нумерует хосты клиентов и присваивает секретные ключи аутентификации каждому клиентскому IP-адресу.

Серверу нужно хранить информацию о безопасности. Для этого можно воспользоваться таблицей (например, 24.1). В ней индексируются все присвоенные клиентским хостам номера, называемые индексами параметров безопасности (Security Parameters Index — SPI). Если сервер имеет несколько IP-адресов, таблица индексируется и по адресам точек назначения.

Таблица 24.1 Информация безопасности в точке назначения 130.15.20.2

Конечно, каждый клиент должен быть конфигурирован с SPI и секретным ключом, используемым при доступе к серверу. Таблица 24.2 показывает конфигурационные данные второго клиента. Клиент нуждается в отдельных вхождениях для каждой точки назначения, к которой будет обращаться.

Таблица 24.2 Информация безопасности в источнике 130.15.60.10

Что происходит, когда клиентский хост хочет послать аутентифицированную датаграмму серверу?

? Клиент выбирает IP-адрес точки назначения из своей таблицы.

? Для вычисления резюме датаграммы используется ключ аутентификации.

? Номер SPI и резюме сообщения помещаются в заголовок Authentication

? Датаграмма отсылается.

При получении сервером датаграммы выполняются следующие действия:

? Сервер использует SPI из заголовка Authentication, чтобы найти в таблице запись для клиента.

? IP-адрес источника сообщения сравнивается с адресом источника в таблице.

? По ключу аутентификации из таблицы вычисляется резюме сообщения.

? Результат сравнивается со значением из заголовка Authentication.

Оглавление книги