Взаимные идентификация и аутентификация «ФПСУ-IP» |
Идентификация и аутентификация пакетов абонентов в туннеле между двумя «ФПСУ‑IP» осуществляются в том случае, если в конфигурации каждого «ФПСУ-IP» для удалённого абонента установлен режим работы «Через ФПСУ». В комплексе «ФПСУ-IP» реализованы два механизма идентификации и аутентификации: стартовый и сеансовый. Стартовые идентификация и аутентификация взаимодействующих «ФПСУ-IP» осуществляются при запуске одного из «ФПСУ-IP» (или обоих) или при восстановлении работы сети после сбоев оборудования. До окончания стартовых идентификации и аутентификации обоих «ФПСУ-IP» обмен пакетами абонентов между ними не производится. В процессе стартовых идентификации и аутентификации согласуются режимы работы двух «ФПСУ‑IP»- вырабатываются и согласуются сеансовые ключи шифрования. Эти ключи будут автоматически меняться независимо на обоих «ФПСУ-IP» по истечении периода времени, указанного при конфигурировании. После успешного окончания стартовой аутентификации происходит выработка и обмен сеансовыми ключами, а на каждом из «ФПСУ-IP» возобновляется процесс рассмотрения поступающих на их интерфейсы пакетов абонентов, и для каждого передаваемого пакета будут осуществляться сеансовые идентификация и аутентификация. На этапе сеансовой идентификации проверяется, что отправителем пакета является соответствующий «ФПСУ-IP». На этапе сеансовой аутентификации проверяется подлинность предъявляемых удалённым «ФПСУ-IP» данных, с учётом сеансовых договорённостей. Шифрование передаваемого пакета производится на производных от сеансовых ключей пакетных ключах, а аутентификация «ФПСУ-IP» - на долговременных ключах парно-выборочной связи. Схема двусторонней аутентификации «ФПСУ-IP», работающих в паре и создающих VPN-туннель для передачи IP-пакетов, обеспечивает устойчивость передаваемых данных к пассивному и активному перехвату информации. |