Взаимные идентификация и аутентификация «ФПСУ-IP» и «ФПСУ-IP/Клиент» |
При запросах «ФПСУ-IP/Клиента» на доступ к «ФПСУ-IP» процедуры взаимных идентификации и аутентификации «ФПСУ-IP» и «ФПСУ-IP/Клиента» являются обязательными, причём в случае неудачи стартовых процедур доступ Клиенту не предоставляется. «ФПСУ-IP» идентифицирует «ФПСУ-IP/Клиента» по его уникальным системным номерам (номеру Криптосети, номеру группы и номеру пользователя «ФПСУ-IP/Клиента» в группе), содержащимся в конфигурационной таблице «ФПСУ-IP», а «ФПСУ-IP/Клиент» идентифицирует «ФПСУ-IP» по его IP-адресу, указанному в конфигурации «ФПСУ-IP/Клиента». Взаимная аутентификация «ФПСУ-IP/Клиента» и «ФПСУ-IP» производится с использованием ключей, созданных при помощи специальной программы «Центр генерации ключей ФПСУ-IP/Клиентов» (ЦГКК). На внутренний накопитель данных «ФПСУ-IP» устанавливается общесистемный ключ Криптосети Клиентов, создаваемый ЦГКК, а пользователю «ФПСУ-IP/Клиента» должны быть переданы пользовательские ключи доступа. В процессе начальной аутентификации обе стороны на базе ключа доступа «ФПСУ-IP/Клиента» и общесистемного ключа на «ФПСУ-IP» вырабатывают ключ соединения, который действует в течение текущего сеанса связи. Далее обе стороны вырабатывают сеансовые ключи и посылают их друг другу в преобразованном на ключе соединения виде. После того, как VPN-туннель установлен, по нему начинают передаваться данные, которые преобразуются на сеансовых ключах. Сеансовые ключи автоматически меняются после передачи определенного количества данных или в случае «простоя» туннеля. В VPN-туннеле производятся обязательные взаимные процедуры сеансовых идентификации и аутентификации данных, принимаемых из туннеля. |