ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель

5.3.5 Механизм обмена информацией аутентификации

5.3.5.1 Для обеспечения обмена информацией аутентификации могут использоваться некоторые из перечисленных ниже методов:

a) использование информации аутентификации, такой как пароли, которые обеспечиваются передающим и проверяются принимающим логическими объектами;

b) методы криптографии;

c) использование характеристик и/или принадлежностей логического объекта.

5.3.5.2 Указанные механизмы могут содержаться в (N)-ypoaHe для аутентификации равноправного логического объекта. Если механизму не удалось провести аутентификацию логического объекта, это приведет к отклонению или разъединению соединения и может также вызвать появление записи в данных отслеживания защиты и/или к уведомлению центра административного управления защитой.

5.3.5.3 При использовании криптографических методов они могут сочетаться с протоколами «квитирования» с целью защиты от воспроизведения (т.е. для обеспечения жизнеспособности).

5.3.5.4 Выбор методов обмена информацией аутентификации должен зависеть от обстоятельств их использования. В большинстве случаев эти методы следует использовать в сочетании со следующими процедурами:

a) установка отметок времени и синхронизированные часы;

b) двух- и трехнаправленное квитирование (для односторонней и взаимной аутентификации, соответственно);

c) услуги без самоотвода, обеспечиваемые цифровой подписью, и/или механизмами нотари-зации.

5.3.6 Механизм заполнения графика,
Механизм заполнения графика может использоваться для обеспечения различных уровней защиты от анализа графика. Этот механизм может быть эффективным только в том случае, если заполнение графика защищается услугой конфиденциальности.

5.3.7 Механизм управления маршрутизацией

5.3.7.1 Маршруты могут выбираться либо динамически, либо путем такого предварительного распределения, которое использует только физически защищенные подсети, ретрансляторы или звенья данных.

5.3.7.2 При обнаружении постоянных попыток манипуляции данными оконечные системы могут передать поставщику сетевой услуги команду на установление соединения через другой маршрут.

5.3.7.3 Прохождение данных с определенными метками защиты через соответствующие подсети, ретрансляторы или звенья может быть запрещено стратегией защиты. Кроме того, инициатор соединения (или передатчик блока данных без установления соединения) может установить запрет на использование маршрутов, что требует исключения из маршрута заданных подсетей, звеньев данных или ретрансляторов.

5.3.8 Механизм нотаризации
Характеристики данных, передаваемых между двумя или несколькими объектами, такие как целостность, отправитель, время и получатель, могут быть гарантированы путем использования механизма нотаризации.

Гарантия обеспечивается третьим участником-нотариусом, который получает полномочия от взаимодействующих логических объектов и обладает информацией, необходимой для предоставления запрашиваемой гарантии посредством метода, допускающего проверку. Каждый сеанс обмена данными может использовать механизмы цифровой подписи, шифрования и аутентификации в соответствии с видом услуги, предоставляемой нотариусом. При использовании такого механизма нотаризации данные передаются между двумя взаимодействующими объектами с помощью защищенных сеансов связи и через нотариуса.

5.4 Общеархитектурные механизмы защиты
В данном подразделе описан ряд механизмов, которые не являются специфичными для любой конкретной услуги. Так, в разделе 7 эти механизмы описаны неявно, как принадлежащие любому отдельному уровню.

Некоторые из этих общеархитектурных механизмов защиты могут рассматриваться как аспекты административного управления защитой (см. также раздел 8). Назначение этих механизмов в основном прямо зависит от запрашиваемой степени защиты.