ПРОЦЕДУРА РУКОСТИСКАНЬ

Для встановлення справжності користувачів широко використовується процедура рукостискань (Handshaking - узгоджений обмін, квотування), побудована за принципом "питання-відповідь". Вона передбачає, що правильні відповіді на питання дають тільки ті користувачі, для яких ці питання призначені. Для підтвердження автентичності користувача система послідовно задає йому ряд випадково обраних питань, на які він повинен дати відповідь. Впізнання вважається позитивним, якщо користувач правильно відповів на всі питання.

У процедурі рукостискання може бути використано одностороннє функціональне перетворення у вигляді випадкової, призначеної для конкретного користувача функції F (X). Користувач також повинен обчислити задану для нього функцію F * (X) і ввести отримане значення в систему. Значення F (X) і F * (X) порівнюються системою, і якщо вони збігаються, то користувач отримує доступ. Для підвищення безпеки функцію рукостискань слід міняти через певні інтервали часу. Важливим є те, що при цьому методі користувачем і системою не передається ніякої конфіденційної інформації.

ПРО ТЕХНОЛОГІЇ ЗАХИЩЕНОГО КАНАЛУ

Такі технології широко використовуються у віртуальних приватних мережах, які вимагають прийняття додаткових заходів по захисту інформації, що передається. Вимога конфіденційності особливо важливо, тому що пакети, що передаються по публічної мережі, уразливі для перехоплення при проходженні через кожен з вузлів (серверів) на шляху від джерела до одержувача. Технологія захищеного каналу включає три основні складові [20]: взаємну аутентифікацію абонентів при встановленні з'єднання; захист переданих по каналу повідомлень від несанкціонованого доступу; підтвердження цілісності надходять по каналу повідомлень.

У мережевих протоколах передбачені різні технології захищеного каналу. Наприклад, нова версія протоколу IP передбачає всі три складові технології на мережевому рівні, а протокол тунелювання РРТР захищає дані на канальному рівні.

Залежно від місця розташування програмного забезпечення захищеного каналу розрізняють дві схеми його освіти [20].

Схема з кінцевими вузлами (рис. 12.2, а). У цій схемі захищений канал утворюється програмними засобами, встановленими на двох віддалених комп'ютерах. Комп'ютери належать двом різним локальним мережам однієї організації і пов'язані між собою через публічну мережу. Гідність цієї схеми - повна захищеність каналу вздовж усього шляху прямування і можливість використання будь-яких протоколів створення захищених каналів, аби на кінцевих точках каналу підтримувався один і той же протокол. Недоліки полягають в наступному. Уразливими для зловмисників зазвичай є мережі з комутацією пакетів, а не канали телефонної мережі або виділені канали, через які локальні мережі підключені до територіальної мережі. Тому захист каналів доступу до публічної мережі можна вважати надмірною. Для надання послуг захищеного каналу на кожному комп'ютері потрібно окремо встановлювати, конфігурувати

Способи освіти захищеного каналу: з кінцевими вузлами, взаємодіючими через кінцеву мережу (а);  із захистом між прикордонними пристроями доступу пуд (б)

Мал. 12.2. Способи освіти захищеного каналу: з кінцевими вузлами, взаємодіючими через кінцеву мережу (а); із захистом між прикордонними пристроями доступу пуд ( б)

і адмініструвати програмні засоби захисту даних. Підключення кожного нового комп'ютера до захищеного каналу вимагає виконання цих трудомістких робіт заново.

Схема з обладнанням постачальника послуг публічної мережі, розташованим на кордоні між приватною та публічною мережами (див. Рис. 12.2, б). У цій схемі захищений канал прокладається тільки всередині публічної мережі з комутацією пакетів, тобто клієнти і сервери не беруть участь у створенні захищеного каналу. Канал може бути прокладений між сервером віддаленого доступу постачальника послуг публічної мережі і прикордонним маршрутизатором корпоративної мережі. У цьому випадку канал управляється централізовано адміністратором корпоративної мережі і адміністратором мережі постачальника послуг. Такий підхід дозволяє легко утворювати нові канали захищеної взаємодії між комп'ютерами незалежно від їх місця розташування, так як програмне забезпечення кінцевих вузлів залишається без змін. Реалізація цієї схеми складніше - потрібен стандартний протокол освіти захищеного каналу; потрібна установка у всіх постачальників послуг програмного забезпечення, що підтримує такий протокол; необхідна підтримка протоколу виробниками прикордонного комунікаційного обладнання. Крім того, виявляються незахищеними канали доступу до публічної мережі і споживач послуг знаходиться в повній залежності від надійності постачальника послуг. Проте, фахівці прогнозують, що саме друга схема в найближчому майбутньому стане основною в побудові захищених каналів [20].

 
< Попер   ЗМІСТ   Наст >