سرویس های امنیتی که باید با آنها آشنا شوید

 سرويس امنيتی يک سرويس ارتباطی، و يا پردازشی است كه بتوسط يک سيستم ايجاد شده تا نوع تعريف شده از حفاظت را براي منابع سيستم بوجود آورد. سرويس های امنيتی، خط منشی های امنيتی را از طريق مكانيسم های امنيتی پياده سازی ميكنند.

اعتبارسنجي AUTHENTICATION

سرويس اعتبارسنجي مسئول اطمينان يافتن از اين است كه يك ارتباط معتبر است. در مورد يك پيام تنها، مانند يك سيگنال هشداردهنده يا آلارم، وظيفة سرويس اعتبارسنجي اين است كه به گيرندگان پيام اطمينان دهد كه اين سيگنال واقعاً از منبعي كه ادعا دارد سرچشمه گرفته است. در مورد يك تعامل دائمي، همانند اتصال يك پايانه به يك رايانه، موضوع دو جنبه دارد. اول اين كه در هنگام برقراري ارتباط، سرويس اعتبارسنجي به طرفين ارتباط اطمينان دهد كه طرف مقابل معتبر بوده و هريك از طرفين واقعاً هماني هستند كه ادعا ميكنند. دوم اين كه سرويس اعتبارسنجي بايستي تضمين كند كه اتصال بين دو كاربر در اشغال فرد ثالثي كه بتواند خود را بجاي هريك از طرفين جازده و ارسال و دريافت غيرمُجازي را ايجاد نمايد، درنيامده است.

دو سرويس اعتبارسنجي مشخص در استاندارد تعريف شده اند: 

• اعتبارسنجي واحد نظير Peer Entity Authentication : براي تأئيد هويت يك واحد نظير(peer (در يك مجتمع رايانهاي بكار ميرود. دو واحد را نظير هم خوانند اگر آنها در دو سيستم مختلف در پروتكل يكساني پيادهسازي شوند . مثلاً مدولهاي TCP در دو سيستم ارتباطي، نظير هم هستند. استفاده از اين سرويس در هنگام برقراري ارتباط و يا در خلال انتقال داده هاست. اين سرويس تلاش ميكند تا اين اطمينان را فراهم سازد كه يك واحد خود را بجاي واحد ديگر جانزده و يا يك ارتباط قديمي را بازخواني نكرده باشد.  
• اعتبارسنجي منبع ديتا Data-Origin Authentication: براي تأئيد هويت منبع يك واحد ديتا بكار ميرود. حفاظتي در برابر تكرار و يا تغيير داده ها ايجاد نميكند. اين نوع سرويس از كاربردهائي همانند پست الكترونيك كه در آنها هيچ تعاملي بين واحدهاي مرتبط وجود ندارد، حمايت ميكند.  

كنترل دستيابي ACCESS CONTROL

در مقولة امنيت شبكه، كنترل دستيابي به مفهوم قابليت محدودكردن و كنترل دستيابي به سيستمهاي ميزبان و كاربردها از طريق پيوند ارتباطي است. براي حصول اين امر، هر واحد كه تمايل به دستيابي به سيستم يا كاربردي را دارد بايستي اول شناسائي و يا اعتبارسنجي گردد تا حق دستيابي مختص خودش به او داده شود 

محرمانگي داده ها DATA CONFIDENTIALITY

محرمانگي عبارت از حفاظت اطلاعات انتقاليافته در برابر حملات غيرفعال است. در رابطه با محتويات يك انتقال ديتا چندين سطح حفاظت را ميتوان تعريف كرد. وسيعترين سرويس، تمام ديتاي انتقال يافته بين دو كارب طـ ـر در ول زمـان را محافـظت ميكند. مثلاً وقتي يك اتصال TCP بين دو سيستم برقرار ميشود، اين حفاظت وسيع از برملا شدن هرگونه داده كاربر روي اتصال TCP جلوگيري ميكند. شكل ضعيفتر سرويس اين است كه حفاظت فقط از يك پيام و يا حتي بخش هاي مشخصي از يك پيام صورت پذيرد. اين سرويس پالايش شده كمتر از سرويس وسيع مفيد بوده و حتي ممكن است به پيچيدگي و هزينة بيشتري منجر شود.  

• محرمانگي اتصالي Connection Confidentiality:حفاظت از تمام دادة كاربر در طول اتصال
• محرمانگي غيراتصالي Connectionless Confidentiality:حفاظت از تمام دادة كاربر در يك بلوك منفرد
• محرمانگي ميدان انتخابي Selective-Field Confidentiality:محرمانگي ميدانهاي انتخاب شده دادة كاربر در تمام يك اتصال و يا در يك بلوك ديتا
• محرمانگي جريان ترافيك Traffic-Flow Confidentiality:حفاظت از اطلاعاتي كه ممكن است از مشاهدة جريان ترافيك دادهها بدست آيد.

جنبة ديگر محرمانگي، حفاظت جريان ترافيك در برابر تجزيه و تحليل دشمن است. لازمة اين كار اين است كه يك مهاجم نتواند منبع، مقصد، تواتر، طول و يا ساير مشخصه هاي ترافيكي يك تسهيلات ارتباطي را مشاهده نمايد. 

صحت داده ها DATA INTEGRITY

همانند محرمانگي، كنترل صحت و يا اصالت داده ها ميتواند به جريان دائمي پيام ها، به يك پيام منفرد و يا به ميدان هاي انتخاب شده از يك پيام اعمال گردد. بازهم مفيدترين و سرراست ترين روش، حفاظت از كل جريان داده هاست. 

 يك سرويس صحت اتصالگرا ي، سرويس كه با جريان پيوستة پيام ها سروكار دارد، بايستي اين اطمينان را ايجاد كندكه پيام ها همانطور كه ارسال ميشوند دريافت گردند، بدون اينكه مجدداً تكرار شده، چيزي به آنها اضافه شده، تغيير يافته، نظم آنها بهم خورده و يا بازخواني شده باشند. تخريب داده ها نيز تحت همين سرويس قرار دارد. بنابراين سرويس صحت با گرايش اتصالي هم تغيير داده ها و هم انكار سرويس را مورد خطاب قرار ميدهد. از سوي ديگر يك سرويس صحت غيراتصالي آن است كه تنها با پيام هاي منفرد، بدون توجه به محدودة وسيع آنها، سروكار داشته و فقط در برابر تغيير محتويات پيام حفاظت ايجادكند.

ميتوان بين سرويسهاي با بازيابي و بدون بازيابي تمايز قائل شد. چون سرويس صحت مربوط به حملات فعال است، جنبة تشخيص آنها و نه جنبة جلوگيري از آنها داراي اهميت است. اگر در صحت ديتا خللي مشاهده گردد، سرويس مربوط ممكن است تنها اين خلل را گزارش نمايد و لازم باشد تا بخش ديگري از نرم افزار و يا نوعي دخالت انساني مشكل را حل كند. از سوي ديگر مكانيسمهائي نيز وجود دارند كه علاوه بر تشخيص عدم صحت به حل مشكل نيز كمك ميكنند. قراردادن مكانيسمهاي بازيابي خودكار معمولاً انتخاب هاي پرجاذبه تري هستند. 

عدم انكار NONREPUDIATION

عدم انكار، چه فرستنده و چه گيرنده را از انكار يك پيام ارسال شده مانع ميشود. بنابراين وقتي پيامي ارسال ميشود، گيرنده پيام ميتواند اثبات كند كه حتماً همان فرستندة ذكرشده، پيام را ارسال كرده است. بطريق مشابه وقتي پيامي دريافت ميگردد، فرستندة پيام ميتواند اثبات كند كه حتماً همان گيرندة ذكرشده، پيام را دريافت كرده است. 

• عدم انكار، مبدأ  Origin, Nonrepudiation :اثبات اينكه پيام بتوسط طرف اصلي ارسال شده است.
• عدم انكار، مقصد  Destination, Nonrepudiation :اثبات اينكه پيام بتوسط طرف اصلي دريافت شده است.