4. Краткий обзор служб поддержки (вспомогательных служб)

Эти технические требования также определяют набор " вспомогательных служб", которые необходимы, чтобы обеспечить иерархичную и высокоэффективную систему служб безопасности:

· Обмен сообщениями защиты и согласование параметров защиты,

· Обмен ключами,

· Обновление ключей,

· инфраструктура сертификации.

4.1. Обмен Сообщениями Защиты и их Согласование

Чтобы выполнить многие из служб безопасности, описанных выше, сообщения должны передаваться между участвующими агентами безопасности (SA). Эти технические требования описывают два метода для обмена сообщениями защиты - обмен сообщениями с помощью сигнализации UNI 4.0 и внутриполосный обмен сообщениями (то есть обмен сообщениями защиты в пределах виртуального канала сегмента пользователя).

Эти методы обмена сообщениями также обеспечивают механизм для согласования параметров защиты. Так как требования защиты различаются у (разных) организаций, важно обеспечить многообразие служб безопасности, алгоритмов, и длины ключа, которые удовлетворяют широкому диапазону потребностей в защите. Кроме того, экспортные и-или

импортные законы некоторых стран предусматривают ограничения, на экспорт/импорт изделий шифрования.

По этим причинам, механизмы защиты ATM поддерживают различные службы безопасности, алгоритмы, и длины ключей.Надлежащим образом для агентов защиты, чтобы cогласовать общие параметры защиты (типы алгоритмов и длины ключей), эти методы обмена сообщениями защиты предусматривают согласование этих параметров как часть процедуры установления защиты для VC.

4.2. Обмен ключами

Ключевой обмен - механизм, с помощью которого два агента защиты обмениваются секретными ключами для использования службами обеспечения конфиденциальности и-или целостности. Чтобы защищать надлежащим образом против атак типа " человек в середине " (нарушение конфиденциальности, вклинивание), ключевой обмен - часто объединен со службой аутентификации. Это можно сделать путем включения "конфиденциальных" параметров ключевого обмена в аутентификационные потоки.

Подобно аутентификации, ключевой обмен реализован с помощью и симметричных (секретный ключ) и асимметричных (открытый ключ) алгоритмов. Кроме того, ключевой обмен может быть двунаправленным или однонаправленным.

4.3. Обновление сеансового ключа

Сеансовые ключи - это ключи, используемые непосредственно, для обеспечения конфиденциальности сегмента пользователя и служб целостности виртуального канала АТМ.

Из-за потенциально высокой скорости передачи данных виртуального канала, необходимо периодически заменять эти ключи , чтобы избежать " перекрытия шифра. " Эти технические требования определяют службу обновления сеансового ключа которая обеспечивает эту возможность.

Эта служба состоит из двух этапов - этап обмена сенсовым ключем и стадия замены сеансового ключа.

Этап обмена сеансовым ключом использует "мастер-ключ", который задается при установке подключения (используя службу ключевого обмена), для зашифрования нового сеансового ключа. После получения зашифрованного сеансового ключа, получатель расшифровывает сеансовый ключ используя общий мастер-ключ, и хранит это для второй стадии -замены ключа

4.4. Инфраструктура Сертификации

В криптосистеме с открытым ключом, каждая сторона (агент защиты) X имеет пару ключей: один из которых - общедоступный, называемый " открытым ключом " X (PKX), а другой известный только X, называемый "секретным ключом" X (SKX). В случае если стороне А необходимо послать секретную информацию стороне B (или Стороне А иметь возможность проверить подпись стороны B), А нужно иметь открытый ключ B, PKB. Хотя PKB является открытым по определению, он не должен быть доступен любой стороне X для модификации (например, PKX) .Для предотвращения этого вида атак, открытые ключи могут обмениваться в форме "сертификатов".

Сертификат содержит имя стороны, его открытый ключ, некоторую дополнительную информацию и подписан доверенной стороной, " подтвердителем подлинности " (CА). Эта подпись связывает открытый ключ с определенным субъектом. Любая сторона знающая открытый ключ CА может проверить подлинность сертификата (проверкой подписи СА в сертификате) и восстановить сертифицированный открытый ключ. Подписанные сертификаты могут передаваться через незасекреченные каналы.


з Назад Вверхй Дальшеи

Содержание

Hosted by uCoz