- •Защита каналов связи.
- •Криптографические методы и средства защиты Информации
- •Шифрование
- •Подсистема криптографической защиты
- •Функции подсистемы:
- •Защита данных при передаче по каналам связи ис
- •Цифровая подпись обеспечивает:
- •Аутентичность сообщений.
- •Защита потока сообщений.
- •Известны три метода подтверждения подлинности сообщений с использованием:
- •Обеспечение защиты в протоколах передачи файлов
Защита потока сообщений.
До сих пор рассматривалась только защита одиночных сообщений при передаче по сети, но обычно же между субъектами сети передается большое число сообщений и в
течение длительного периода.
Основной ключ шифрования многократно используется при передаче сообщений. Это позволяет злоумышленнику задержать сообщения, удалить, подменить или повторить их.
Подтверждение подлинности на уровне сообщений не обеспечивает защиты от таких действий, поскольку само сообщение при этом не изменяется. Тем не менее существуют различные методы для защиты от подобных вторжений.
Подтверждение подлинности сообщений.
Вхождение пользователя в вычислительную систему естественно рассматривать как
начало сеанса работы с терминалом и сопроводить его выполнением процедуры подтверждения подлинности. Такая процедура связана с подтверждением подлинности пользователя, а не его сообщений. В сетях связи, наоборот, более важную роль играют сообщения: субъекты сети обмениваются сообщениями, и верификация источника и содержимого сообщения должна быть выполнена при получении каждого нового сообщения. Соответствующая функция защиты называется подтверждением подлинности сообщения. Эта функция должна подтвердить следующие факты:
1. Сообщение исходит от санкционированного отправителя.
2. Содержание сообщения при передаче не изменялось.
3. Сообщение доставлено по адресу.
4. Аналогичное сообщение ранее не поступало.
5. Порядок получения сообщений соответствует порядку отправления.
В случае конфликтной ситуации третье лицо (посредник) должно удостоверить, что
действительно сообщение послано одним санкционированным субъектом сети другому.
Известны три метода подтверждения подлинности сообщений с использованием:
_ функций подтверждения подлинности;
_ механизмов симметричного шифрования;
_ механизмов шифрования с открытым ключом.
Обеспечение защиты в протоколах передачи файлов
В большинстве ИС протокол передачи файлов реализуется в виде утилиты, обеспечивающей ограниченную защиту, основанную на механизмах защиты файлов используемой операционной системы. В большинстве случаев такая защита основана на иерархии привилегий, т.е. пользователи (процессы) для получения доступа к отдельному файлу должны иметь определенные права на использование этого файла.
Утилита сетевой передачи файлов взаимодействует с локальной системой управления
файлами, и, как правило, именно эта система реализует средства работы с файлами. Так,
например, утилита передачи файлов использует ее возможности доступа к файлам.
Что касается подсистемы передачи файлов, то доступ к файлам — только одна из
многих функций, которые требуют средств защиты. Для реализации механизмов управления доступом в спецификацию файла должны быть включены идентификаторы пользователей и их права. Использование этих компонентов требует осторожности, и они должны быть недоступны.
Служба защиты при передаче файлов контролирует присваивание величин элементам
в наборах данных. Присваивание должно осуществляться в соответствии с правилами и
требованиями защиты, логически связанными со стратегией подсистемы передачи файлов.
Подсистема передачи данных представляет интерес не только в связи с защитой данных (в этом аспекте все механизмы обеспечения безопасности связи важны и полезны), но и в связи с защитой всей управляющей информации (т.е. атрибутов защиты файлов) таким образом, чтобы путь передачи конфиденциальной информации обеспечивался требуемыми условиями защиты всей сети или открытой системы. При этом необходимо обеспечение надежности линий связи.
Каналы связи — один из наиболее уязвимых компонентов ИС. Особое место в подтверждении подлинности передачи сообщения занимает проблема защиты отправлений по каналам электронной почты, когда отправитель посылает
сообщение получателю, который не является активным в момент пересылки сообщений.
Поэтому процедура защиты электронной почты использует функцию, аналогичную функции подтверждения передачи, однако ее реализация требует специальных протоколов для надежного управления ключами, обеспечения целостности ресурсов и верификации отсроченных процедур.
Информация должна оставаться конфиденциальной как в процессе ее перемещения в пределах внутрифирменной сети, так и при передаче в другие сети.