Прежде  чем  интегрировать  различные  механизмы  сетевой защиты,
необходимо,  необходимо составить спецификацию функций защиты для
данной  сети.  Список  функций  защиты ВС переведен в разд.1.3.3.
Каждой  функции  из  разд.  1.3.3  ниже будет сопоставлен один из
механизмов  защиты,  описанных  выше. Затем все эти функции будут
интегрированы  с  учетом  их  функциональных  характеристик  и  с
использованием   информационной   базы  управления  защитой  SMIB
(Security   Management   Information   Base).  Здесь  же  описана
интеграция  механизмов,  идей  и  решений,  изложенных  в  книге.
Механизмы   защиты  объектов  ВС  Идентификация  и  подтверждение
подлинности  объектов  ВС  представляют  собой  сходные  функции,
поскольку   ставят  целью  проверить,  является  ли  пользователь
действительно   тем,   кем  себя  объявляет.  Выше  были  описаны
следующие  механизмы реализации этих функций: - простой пароль; -
изменяющийся пароль; - использование криптографии; - рукопожатие.
В  качестве  других  возможных  механизмов  можно предположить: -
ответы  на  запросы  /BART84/; - верификацию сигнатур /ACHE86/; -
использование  отличительных  знаков  -  "интелектуальных  меток"
(intelegent   tokens)   /CHOR86/;   -   использование   некоторых
персональных   характеристик.   Механизмы   защиты  для  процедур
подтверждения  подлинности  будут  рассмотрены вместе с функциями
управления   доступом.   Взаимоподтверждение  подлинности  обычно
обеспечивается  механизмами  запрос-ответ  или протоколами обмена
ключей.  Для  реализации  механизмов цифровой печати или цифровой
сигнатуры   чаще   всего  используются  ассиметричные  (открытые)
криптографические   системы.   Механизмы   удостоверяющей  почты,
подтверждения  передачи  сообщений, защиты отправлений по каналам
электронной   почты   и   при  проведении  телеконференций  могут
рассматриваться   как  сложные  функции,  реализуемые  на  основе
механизмов  цифровой  печати  и цифровых сигнатур. Удостоверяющая
почта   -  функция  сетевой  защиты,  при  использовании  которой
отправитель  на  каждое посланное сообщение получает уведосмение,
подтверждающее   доставку.   Подтверждение  передачи  -  функция,
которая  не позволяет учасникам передачи отказаться ни от участия
в   связи,  ни  от  содержимого  переданного  сообщения.  Система
защищенной  электронной  почты  интегрирует функции подтверждения
подлинности   отправителя   и   получателя,   защиту  содержимого
сообщения,  обеспечение  целостности и достоверности передаваемых
сообщений,   связь   с   использованием  псевдонимов,  защиту  от
наблюдения за передачей сообщений по каналам связи, подтверждение
передачи и возможность отложенной проверки всех элементов системы
электронной    почты.    Функция    проведения    телеконференций
обеспечивает  формирование замкнутой группы пользователей и обмен
информацией  между  ними  с определенными параметрами защиты. При
кооперированиии взаимонедоверяющих объектов реализуются следующие
функции    защиты:    подписание    контракта,    жеребьевка    и
(k,n)-пороговые  схемы.  Первые две функции могут быть отнесены к
параллельным   протоколам   в   последовательном   канале,  когда
пользователи    могут    обмениваться    только   информацией   с
эквивалентным  уровнем  защиты.  Эти  две  функции  реализуются с
помощью протокола передачи с забыванием /EVEN85/. (k,n)-пороговая
схема  защиты - функция, которая разрешает групповую связь только
тогда,  когда  одновременно  активны  по  меньшей  мере  k  из  n
пользователей7   один   из   механизмов,  предложенный  в  работе
/SHAM79/,    использует   полиноминальную   арифметику.   Обобщая
требования  к механизмам защиты объектов ВС, можно сделать вывод,
что  в  состав защищенной базы управляющей информации SMIB должен
входить    компонент    (логический    сегмент)   с   параметрами
пользователя,   который  мог  бы  быть  назван  USER  и  содержал
следующие   элементы:   -   элемент   для  идентификации  объекта
(идентификатор  объекта):  USER.ID;  -  элемент  для  поддержания
подлинности  объекта  (простой пароль элемент списка паролей, имя
процедуры  рукопожатия,  некоторый  параметр  механизма  запрос -
ответ,    цифровая    форма    сигнатуры    или    индивидуальной
характеристики):   USER.PASS;  -  открытые  данные  ассиметричной
криптографической  системы  (ключ  и  модуль): USER.E и USER.N; -
пороговое  значение  (отношение  k/n):  USER.CON. Кроме описанных
элементов  сегмента  USER в информационной базе данных управления
защитой   SMIB   с  каждым  активным  пользователем  сети  (после
вхождения  в сеанс работы) связываются некоторые элементы защиты,
действующие  только  в  течение  сеанса.  Эти элементы могут быть
сохранены  в  структуре,  которую  можно  назвать таблицей защиты
пользователя  UST  (User  Security). Она содержит полный перечень
параметров  защиты  для  каждого активного пользователя ВС. Кроме
атрибутов  сегмента  USER.N)  при  использовании ассиметрического
криптографического   метода:  UST.D;  -  начальное  значение  для
генератора случайных чисел: UST.RND.
 

Оставит комментарий