книги / Микропроцессорные средства автоматизации энергетических систем. Сети автоматизации

сколько вопросов) такого содержания, что ответ может быть известен только пользователю). Такие вопросы и ответы также хранятся в учетной записи. Учетная запись может содержать также дополнительные опросные данные о пользователе: имя, фамилию, отчество, псевдоним, пол, национальность, расовую принадлежность, вероисповедание, группу крови, резус-фактор, возраст, дату рождения, адрес e-mail, домашний адрес, рабочий адрес, нетмейловый адрес, номер домашнего телефона, номер рабочего телефона, номер сотового телефона, номер ICQ, идентификатор Skype, ник в IRC, другие контактные данные систем мгновенного обмена сообщениями, адрес домашней страницы и/или блога во Всемирной паутине или Интранете, сведения об увлечениях, круге интересов, семье, перенесенных болезнях, политических предпочтениях, партийной принадлежности, культурных предпочтениях, умении общаться на иностранных языках и т.п. Конкретные категории данных, которые могут быть внесены в такой опросник, определяются создателями и (или) администраторами системы. Учетная запись может также содержать одну или несколько фотографий или аватар пользователя. Учетная запись пользователя также может учитывать различные статистические свойства поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, частотность использования системы, общее и (или) удельное количество определенных действий, произведенных в системе, и т.д.

ACL (Access Control List) – список контроля доступа; определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. Списки контроля доступа являются основой систем с избирательным управлением доступом.

AES (Advanced Encryption Standard for WLAN) – стандарт

AES; улучшенный стандарт шифрования для беспроводных локальных сетей. Стандарт симметричного блочного шифрования (длина блока– 128 бит) AES поддерживает 128-разрядные ключи, но может поддерживать более длинные, 192- и 256-разрядные.

471

Authentication (аутентификация) – сверка; процедура проверки подлинности (например, проверка подлинности пользователя путем сравнения введенного им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путем проверки цифровой подписи письма по ключу проверки подписи отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла). Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических способов. Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определенных прав), идентификацией (процедурой распознавания субъекта по его идентификатору).

Authorization (авторизация) – разрешение, уполномочивание; предоставление определенному лицу или группе лиц прав на выполнение определенных действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции. Это значит, что он имеет на нее право. Авторизацию не следует путать с аутентификацией: аутентификация – это лишь процедура проверки подлинности данных, например, проверка соответствия введенного пользователем пароля к учетной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла.

СDМА (Code Division Multiple Access) – множественный доступ с кодовым разделением каналов.

CHAP (Challenge Handshake Authentication Protocol) –

широко распространенный алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нем. При использовании CHAP сервер удаленного доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент вычисляет хеш-код MD-5 (Message Digest-5) и передает его серверу. Хеш-функция является

472

алгоритмом одностороннего (необратимого) шифрования (преобразования), поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хеш-коду с математической точки зрения невозможно за приемлемое время. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учетные данные клиента удаленного доступа считаются подлинными. Наиболее важной особенностью алгоритма CHAP-аутентификации является то, что пароль никогда не пересылается по каналу.

СSMA/СD (Саrriеr Sense Мultiple Ассеss/Collision Detect) –

метод управления доступом к среде передачи данных. Множественный доступ с контролем несущей и обнаружением столкновений (конфликтов, коллизий). Устройства, готовые для передачи данных, проверяют наличие несущей частоты. Если ее нет в течение заданного промежутка времени, то устройство может приступать к передаче данных. В процессе передачи станция «прослушивает» сеть для обнаружения конфликтов. В случае конфликта (два узла сети одновременно пытаются занять канал) станция, обнаружившая его, выдает специальный сигнал (jam), по которому обе станции одновременно прекращают передачу. Принимающая станция уничтожает частично принятые пакеты. Все рабочие станции выжидают случайное время, прежде чем предпринять новую попытку передачи (сетевые адаптеры запрограммированы на разные временные промежутки). Если конфликт возникает во время повторной попытки передачи сообщения, то промежуток времени ожидания увеличивается. Каждая станция принимает все поступающие сообщения, но оставляет только те, которые адресованы ей. Коллизия на некоторое время задерживает передачу данных этими устройствами. Исполь-

зуется в Ethernet в стандарте IEEE 802.3.

Dial-up – коммутируемый удаленный доступ; сервис, позволяющий компьютеру, используя модем и телефонную сеть общего пользования, подключаться к другому компьютеру (серверу доступа) для инициализации сеанса передачи данных (например, для доступа

473

в сетьИнтернет). Обычно dial-up’ом называют толькодоступ в Интернетна домашнем компьютере или удаленный модемный доступ вкорпоративную сетьс использованиемдвухточечногопротокола PPP (теоретическиможноиспользоватьиустаревшийпротоколSLIP).

PGP (Pretty Good Privacy) – компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жестком диске.

S/MIME (Secure/Multipurpose Internet Mail Extensions) –

стандарт для шифрования и подписи в электронной почте с помощью открытого ключа.

WPA (Wi-Fi Protected Access) – защищенный доступ с ис-

пользованием соединений по радиоканалу Wi-Fi. Идентификация – процедура, в результате выполнения кото-

рой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Для выполнения процедуры идентификации в информационной системе субъекту предварительно должен быть назначен соответствующий идентификатор (т.е. проведена регистрация субъекта в информационной системе). Процедура идентификации напрямую связана с аутентификацией: субъект проходит процедуру аутентификации, и если аутентификация успешна, то информационная система на основе факторов аутентификации определяет идентификатор субъекта. При этом достоверность идентификации полностью определяется уровнем достоверности выполненной процедуры аутентификации.

Криптографическая система с открытым ключом (или асимметричное шифрование, асимметричный шифр) – система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передается по открытому (т.е. незащищенному, доступному для наблюдения) каналу и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и расшиф-

474

ровки сообщения используется закрытый ключ. Криптографические системы с открытым ключом в настоящее время широко применяются в различныхсетевых протоколах, в частности в TLS и его предшественникеSSL (лежащих в основе HTTPS), в SSH. Используется также в PGP, S/MIME.

Межсетевой или сетевой экран – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определенные в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов – динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Хеш-сумма (хеш, хеш-код) – результат обработки неких данных хеш-функцией. В криптографии хеш-сумму иногда также называют дайджестом сообщения. Значение хеш-суммы может использоваться для проверки целостности данных, их идентификации и поиска (например, в p2p-сетях), а также заменять собой данные, которые небезопасно хранить в явном виде (например, пароли, ответы на вопросы тестов и т.д.). Явное значение хеш-суммы, как правило, записывается в шестнадцатеричном виде. Так, утилита md5sum, вычисляющая значение хеш-функции MD5 от заданного файла, выдает результат в виде строки из 32 шестнадцатеричных цифр (напри-

мер, 026f8e459c8f89ef75fa7a78265a0025).

Шифрование – обратимое преобразование информации в целях сокрытия ее от неавторизованных лиц, с предоставлением авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных

475

для данного алгоритма. Пользователи являются авторизованными, если они обладают определенным аутентичным ключом. Вся сложность и, собственно, задача шифрования состоят в том, как именно реализован этот процесс. В целом шифрование состоит из двух составляющих: зашифрования и расшифрования.

С помощью шифрования обеспечиваются три состояния безопасности информации:

–конфиденциальность: шифрование используется для сокрытия информации от неавторизованных пользователей при ее передаче или хранении;

–целостность: шифрование используется для предотвращения изменения информации при передаче или хранении;

–идентифицируемость: шифрование используется для аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.

Для того чтобы прочитать зашифрованную информацию, принимающей стороне необходимы ключ и дешифратор (устройство, реализующее алгоритм расшифровывания). Идея шифрования состоит в том, что злоумышленник, перехватив зашифрованные данные

ине имея к ним ключа, не может ни прочитать, ни изменить передаваемую информацию. Кроме того, в современных криптосистемах (с открытым ключом) для шифрования, расшифрования данных могут использоваться разные ключи. Однако с развитием криптоанализа появились методики, позволяющие дешифровать закрытый текст не имея ключа, они основаны на математическом анализе перехваченных данных.

Электронная подпись (ЭП), электронная цифровая под-

пись (ЭЦП) – информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с ней. Используется для определения лица, подписавшего информацию (электронный документ). Посуществу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения

476

информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

3.6. Адресация

ARP (Address Resolution Protocol) – протокол переопределе-

ния адресов. Сетевой протокол ARP динамически преобразует IP-адреса в физические адреса ЛВС. Обратное преобразование осуществляется с помощью протокола RAPR.

DNS (Domain Name Service) – служба доменных имен. Интер- нет-служба, представляющая собой распределенную базу данных для иерархической системы имен сетей и компьютеров, подключенных к сети, а также способ преобразования строчных адресов серверов Интернета в числовые IP-адреса. Позволяет пользователям адресоваться к узлам сети по символьному доменному имени вместо цифрового IP-адреса.

IANA (Internet Assigned Numbers Authority) – Центр по при-

своению интернет-номеров; организация, отвечающая за административное управление в Интернете доменами высшего уровня, такими как .com, .net, .org. С сентября 1998 года ее функции взяла на себя международная некоммерческая организация ICANN.

IP-address (IP-адрес, Internet-адрec) – 32-разрядный ад-

рес, присваиваемый хостам с помощью протокола ТСР/IP. Записывается в виде 4 октетов, разделенных точками (в десятичном формате). Каждый адрес состоит из сетевого номера, дополнительного номера подсети и номера хоста. Номер сети и подсети используется для маршрутизации, а номер хоста – для адресации хоста сети или подсети.

MACaddress (МАС-адрес) – стандартный адрес канального уровня, который тpeбyется задавать для каждого пopта или устройства, подсоединенного к локальной сети. Другие устройства ис-

477

пользуют эти адреса для обнаружения специальных сетевых портов, а также для создания и обновления таблиц маршрутизации и структуры данных. Длина МАС-адреса – 6 байт, а содержимое регламентируется IEEE. МАС-адреса также называют аппаратными или физическими адресами.

RAPR (Reverse Address Resolution Protocol) – протокол из набора TCP/IP, служащий для определения IP-адреса узла ЛВС, присоединенного к Интернету, когда известен только физический адрес (MAC-адрес), т.е. выполняющий функцию, обратную протоколу ARP. Используется в основном на бездисковых узлах в момент их инициализации.

МАС (Media Access Control) – управление доступом к среде передачи данных. Общий термин для описания метода доступа сетевых устройств к среде передачи (чаще всего употребляется применительно к ЛВС). Нижний подуровень канального уровня в семиуровневой модели ISO/OSI, определенный IEEE. Специфицирует методы доступа к среде, формат кадров, адресацию. Поддерживает множественный доступ к каналу связи, осуществляет прием и передачу информационныхиуправляющихкадров, обнаруживаетошибкипередачи.

3.7. Технологии ЛВС

10/100 – используется для обозначения устройств, которые поддерживают на одном порту как соединения на 10 Мбит/с, так и на 100 Мбит/с.

10BASE – стандарты сетей 10 Мбит/с Ethernet. 10BASE-T – Twisted-Pair Ethernet (Ethernet на витой паре) – кабель, выполненный на неэкранированной витой паре UTP 3–5 категории (две скрученные пары), топология – звезда, в центре которой находится хаб (hub), максимальная длина сегмента – 100 м. 10BASE-FL – спецификация Ethernet, использующая оптоволоконный кабель. Сегмент сети в 10BASE-FL может достигать 2 км.

10GBASE – новый стандарт 10-гигабитного Ethernet, включает в себя семь стандартов физической среды для LAN, MAN и WAN.

478

В настоящее время он описывается поправкой IEEE 802.3ae и должен войти в следующую ревизию стандарта IEEE 802.3.

10GBASE-CX4 – технология 10-гигабитного Ethernet для коротких расстояний (до 15 м), используются медный кабель CX4 и коннекторы InfiniBand. 10GBASE-SR – технология 10-гигабит- ного Ethernet для коротких расстояний (до 26 или 82 м в зависимости от типа кабеля), используется многомодовое волокно. Она также поддерживается на расстоянии до 300 м с использованием нового многомодового волокна (2000 МГц/км). 10GBASE-LX4 использует уплотнение по длине волны для поддержки расстояний от 240 до 300 м по многомодовому волокну (также поддерживает расстояния до 10 км при использовании одномодового волокна). 10GBASE-LR и 10GBASE-ER – стандарты, поддерживающие расстояния до 10 и 40 кмсоответственно. 10GBASE-SW, 10GBASE-LW и10GBASE-EW –

стандарты, использующие физический интерфейс, совместимый по скорости и формату данных с интерфейсом OC-192 / STM-64 SONET/SDH. Они подобны стандартам 10GBASE-SR, 10GBASELR и 10GBASE-ER, так как используют те же типы кабелей и рас-

стояние передачи. 10GBASE-T, IEEE 802.3an-2006 принят в июне

2006 года после 4 лет разработки. Использует экранированную витую пару категорий 6 (максимальное расстояние – 55 м) и 6а (максимальное расстояние – 100 м).

ARCNET (Attached Resource Computer Network) – локальная сеть магистральной или иерархической топологии с маркерным доступом, скорость – 2,5 Мбит/с, максимальное число узлов – 255, максимальная длина – 6600 м, создана компанией Datapoint Corporation.

AUI (Attachment Unit Interface) – интерфейс модуля присое-

динения – стандартный интерфейс для сетей Ethernet (IEEE 802.3), который позволяет подсоединить персональный компьютер или устройство Ethernet к сети Ethernet по толстому коаксиальному кабелю. Определяет физический уровень 15-контактного разъема между портом сетевого адаптера (приемопередатчика) и РС (или концентратором). Называется также DIX по первым буквам названий компаний, участвующих в создании интерфейса (DEC, Intel, Xerox). Выходит из употребления.

479

ERTEC (Enhanced Real-Time Ethernet Controller) – кон-

троллер для сетей Ethernet с улучшенными характеристиками для использования в приложениях реального времени (RT).

Ethernet – спецификация широкополосной LAN. Сети могут работать с разными типами кабелей с пропускной способностью до

10000 Мбит/с (стандарт IEEE 802.3).

Fast Ethernet – обобщенное название группы спецификаций 100BASE Ethernet с пропускной способностью до 100 Мбит/с. Fast Ethernet обеспечивает десятикратное увеличение скорости по сравнению со спецификацией 10BASE Ethernet, сохраняя формат кадра, MAC-механизмы и другие инструменты управления сетью. 100BASE-TX (стандарт IEEE 802.3u) – развитие стандарта 10BASE-T для использования в сетях топологии «звезда». Задействована витая пара категории 5, фактически используются только две неэкранированные пары проводников, поддерживается дуплексная передача данных, расстояние – до 100 м. 100BASE-FX – спецификация, которая использует одномодовое волокно. Максимальная длина ограничена только величиной затухания в оптическом кабеле и мощностью передатчиков, по разным материалам – от 2 до 10 км. 100BASE-SX – спецификация, использующая многомодовое волокно. Максимальная длина сегмента – 400 м в полудуплексе (для гарантированного обнаружения коллизий) или 2 км в полном дуплексе.

FDDI (Fibег Distributed Data Interface) – кольцевая оптово-

локонная высокоскоростная локальная сеть. Скорость передачи – до 100 Мбит/с, топология – двойное кольцо, метод доступа – детерминированный с передачей маркера. Максимальное число станций – 500 (двойное кольцо) или 1000 (одинарное кольцо). Расстояние между станциями – до 2 км при многомодовом кабеле и до 60 км при одномодовом.

Gigabit Ethernet – стандарт Ethernet, одобренный IЕЕЕ-коми- тетом стандартизации 802.3 для высокоскоростной передачи дан-

ных до 1000 Мбит/с. 1000BASE-T, IEEE 802.3ab – стандарт, исполь-

зующий витую пару категории 5e. В передаче данных участвуют 4 пары. Скорость передачи данных – 250 Мбит/с по одной паре.

480