ВУЗ:
Составители:
вой адрес и имя другого пользователя. Значит, нужны иные средства обеспечения «неот-
казуемости» (невозможности отказаться) от совершенных действий.
Перечислим функции (сервисы) безопасности, характерные для распределенных
систем:
Аутентификация – обеспечивает аутентификацию партнеров по общению и аутен-
тификацию источника данных.
Аутентификация партнеров по общению используется при установлении соедине-
ния и, быть может, периодически во время сеанса. Она служит для предотвращения таких
угроз, как маскарад и повтор предыдущего сеанса связи.
Аутентификация источника данных – это подтверждение подлинности источника
отдельной порции данных. Функция не обеспечивает защиты против повторной передачи
данных.
Управление доступом – обеспечивает защиту от несанкционированного использова-
ния ресурсов, доступных по сети.
Конфиденциальность данных – обеспечивает защиту от несанкционированного по-
лучения информации. Различают следующие виды конфиденциальности:
− конфиденциальность данных с установлением соединения;
− конфиденциальность данных без установления соединения;
− конфиденциальность отдельных полей данных (избирательная конфиденциаль-
ность);
− конфиденциальность трафика (защита информации, которую можно получить,
анализируя трафик).
Целостность данных – подразделяется на подвиды в зависимости от того, какой тип
общения используют партнеры – с установлением соединения или без такового, защи-
щаются ли все данные или только отдельные поля, обеспечивается ли восстановление в
случае нарушения целостности.
Неотказуемость – это функция, обеспечивающая невозможность отказаться от со-
вершенных действий обеспечивает два вида услуг:
− неотказуемость с подтверждением подлинности источника данных;
− неотказуемость с подтверждением доставки.
Механизмы безопасности. Для реализации функций безопасности могут использо-
ваться следующие механизмы и их комбинации.
Шифрование – подразделяется на симметричное и асимметричное.
Различают также обратимое и необратимое шифрование. Последнее может исполь-
зоваться для вычисления криптографических контрольных сумм (хэш-функций, дайдже-
стов, имитовставок).
Электронная (цифровая) подпись – включает в себя две процедуры:
− выработку подписи;
− проверку подписанной порции данных.
Процедура выработки подписи использует информацию, известную только подпи-
сывающему порцию данных. Процедура проверки подписи является общедоступной, она
не должна позволять найти секретный ключ подписывающего.
Механизмы управления доступом. При принятии решений по поводу предоставле-
ния запрашиваемого типа доступа могут использоваться следующие виды и источники
информации:
− базы данных управления доступом (в такой базе, поддерживаемой централизо-
ванно или на оконечных системах, могут храниться списки управления доступом или
структуры аналогичного назначения);
− пароли или иная аутентификационная информация;
− токены, билеты или иные удостоверения, предъявление которых свидетельствует
о наличии прав доступа;
− метки безопасности, ассоциированные с субъектами и объектами доступа;
− время, маршрут и длительность запрашиваемого доступа.
Механизмы управления доступом могут располагаться на любой из общающихся
сторон или в промежуточной точке. В промежуточных точках целесообразно проверять
права доступа к коммуникационным ресурсам. Очевидно, требования механизма, распо-
ложенного на приемном конце, должны быть известны заранее, до начала общения.
Механизмы контроля целостности данных. Различают два аспекта целостности: це-
лостность отдельного сообщения или поля информации и целостность потока сообщений
или полей информации. Вообще говоря, контроль двух видов целостности осуществляет-
Страницы
- « первая
- ‹ предыдущая
- …
- 37
- 38
- 39
- 40
- 41
- …
- следующая ›
- последняя »
