Типы и идентификаторы преобразований
Содержимое поля Аутентификационные
данные при аутентификации с использованием цифровых подписей
Инициатор - i
AUTH = SIGi{(SAi1,KEi,Ni),Nr,prf(SK_pi,IDi’}
Ответчик- r
AUTH = SIGr{(SAr1,KEr,Nr),Ni,prf(SK_pr,IDr’}
Содержимое поля Аутентификационные данные при аутентификации с использованием заранее распределенного ключа
AUTH = prf(prf(Shared Secret, “Key Pad for IKEv2”,
(<msg octets’}
Генерация ключевого материала для IKE_SA
SK_d используется для получения новых ключей для CHILD_SA; SK_ai, SK_ar – ключи аутентификации сообщений в
SK_ei, SK_er - ключи шифрования сообщений SK_pi, SK_pr - ключи хэширующей функции
Генерация ключевого материала в дополнительном обмене СREATE_CHILD_SA
Ключи шифрования берутся из первых октетов KEYMAT ключи аутентификации из следующих октетов
Алгоритм формирования ключей на основе однонаправленных функций (алгоритм Диффи-Хеллмана)
А |
yA |
В |
yB |
Сравнительная характеристика VPN продуктов отечественного производства
|
|
|
|
|
|
|
|
ШИП |
Застава |
ФПСУ-IP |
VipNet |
Конти |
Криптон |
|
|
|
|
|
нент-К |
-IP |
Производи |
МО |
Элвис+ |
Амикон |
Инфо- |
Информ |
Анкад |
тель |
ПНИЭИ |
|
|
Текс |
защита |
|
Операц. |
FreeBSD |
Win |
Cобствен |
Win |
Win NT |
MS-DOS |
система |
|
NT/95/98 |
ная |
NT/95/98/ |
|
5.0 и |
|
|
Sparc/Intel |
|
ME/2000 |
|
выше |
|
|
Solaris |
|
Linux |
|
|
Сертификат |
Сертиф. |
Класс 3 |
Класс 3 |
Класс 1В для |
Класс 3 |
Принят |
ГТК или |
ФАПСИ |
|
|
АС и класс 3 |
|
в |
ФАПСИ |
|
|
|
МЭ |
|
сертиф. |
Использование |
ГОСТ |
ГОСТ |
ГОСТ |
ГОСТ |
ГОСТ |
ГОСТ |
ГОСТ |
28147-89 |
28147-89 |
28147-89 |
28147-89 |
28147-89 |
28147-89 |
Фильтрация с |
Да |
Да |
Да |
Да |
Да |
Н/д |
учетом любых |
|
|
|
|
|
|
значимых |
|
|
|
|
|
|
полей сетевых |
|
|
|
|
|
|
пакетов |
|
|
|
|
|
|
Фильтрация |
Да |
Да |
Да |
Да |
Да |
Н/д |
на транспортн. |
(TCP/ |
(TCP/ |
(TCP/ |
(TCP/ |
(TCP/ |
|
уровне |
UDP) |
UDP) |
UDP) |
UDP) |
UDP) |
|
запросов |
|
|
|
|
|
|
Сравнительная характеристика российских VPN-продуктов
Трансляция |
-/+ |
-/+ |
-/+ |
-/+ |
-/+ |
Н/д |
номеров |
|
|
|
|
|
|
портов/сетев. |
|
|
|
|
|
|
адресов |
|
|
|
|
|
|
Аутентифика- |
Да, хэш-е |
Да, хеш |
Да, хэш-е |
Нет |
Да, реж. |
Да, |
ция трафика |
по ГОСТ |
ф-ция по |
по ГОСТ |
|
ими-вки |
одностор. |
|
Р 34.11-94 |
алг. MD-5 |
Р 34.11-94 |
|
по ГОСТ |
аутент. с |
|
|
|
|
|
28147-89 |
имитовст. |
Базовый |
SKIP |
SKIP |
Собствен |
Собствен |
Собствен |
Собствен |
протокол |
|
|
ный |
ный |
ный |
ный |
Расходы на |
112 байт |
112 байт |
18-20 байт |
30-80 байт |
26-36 |
Н/д |
поддержку |
на пакет |
на пакет |
на пакет |
на пакет |
байт на |
|
туннелей |
|
|
|
|
пакет |
|
Кол-во |
Н/д |
1400 |
до1024 на |
Win. 50, |
не более |
Н/д |
одновременно |
|
|
кажд. сет. |
Linux -300 |
500 на |
|
туннелей |
|
|
интерф. |
|
кажд КШ |
|
Возможность |
Да |
Да |
Да |
Н/д |
Н/д |
Н/д |
каскадирован. |
|
|
|
|
|
|
туннелей |
|
|
|
|
|
|
Пропускная |
8 (Р-200) |
8 (Р-200) |
11 (Р-200) |
9,5 (P- |
17,4 (Cel. |
1,2-1,8 |
способность |
|
|
|
III/450) |
500) |
(Intel 486) |
Мбит/с |
|
|
|
|
|
|
Цена, долл. |
Н/д |
2500-3000 |
1000-1500 |
Н/д |
Н/д |
350 |