ProHoster > Blog > Tsamaiso > Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption

Ke ngotse tlhahlobo ena (kapa, haeba u rata, tataiso ea papiso) ha ke ne ke filoe mosebetsi oa ho bapisa lisebelisoa tse 'maloa ho tsoa ho barekisi ba fapaneng. Ho feta moo, lisebelisoa tsena e ne e le tsa lihlopha tse fapaneng. Ke ne ke tlameha ho utloisisa meralo le litšoaneleho tsa lisebelisoa tsena kaofela le ho theha "tsamaiso ea ho hokahanya" bakeng sa ho bapisa. Ke tla thaba haeba tlhahlobo ea ka e thusa motho e mong:

  • Utloisisa litlhaloso le litlhaloso tsa lisebelisoa tsa encryption
  • Khetholla litšobotsi tsa "pampiri" ho tseo e hlileng e leng tsa bohlokoa bophelong ba sebele
  • Fetela ho feta sete e tloaelehileng ea barekisi 'me u kenyeletse ho nahanela lihlahisoa leha e le life tse loketseng ho rarolla bothata
  • Botsa lipotso tse nepahetseng nakong ea lipuisano
  • Etsa litlhoko tsa Thendara (RFP)
  • Utloisisa hore na ke litšobotsi life tse tla tlameha ho etsoa sehlabelo haeba ho khethoa mofuta o itseng oa sesebelisoa

Se ka hlahlojoang

Ha e le hantle, mokhoa ona o sebetsa ho lisebelisoa leha e le life tse ikemetseng tse loketseng ho ngolisa sephethephethe sa marang-rang pakeng tsa likarolo tse hōle tsa Ethernet (cross-site encryption). Ke hore, "mabokose" boemong bo fapaneng (ho lokile, re tla kenyelletsa li-blades / modules bakeng sa chassis mona), tse hokahaneng ka koung e le 'ngoe kapa ho feta tsa Ethernet ho marang-rang a lehae (campus) Ethernet a nang le sephethephethe se sa ngolisoang, le ka boema-kepe bo bong ho ea ho kanale/marang-rang ao sephethephethe se seng se ntse se patiloe se fetisetsoang likarolong tse ling tse hole. Tharollo e joalo ea encryption e ka romelloa marang-rang a poraefete kapa a opareitara ka mefuta e fapaneng ea "lipalangoang" (fiber e lefifi, lisebelisoa tsa karohano ea frequency, switched Ethernet, hammoho le "pseudowires" tse behiloeng marang-rang a nang le meaho e fapaneng ea meralo, hangata MPLS. ), ka theknoloji ea VPN kapa ntle le eona.

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption
Khokahano ea marang-rang ho netweke ea Ethernet e phatlalalitsoeng

Lisebelisoa ka botsona li ka ba teng e ikgethileng (e reretsoeng ho ngolisoa feela), kapa multifunctional (hybrid, convergent), ke hore, le ho etsa mesebetsi e meng (mohlala, firewall kapa router). Barekisi ba fapaneng ba arola lisebelisoa tsa bona ka lihlopha / lihlopha tse fapaneng, empa sena ha se na taba - ntho ea bohlokoa feela ke hore na ba ka pata sephethephethe sa libaka, le hore na ba na le litšobotsi life.

Ha ho ka etsahala, ke u hopotsa hore "network encryption", "traffic encryption", "encryptor" ke mantsoe a sa reroang, le hoja a atisa ho sebelisoa. Mohlomong u ke ke ua li fumana melaong ea Serussia (ho kenyeletsoa le tse hlahisang li-GOST).

Maemo a encryption le mekhoa ea phetiso

Pele re qala ho hlalosa litšoaneleho ka botsona tse tla sebelisoa bakeng sa tlhahlobo, re tla tlameha ho utloisisa ntho e le 'ngoe ea bohlokoa, e leng "boemo ba encryption". Ke hlokometse hore hangata ho boleloa ka bobeli litokomaneng tsa barekisi ba molao (ka litlhaloso, libuka, joalo-joalo) le lipuisanong tse sa reroang (lipuisanong, lithupelo). Ke hore, e mong le e mong o bonahala a tseba hantle seo re buang ka sona, empa ka bonna ke bone pherekano e itseng.

Joale "tekanyo ea encryption" ke eng? Ho hlakile hore re bua ka palo ea lera la mohlala oa marang-rang oa OSI / ISO moo encryption e hlahang teng. Re bala GOST R ISO 7498-2–99 “Theknoloji ea tlhahisoleseling. Khokahano ea litsamaiso tse bulehileng. Mohlala oa motheo oa litšupiso. Karolo ea 2. Mehaho ea tšireletso ea tlhahisoleseding. Ho tsoa tokomaneng ena ho ka utloisisoa hore boemo ba ts'ebeletso ea lekunutu (e 'ngoe ea mekhoa ea ho fana ka encryption) ke boemo ba protocol, block block ya data ("payload", data ea mosebelisi) e patiloeng. Joalokaha e boetse e ngotsoe ka mokhoa o tloaelehileng, tšebeletso e ka fanoa ka bobeli boemong bo le bong, "ka boeona," le ka thuso ea boemo bo tlaase (ka mohlala, hangata e sebelisoa ho MACsec). .

Ha e le hantle, mekhoa e 'meli ea ho fetisetsa tlhahisoleseding e patiloeng holim'a marang-rang e khoneha (IPsec e tla kelellong hang-hang, empa mekhoa e tšoanang e boetse e fumanoa ho liprothokholo tse ling). IN sepalangoang (ka linako tse ling e boetse e bitsoa letsoalloa) mokhoa o encrypted feela tshebeletso thibela data, 'me lihlooho li lula li "butsoe", li sa ngolisoe (ka linako tse ling masimo a eketsehileng a nang le tlhahisoleseding ea tšebeletso ea algorithm ea encryption e kenyelletsoa, ​​​​'me masimo a mang a fetoloa le ho baloa bocha). IN kotopo mokhoa o tšoanang kaofela protocol thibela ea data (ke hore, pakete ka boeona) e patiloe 'me e kenyelelitsoe sebakeng sa polokelo ea data ea tšebeletso ea boemo bo tšoanang kapa bo phahameng, ke hore, e pota-potiloe ke lihlooho tse ncha.

Boemo ba encryption ka boeona ha bo kopane le mokhoa o mong oa phetisetso ha bo ntle kapa bo bobe, ka hona ho ke ke ha boleloa, ka mohlala, hore L3 ka mokhoa oa lipalangoang e betere ho feta L2 ka mokhoa oa kotopo. Ke feela hore litšobotsi tse ngata tseo lisebelisoa li hlahlojoang ka tsona li itšetlehile ka tsona. Ka mohlala, ho tenyetseha le ho lumellana. Ho sebetsa ka marang-rang L1 (molapo o fokolang), L2 (ho fetoha ha foreimi) le L3 (packet routing) ka mokhoa oa lipalangoang, o hloka litharollo tse encrypt ka mokhoa o ts'oanang kapa o phahameng (ho seng joalo, tlhahisoleseling ea aterese e tla ngolisoa 'me data e tla ngolisoa. ha e fihle moo e eang teng) , 'me mokhoa oa kotopo o hlola moeli ona (le hoja o tela litšobotsi tse ling tsa bohlokoa).

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption
Mekhoa ea lipalangoang le kotopo ea L2

Joale ha re tsoeleng pele ho sekaseka litšobotsi.

Tlhahiso

Bakeng sa encryption ea marang-rang, ts'ebetso ke mohopolo o rarahaneng, o nang le mefuta e mengata. Hoa etsahala hore mohlala o itseng, le hoja o phahame ho tšobotsi e 'ngoe ea ts'ebetso, o tlaase ho o mong. Ka hona, kamehla ho bohlokoa ho nahana ka likarolo tsohle tsa ts'ebetso ea encryption le phello ea bona ts'ebetsong ea marang-rang le lits'ebetso tse e sebelisang. Mona re ka etsa papiso le koloi, eo eseng feela lebelo le phahameng la bohlokoa, empa hape le nako ea ho potlakisa ho "makholo", tšebeliso ea mafura, joalo-joalo. Likhamphani tsa barekisi le bareki ba bona ba ka bang teng ba ela hloko haholo litšobotsi tsa ts'ebetso. E le molao, lisebelisoa tsa encryption li behiloe ho ipapisitsoe le ts'ebetso meleng ea barekisi.

Ho hlakile hore ts'ebetso e itšetlehile ka bobeli ba ho rarahana ha marang-rang le ts'ebetso ea "cryptographic" e entsoeng ka sesebelisoa (ho kenyeletsoa hantle hore na mesebetsi ena e ka bapisoa joang le ho kenngoa liphaephe), hammoho le ts'ebetso ea hardware le boleng ba firmware. Ka hona, mefuta ea khale e sebelisa lisebelisoa tse hlahisang litholoana haholoanyane; ka linako tse ling hoa khoneha ho e hlomella ka li-processor tse eketsehileng le li-module tsa memori. Ho na le mekhoa e mengata ea ho kenya ts'ebetsong mesebetsi ea li-cryptographic: ka kakaretso-purpose central processing unit (CPU), application-specific integrated circuit (ASIC), kapa field-programmable logic integrated circuit (FPGA). Mokhoa o mong le o mong o na le melemo le mathata. Mohlala, CPU e ka fetoha sekoaelo sa encryption, haholo haeba processor e se na litaelo tse ikhethileng ho ts'ehetsa algorithm ea encryption (kapa haeba e sa sebelisoe). Li-chips tse khethehileng ha li khone ho fetoha habonolo; ha se kamehla ho khonehang ho li "hlapisa" ho ntlafatsa ts'ebetso, ho eketsa mesebetsi e mecha, kapa ho felisa bofokoli. Ho phaella moo, tšebeliso ea bona e ba le phaello feela ka lihlahisoa tse kholo tsa tlhahiso. Ke ka lebaka leo "moelelo oa khauta" o se o tumme haholo - ts'ebeliso ea FPGA (FPGA ka Serussia). Ke ho FPGA moo ho etsoang seo ho thoeng ke li-accelerator tsa li-crypto - tse hahiloeng ka hare kapa li-plug-in tse khethehileng tsa hardware modules bakeng sa ho tšehetsa ts'ebetso ea cryptographic.

Kaha re bua ka marangrang encryption, hoa utloahala hore ts'ebetso ea litharollo e lokela ho lekanyetsoa ka bongata bo lekanang le ba lisebelisoa tse ling tsa marang-rang - throughput, peresente ea foreimi tahlehelo le latency. Litekanyetso tsena li hlalositsoe ho RFC 1242. Ka tsela, ha ho letho le ngotsoeng mabapi le phapang e atisang ho boleloa ea ho lieha (jitter) ho RFC ena. Joang ho lekanya bongata bona? Ha ke so fumane mokhoa o amohetsoeng ho latela maemo afe kapa afe (a semmuso kapa a seng a semmuso joalo ka RFC) ka ho khetheha bakeng sa encryption ea marang-rang. E ka ba ntho e utloahalang ho sebelisa mokhoa oa lisebelisoa tsa marang-rang tse kenyellelitsoeng ho RFC 2544. Barekisi ba bangata ba e latela - ba bangata, empa eseng kaofela. Mohlala, ba romella sephethephethe sa liteko ka tsela e le 'ngoe feela ho fapana le ka bobeli, joalo ka kgothaletswa maemo. Leha ho le joalo.

Ho lekanya ts'ebetso ea lisebelisoa tsa encryption ea marang-rang e ntse e na le litšobotsi tsa eona. Taba ea pele, ho nepahetse ho etsa litekanyo tsohle bakeng sa lisebelisoa tse peli: leha li-algorithms tsa encryption li lekana, tieho le tahlehelo ea lipakete nakong ea encryption le decryption ha e na ho lekana. Taba ea bobeli, hoa utloahala ho lekanya delta, phello ea encryption ea marang-rang ts'ebetsong ea ho qetela ea marang-rang, ho bapisa litlhophiso tse peli: ntle le lisebelisoa tsa encryption le tsona. Kapa, ​​​​joalokaha ho le joalo ka lisebelisoa tse nyalisitsoeng, tse kopanyang mesebetsi e 'maloa ho phaella ho encryption ea marang-rang, e nang le encryption e tingoe le ho tsoela pele. Tšusumetso ena e ka ba e fapaneng 'me e itšetlehile ka morero oa ho hokahanya ha lisebelisoa tsa encryption, ka mekhoa ea ts'ebetso,' me qetellong, ka mofuta oa sephethephethe. Haholo-holo, mekhoa e mengata ea ts'ebetso e itšetlehile ka bolelele ba lipakete, ke ka lebaka leo, ho bapisa ts'ebetso ea litharollo tse fapaneng, li-graph tsa mekhahlelo ena ho itšetlehile ka bolelele ba lipakete li atisa ho sebelisoa, kapa IMIX e sebelisoa - ho ajoa ha sephethephethe ka pakete. bolelele, e batlang e bonahatsa ea sebele. Haeba re bapisa ts'ebetso e ts'oanang ea motheo ntle le ho kenyelletsa, re ka bapisa litharollo tsa marang-rang tse kentsoeng ts'ebetsong ka tsela e fapaneng ntle le ho kena liphapang tsena: L2 le L3, lebenkele-le-pele ) ka ho khaola, ho khetheha ka convergent, GOST le AES joalo-joalo.

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption
Setšoantšo sa khokahano bakeng sa tlhahlobo ea ts'ebetso

Tšobotsi ea pele eo batho ba e elang hloko ke "lebelo" la sesebelisoa sa encryption, ke hore bandwidth (bandwidth) ea marang-rang a marang-rang, sekhahla sa phallo ea hanyane. E khethoa ke litekanyetso tsa marang-rang tse tšehetsoeng ke li-interfaces. Bakeng sa Ethernet, linomoro tse tloaelehileng ke 1 Gbps le 10 Gbps. Empa, joalo ka ha re tseba, marang-rang afe kapa afe ho na le theory e kholo tlhahiso (throughput) ho e 'ngoe le e' ngoe ea maemo a eona ho lula ho e-na le bandwidth e fokolang: karolo ea "bandwidth" e "joa" ke nako ea li-interframe, lihlooho tsa tšebeletso, joalo-joalo. Haeba sesebelisoa se khona ho amohela, ho sebetsa (ho rona, ho ngolla kapa ho senya) le ho fetisa sephethephethe ka lebelo le feletseng la sebopeho sa marang-rang, ke hore, ka tekanyo e phahameng ea theory bakeng sa boemo bona ba mohlala oa marang-rang, joale ho boleloa. ho sebetsa ka lebelo la mola. Ho etsa sena, hoa hlokahala hore sesebelisoa se se ke sa lahleheloa kapa sa lahla lipakete ka boholo leha e le bofe le ka makhetlo a mangata. Haeba sesebelisoa sa encryption se sa tšehetse ts'ebetso ka lebelo la mohala, joale boholo ba eona ba ho fetisa hangata bo hlalositsoe ka li-gigabits tse ts'oanang motsotsoana (ka linako tse ling e bonts'a bolelele ba lipakete - e khuts'oane lipakete, hangata ho fokotseha ho tlase). Ke habohlokoa haholo ho utloisisa hore boholo ba ho feta ke boholo ha ho tahlehelo (le haeba sesebelisoa se ka "phunya" sephethephethe ka boeona ka lebelo le phahameng, empa ka nako e ts'oanang se lahleheloa ke lipakete tse ling). Hape, hlokomela hore barekisi ba bang ba lekanya kakaretso ea phallo lipakeng tsa lipara tsohle tsa likou, kahoo linomoro tsena ha li bolele letho haeba sephethephethe se patiloeng se feta boema-kepeng bo le bong.

Ke hokae moo ho leng bohlokoa haholo ho sebetsa ka lebelo la mohala (kapa, ka mantsoe a mang, ntle le tahlehelo ea pakete)? Ka li-high-bandwidth, li-high-latency li-link (tse kang sathelaete), moo boholo ba fensetere ea TCP bo tlamehang ho behoa ho boloka lebelo le phahameng la phetisetso, le moo tahlehelo ea pakete e fokotsang haholo ts'ebetso ea marang-rang.

Empa ha se li-bandwidth tsohle tse sebelisetsoang ho fetisetsa data e sebetsang. Re tlameha ho ipapisa le seo ho thoeng ke litšenyehelo tse holimo (ka holimo) bandwidth. Ena ke karolo ea tšebetso ea sesebelisoa sa encryption (e le liphesente kapa li-byte pakete ka 'ngoe) e senyehileng (e ke keng ea sebelisoa ho fetisetsa data ea kopo). Litšenyehelo tse holimo li hlaha, pele, ka lebaka la keketseho ea boholo (ho eketsa, "stuffing") ea tšimo ea data ka lipakete tsa marang-rang tse patiloeng (ho itšetlehile ka algorithm ea encryption le mokhoa oa eona oa ho sebetsa). Taba ea bobeli, ka lebaka la ho eketseha ha bolelele ba lihlooho tsa lipakete (mokhoa oa kotopo, ho kenya ts'ebeletso ea encryption protocol, ketsiso ea ho kenya, joalo-joalo ho latela protocol le mokhoa oa ts'ebetso ea "cipher" le "transmission mode" - hangata litšenyehelo tsena tse holimo ke tsona ea bohlokoa ka ho fetisisa, 'me ba ela hloko pele. Ntlha ea boraro, ka lebaka la ho arohana ha lipakete ha boholo ba boholo ba lisebelisoa tsa data (MTU) bo fetisitsoe (haeba marang-rang a khona ho arola pakete e fetang MTU ho tse peli, ho kopitsa lihlooho tsa eona). Ntlha ea bone, ka lebaka la ponahalo ea tšebeletso e eketsehileng (taolo) sephethephethe ho marang-rang pakeng tsa lisebelisoa tsa ho kenyelletsa (bakeng sa phapanyetsano ea bohlokoa, ho kenya kotopo, joalo-joalo). Bohloko bo tlase bo bohlokoa moo matla a kanale a fokolang. Sena se bonahala ka ho khetheha ka sephethephethe se tsoang lipaketeng tse nyenyane, mohlala, lentsoe - moo litšenyehelo tsa holimo li ka "jang" ho feta halofo ea lebelo la mocha!

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption
Bandwidth

Qetellong, ho na le ho eketsehileng tieho e hlahisitsoeng - phapang (ka likaroloana tsa motsotsoana) ka ho lieha ha marang-rang (nako e nkang hore data e fete ho tloha ho kena marang-rang ho tloha ho eona) pakeng tsa phetisetso ea data ntle le le ka encryption ea marang-rang. Ka kakaretso, ha latency e tlase ("latency") ea marang-rang, e ba ea bohlokoa le ho feta latency e hlahisoang ke lisebelisoa tsa encryption. Ho lieha ho hlahisoa ke ts'ebetso ea encryption ka boeona (ho ipapisitse le algorithm ea encryption, bolelele ba block le mokhoa oa ts'ebetso ea cipher, hammoho le boleng ba ts'ebetsong ea eona ho software), le ts'ebetso ea pakete ea marang-rang sesebelisoa. . The latency e hlahisitsoeng e itšetlehile ka mokhoa oa ho sebetsa ka pakete (ho feta kapa ho boloka-pele) le ts'ebetso ea sethala (ts'ebetso ea lisebelisoa ho FPGA kapa ASIC hangata e potlakile ho feta ts'ebetsong ea software ho CPU). Encryption ea L2 e batla e na le latency e tlase ho feta L3 kapa L4 encryption, ka lebaka la hore lisebelisoa tsa encryption tsa L3/L4 hangata lia kopanngoa. Mohlala, ka li-encryptors tsa Ethernet tse lebelo le holimo tse kentsoeng tšebetsong ho FPGAs le ho encrypting ho L2, tieho ka lebaka la ts'ebetso ea encryption e nyane haholo - ka linako tse ling ha encryption e nolofalitsoe ka lisebelisoa tse peli, ho lieha ho felletseng ho hlahisitsoeng ke bona ho bile ho fokotseha! Ho lieha ho tlase ho bohlokoa moo ho ka bapisoang le tieho ea likanale ka kakaretso, ho kenyeletsoa tieho ea phatlalatso, e ka bang 5 μs ka khilomithara. Ke hore, re ka re bakeng sa marang-rang a litoropong (lik'hilomithara tse mashome ho pota), li-microseconds li ka etsa qeto e ngata. Mohlala, bakeng sa phetiso ea database ea synchronous, khoebo ea maqhubu a holimo, blockchain e tšoanang.

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption
tieho e hlahisitsoeng

Ho se sebetse

Marang-rang a maholo a ajoang a ka kenyelletsa li-node tse likete tse ngata le lisebelisoa tsa marang-rang, likarolo tse makholo tsa marang-rang a lehae. Ke habohlokoa hore litharollo tsa encryption li se ke tsa beha lithibelo tse eketsehileng ho boholo le topology ea marang-rang a ajoang. Sena se sebetsa haholo-holo ho palo e kholo ea liaterese tsa moamoheli le marang-rang. Mefokolo e joalo e ka 'na ea kopana le eona, mohlala, ha ho sebelisoa topology ea marang-rang e nang le lintlha tse ngata (e nang le likhokahano tse sireletsehileng tse ikemetseng, kapa lithanele) kapa mokhoa oa ho khetha (mohlala, ka nomoro ea protocol kapa VLAN). Haeba tabeng ena liaterese tsa marang-rang (MAC, IP, VLAN ID) li sebelisoa e le linotlolo tafoleng eo palo ea mela e lekanyelitsoeng ho eona, joale lithibelo tsena li hlaha mona.

Ho phaella moo, marang-rang a maholo a atisa ho ba le mekhahlelo e mengata ea meralo, ho kenyelletsa le marang-rang a mantlha, ao e 'ngoe le e' ngoe e sebelisang morero oa eona oa ho rarolla mathata le leano la eona la ho tsamaisa. Ho kenya ts'ebetsong mokhoa ona, hangata ho sebelisoa liforomo tse khethehileng tsa foreimi (tse kang Q-in-Q kapa MAC-in-MAC) le mekhoa ea ho khetholla litsela. E le hore e se ke ea sitisa kaho ea marang-rang a joalo, lisebelisoa tsa encryption li tlameha ho tšoara liforeimi tse joalo ka nepo (ke hore, ka kutloisiso ena, scalability e tla bolela ho lumellana - ho feta ho tse ka tlase).

Ho feto-fetoha le maemo

Mona re bua ka ho tšehetsa litlhophiso tse fapaneng, merero ea khokahano, topology le lintho tse ling. Mohlala, bakeng sa marang-rang a fetotsoeng a ipapisitseng le mahlale a Carrier Ethernet, sena se bolela ts'ehetso ea mefuta e fapaneng ea likhokahano tse fumanehang (E-Line, E-LAN, E-Tree), mefuta e fapaneng ea lits'ebeletso (ka boema-kepe le VLAN) le mahlale a fapaneng a lipalangoang. (ba se ba thathamisitse ka holimo). Ke hore, sesebelisoa se tlameha ho khona ho sebetsa ka bobeli ba linear ("point-to-point") le mekhoa e mengata, ho theha lithanele tse arohaneng bakeng sa li-VLAN tse fapaneng, le ho lumella ho fana ka liphutheloana ka ntle ho taelo ka har'a mocha o sireletsehileng. Bokhoni ba ho khetha mekhoa e fapaneng ea li-cipher (ho kenyeletsoa ka netefatso ea litaba kapa ntle le eona) le mekhoa e fapaneng ea phetisetso ea lipakete e u lumella ho beha tekano lipakeng tsa matla le ts'ebetso ho latela maemo a hajoale.

Ho bohlokoa hape ho ts'ehetsa marang-rang a poraefete ka bobeli, thepa ea eona e nang le mokhatlo o le mong (kapa o hiriloe ho eona), le marang-rang a opareitara, likarolo tse fapaneng tsa tsona li laoloang ke lik'hamphani tse fapaneng. Ho molemo haeba tharollo e lumella tsamaiso ka bobeli ka tlung le ka motho e mong (ho sebelisa mohlala oa tšebeletso o laoloang). Ho marang-rang a marang-rang, mosebetsi o mong oa bohlokoa ke ts'ehetso bakeng sa ho hira batho ba bangata (ho arolelana le bareki ba fapaneng) ka mokhoa oa ho itšehla thajana ka mokhoa oa ho itšehla thajana ho bareki ka bomong (ba ngolisitseng) bao sephethephethe sa bona se fetang ka sete e tšoanang ea lisebelisoa tsa encryption. Hangata sena se hloka tšebeliso ea lihlopha tse arohaneng tsa linotlolo le litifikeiti bakeng sa moreki e mong le e mong.

Haeba sesebelisoa se rekoa bakeng sa boemo bo itseng, joale likarolo tsena kaofela li ka 'na tsa se ke tsa e-ba tsa bohlokoa haholo - u hloka feela ho etsa bonnete ba hore sesebelisoa se tšehetsa seo u se hlokang hona joale. Empa haeba tharollo e rekoa "bakeng sa kholo", ho tšehetsa maemo a nakong e tlang hape, 'me e khethiloe e le "tekanyetso ea mekhatlo", joale ho feto-fetoha ha maemo ho ke ke ha e-ba ntho e sa hlokahaleng - haholo-holo ho nahanela lithibelo tsa ho sebelisana ha lisebelisoa ho tsoa ho barekisi ba fapaneng ( ho feta mona ka tlase).

Bonolo le boiketlo

Boiketlo ba ts'ebeletso hape ke mohopolo oa lintho tse ngata. Hoo e ka bang, re ka bolela hore ena ke nako eohle e sebelisoang ke litsebi tsa mangolo a itseng a hlokahalang ho tšehetsa tharollo ka mekhahlelo e fapaneng ea potoloho ea bophelo ba eona. Haeba ho se na litšenyehelo, 'me ho kenya, ho hlophisa, le ts'ebetso e ikemela ka ho feletseng, joale litšenyehelo ke zero' me bonolo ke ntho e feletseng. Ha e le hantle, sena ha se etsahale lefatšeng la sebele. Khakanyo e utloahalang ke mohlala "lefito holim'a terata" (bump-in-the-wire), kapa khokahanyo e pepeneneng, eo ho eona ho eketsa le ho tima lisebelisoa tsa encryption ho sa hlokeng liphetoho tsa letsoho kapa tsa othomathike ho tlhophiso ea marang-rang. Ka nako e ts'oanang, ho boloka tharollo ho nolofalitsoe: o ka bula le ho tima ts'ebetso ea encryption ka mokhoa o sireletsehileng, 'me haeba ho hlokahala, feela "feela" sesebelisoa ka thapo ea marang-rang (ke hore, hokela ka ho toba likoung tseo tsa lisebelisoa tsa marang-rang tseo ho tsona. se ne se hokahane). Ke 'nete, ho na le tšitiso e le' ngoe - mohlaseli a ka etsa se tšoanang. Ho kenya ts'ebetsong molao-motheo oa "node ka terata", ho hlokahala hore u se ke ua nahana ka sephethephethe feela lera la dataempa likarolo tsa taolo le taolo - lisebelisoa li tlameha ho ba pepeneneng ho bona. Ka hona, sephethephethe se joalo se ka ngolisoa feela ha ho se na ba amohelang mefuta ena ea sephethephethe marang-rang pakeng tsa lisebelisoa tsa encryption, kaha haeba e lahliloe kapa e patiloe, joale ha o nolofalletsa kapa o thibela ho ngolla, tlhophiso ea marang-rang e ka fetoha. Sesebediswa sa encryption se ka boela sa pepeseha ho matshwao a mmele. Haholo-holo, ha lets'oao le lahlehile, le tlameha ho fetisa tahlehelo ena (ke hore, tima li-transmitters tsa eona) pele le morao ("bakeng sa eona") ka tsela ea pontšo.

Tšehetso ea karohano ea bolaoli pakeng tsa ts'ireletso ea tlhahisoleseding le mafapha a IT, haholo-holo lefapha la marang-rang, le eona ke ea bohlokoa. Tharollo ea encryption e tlameha ho ts'ehetsa taolo ea phihlello ea mokhatlo le mohlala oa tlhahlobo. Tlhokahalo ea tšebelisano lipakeng tsa mafapha a fapaneng ho etsa ts'ebetso e tloaelehileng e lokela ho fokotsoa. Ka hona, ho na le molemo mabapi le ho ba bonolo bakeng sa lisebelisoa tse khethehileng tse tšehetsang feela mesebetsi ea encryption 'me e pepenene ka hohle kamoo ho ka khonehang ts'ebetsong ea marang-rang. Ka mantsoe a bonolo, basebetsi ba ts'ireletso ea tlhahisoleseling ha baa lokela ho ba le lebaka la ho ikopanya le "litsebi tsa marang-rang" ho fetola maemo a marang-rang. Le bona, ha baa lokela ho ba le tlhoko ea ho fetola litlhophiso tsa encryption ha ba boloka marang-rang.

Ntlha e 'ngoe ke bokhoni le boiketlo ba li-control. Li lokela ho ba tse bonahalang, tse utloahalang, li fane ka li-export-export tsa litlhophiso, li-automation, joalo-joalo. Hang-hang u lokela ho ela hloko hore na ke mekhoa efe ea tsamaiso e fumanehang (hangata tikoloho ea bona ea tsamaiso, sebopeho sa marang-rang le mola oa taelo) le hore na e mong le e mong oa bona o na le lihlopha life (ho na le meeli). Mosebetsi oa bohlokoa ke tšehetso kantle ho sehlopha (out-of-band) taolo, ke hore, ka marang-rang a inehetseng a taolo, le ka har'a sehlopha (in-band) control, ke hore, ka marang-rang a tloaelehileng ao sephethephethe se molemo se fetisoang ka sona. Lisebelisoa tsa tsamaiso li tlameha ho bontša maemo ohle a sa tloaelehang, ho kenyeletsoa le liketsahalo tsa ts'ireletso ea tlhahisoleseding. Ts'ebetso e tloaelehileng, e pheta-phetoang e lokela ho etsoa ka bo eona. Sena se amana haholo le taolo ea mantlha. Li lokela ho hlahisoa/abuoe ka bo eona. Tšehetso ea PKI ke phaello e kholo.

sebeletsana

Ke hore, ho lumellana ha sesebelisoa le litekanyetso tsa marang-rang. Ho feta moo, sena ha se bolele feela litekanyetso tsa indasteri tse amoheloang ke mekhatlo e nang le matla e kang IEEE, empa hape le liprothokholo tsa beng ba indasteri, joalo ka Cisco. Ho na le mekhoa e 'meli ea mantlha ea ho netefatsa tšebelisano: ebang ke ka ponaletso, kapa ka tšehetso e hlakileng protocol (ha sesebelisoa sa encryption se fetoha e 'ngoe ea li-node tsa marang-rang bakeng sa protocol e itseng' me se sebetsana le sephethephethe sa taolo ea protocol ena). Ho lumellana le marang-rang ho itšetlehile ka ho phethahala le ho nepahala ha ts'ebetsong ea liprothokholo tsa taolo. Ho bohlokoa ho ts'ehetsa likhetho tse fapaneng bakeng sa boemo ba PHY (lebelo, mokhoa oa phetisetso, sekema sa khouto), liforeimi tsa Ethernet tsa lifomate tse fapaneng ka MTU efe kapa efe, liprothokholo tse fapaneng tsa ts'ebeletso ea L3 (haholo-holo lelapa la TCP/IP).

Ponaletso e netefatsoa ka mekhoa ea phetoho (ho fetola ka nakoana litaba tsa lihlooho tse bulehileng tsa sephethephethe lipakeng tsa li-encryptors), ho tlola (ha lipakete tsa motho ka mong li lula li sa ngolisoa) le ho kenella ha qalo ea encryption (ha hangata likarolo tse patiloeng tsa lipakete li sa ngolisoa).

Mokhoa oa ho lekanya le ho bapisa lisebelisoa tsa Ethernet Encryption
Ka moo ponaletso e netefatswang

Ka hona, kamehla hlahloba hantle hore na tšehetso ea protocol e itseng e fanoa joang. Hangata tšehetso ka mokhoa o hlakileng e bonolo ebile e ka tšeptjoa.

Ts'ebelisano

Sena se boetse se lumellana, empa ka kutloisiso e fapaneng, e leng bokhoni ba ho sebetsa hammoho le mefuta e meng ea lisebelisoa tsa ho kenyelletsa, ho kenyelletsa le tse tsoang ho bahlahisi ba bang. Ho hongata ho ipapisitse le boemo ba maemo a li-protocol tsa encryption. Ha ho na litekanyetso tse amoheloang ka kakaretso ho L1.

Ho na le maemo a 2ae (MACsec) bakeng sa encryption ea L802.1 ho marang-rang a Ethernet, empa ha e sebelise pheletso ho isa pheletsong (qetellong-ho-qetellong), le interport, "hop-by-hop" encryption, 'me phetolelong ea eona ea pele ha e tšoanelehe ho sebelisoa marang-rang a ajoang, kahoo li-extensions tsa eona tsa thepa li hlahile tse hlōlang moeli ona (ho hlakile, ka lebaka la ho sebelisana le lisebelisoa tse tsoang ho bahlahisi ba bang). Ke 'nete, ka selemo sa 2018, tšehetso ea marang-rang a ajoang e ile ea eketsoa ho maemo a 802.1ae, empa ho ntse ho se na tšehetso bakeng sa li-algorithm tsa GOST encryption. Ka hona, li-protocol tsa "L2" tse nang le thepa, tse sa tloaelehang, joalo ka molao, li khetholloa ka katleho e kholo (haholo-holo, ka holimo ho bandwidth) le ho feto-fetoha ha maemo (bokhoni ba ho fetola li-algorithms le mekhoa ea encryption).

Maemong a holimo (L3 le L4) ho na le litekanyetso tse tsebahalang, haholo-holo IPsec le TLS, empa le mona ha ho bonolo hakaalo. 'Nete ke hore e' ngoe le e 'ngoe ea litekanyetso tsena ke sete sa liprothokholo, e' ngoe le e 'ngoe e na le liphetolelo tse fapaneng le li-extensions tse hlokahalang kapa khetho bakeng sa ts'ebetsong. Ho feta moo, bahlahisi ba bang ba khetha ho sebelisa liprothokholo tsa bona tsa encryption ho L3/L4. Ka hona, maemong a mangata ha ua lokela ho itšetleha ka ho sebelisana ka ho feletseng, empa ke habohlokoa hore bonyane tšebelisano pakeng tsa mehlala e fapaneng le meloko e fapaneng ea moetsi a le mong e tiisetsoe.

Ho tšepahala

Ho bapisa litharollo tse fapaneng, o ka sebelisa nako e bolelang lipakeng tsa liphoso kapa ntho e fumanehang. Haeba lipalo tsena li sa fumanehe (kapa ha ho na tšepo ho tsona), joale papiso ea boleng e ka etsoa. Lisebelisoa tse nang le taolo e bonolo li tla ba le monyetla (kotsi e fokolang ea liphoso tsa tlhophiso), li-encryptors tse khethehileng (ka lebaka le tšoanang), hammoho le litharollo tse nang le nako e fokolang ea ho lemoha le ho felisa ho hloleha, ho kenyelletsa le mekhoa ea "chesang" bekapo ea node kaofela le lisebelisoa.

ditjeho tsa ho

Ha ho tluoa tabeng ea litšenyehelo, joalo ka litharollo tse ngata tsa IT, hoa utloahala ho bapisa litšenyehelo tsohle tsa beng. Ho e bala, ha ho hlokahale hore u tsosolose lebili, empa u sebelise mokhoa leha e le ofe o loketseng (mohlala, ho tloha Gartner) le k'halkhuleita leha e le efe (mohlala, e seng e ntse e sebelisoa mokhatlong ho bala TCO). Ho hlakile hore bakeng sa tharollo ea marang-rang a encryption, litšenyehelo tsohle tsa beng li na le otloloha litšenyehelo tsa ho reka kapa ho hira tharollo ka boeona, lisebelisoa tsa lisebelisoa tsa ho amohela thepa le litšenyehelo tsa ho tsamaisa, tsamaiso le tlhokomelo (ebang ke ka tlung kapa ka mokhoa oa litšebeletso tsa batho ba bang), hammoho le e sa tobang litšenyehelo tse tsoang ho nako ea tharollo (e bakoang ke tahlehelo ea tlhahiso ea basebelisi ba ho qetela). Mohlomong ho na le boqhetseke bo le bong feela. Tšusumetso ea ts'ebetso ea tharollo e ka nkoa ka litsela tse sa tšoaneng: ebang ke litšenyehelo tse sa tobang tse bakoang ke tlhahiso e lahlehileng, kapa e le "virtual" litšenyehelo tse tobileng tsa ho reka / ho ntlafatsa le ho boloka lisebelisoa tsa marang-rang tse lefellang tahlehelo ea ts'ebetso ea marang-rang ka lebaka la tšebeliso ea lisebelisoa tsa marang-rang. khoaso. Ho sa tsotellehe boemo leha e le bofe, litšenyehelo tseo ho leng thata ho li bala ka ho nepahala ho lekaneng li molemo ka ho fetisisa ho tloha ho palo: ka tsela ena ho tla ba le tšepo e eketsehileng ka boleng ba ho qetela. 'Me, joalo ka tloaelo, ho sa tsotellehe boemo leha e le bofe, hoa utloahala ho bapisa lisebelisoa tse fapaneng ka TCO bakeng sa boemo bo itseng ba tšebeliso ea bona - ea sebele kapa e tloaelehileng.

Fortitude

'Me tšobotsi ea ho qetela ke ho phehella ha tharollo. Maemong a mangata, ho tšoarella ho ka hlahlojoa feela ka boleng ka ho bapisa litharollo tse fapaneng. Re tlameha ho hopola hore lisebelisoa tsa encryption hase mokhoa feela, empa hape ke ntho ea tšireletso. Ba ka 'na ba pepesehela litšokelo tse fapaneng. Ka pele-pele ke litšokelo tsa tlōlo ea lekunutu, tlhahiso le phetoho ea melaetsa. Litšokelo tsena li ka bonoa ka bofokoli ba "cipher" kapa mekhoa ea eona ka bomong, ka bofokoli ba liprothokholo tsa encryption (ho kenyeletsoa le methating ea ho theha khokahano le linotlolo tsa ho hlahisa / tsa ho aba). Monyetla e tla ba oa litharollo tse lumellang ho fetola algorithm ea encryption kapa ho fetola mokhoa oa cipher (bonyane ka ntlafatso ea firmware), tharollo e fanang ka encryption e felletseng ka ho fetesisa, e ipatelang mohlaseli eseng feela data ea mosebelisi, empa hape le aterese le tlhaiso-leseling e ngoe ea lits'ebeletso. , hammoho le litharollo tsa tekheniki tse sa kenyelletseng feela, empa hape li sireletsa melaetsa ho tsoa ho ikatisa le ho fetoloa. Bakeng sa li-algorithms tsohle tsa sejoale-joale tsa encryption, li-signature tsa elektronike, moloko oa bohlokoa, joalo-joalo, tse kentsoeng ka litekanyetso, matla a ka nkoa a tšoana (ho seng joalo u ka lahleha feela ka har'a naha ea cryptography). Na tsena e lokela ho ba li-algorithms tsa GOST? Ntho e 'ngoe le e' ngoe e bonolo mona: haeba boemo ba kopo bo hloka setifikeiti sa FSB bakeng sa CIPF ('me Russia hangata ho joalo; bakeng sa maemo a mangata a ho kenyelletsa marang-rang sena ke' nete), joale re khetha feela pakeng tsa tse tiisitsoeng. Haeba ho se joalo, ha ho na lebaka la ho qhelela lisebelisoa ntle le litifikeiti ho nahanoa.

Tšokelo e 'ngoe ke tšokelo ea ho qhekella, phihlello e sa lumelloeng ea lisebelisoa (ho kenyeletsoa ka phihlello ea 'mele kantle le kahare ho nyeoe). Tšokelo e ka etsoa ka
bofokoli ts'ebetsong - ho hardware le khoutu. Ka hona, litharollo tse nang le "sebaka sa tlhaselo" ka marang-rang, tse nang le lits'oants'o tse sirelelitsoeng ho tsoa ho 'mele (ka li-sensor tsa intrusion, ts'ireletso ea ho hlahloba le ho khutlisetsa tlhaiso-leseling ea bohlokoa ha ho buloa) hammoho le tse lumellang ntlafatso ea firmware. molemo ha ho ka etsahala hore bofokodi ba khoutu bo tsejoe. Ho na le tsela e 'ngoe: haeba lisebelisoa tsohle tse bapisoang li na le litifikeiti tsa FSB, joale sehlopha sa CIPF seo setifikeiti se fanoeng ka sona se ka nkoa e le sesupo sa ho hanyetsa ho hacking.

Qetellong, mofuta o mong oa tšokelo ke liphoso nakong ea ho seta le ts'ebetso, ntlha ea motho ka mokhoa oa eona o hloekileng. Sena se bontša molemo o mong oa li-encryptor tse khethehileng holim'a litharollo tse kopantsoeng, tseo hangata li lebisitsoeng ho "litsebi tsa marang-rang" tse nang le phihlelo 'me li ka baka mathata ho "tloaelehileng", litsebi tsa ts'ireletso ea tlhahisoleseding e akaretsang.

Kakaretso

Ha e le hantle, mona ho ka khoneha ho fana ka tlhahiso ea mofuta o mong oa pontšo ea ho bapisa lisebelisoa tse fapaneng, ntho e kang

$$pontsho$$K_j=∑p_i r_{ij}$$pontsho$$

moo p e leng boima ba letšoao, 'me r ke boemo ba sesebelisoa ho latela letšoao lena,' me leha e le efe ea litšobotsi tse thathamisitsoeng ka holimo e ka aroloa ka matšoao a "atomic". Foromo e joalo e ka ba molemo, ho etsa mohlala, ha ho bapisoa litlhahiso tsa lithendara ho latela melao e reriloeng esale pele. Empa u ka khona ho feta ka tafole e bonolo joalo ka

Litšobotsi
Sesebelisoa sa 1
Sesebelisoa sa 2
...
Sesebelisoa sa N

Bandwidth
+
+

+++

Lihlooho tse holimo
+
++

+++

Ho lieha
+
+

++

Ho se sebetse
+++
+

+++

Ho feto-fetoha le maemo
+++
++

+

Ts'ebelisano
++
+

+

sebeletsana
++
++

+++

Bonolo le boiketlo
+
+

++

mamello ea liphoso
+++
+++

++

ditjeho tsa ho
++
+++

+

Fortitude
++
++

+++

Ke tla thabela ho araba lipotso le ho nyatsuoa ho hahang.

Source: www.habr.com

Eketsa ka tlhaloso