Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Механизм ИБ sip-сети на базе протокола tls
Протокол TLS обеспечивает аутентификацию, целостность сообщений и шифрование. В соответствии с требованиями стандарта RFC 3261 прокси-серверы, серверы перенаправления и регистрации должныреализовыватьпротокол TLS и обеспечивать взаимную и одностороннюю аутентификацию. Строго рекомендуется, чтобы UAS могли также действовать как серверы TLS. Прокси-серверы, серверы перенаправления и регистрации должнысодержать сертификаты своего хоста. Серверы агента пользователя могут иметь собственные сертификаты для взаимной аутентификации по протоколу TLS. Все элементы сети SIP, которые используют протокол TLS, должны иметь механизм для проверки достоверности сертификатов, полученных при обмене по протоколу TLS. Для этого необходимо обладать одним или несколькими корневыми сертификатами (предпочтительно одним или несколькими хорошо известными распределителями сертификационных сайтов, сравнимых с теми распределителями, которые выпускают корневые сертификаты для веб-браузеров).В стандарте RFC 3261 отмечается, что протокол TLS наиболее пригоден для архитектуры, в которой ИБ между ретрансляторами (hop-by-hop), не была установлена доверительная связь. Например, Алис доверяет ее местному прокси-серверу. Этот прокси-сервер после обмена сертификатами доверяет местному прокси-серверу Боба, которому доверяет и Боб. Поэтому Боб и Алис взаимно аутентифицированы и могут безопасно общаться. TLS не является полностью независимым от приложения SIP. Необходимо, чтобы TLS в сетях SIP использовал как минимум (в соответствии с требованиями стандарта RFC 3261) протокол шифрования с открытым ключом RSA, протокол шифрования с общим ключом AES и длиной ключа 128 бит. Для совместимости требуется также поддержка протокола тройной DES. Могут использоваться и другие протоколы. Схема с указанием в запросах и ответах sips, а не sip означает требование процедур обеспечения ИБ. Присутствие в поле заголовка Request-URI sips означает, что каждый ретрансляционный участок, через который посылается запрос, должен быть защищен с помощью протокола TLS.Как только запрос достигает локального домена вызываемого пользователя, вполне возможно он пересылается на последнем участке к серверу агента пользователя UAS c использованием протокола TLS. Должна быть подтверждена подлинность полученных в процессе аутентификации сертификатов с помощью корневых сертификатов, содержащихся у клиента. Отказ в подлинности сертификата служит основанием в отказе на запрос.
18.2.3.3. Механизм ИБ SIP-сети на базе протокола S/MIME
Протокол S/MIME (Secure/MIME, защищенный MIME) так же, как и TLS обеспечивает аутентификацию, целостность сообщений и шифрование. Для обеспечения этих функций в предыдущей версии стандарта по SIP (RFC 2543) был предусмотрен другой протокол безопасности электронной почты – PGP, описание которого приведено в главе 13. С точки зрения общих функциональных возможностей обеспечения ИБ протоколы защиты электронной почты S/MIME и PGP очень похожи [9]. Оба протокола обеспечивают шифрование и цифровую подпись. В сети SIP S/MIME обеспечивает шифрование сообщений сигнализации из конца в конец, а TLS обеспечивает шифрование/дешифрование между смежными узлами (hop-by-hop). S/MIME – это дополнение протокола электронной почты MIME спецификацией безопасности. В S/MIME защита объекта MIME обеспечивается цифровой подписью, шифрованием или и тем и другим одновременно. Объектом MIME может быть как все сообщение, так и одна или несколько частей сообщения (multipart). Объект MIME вместе с некоторыми связанными с ним данными защиты (например, сертификатами, идентификаторами алгоритмов шифрования и хеширования) обрабатываются средствами S/MIME, чтобы получить то, что обычно называется объектом PKCS и означает «спецификация криптографии с открытым ключом» (Public Key Cryptography Specificaton). В S/MIME определены следующие типы содержимого: - multipart/signed (открытое подписанное сообщение из двух частей – сообщение и его подпись). В сети SIP этот тип обеспечивает целостность и аутентификацию. Открытая часть сообщения является телом запроса SIP. - application/pkcs7-mime (приложение). Это позволяет шифровать отдельно из конца в конец тело сообщения, не воздействуя на заголовок. Этот тип содержит два блока – подтип шифрования объекта S/MIME или упакованных данных (envelopedData) и блок подписанные данные (signedData). Блок envelopedData выполняет следующие действия:
Блоки информации для получателя, за которыми следует зашифрованное сообщение, вместе составляют блок envelopedData. Вся эта информация кодируется в формате Radix64 (см. глава 13, протокол PGP). Результат такой обработки называется объектом.
На приеме объекта сначала снимается кодировка, с помощью закрытого ключа получателя определяется сеансовый ключ, а затем расшифровывается принятое сообщение. Блок signedData выполняет следующие действия:
· формируется блок информации подписавшей стороны, включающий сертификат его открытого ключа, идентификатор алгоритма шифрования и цифровую подпись. Объект signedData состоит из нескольких блоков информации подписавшей стороны и самого подписываемого сообщения. Объект может также включать набор сертификатов открытых ключей, достаточный для того, чтобы составить цепочку от центра сертификации высшего уровня доверия к объекту, подписавшему документ. Эта информация затем кодируется в формате Radix64. Чтобы восстановить подписанное сообщение и проверить подпись, получатель сначала снимает кодировку Radix64, а затем расшифровывает профиль сообщения открытым ключом подписавшего сообщение. После этого получатель проверяет его совпадение с вычисленным профилем полученного сообщения.
|
||||||
Последнее изменение этой страницы: 2017-01-19; просмотров: 112; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.201.59.20 (0.005 с.) |