Tölvumál - 01.10.2000, Side 17
Nafnleyndarkerfi IE
Framangreint er til að
tryggja að ekki sé
hægt að hlera eða
breyta gögnum á
meðan samskipti fara
fram
Ef jákvæð sannreyn-
ing hefur farið fram
þá býr miðlarinn til
snið af notandanum
(user profilej sam-
kvæmt upplýsingum
sem miðlarinn geymir
sjálfur í notendakerfi
sínu
Til að opna fyrir notk-
un kerfisins á leyni-
lyklinum þá þurfa
tveir aðilar að slá inn
aðgangsorð (Secret
Sharingj
um, ásamt slembivörpun til að mynda
millilið.
• Umröðun á gagnafærslum með
slembivörpun til að forðast samanburð
á gögnum eftir gagnainnihaldi.
• Tvíhliða sannreyning (authentication)
notenda, með rafrænum skírteinum
samkvæmt X.509 staðli.
• Notendastjórnun, notendahópar, not-
endahlutverk.
• Stjórnun réttinda samkvæmt skil-
greindum notendahlutverkum.
• Eftirlitskerfi með möguleikum á tvö-
faldri uppsetningu, - fyrir bæði innri og
ytri eftirlitsaðila.
• Skráning viðburða í kerfinu.
• Tilkynningar sendar til notenda og
stjórnenda með venjulegum tölvupósti.
• Gagnavarsla dulkóðuð með leynilegum
(óþekktum) kerfislykli.
• Innbrotsvarnir í gagnavörslu með raf-
rænni undirskrift, til að kerfið geti var-
að við tilraunum til að breyta, eyða eða
bæta við gögnum. (Tamper detection).
• Kerfið og kerfíslyklar varðveittir með
samsettum notendalyklum (Secret shar-
ing).
• Mikilvægar aðgerðir, svo sem réttinda-
stjórnun eru dreifðar meðal fleiri aðila,
með hlutverkaskiptingu.
• Örugg afritataka.
• Öryggi kerfisins er tryggt af ntiðlara, -
annað en sannreyning biðlara á miðlara.
Oryggi samskipta
Samskipti biðlara og miðlara eru tryggð
með dulkóðun og sannreyningu. Þegar
miðlari er settur upp þá býr hann til
CORBA/SSL þjónustu. Hvaða gerð
dulkóðunar er krafíst í tengingunni má
breyta í uppsetningu, en mælt er með
3DES. Fasttengt við CORBA/SSL þjón-
ustuna er rafrænt skírteini miðlarans.
Þjónustan hafnar öllum tengingum nema
frá biðlurum með SSL tengingu og X.509
skírteinum. Framangreint er til að tryggja
að ekki sé hægt að hlera eða breyta gögn-
um á meðan samskipti fara fram.
Þetta eitt tryggir ekki innrás frá ólög-
mætum aðilum. Hver sá sem á gilt rafrænt
skírteini getur náð tengingu, - meira að
segja öruggri tengingu. Til að hindra það
hefur IPS kerfið upplýsingar um alla not-
endur sína og skírteini þeirra og sannreyn-
ir að þeir einir nái tengingu. Sannreyning
á notanda er gerð með því að bera saman
skírteinakeðju (Certificate Chain) biðlara,
sem áföst er SSL tengingunni, við eigin
upplýsingar. Það er einstakt nafn
(Distinguished Name) er athugað og
einnig er athugað hvaða útgefandi er af
skírteininu. Athugið að ekki er unnt að
opna SSL tengingu nema afhenda skírteini
sem notandinn hefur aðgangsorð að. Ef
jákvæð sannreyning hefur farið fram þá
býr miðlarinn til snið af notandanum
(user profile) samkvæmt upplýsingum
sem miðlarinn geymir sjálfur í notenda-
kerfi sínu. Þetta snið er afhent notenda-
kerfí (LoginManager hlut) sem fylgist
með að tiltekin notandi framkvæmi ein-
ungis aðgerðir og fái einungis hluti sem
að eru tilgreindir í sniði hans.
Einnig þarf biðlari að tryggja að hann
sé tengdur við réttan miðlara. Þetta er gert
á nánast sama hátt og miðlari sannreynir
biðlara. Þegar notanda er afhent sitt eigið
skírteini og biðlarahugbúnaður er honum
einnig afhentar upplýsingar um skírteini
miðlarans og útgefanda þess. Eftir að SSL
tenging kemst á þá sækir biðlarinn skír-
teinið sem áfast er tengingunni og ber
saman við eigin upplýsingar.
Oryggi gagnavörslu
IPS miðlarinn hefur gagnavörslu sem er
dulkóðuð og einnig varin með innrásar-
vömum (Tamper Detection). Kóðun gagn-
anna er gerð með leynilykli kerfisins, sem
enginn hefur aðgang að nema kerfið sjálft.
Til að opna fyrir notkun kerfisins á leyni-
lyklinum þá þurfa tveir aðilar að slá inn
aðgangsorð (Secret Sharing). Þannig er
eingöngu hægt að nálgast gögn kerfisins í
gegn um lögmætar aðgerðir kerfisins
sjálfs. Þetta einfaldar afritatöku þar sem
afritið er ekki læsilegt neinum nema sömu
uppsetningu kerfisins. Þar að auki er raf-
ræn undirskrift kerfisins á öllum gagna-
færslum. Þegar kerfið les gögn þá er und-
irskriftin athuguð og standist hún ekki þá
eru gögnin ekki afhent og tölvupóstur
sendur til eftirlitsaðila með tilkynningu
um innbrot. Þannig er hindrað að hægt sé
að breyta, bæta við eða eyða hluta gagn-
anna. Athugið að jafnvel þótt gögn séu
dulkóðuð þá er hægt breyta dulkóðuðu
gögnunum.
Tölvumál
17