Введение.
Введение 1
Архитектура секретности сети в двух словах 3
Управление маршрутизацией 11
Начальные условия выбора системы криптографии 12
Обоснование отказа от аппаратной оставляющей 16
Обоснование выбора и настройка системы 17
Математический аппарат работоспособности метода 22
Заключение 21
Используемая литература 22
Развитие вычислительной техники началось довольно давно, а вот истинный прогресс персональных вычислительных машин произошёл сравнительно недавно. Прошло не так много времени, а 86х286 процессор перестал быть актуальным и лишился возможности выполнять даже десятую часть тех вычислений, которые требуются сегодня. Тактовая частота в 2,5 ГГц стала сегодня обычным явлением и удивить такими производительными мощностями тяжело.
Зато объёдинение персональных компьютеров в сеть осталось актуальным. Конечно, совершенствование аппаратного обеспечения и линий связи положительно отразилось на росте скорости передачи данных, технологии объёдинения вычислительных машин в сеть также прогрессировал.
Лишь одно осталось неизменно – необходимость защиты информации от несанкционированного доступа извне, в том числе и в вычислительных сетях.
Для достижения этих целей используется множество методов. Наиболее простым решением стало введение защиты в сетях посредством клиент-серверных и одноранговых архитектур. Однако и они спасовали, когда появилась необходимость защитить сами линии связи от вмешательства или информацию от лиц, не владеющими определённым спектром прав, но всилу определённых условий заполучившие «чужие» пароли на доступ. Перехват информации может проводиться по наводкам ЭДС в кабелях, можно, в крайнем случае, подключится напрямую к кабелю или к ОВЛС с помощью специальной аппаратуры.
Так или иначе, добраться до передаваемой (получаемой) информации при необходимости не составляет большой трудности, особенно для средств разведки. Это, в принципе, не так важно в сетях, где не содержится информация, нуждающаяся в засекречивании. Но ведь есть множество вариантов, когда появляется поистине необходимость защитить информацию от обработки её лицами, которым она не предназначена.
В таких случаях актуальность приобретает криптографическая защита информации и результаты её деятельности. Это наиболее простой и эффективный способ защитить передаваемую информацию от несанкционированного доступа и насчитывает множество методов. Некоторые из них будут рассмотрены далее.
Ещё надо сказать пару слов об обеспечении процесса криптографического шифрования данных в персональных компьютерах широко используется программный комплекс шифрования данных, но наряду с этим существует и аппаратный. Он менее удобный, требует определённых условий для реализации, зато обладает некоторыми преимуществами перед программным, так как не требователен к остальному аппаратному обеспечения ПК и появляется возможность использования физических ключей. Однако на сегодняшний день уже существуют методы использования физических ключей при программном шифровании данных, вставляющихся через порты ПК.
СЕКРЕТНОСТЬ В ISO.
Архитектура секретности сети в двух словах.
Термин " архитектура секретности сети" можно понимать по-разному. Согласно одной из его трактовок, архитектура секретности - это, в основном, терминологические определения и довольно абстрактные рекомендации разработчикам протоколов. Архитектура секретности МОС, ISO 7498-2, является примером такого подхода. Большую часть этого
стандарта занимают руководство по секретности, определение средств и механизмов секретности, и рассмотрение общих угроз в среде сетевых открытых систем.
Только небольшая часть этого документа обеспечивает основу для оценки предлагаемых средств секретности в протоколах ВОС. По существу эта основа состоит из двух таблиц и приложения к ним. Одна таблица обеспечивает рекомендации по тому, какие механизмы секретности могут использоваться для обеспечения конкретных средств секретности. Вторая(и более спорная) таблица определяет, какие средства секретности могут предоставляться протоколами на каждом из семи уровней ЭМВОС. Более того, при рассмотрении контекста, в котором существует ISO 7498-2, то есть других документов, описывающих модель ВОС, оказывается, что ISO 7498-2 - это довольно абстрактный уровень архитектурной спецификации.
В области ВОС(и МККТТ) базовые стандарты обычно являются довольно абстрактными, чтобы исключить разработку взаимно работоспособных продуктов независимыми производителями на основе только этих стандартов. Это ведет к появлению "профилей", которые содержат детальные описания и накладывают ограничения на размер блоков данных и т.д., делая возможным создание независимых взаимно работоспособных
реализаций. В среде Интернет стандарты, как правило, более конкретны и потому не требуют дополнительных профилей. Кроме того, в Интернете существует тенденция разрабатывать
стандарты для тех вещей, которые МОС считает "локальным вопросом", предоставляя пользователям большую гибкость при выборе оборудования у производителей, например стандарта OSPF. Учитывая такую ориентацию стандартов Интернета,
архитектура секретности Интернета видимо должна быть менее абстрактной и более ограниченной, чем ее соответствие в ВОС.
и другие точки зрения.
ISO 7498-2 определяет архитектуру секретности для модели ВОС, дополняя базовую справочную модель, определенную в ISO 7498-1. Этот документ является прекрасным введением в архитектуру секретности как Интернета, так и ряда ЛВС. Уровни 1-4 справочной
модели ВОС прямо соответствуют протоколам, используемым в стеке протоколов TCP/IP. Эти два стека протоколов отличаются тем, что стек TCP/IP отводит под приложения средства
взаимодействия, соответствующие уровням 5-7 стека ВОС. Тем не менее, уровень 5 не имеет средств секретности, связанных с ним, согласно ISO 7498-2. Рассмотрение средств секретности, обеспечиваемых на представительном и прикладном уровнях легко соотносится с приложениями TCP/IP.
Архитектура секретности МОС состоит из пяти основных элементов: определений средств секретности, определений механизмов секретности , принципов разделения средств секретности по уровням, соответствия между средствами
секретности и уровнями, и соответствия между механизмами и средствами. Как было сказано ранее, небольшая, но важная часть этого стандарта посвящена рассмотрению принципов,
которые должны определять то, какие средства будут предоставляться каждым из уровней. Существуют и другие аспекты этого стандарта, например определения типов атак, но
они носят руководящий характер. Три приложения содержат дополнительную базовую информацию по этой архитектуре, более детально объясняя решения, описанные в этом стандарте.
Средства секретности являются абстрактными понятиями, которые могут использоваться, чтобы охарактеризовать требования секретности. Они отличаются от механизмов
секретности, которые являются конкретными мерами при реализации средств секретности. Критическим архитектурным элементом этого стандарта является определение того, какие
средства секретности должны обеспечиваться на каждом из уровней справочной модели. Это определение является руководством для разработчиков протоколов, но не для тех,
кто создает реализации протоколов, и не для разработчиков сетей.
Одной из самых известных частей ISO 7498-2 является таблица, которая устанавливает соответствие между средствами секретности и уровнями справочной модели. Таблица такого
рода должна основываться на наборе фундаментальных принципов. Перед тем, как рассматривать средства секретности и разделение их по уровням, уместно кратко рассмотреть эти принципы. В ISO 7498-2 описано семь принципов разделения секретности по уровням, которые кратко изложены ниже:
1) Число вариантов, посредством которых может быть реализовано средство секретности, должно быть минимальным. Другими словами, разнообразие не должно быть самоцелью.
Разработка и реализация технологии секретности - это сложная задача, и этот принцип утверждает, что следует минимизировать число решений этой задачи. Тем не менее,
многие доказывают, что сама архитектура секретности ВОС далека от соблюдения этого принципа, так как включает много альтернатив для обеспечения средств секретности на различных уровнях.
2) Средства секретности могут быть реализованы более чем на одном уровне при создании системы секретности. Это безусловно верно, и иллюстрируется рассмотрением гибридных
решений секретности в различных контекстах, например в сетях МО США, описанных ниже. Из этого принципа следует, что одно средство может законно появиться на нескольких уровнях в таблице распределения средств по уровням. Отметим внутренне противоречие между двумя первыми принципами, так как Принцип 1 возражает против появления средства на нескольких уровнях, а Принцип 2 доказывает возможность этого. Понятно, что должно быть достигнуто равновесие между ними. Например, часто стоит разместить средство на нескольких уровнях, так как различные уровни поддерживаются различными организациями.
3) Возможности секретности необязательно должны дублировать существующие возможности взаимодействия. Это предполагает, что где это возможно, нужно полагаться на
существующие средства взаимодействия, чтобы механизмы секретности не дублировали эти функции. Это превосходный принцип, но часто можно обнаружить, что базовые средства взаимодействия не могут использоваться для обеспечения секретности без потери секретности. Например, соблазнительно использовать средства упорядочения или обнаружения ошибок, представленные протоколами Транспортного уровня, как часть аналогичных средств секретности. Тем не менее, последовательные номера и коды, обнаруживающие ошибки, были разработаны для условий неопасных ошибок, и могут оказаться неадекватными при агрессивных атаках. Если разработчики протокола учитывали требования секретности при разработке протокола, то тогда можно избежать такого дублирования.