Xavfizlikni ta’minlash xizmatlari va usullari




Download 8,17 Mb.
bet95/118
Sana17.05.2024
Hajmi8,17 Mb.
#240348
1   ...   91   92   93   94   95   96   97   98   ...   118
Bog'liq
R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshke

Xavfizlikni ta’minlash xizmatlari va usullari



OTO‘B EM xavfsizlik arxitekturasi xavfsizlikni ta’minlash bo‘yicha quyidagi xizmatlarni o‘z ichiga oladi:

  • autentifikatsiyalash (authentication). Bu xizmat quyidagi ikki turlarda bo‘lishi mumkin:

  • o‘zaro ta’sirlashadigan sub’ektni autentifikatsiyalash (peer-entity authentica­tion). Bu xizmat OTO‘B EM arxitekturasining n-sathi orqali ta’minlanadi va bu bilan (n+1) - sathni sub’ektiga ulanishning qarama-qarshi tomonidagi sub’ekt u bilan AAT o‘tkazilishi kerak bo‘lgan (n+1)-sathni sub’ekti ekanligini tasdiqlaydi;

  • ma’lumotlar manbaini autentifikatsiyalash (data origin authentication). Bu xizmat OTO‘B EM arxitekturasining n-sathi orqali ta’minlanadi va bu bilan (n+1)-sath sub’ektiga kelgan ma’lumotlar manbai so‘ralgan (n+1)-sathni sub’ekti ekanligini tasdiqlaydi;

  • ulanishni boshqarish (access control). Bu xizmat OTO‘B EM -tarmoqlar/tizimlar orqali mumkin bo‘lgan resurslardan ruxsat etilmagan foydalanishdan himoyalashni ta’minlaydi;

  • ma’lumotlarning konfidensialligi (data confidentiality). Bu xizmat to‘rtta turda bo‘lishi mumkin:

  • virtual ulanishning konfidensialligi (connection confidentiali­ty). Bu xizmat OTO‘B EM arxitekturasining n-sathida bu sathda ulanish o‘rnatilganidan keyin foydalanuvchining barcha ma’lumotlarini konfidensialligini ta’minlaydi;

  • ulanish o‘rnatilmasdan axborot almashinuvining konfidensialligi (connection less confidentiality). Bu xizmat OTO‘B EM arxitekturasining n-sathida bittalik deytagramma (xabarlarni yetkazishning deytagramma rejimi) jo‘natilgan xolatda foydalanuvchining barcha ma’lumotlari uchun konfidensiallikni ta’minlaydi;

  • alohida maydonlarning konfidensialligi (selective field confidentiality). Bu xizmat OTO‘B EM arxitekturasining n-sathida foydalanuvchi tomonidan ulanish o‘rnatilgan rejimda yoki deytagrammali rejimda jo‘natilgan simvollar ketma-ketligidagi alohida maydonlarning konfidensialligini ta’minlaydi;

  • trafik oqimining konfidensialligi (traffic flow confidentiality). Bu xizmat trafik oqimlarini kuzatishni olib borishda ajratib olish mumkin bo‘lgan axborotlarni himoyalashni ta’minlaydi;

  • ma’lumotlarning yaxlitligi (data integrity). Bu xizmat quyidagi beshta turlardan bo‘lishi mumkin:

  • ulanishni keyingi qayta tiklanishili ulanishning yaxlitligi (connec­tion integrity with recovery). Bu xizmat OTO‘B EM arxitekturasining n-sathida, bu sathda ulanish o‘rnatilganidan keyin foydalanuvchining barcha ma’lumotlarini yaxlitligini, shuningdek deytagrammaning butun ketma-ketligi chegaralarida istalgan modifikatsiyani, soxta qo‘yilma, istalgan ma’lumotlarni soxta o‘chirilishi yoki takrorlanishini aniqlashni (butun ketma-ketlikni qayta tiklashga urinish bilan) ta’minlaydi;

  • ulanishni uni keyingi qayta tiklanishisiz yaxlitligi (con­nection integrity with out recovery). Bu xizmat OTO‘B EM arxitekturasining n-sathida ulanish o‘rnatilganidan keyin foydalanuvchining barcha ma’lumotlarini yaxlitligini, shuningdek deytagrammaning butun ketma-ketligi chegaralarida istalgan modifikatsiyani, soxta qo‘yilma, istalgan ma’lumotlarni soxta o‘chirilishi yoki takrorlanishini aniqlashni (butun ketma-ketlikni qayta tiklashga urinishsiz) ta’minlaydi;

  • virtual bog‘lanishni tashkil etishda alohida maydonlarning yaxlitligi (selective field connection integrity). Bu xizmat OTO‘B EM arxitekturasining n-sathida virtual ulanish bo‘yicha uzatiladigan bu sathni protokolli xabarlari doirasida foydalanuvchi xabarining alohida maydonlarini yaxlitligini ta’minlaydi, shuningdek ularni modifikatsiyalanishi tufayli “shikastlangan” alohida maydonlarni soxta qo‘yilmalar, soxta o‘chirish yoki takroran uzatishni aniqlash usulini tanlaydi;

  • bog‘lanish o‘rnatilmasdan axborot almashinuvining yaxlitligi (connection less integrity). Agar bu xizmat OTO‘B EM arxitekturasining n-sathida taqdim etilsa, u holda u (n+7)- sath sub’ektini so‘rashda kafolatlangan yaxlitlikni ta’minlaydi. Bundan tashqari, bu xizmat bittalik deytagrammaning (xabarlarni yetkazishning deytagramma rejimi) yaxlitligini ta’minlaydi, shuningdek qabul qilingan deytagrammaning modifikatsiyalanganligini aniqlash usulini tanlashi mumkin. Shu bilan birga, u deytagrammalarni takroran uzatilishini aniqlash usulini (lekin barcha bo‘lishi mumkin bo‘lganlaridan istalganini emas) tanlashi mumkin;

  • bog‘lanish o‘rnatilmasdan axborot almashinuvini tashkil etishda alohida maydonlarning yaxlitligi (selective field connection less integrity). Bu xizmat bittalik deytagrammaning (xabarlarni yetkazishning deytagramma rejimi) alohida maydonlarining yaxlitligini ta’minlaydi, shuningdek alohida maydonlarning modifikatsiyalanganligini aniqlash usulini tanlashi mumkin;

    • rad etmaslik (non-repudiation). Bu xizmat quyidagi ikki turda bo‘lishi mumkin:

    • manbaning soxta rad etishidan himoyalash (non-repudiation with proof of origin). Bu xizmat ma’lumotlar oluvchini, jo‘natuvchining bu ma’lumotlarni yoki uning komponentlarini uzatishni atayin rad etishidan himoyalaydi;

    • oluvchining soxta rad etishidan himoyalash (non-repudiation with pro of deli­very). Bu xizmat ma’lumotlar jo‘natuvchini, oluvchining bu ma’lumotlarni yoki uning komponentlarini olishni atayin rad etishidan himoyalaydi;

OTO‘B EM xavfsizlik arxitekturasi quyidagi xavfsizlikni ta’minlash usullarini o‘z ichiga oladi:

    • shifrlash (encipherment). Shifrlash yordamida ma’lumotlar yoki trafik oqimi haqidagi ma’lumotlarning konfidensialligini ta’minlash mumkin. Bundan tashqari, shifrlash AXni ta’minlashning boshqa usullarida ham ishlatilishi mumkin;

    • elektron raqamli imzo (ERI). ERIning qo‘llanilishi quyidagi ikkita tartiblarni bajarilishini ko‘zda tutadi:

    • ERIni shakllantirish tartibining o‘zi (elektron xabarni imzolash). Bu tartibda sub’ekt imzo muallifi nuqtai nazaridan maxfiy (ya’ni noyob yoki konfidensial) axborotlar ishlatiladi. ERIni shakllantirish xabarni shifrlash yoki xabarning kriptografik yig‘indisini hisoblashni ko‘zda tutadi, buning uchun maxfiy kalit sifatida muallifning maxfiy axborotini ishlatadi;

    • imzolangan elektron xabarni tekshirish tartibi. Bu tartibda umumiy ma’lum bo‘lgan, lekin ulardan imzo muallifining maxfiy axborotlarini olish mumkin bo‘lmaydigan qo‘shimcha tartiblar va axborotlar ishlatiladi.

ERIning asosiy xususiyati, imzo faqat ERI muallifining maxfiy axborotlaridan foydalanish asosida shakllantirilishi mumkinligi hisoblanadi. Shunday qilib, ERI tekshirilganidan keyin u keyinchalik (binobarin, istalgan vaqt onida) ishonchli uchinchi tomonga (masalan, sudyaga yoki betaraf sudga) tasdiqlab berilishi mumkin, ya’ni faqat u noyob maxfiy axborot egasi ERIni shakllantirishi (muallifi bo‘lishi) mumkinligini isbotlashi mumkin.

    • ulanishni boshqarish. Ulanishni boshqarishda sub’ektning ulanish huquqlarini aniqlash va ta’minlash maqsadida sub’ekt shaxsini autentifikatsiyalash yoki sub’ekt haqidagi ma’lumotlar (masalan, ma’lum sub’ektlar guruhiga tegishlilik) yoki ulanish mandati ishlatilishi mumkin. Agar sub’ekt mualliflashtirilmagan resursdan yoki muallifashtirilgan resursdan ruxsat etilmagan usulda foydalanishga urinsa, u holda ulanishni boshqarish funksiyasi urinishni to‘sib qo‘yadi va AXTTni audit qilishni o‘tkazish uchun dastlabki ma’lumotlardagi to‘qnashuv haqidagi yozuvlar yoki xavf signalini yoqish maqsadida to‘qnashuv haqida qo‘shimcha xabar qilishi mumkin. Deytagramma rejimida ma’lumotlarni uzatishda, uzatish tomonining unga ulanishda rad etishi haqidagi istalgan bildirilishi, faqat ma’lumotlar manbai bilan ulanishni boshqarish vositalarini aldash sifatida tushuntirilishi mumkin.

Ulanishni boshqarish usullari virtual ulanishning bir tomonida (yoki har ikkala tomonlarda) yoki istalgan oraliq nuqtasida joylashtirilgan mos himoyalash vositalari (ulanishni boshqarish vositalari) yordamida amalga oshirilishi mumkin:

    • ma’lumotlarning yaxlitligi. Ma’lumotlarning yaxlitligini ta’minlash bo‘yicha quyidagi ikkita xizmat turlari mavjud:

    • bittalik xabar yoki ma’lumotlar maydonining yaxlitligi;

    • xabarlar oqimi yoki ma’lumotlar maydonlarining yaxlitligi.

Umuman olganda, bu ikkita xizmat turlarini amalga oshirish uchun birinchisi bajarilmasdan ikkinchisini bajarilishi ma’nosiz bo‘lsada, yaxlitlikni ta’minlashning turli usullari qo‘llaniladi. Bittalik xabar yoki ma’lumotlar maydonining yaxlitligini ta’minlash ikkita jarayonni ko‘zda tutadi, ulardan biri jo‘natuvchi orqali, boshqasi esa oluvchi tomonidan amalga oshiriladi:

    • jo‘natuvchi xabarga uning funksiyasi hisoblanadigan parametrni qo‘shadi. Bu parametr o‘zi shifrlanadigan qo‘shimcha axborotlar (masalan, blokli tekshirish kodi yoki kriptografik tekshirish yig‘indisi) bo‘lishi mumkin;

    • oluvchi mos parametrni shakllantiradi va uni olingan parametr bilan taqqoslaydi, ya’niuzatish jarayonida xabarni modifikatsiyalanganligi dalilini o‘rnatish maqsadida.

Faqat bitta bunday usul ishlatilganida “Xabarni takroran uzatish” turdagi hujumdan himoyalashni ta’minlash mumkin bo‘lmaydi. OTO‘B EM arxitekturasining mos sathlarida ma’lumotlar bilan manipulyatsiyalashni aniqlash bu yoki yuqoriroq sathda qayta tiklash tartibiga (masalan, takroran uzatish yoki xatolikni tuzatish yordamida) olib kelishi mumkin.
Virtual ulanish rejimida ma’lumotlarni yetkazishda xabarlar ketma-ketligining yaxlitligini ta’minlash (ya’ni, kelish tartibini buzilishi, yo‘qotishlar, takroran uzatish va qo‘yilma yoki xabarlarni modifikatsiyalashdan himoyalash), xabarlarni kelish tartibiga aniq rioya qilish, ya’ni xabarlarni ketma-ket raqamlash, ularga vaqt belgilarini qo‘yish yoki ularni kriptografik “bog‘lash” qo‘shimcha usullarini qo‘llashni talab qiladi.
Xabarlarni yetazishni deytagrammali rejimida “Xabarni takroran uzatish” turidagi hujumlarning ayrim turlaridan himoyalash uchun xabarga vaqt belgilarini kiritish tartibi ishlatilishi mumkin:
- autentifikatsiyali axborotlarni almashish. Bu usulni amalga oshiradigan himoyalash vositalari, o‘zaro ta’sirlashadigan sub’ektni autentifikatsiyalashni ta’minlash maqsadida OTO‘B EM arxitekturasining n-sathiga o‘rnatilishi mumkin. Agar sub’ektni autentifikatsiyalash vositasi uni autentifikatsiyalamasa, u holda bu ulanishni yo‘qotilishiga yoki to‘xtatishiga olib keladi va to‘qnashuv haqida AXTT ma’muriyatini ogohlantirishga va bo‘lib o‘tgan to‘qnashuv haqida yozuvli AXTT auditini o‘tkazish uchun dastlabki ma’lumotlarni to‘ldirishga olib kelishi mumkin.
AXni ta’minlashni bu usuli quyidagilardan foydalanishga asoslanishi mumkin:
- jo‘natuvchi jo‘natadigan va oluvchi tekshiradigan autentifikatsiyali axborotlar (masalan, parollar);

Download 8,17 Mb.
1   ...   91   92   93   94   95   96   97   98   ...   118




Download 8,17 Mb.
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


Xavfizlikni ta’minlash xizmatlari va usullari

Download 8,17 Mb.