• 5

Авторизация

Авторизация — это предоставление определенных полномочий

лицу (группе лиц) на выполнение некоторых действий в системе

обработки данных. Доступ к системным ресурсам и сервисам

для пользователей и процессов, которые были аутентифицирова-

ны, производится выборочно. Сами эти права предоставляются

на множестве уровней, исходя из того, какой уровень авторизации

требуется. Авторизация может быть разрешающей или запрещающей.

Если задается разрешенная авторизация, то предоставляется

доступ пользователю ко всей информации, исключая

информацию, доступ к которой запрещен явным образом. При

запрещающем доступе блокирован доступ любой информации,

за исключением той, к которой он специально разрешен.

Авторизация способна обеспечивать доступ на общесистемном

уровне, то есть к определенным информационнымресурсам,

или ее проводят по типу доступа (например, по чтению, записи,

созданию, изменению, удалению или вьшолнению).

Система электронных сертификатов

Система электронных сертификатов открытых ключей предназначена

для реализации единого доверенного процесса образованного

процедурами идентификации, аутентификации и авторизации

пользователя (процесса, ресурса).

Архитектура системы (рис. 45) базируется на средствах электронной

цифровой подписи (ЭЦП), Электронных сертификатах

открытых ключей ЭЦП, Удостоверяющих центрах.

Электронная цифровая подпись-данные, добавляемые к блоку

информационных данных, полученные в результате криптографического

преобразования зависящего от секретного ключа и блока

данных источника, которые позволяют получателю данных с использованием

открытого ключа источника удостовериться в целостности

блока данных и подлинности источника данных, а также

обеспечить защиту от подлога со стороны получателя.

Электронные сертификаты открытых ключей ЭЦП — "электронный

паспорт" пользователя, подписанный ЭЦП блок данных,

содержащий сетевой идентификатор пользователя (процесса,

ресурса) , его открытый ключ шифрования (при использовании

шифратора с несимметричными ключами), атрибуты

пользователя и параметры сертификата.

Электронные сертификаты должны отвечать X.509v3 ITU

— международному стандарту, определяющему форматы электронных

сертификатов открытых ключей.

Сетевой

справочник

сертификатов

Сервер приложений

<j ^

В состав средств системы

управления сертификатами

входят:

> АРМ Центра Сертификации (ЦС)

> АРМ Центра Регистрации

> Сетевой Справочник

> Сервер (приложение)

> Клиент (приложение)

Клиенты, Приложения

Рис. 45. Архитектура системы электронных сертификатов

Сертификат представляет собой

заверенный Центром Сертификации (Доверенным Центром)

открытый ключ и набор дополнительных атрибутов

Имя Пользователя: C=RU, org=ACM£, cn=UserName

Имя Издателя: C=RU, org=ACME

Номер Сертификата: = 12345678

Открытый ключ пользователя

Алгоритм: COST open key

Значение ключа: 010011101001001010010101

Сертификат действует с: 01.01.1999 00:00:00

Сертификат действует до: 31.12.2003 23:59.59

Дополнительная информация рС.509 v3 Extensions)

Регламент использования сертификата: Только для почты Х.400

Секретный ключ действует с: 31.12.1999 23:59.59

Секретный ключ действует до: 31.12.2000 23:59.59

Область применения ключа: Идентификатор 1

Область применения ключа: Идентификатор i

Область применения ключа: Идентификатор N

Права и полномочия: Администратор

Атрибуты пользователя: IP, DNS, URI, RFC822, Номер счета,

Адрес,...

Подпись Центра Сертификации:

Алгоритм: GOST Р 34.10-94 sign algorithm

Значение : 010011101001001010010101

Сертификат Х.509 версии 3 описывает следуюпще типы дополнений:

X Ключевая информация

Г Идентификаторы ключей пользователя и издателя сертификата

|- Стандартизованные ограничения на использование ключа

Г Сроки действия секретных ключей

к Информация о политике использования сертификата

I Политика использования сертификата в опх)еделенных приложениях

I Ограничения на использование ключа, определяемые политикой

безопасности ЦС

X Дополнительные атрибуты

I E-Mail, IP, Х.400, DNS, WWW адреса абонента

I Зарегистрированные юридические атрибуты абонента

I Специфическая информация об абоненте в прикладной системе

I Способы получения и обновления CRL

X Ограничения на цепочку сертификатов

I Принадлежит ли сертификат ЦС или пользователю

I Ограничения на длину цепочки сертификатов

Формат электронного сертификата

Удостоверяющий центр — орган, обладающий:

— техническими средствами для выработки электронных сертификатов

открытых ключей пользователей, подписанных ЭЦП

центра с их последующим размещением на доступных для пользователей

сети сетевых ресурсах(справочниках);

— регламентами, определяющими правила генерации и отзыва

сертификатов, доступа к ресурсам и т.п., определяющим

политику безопасности процедурам.

Таким образом, цифровой сертификат объединяет в единое

целое идентификатор пользователя, открытый ключ пользователя

(процесса, ресурса), используемый для аутентификации

пользователя в системе, атрибуты пользователя и параметры

сертификата, позволяющие проводить гарантированную авторизацию

пользователя при доступе к ресурсам.

Целостность и авторство самого цифрового сертификата гарантируется

ЭЦП Удостоверяющего центра. Открытый ключ

ЭЦП Удостоверяющего центра, необходимый для проверки подлинности

цифровых сертификатов пользователем, неоднократно

передается по защищенному каналу связи в момент регистрации

пользователя в Удостоверяющем центре вместе с секретным

ключом регистрации. Весь последующий процесс изготовления

и опубликования ^размещения в справочнике) электронного сертификата

осуществляется Центром и пользователем по сети.

Удостоверяющие центры образуют иерархическую систему,

базирующуюся на Главном (Корневом) Удостоверяющем центре.

Сертификаты открытых ключей ЭЦП подчиненных центров

заверяются ЭЦП вышестоящего.

Система Удостоверяющих центров позволяет образовывать

связи между пользователями разных кустовых Удостоверяющих

центров, в соответствии с принятой в ИТКС политикой безопасности.

Конфиденциальность

Следующий после авторизации элемент доверия к системе

— это способность информационной системы сохранять конфиденциальность

информации и запщщать ее от разглашения.

Для этого в ИТКС предусматривается шифрование информации

как при хранении, так и при передаче ее по каналам связи.

Технология защиты целостности и подлинности информации

Технология защиты целостности информации содержится

в ответе на вопрос: "Правильно ли получено сообщение, которое

было послано?" Целостность — это характеристика гарантии,

что сообщение или данные надежны и не были изменены. Механизмы

ее поддержки защищают данные от умышленной модификации,

потери, повторной передачи, изменения последовательности

или подмены. Проверка целостности необходима для определения

неавторизованного использования или модификации

системы, приложений, данных или сети. Один из способов обеспечить

ее — присваивать специальный индикатор или контрольную

метку сообщения (в его конце) или части данных (перед

сообщением — до его передачи по сети).

В территориально-распределенной информационной системе

ИТКС предусматриваются следующие функции по защие информации:

обеспечение целостности информации при обмене и хранении;

возможность подтверждения подлинности информации по источнику

происхождения (авторизация);

возможность подтверждения достоверности передачи информации

по трактам обмена и по каналам связи;

возможность аутентификации связывающихся субъектов

и объектов;

предупреждение отказа источника (отправителя) от сформированной

(переданной) им информации.

Эти процедуры реализуются с помощью электронной цифровой

подписи (ЭЦП), в основе которой лежит криптографическое

кодирование информации с закрытым ключом формирования

и открытыми ключевыми элементами проверки. Подписи

ЭЦП целесообразно применять на уровне представления и транспортном

уровне эталонной семиуровневой модели.

В первом случае это позволяет обеспечить периодический

контроль целостности и индивидуальный контроль целостности на

рабочих местах пользователей объектов необновляемых и обновляемых

общедоступных, а также индивидуальных ресурсов, авторизации

формирования, изменения, контроля подлинности информации. На

транспортном уровне электронно-цифровая подпись может обеспечить

аутентификацию связывающихся субъектов (объектов), подтверждение

достоверности передачи информации по каналу связи.

Применение технологии ЭЦП в ИТКС поддерживается системой

электронных сертификатов открытых ключей.

В ИТКС дополнительная целостность данных обеспечивается

имитозапщтой информации (защитой от искажения и/или навязывания

ложной информации). Это дает возможность проверить,

были ли данные изменены или повреждены при передаче по сети.

Участники обмена информацией нуждаются в защите от

следующих угроз:

отказ отправителя от факта передачи сообщения;

фальсификация фактов получения сообщений от отправителя;

изменение получателем полученного сообщения;

маскировка отправителя под другого абонента.

Невозможность отказа предотвращает отказы от фактов посылки

или приема сообщения или от факта вьшолнения некоторой

операции. Она основана на уникальной подписи или идентификации,

доказывающей, кто создал информацию или сообщение

и что с ним случилось. В этом случае всегда можно доказать,

что некоторое лицо вьшолнило некоторое действие.

Авторы: 1379 А Б В Г Д Е З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я

Книги: 1908 А Б В Г Д Е З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я