HPAV Защита

Принятые процедуры контроля гарантируют, что только разрешённые приборы могут допускаться в AVLN. Способность станции поддерживать сложноструктурные ключи защиты позволяет ей участвовать в составных AVLN.

Весь трафик данных и трафик контроля в AVLN – исключение (исключение – событие, возникшее в процессе выполнения программы вследствие неудачи в выполнении какой-либо операции, и сделавшее невозможным дальнейшее выполнение программы) является абсолютно ограниченным множеством управляющих сообщений и попросту не может быть зашифровано – защищён 1128-битным AES шифрованием, что обеспечивает высокий уровень защиты. При таком шифровании используется Network Encryption Key (NEK) и оно представлено на отдельных сегментах. NEK может быть автоматически и динамически изменён.

Справка

Шифрование – преобразование данных криптографическими методами с целью получения зашифрованного (нечитаемого) текста. Алгоритм, переводящий отдельный текст в нечитаемую форму называется шифром, а специальная информация, знание которой необходимо для чтения зашифрованной информации, называется ключом. Даже если третья сторона знает алгоритм, с помощью которого зашифровали информацию, она не сможет её расшифровать, потому, что у неё не будет ключа.

Существуют две группы алгоритмов шифрования: с симметрическим ключом и с асимметрическим ключом. В алгоритмах с симметрическим ключом ключ известен отправителю и получателю, то есть один и тот же ключ используется для шифрования и дешифрования данных. Отправитель шифрует данные с помощью ключа и отправляет их получателю. Получатель принимает данные и расшифровывает их с помощью этого же ключа. В алгоритмах с асимметрическим ключом используются два отдельных ключа: публичный ключ и приватный ключ.

Алгоритмы с симметрическим ключом, в свою очередь, распределяются на два типа: блоковые шифры и потоковые шифры. Первые работают с блоками данных, а вторые – работают с потоком данных, шифруя байт за байтом.

Чтобы присоединиться к AVLN, станция должна получить Network Membership Key (NMK). Если же она уже располагает NMK, то может присоединиться к сети незамедлительно; если станция ещё не получила NEK, то должна быть им обеспечена. Такое обеспечение может происходить множеством различных способов:

* Использование NMK по умолчанию, который запрограммирован во все AV станции. Пока установленный по умолчанию NMK обеспечивает пользователю функцию «включай и работай» (plug and play) (принцип автоматического распознавания и конфигурирования подключенных устройств, реализуемый в компьютерах и широко поддерживаемый OC Windows) при установке оборудования в начальной стадии, он не предоставляет какой-либо конфиденциальности, так как известен каждой HPAV станции.
* Пользователь может определять и вводить Network Password (NPW) (Сетевой пароль) непосредственно в новую станцию. NPW необходим для создания NMK, 128-битного AES шифрования. Пользователь должен ввести NPW в список одной станции для определения NMK для AVLN.
* Все станции запрограммированы  с уникальным Device Access Key (DAK). Пользователь может ввести этот ключ в любую подходящую станцию в AVLN, а станция будет использовать DAK для зашифровки NMK и будет ретранслировать его. Как только у новой станции появляется DAK, она становится единственной станцией, способной декодировать ретранслируемые сообщения и единственной станцией, которая будет принимать новый NMK.
* При использовании асимметричного шифрования Public/Private Key, станции AV могут предоставлять пользователю возможность присоединения новой станции к AVLN без необходимости запоминания им ввода ключа. Это может быть осуществлено простым нажатием кнопки или выбором пункта меню на новой станции и на той станции, которая уже в AVLN.

Когда у станции уже есть верный NMK и она уже фактически присоединилась к AVLN, ей присваивается Network Encryption Key (NEK), который используется для шифрования данных во время сегментации в MAC.

Дизайн также позволяет менеджмент ключа шифрования верхним уровнем защиты и такие идентификационные стандарты, как 802.1 и EAP.