Опубликован: 03.09.2003 | Уровень: специалист | Доступ: платный
Лекция 8:

Рекомендации семейства X.500

< Лекция 7 || Лекция 8: 1234 || Лекция 9 >
Аннотация: Данные рекомендации очень важны в концептуальном плане. Служба директорий, формат сертификатов открытых ключей и атрибутов - это базовые элементы инфраструктуры программно-технического уровня информационной безопасности.
Ключевые слова: служба директорий, объект, отображение, связывание, определение, Директория, Информационная База Директории, Информационное Дерево Директории, элемент, различительное имя, относительное различительное имя, информация, класс, атрибут, синоним, указатель, перечисление, фильтр, отказ от операции, управление доступом, аутентификация, сертификат открытого ключа, сертификат атрибутов, грани, конфиденциальность, целостность, неотказуемость, ЭЦП, удостоверяющий центр, список отзыва сертификатов, значение, права, кросс-сертификат, распределение доверия, пользователь, маршрут, прямой сертификат, обратный сертификат, пользователь сертификата, субъект сертификата, очередь, политика сертификата, ссылка, поле расширения, сертификационный маршрут, длина маршрута, группа, знание, инфраструктура управления привилегиями, механизмы, центр авторизации, главный центр авторизации, маршрут делегирования, правило доминирования, верификатор привилегий, предъявитель привилегий, ролевое управление доступом, контроль, контроль целостности, простая аутентификация, сильная аутентификация, временной штамп, односторонняя функция, токен безопасности, токен, односторонний обмен, двусторонний обмен, трехсторонний обмен, открытый ключ, обратный сертификационный маршрут

Основные понятия и идеи рекомендаций семейства X.500

Рекомендации семейства X.500 описывают службу директорий. Среди возможностей, предоставляемых этой службой, обычно выделяют дружественное именование (обращение к объектам по именам, удобным с точки зрения человека) и отображение имен в адреса (динамическое связывание объекта и его расположения - необходимое условие поддержки "самоконфигурируемости" сетевых систем).

Основные понятия службы директорий зафиксированы в рекомендациях X.501 " Служба директорий: модели" [ 50 ] и X.511 " Служба директорий: абстрактное определение сервиса" [ 52 ] .

Множество систем, обеспечивающих функционирование службы директорий, вместе с содержащейся в них информацией можно представлять как единое целое - Директорию с большой буквы.

Информация, доступ к которой возможен посредством Директории, называется Информационной Базой Директории . Она обычно используется для облегчения взаимодействия таких сущностей, как объекты прикладного уровня, люди, списки рассылки и т.д., а также для получения сведений о них.

Предполагается, что Информационная База имеет древовидную структуру, называемую Информационным Деревом Директории . Вершины этого дерева, отличные от корня, составляют элементы Директории, в которых хранится информация об объектах .

У каждого элемента есть однозначно идентифицирующее его различительное имя. В пределах поддеревьев Информационного Дерева могут использоваться относительные различительные имена.

Природа объектов, информация о которых хранится в Директории, произвольна. Единственное требование к ним состоит в идентифицируемости (возможности именования).

Объекты объединяются в классы. Каждый объект должен принадлежать по крайней мере одному классу.

Элементы Директории могут быть составными, объединять подэлементы, содержащие информацию об отдельных аспектах объектов.

Каждый элемент состоит из атрибутов, имеющих тип и одно или несколько значений. Набор атрибутов зависит от класса объекта.

Некоторые из концевых узлов (листьев) Информационного Дерева могут представлять собой синонимы, содержащие альтернативное имя и указатель на элемент с информацией об объекте.

Служба директорий предоставляет две группы операций:

  • опрос;
  • модификацию.

В число операций опроса входят:

  • чтение значений атрибутов элемента Директории ;
  • сравнение значения атрибута элемента Директории с заданной величиной (полезно, например, для проверки пароля без предоставления доступа к хранимому паролю);
  • выдача списка ( перечисление ) непосредственных преемников заданного узла Информационного Дерева ;
  • поиск и чтение элементов, удовлетворяющих заданным фильтрам (условиям), в заданных частях Информационного Дерева ;
  • отказ от незавершенной операции опроса (например, если она выполняется слишком долго).

В группу операций модификации входят:

  • добавление нового (концевого) узла Информационного Дерева ;
  • удаление концевого узла Информационного Дерева ;
  • модификация элемента Директории с возможным добавлением и/или удалением атрибутов и их значений;
  • модификация относительного различительного имени элемента или перемещение узла Информационного Дерева к другому предшественнику.

Рекомендации X.501 описывают три возможные схемы управления доступом к Директории: базовую, упрощенную и основанную на правилах; последняя может реализовывать принудительное (мандатное) управление доступом с использованием меток безопасности. Решения о предоставлении доступа принимаются с учетом существующей политики безопасности.

Разумеется, предусмотрена аутентификация системных агентов и пользователей, а также источников данных Директории.

Таковы основные понятия и идеи службы директорий, зафиксированные в семействе рекомендаций X.500 и необходимые нам для последующего изложения.

< Лекция 7 || Лекция 8: 1234 || Лекция 9 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова
Алексей Хохлов
Алексей Хохлов
Россия, Балашиха
Валентина Конюхова
Валентина Конюхова
Россия, Казань, КГТУ им.А.Н.Туполева (КАИ), 2008