Механизмы обеспечения целостности данных

Целостность отдельного пакета может быть обеспечена добавлением к нему контрольной величины, которая является функцией содержащихся в пакете данных. Контрольная величина может вычисляться с использо­ванием шифрования или без него. Если контрольная величина вычисляется на уровне, где применяется шифрование, или выше, механизмы этого типа могут быть также использованы как для подтверждения це­лостности данных в системах без установления связи, так и для аутентификации источника данных. Обычно для этих целей используются симметричные ключи (из­вестные только для отправителя и получателя информа­ции). Применение несимметричных ключей требует большего времени расчетов и поэтому считается неэф­фективным.

Для обеспечения целостности последовательности пакетов в протоколах с установлением связи одновре­менно с контрольными величинами отдельных пакетов используются обычные средства протоколов с установ­лением связи — нумерация пакетов, повторная пере­дача, удаление пакетов.

Механизмы аутентификации

Как было сказано выше, аутентификация источника (происхож-дения) данных часто обеспечивается исполь­зованием механизма целостности совместно с шифро­ванием. Для широковещательных применений такие же функции может обеспечить цифровая подпись. Логическая аутентификация пользователя компьютер­ной системы выполняется на основе пароля.

Нотаризация (заверение)

Механизмы нотаризации (заверения) используют третью сторону, пользующуюся доверием двух обща­ющихся субъектов, для обеспечения подтверждения характеристик передаваемых данных. Наиболее часто механизм нотаризации применяется для обеспечения услуги причастности. Нотаризация может применять­ся, в частности, совместно с цифровой подписью на основе открытого ключа для подтверждения причаст­ности отправителя данных. Использование нотаризации позволяет включить параметр времени для обеспечения достоверности механизма.

Нотаризация может также применяться для обеспе­чения надежной временной метки, обеспечиваемой “временным нотариусом”. Такая метка может содер­жать цифровую подпись “нотариуса”, идентификатор (кодированный) сообщения, имя отправителя и полу­чателя, а также зарегистрированные время и дату по­лучения сообщения. При этом “нотариус” не имеет доступа к сообщению, соблюдая его конфиден-циаль­ность.

Доверительная функциональность

Содержит множество рекомендаций и способов, кото­рые должны быть реализованы для обеспечения гарантии (уверенности) правильной работы других механиз­мов безопасности.

Для обеспечения надежной (доверительной) работы программного обеспечения, реализующего механизмы безопасности, необходимо соблюдать строгие специфи­кации и специальную технологию разработки, исполь­зование безопасных каналов распространения и многое другое.

Аппаратные средства должна разрабатываться и проверяться на основе единой методики. На этом уров­не также обеспечиваются все необходимые требования и рекомендации к электромагнитным излучениям и возможностям физического вмешательства.

Метки безопасности

Явно или косвенно могут быть ассоциированы с отдель­ными пакетами или последовательностями. Метки бе­зопасности обычно используются для реализации по­литики доступа на основе правил, а также могут использоваться для управления маршрутизацией в сервисах обеспечения конфиденциальности Возможно также применение меток для контроля целостности.

Контроль безопасности

Содержит множество механизмов: обнаружение попы­ток нарушения безопасности, анализ случаев успешно­го вмешательства, возникших потерь и др. Но при этом необходимо решение вопросов, какую информацию в системе следует накапливать и как ее затем анализи­ровать. Проблемой при этом является определение того минимума информации, который бы позволил выявить (не пропустить) возможные события по вмешательству в работу компьютерной системы.

4.4. Использование услуг безопасности
на различных уровнях модели OSI

Физический уровень

Услуги безопасности, предлагаемые на Физическом уровне, обычно обеспечивают защиту каналов “точка–точка”, например, между двумя конечными системами или между конечной и промежуточной системами. Действие этой услуги заканчивается в точке окончания канала перед устройством приема или коммутации пакетов.

Однако средства и устройства, обеспечивающие безопасность на этом уровне, обычно привязаны к конкретной технологии передачи сигналов и интегри­рованы с физическим интерфейсом, что приводит к необходимости использовать идентичные устройства на обоих концах физического и/или виртуального соеди­нения.

Применение средств защиты Физического уровня ограничивается услугами конфиденциальности для коммуникаций с установлением связи и для защиты от контроля трафика. Другим ограничением использова­ния средств защиты на Физическом уровне является сложность управления ими.

Наши рекомендации