Процедура рукопожатий

Для установления подлинности пользователей широко используется процедура рукопожатий (Handshaking – согласованный обмен, квитирование), построенная по принципу "вопрос-ответ". Она предполагает, что правильные ответы на вопросы дают только те пользователи, для которых эти вопросы предназначены. Для подтверждения подлинности пользователя система последовательно задает ему ряд случайно выбранных вопросов, на которые он должен дать ответ. Опознание считается положительным, если пользователь правильно ответил на все вопросы.

В процедуре рукопожатия может быть использовано одностороннее функциональное преобразование в виде случайной, предназначенной для конкретного пользователя функции F(X). Пользователь также должен вычислить заданную для него функцию F*(X) и ввести полученное значение в систему. Значения F(X) и F*(X) сравниваются системой, и если они совпадают, то пользователь получает доступ. Для повышения безопасности функцию рукопожатий следует менять через определенные интервалы времени. Важно то, что при этом методе пользователем и системой не передается никакой конфиденциальной информации.

О технологиях защищенного канала

Такие технологии широко используются в виртуальных частных сетях, которые требуют принятия дополнительных мер по защите передаваемой информации. Требование конфиденциальности особенно важно, потому что пакеты, передаваемые по публичной сети, уязвимы для перехвата при прохождении через каждый из узлов (серверов) на пути от источника к получателю. Технология защищенного канала включает три основные составляющие [20]: взаимную аутентификацию абонентов при установлении соединения; защиту передаваемых по каналу сообщений от несанкционированного доступа; подтверждение целостности поступающих по каналу сообщений.

В сетевых протоколах предусмотрены разные технологии защищенного канала. Например, новая версия протокола IP предусматривает все три составляющие технологии на сетевом уровне, а протокол туннелирования РРТР защищает данные на канальном уровне.

В зависимости от места расположения программного обеспечения защищенного канала различают две схемы его образования [20].

Схема с конечными узлами (рис. 12.2, а). В этой схеме защищенный канал образуется программными средствами, установленными на двух удаленных компьютерах. Компьютеры принадлежат двум разным локальным сетям одной организации и связаны между собой через публичную сеть. Достоинство этой схемы – полная защищенность канала вдоль всего пути следования и возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в следующем. Уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы, через которые локальные сети подключены к территориальной сети. Поэтому защиту каналов доступа к публичной сети можно считать избыточной. Для предоставления услуг защищенного канала на каждом компьютере требуется отдельно устанавливать, конфигурировать

Способы образования защищенного канала: с конечными узлами, взаимодействующими через конечную сеть (а); с защитой между пограничными устройствами доступа ПУД (б)

Рис. 12.2. Способы образования защищенного канала: с конечными узлами, взаимодействующими через конечную сеть (а); с защитой между пограничными устройствами доступа ПУД (б)

и администрировать программные средства защиты данных. Подключение каждого нового компьютера к защищенному каналу требует выполнения этих трудоемких работ заново.

Схема с оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями (см. рис. 12.2, б). В этой схеме защищенный канал прокладывается только внутри публичной сети с коммутацией пакетов, т.е. клиенты и серверы не участвуют в создании защищенного канала. Канал может быть проложен между сервером удаленного доступа поставщика услуг публичной сети и пограничным маршрутизатором корпоративной сети. В этом случае канал управляется централизованно администратором корпоративной сети и администратором сети поставщика услуг. Такой подход позволяет легко образовывать новые каналы защищенного взаимодействия между компьютерами независимо от их места расположения, так как программное обеспечение конечных узлов остается без изменений. Реализация этой схемы сложнее – нужен стандартный протокол образования защищенного канала; требуется установка у всех поставщиков услуг программного обеспечения, поддерживающего такой протокол; необходима поддержка протокола производителями пограничного коммуникационного оборудования. Кроме того, оказываются незащищенными каналы доступа к публичной сети и потребитель услуг находится в полной зависимости от надежности поставщика услуг. Тем не менее, специалисты прогнозируют, что именно вторая схема в ближайшем будущем станет основной в построении защищенных каналов [20].

 
< Пред   СОДЕРЖАНИЕ     След >