шими суб'єктами / об'єктами зі складу VPN (для кожної пари суб'єктів / об'єктів свій сеансовий ключ), і при сеансові ідентифікації суб'єкта / об'єкта на сервері VPN при запиті таблиці сеансових ключів.
сеансові ідентифікація суб'єкта / об'єкта на сервері VPN здійснюється наступним чином. Клієнтська частина СЗІ автоматично при включенні комп'ютера, якщо ідентифікується суб'єкт / об'єкт комп'ютер, або за запитом користувача - при підключенні користувачем до комп'ютера носія з ідентифікуючої його інформацією - ID і технологічним ключем шифрування, якщо ідентифікується суб'єкт / об'єкт користувач, звертається до сервера VPN, висилаючи йому у відкритому вигляді відповідний ідентифікатор (ID) та хеш (необоротне шифрування) технологічного ключа. Сервер VPN, отримавши запит від суб'єкта / об'єкта, визначає його ID, визначає коректність відповідності технологічного ключа та ID. Якщо вони відповідають, сеансові ідентифікація суб'єкта / об'єкта вважається успішною (про це, і у випадку некоректної ідентифікації, на сервері VPN відкладається відповідна інформація в аудиті).
В СЗІ реалізовано три ієрархічних рівня реалізації розмежувальної політики доступу до ресурсів корпоративної VPN.
Перший рівень - рівень контролю доступу до мережевих ресурсів. Складається в повну заборону доступу до мережевих ресурсів не ідентифікованих суб'єктів / об'єктів. Реалізується такий спосіб. Незалежно від того, як визначено суб'єкта / об'єкт доступу, на якому встановлена ??клієнтська частина СЗІ, окрім, як до сервера VPN, до здійснення його успішної ідентифікації на сервері VPN (що підтверджується завантаженням з сервера таблиці сеансових ключів шифрування), неможливий.
Другий рівень - рівень контролю доступу до корпоративних ресурсів. Складається в реалізації різних можливостей доступу до мережевих ресурсів для корпоративних і довірених суб'єктів / об'єктів. Корпоративним суб'єктам / об'єктам дозволяється взаємодію тільки з корпоративними суб'єктами / об'єктами, при цьому їх трафік шифрується відповідними сеансовими ключами (для кожної пари суб'єкт / об'єкт свій сеансовий ключ шифрування). Довіреною суб'єктам / об'єктам дозволяється взаємодія, як з корпоративними суб'єктами / об'єктами, при цьому їх трафік шифрується відповідними сеансовими ключами (для кожної пари суб'єкт / об'єкт свій сеансовий ключ шифрування), так і з зовнішніми стосовно корпорації суб'єктами / об'єктами, при цьому їх трафік не шифрується. Це реалізується в такий спосіб. При мережевій взаємодії в рамках VPN, взаємодіючі клієнтські частини взаємно ідентифікують один одного (обмінюються своїми ID). Результатом подібної взаємної ідентифікації є прийняття сторонами рішення про можливість взаємодії, при можливості - вибір способу взаємодії, при виборі захищеного способу - вибір сеансового ключа шифрування. Так, якщо до корпоративного суб'єкту / об'єкту звертається корпоративний суб'єкт / об'єкт, буде здійснена взаємна ідентифікація суб'єктів / об'єктів клієнтськими частинами СЗІ, взаємодія сторонам буде дозволено, кожною стороною буде однозначно визначено сеансовий ключ шифрування (він свій для кожної пари ідентифікованих суб'єктів / об'єктів). Те ж відбудеться, якщо до довіреного суб'єкту / об'єкту звертається довірений суб'єкт / об'єкт (їх взаємодія буде дозволено по захищеному сеансовим ключем каналу). У разі якщо до корпоративного суб'єкту / об'єкту звертається якийсь зовнішній...
