Documente Academic
Documente Profesional
Documente Cultură
1. Arhitectura securitii n
sistemele distribuite
Componentele logice ale unui sistem distribuit sunt resursele i entitile (care se
numesc generic utilizatori). Vom nelege prin entiti toate componentele active ale
reelei, att entitile legale ct i ilegale. Vom ncerca s identificm care sunt
componentele hard i soft implicate n securitatea unui sistem distribuit. Vom numi acest
lucru arhitectura securitii .
Entitile legale sunt acelea care sunt nregistrate cu drept de folosire a resurselor
reelei. Aceasta implic urmatoarele:
(1) fiecare entitate legal trebuie s aib afectat o unic informaie care identific
entitatea identificatorul entitii;
(2) pentru fiecare persoan trebuie stabilit dac poate deveni entitate legal a
reelei. Acest lucru este hotrt de Administratorul securitii;
(3) identitile entitilor legale trebuie s fie:
Ca urmare:
1
Arhitectura securitaii n sistemele distribuite 2
2
Arhitectura securitaii n sistemele distribuite 3
Componentele bazei de date trebuie distribuite de-a lungul ntregii reele. Cele
localizate n calculatoare gazd sunt orientate ctre entitile i resursele prezente pe acel
calculator. Mecanismele de protecie pentru accesul entitilor n reea direct de la
terminale (prin nodurile subreelei de comunicaii) sunt plasate n aceste noduri. Toate
componentele mecanismului de control al accesului, care protejeaz resurse locale, sunt
localizate pe calculatoarele gazd unde se execut programele sau se consult fiierele i
bazele de date protejate. Componentele mecanismului de control al accesului care privesc
resurse ale subreelei de comunicaii (linii, rute, noduri, entiti cu acces direct n reea)
sunt localizate pe noduri.
3
Arhitectura securitaii n sistemele distribuite 4
4
Arhitectura securitaii n sistemele distribuite 5
- Servicii de securitate
ISO definete cinci servicii principale de securitate: autentificare, confidenialitate,
controlul accesului, integritate i nerepudiere. n plus, se definete auditul, adic
monitorizarea i nregistrarea elementelor de securitate relevante. Fiecare din aceste
servicii poate fi implementat la diverse nivele arhitecturale ale modelului OSI. Pentru a
asigura securitatea unui nivel pot fi combinate unul sau mai multe servicii care la
rndul lor pot fi compuse din cteva sub-servicii i mecanisme.
7
Arhitectura securitaii n sistemele distribuite 8
MECANISME A B C D E F G H
SERVICII
Autentificarea entitilor perechi x x x
Autentificarea originii datelor x x
Controlul accesului x
Confidenialitatea legturii x x
Confidenialitatea neorientat conexiune x x
Confidenialitatea selectiv a cmpurilor x x X
Integritatea conexiunii cu recuperare x X
Integritatea conexiunii fr recuperare x X
Integritatea conexiunii cu cmpuri selectate x X
Integritatea neorientat conexiune x x X
Integritatea neorientat conexiune cu cmpuri selectate x x X
Nerepudiere cu probarea originii x X x
Nerepudiere cu probarea livrrii x X x
8
Arhitectura securitaii n sistemele distribuite 9
NIVELE 1 2 3 4 5 6 7
ARHITECTURALE
SERVICII
DE SECURITATE
Autentificarea entitilor perechi x x x
Autentificarea originii datelor x x x
Controlul accesului x x x
Confidenialitatea legturii x x x X x x
Confidenialitatea neorientat conexiune x x x x x
Confidenialitatea selectiv a cmpurilor x x
Integritatea conexiunii cu recuperare x x
Integritatea conexiunii fr recuperare x x x
Integritatea conexiunii cu cmpuri selectate x
Integritatea neorientat conexiune
Integritatea neorientat conexiune cu cmpuri selectate x
Nerepudiere cu probarea originii x
Nerepudiere cu probarea livrrii x x x
A) Nivelul fizic (nivelul 1). Serviciile de securitate ale nivelului fizic asigur o protecie
punct la punct. Securitatea poate fi aplicat:
C) Nivelul reea (nivelul 3). Serviciile de securitate care pot fi asigurate de acest nivel
sunt:
D) Nivelul transport (nivelul 4). Pentru nivelul transport ISO 7489-2 menioneaz
cteva servicii de securitate:
E) Nivelul sesiune (nivelul 5). ISO 7489-2 nu prevede ca nivelul de sesiune s ofere
servicii de securitate.
F) Nivelul prezentare (nivelul 6). Acest nivel este considerat ideal pentru asigurarea
proteciei informaiilor deoarece serviciile de securitate pot fi considerate
transformri de date, care sunt operaii specifice nivelului prezentare. Facilitile de
confidenialitate oferite aici se pot baza pe legturi orientate/neorientate pe conexiune
sau pe variantele de cmp selectat. Deoarece acest nivel este folosit pentru
transformarea datelor, exist un avantaj pentru cifrarea datelor la acest nivel mai
curnd dect la nivelul aplicaie; cu toate acestea, deoarece acest nivel este mai mult
teoretic, el nentlnindu-se prea des n practic, problema implementrii unor servicii
de securitate la acest nivel nu prea are sens.
G) Nivelul de aplicaie (nivelul 7). ISO 7498-2 afirm c toate serviciile de securitate
pot fi asigurate la acest nivel, iar nerepudierea mesajelor poate fi oferit numai de
ctre acest nivel. Totui, serviciile de securitate oferite de nivelul aplicaie pun unele
probleme, datorit conflictului cu funcionalitatea nivelului prezentare. Pentru muli,
unul dintre motivele cele mai importante pentru asigurarea serviciilor de securitate la
acest nivel l constituie posibilitatea de implementare a acestor servicii n afara
sistemelor de operare. Astfel, cei ce dezvolt aplicaii pot implementa mecanismele
de securitate pe care le doresc n interiorul aplicaiilor. Aspectul neplcut al
serviciilor i mecanismelor de securitate implementate la acest nivel este c fiecare
implementare servete numai unei anume aplicaii i deoarece proiectarea i
implementarea unui serviciu de securitate este un proces complex, exist riscul ca
facilitile de securitate ale aplicaiei respective s fie slabe.
Dup cum se observ, securitatea arhitectural a unei reele este un ghid abstract
pentru proiectanii de protocoale de reea. Muli specialiti consider ns c
securitatea arhitectural a reelelor ar trebui s asigure un set concret de linii
directoare att pentru proiectanii de reele ct i pentru fabricanii de echipamente de
reea. Deci, securitatea arhitectural a reelelor ar trebui s cuprind nu numai
elemente conceptuale, aa cum sunt cele prevzute de standardul ISO 7498-2, ci i
specificaii despre implementarea serviciilor de securitate.
11