Задачи и проблемы распределенной обработки данных.

Задачи и проблемы распределенной обработки данных.

 

Распределенная обработка данных - деление одной прикладной программы на несколько самостоятельных параллельно выполняемых процессов, которые работают на различных ЭВМ сети и выполняют одну общую задачу. В распределенных автоматизированных системах (или просто - в распределенных системах) пользователь лишен необходимости самостоятельно решать вопросы управления ресурсами и процессами.

Распределенная система - это сеть ЭВМ, ресурсы которой представляются пользователям рабочих станций сети как виртуальная ЭВМ с неограниченными ресурсами.

Сеть ЭВМ - это две или более электронно-вычислительные машины, соединенные между собой для передачи информации.

В распределенной системе от пользователя скрыты:

1. Физическое местоположение ресурсов сети;

2. Способы связи между ресурсами в сети;

3. Организация взаимодействия между ресурсами сети.

Основная задача распределенной системы заключается в облегчении пользователям доступа к удаленным ресурсам и обеспечении бесконфликтного их совместного использования. Выполнение основной задачи достигается путем реализации следующих свойств распределенной системы:

1. Прозрачность - свойство сокрытия факта того, что процессы и ресурсы физически распределены по различным ЭВМ сети.

2. Открытость - свойство стандартизации доступа к ресурсам системы. Характеристики открытости системы:

3. Масштабируемость. Масштабируемость - это свойство расширения системы.

Аппаратно распределенная система представляет собой многомашинный вычислительный комплекс, построенный на основе сети ЭВМ.

Программно распределенная система представляет собой операционную систему, выступающую как менеджер ресурсов виртуальной ЭВМ, представляемой пользователю.

Основная цель распределенной операционной системы - сокрытие тонкостей управления аппаратным обеспечением, одновременно используемым многими процессами.

Распределенная операционная система работает с точки зрения пользователя как локальная операционная система ЭВМ с неограниченными ресурсами. Для обеспечения такой работы к существующим службам сетевых операционных систем добавляются программные средства, называемые системами промежуточного уровня.

Проблемы:

 

Эволюция вычислительных сетей и систем

 

Концепция вычислительных сетей является логическим результатом эволюции компьютерной технологии. Первые компьютеры 50-х годов - большие, громоздкие и дорогие - предназначались для очень небольшого числа избранных пользователей. Такие компьютеры не были предназначены для интерактивной работы пользователя, а использовались в режиме пакетной обработки.

Системы пакетной обработки

Системы пакетной обработки строились на базе мэйнфрейма - мощного и надежного компьютера универсального назначения. Пользователи подготавливали перфокарты, содержащие данные и команды программ, и передавали их в вычислительный центр. Операторы вводили эти карты в компьютер, а распечатанные результаты пользователи получали обычно только на следующий день.

Считалось, что пакетный режим - это самый эффективный режим использования вычислительной мощности, так как он позволяет выполнить в единицу времени больше пользовательских задач, чем любые другие режимы.

Многотерминальные системы - прообраз сети

По мере удешевления процессоров в начале 60-х годов появились новые способы организации вычислительного процесса, которые позволили учесть интересы пользователей. Начали развиваться интерактивные многотерминальные системы разделения времени. В таких системах компьютер отдавался в распоряжение сразу нескольким пользователям.

Терминалы, выйдя за пределы вычислительного центра, рассредоточились по всему предприятию. И хотя вычислительная мощность оставалась полностью централизованной, некоторые функции - такие как ввод и вывод данных - стали распределенными. Такие многотерминальные централизованные системы внешне уже были очень похожи на локальные вычислительные сети.

Таким образом, многотерминальные системы, работающие в режиме разделения времени, стали первым шагом на пути создания локальных вычислительных сетей. Но многотерминальные системы все еще сохраняли централизованный характер обработки данных

Появление глобальных сетей

Все началось с решения более простой задачи - доступа к компьютеру с терминалов, удаленных от него на многие сотни, а то и тысячи километров. Терминалы соединялись с компьютерами через телефонные сети с помощью модемов. Такие сети позволяли многочисленным пользователям получать удаленный доступ к разделяемым ресурсам нескольких мощных компьютеров класса супер ЭВМ. Затем появились системы, в которых наряду с удаленными соединениями типа терминал-компьютер были реализованы и удаленные связи типа компьютер-компьютер. Компьютеры получили возможность обмениваться данными в автоматическом режиме, что, собственно, и является базовым механизмом любой вычислительной сети. Используя этот механизм, в первых сетях были реализованы службы обмена файлами, синхронизации баз данных, электронной почты и другие, ставшие теперь традиционными сетевые службы.

Первые локальные сети

В начале 70-х годов произошел технологический прорыв в области производства компьютерных компонентов - появились большие интегральные схемы и мини-компьютеры, которые стали реальными конкурентами мэйнфреймов.

Мини-компьютеры выполняли задачи управления технологическим оборудованием, складом и другие задачи уровня подразделения предприятия. Однако при этом все компьютеры одной организации по-прежнему продолжали работать автономно.

Организации стали соединять свои мини-компьютеры вместе и разрабатывать программное обеспечение, необходимое для их взаимодействия. В результате появились первые локальные вычислительные сети. Они еще во многом отличались от современных локальных сетей, в первую очередь - своими устройствами сопряжения. Эти устройства могли соединять только те типы компьютеров, для которых были разработаны.

Создание стандартных технологий локальных сетей

В середине 80-х годов утвердились стандартные технологии объединения компьютеров в сеть - Ethernet, Arcnet, Token Ring. Мощным стимулом для их развития послужили персональные компьютеры. Персональные компьютеры стали преобладать в локальных сетях, причем не только в качестве клиентских компьютеров, но и в качестве центров хранения и обработки данных, то есть сетевых серверов, потеснив с этих привычных ролей мини-компьютеры и мэйнфреймы.

Для создания сети достаточно было приобрести сетевые адаптеры соответствующего стандарта, например Ethernet, стандартный кабель, присоединить адаптеры к кабелю стандартными разъемами и установить на компьютер одну из популярных сетевых операционных систем, например, NetWare.

Локальные сети в сравнении с глобальными сетями внесли много нового в способы организации работы пользователей. Доступ к разделяемым ресурсам стал гораздо удобнее - пользователь мог просто просматривать списки имеющихся ресурсов, а не запоминать их идентификаторы или имена.

Возможность реализовать все эти удобства разработчики локальных сетей получили в результате появления качественных кабельных линий связи, на которых даже сетевые адаптеры первого поколения обеспечивали скорость передачи данных до 10 Мбит/с.

О таких скоростях разработчики глобальных сетей не могли даже мечтать - им приходилось пользоваться теми каналами связи, которые были в наличии - скорость в 1200 бит/с была для них хорошим достижением. Поэтому экономное расходование пропускной способности каналов связи часто являлось основным критерием эффективности методов передачи данных в глобальных сетях.

Современные тенденции

Сегодня вычислительные сети продолжают развиваться, причем достаточно быстро. Разрыв между локальными и глобальными сетями постоянно сокращается во многом из-за появления высокоскоростных территориальных каналов связи, не уступающих по качеству кабельным системам локальных сетей. В глобальных сетях появляются службы доступа к ресурсам, такие же удобные и прозрачные, как и службы локальных сетей. Подобные примеры в большом количестве демонстрирует самая популярная глобальная сеть - Internet.

Изменяются и локальные сети. Вместо соединяющего компьютеры пассивного кабеля в них в большом количестве появилось разнообразное коммуникационное оборудование - коммутаторы, маршрутизаторы, шлюзы. Благодаря такому оборудованию появилась возможность построения больших корпоративных сетей, насчитывающих тысячи компьютеров и имеющих сложную структуру. Возродился интерес к крупным компьютерам.

Стала обрабатываться несвойственная ранее вычислительным сетям информация - голос, видеоизображения, рисунки. Это потребовало внесения изменений в работу протоколов, сетевых операционных систем и коммуникационного оборудования.

Сегодня заветная цель - слияния технологий не только локальных и глобальных сетей, но и технологий любых информационных сетей - вычислительных, телефонных, телевизионных и т. п. Причем считается, что основой для объединения послужит технология коммутации пакетов, применяемая сегодня в вычислительных сетях, а не технология коммутации каналов, используемая в телефонии.

 

По типу сетевой топологии

- Шина

- Кольцо

- Двойное кольцо

- Звезда

- Ячеистая

- Решётка

- Дерево

- Fat Tree

По типу среды передачи

- Проводные (телефонный провод, коаксиальный кабель, витая пара, волоконно-оптический кабель)

- Беспроводные (передачей информации по радиоволнам в определенном частотном диапазоне)

По скорости передач

- низкоскоростные (до 10 Мбит/с),

- среднескоростные (до 100 Мбит/с),

- высокоскоростные (свыше 100 Мбит/с);

Коммутация каналов

В сети с коммутацией каналов перед передачей данных всегда необходимо выполнить процедуру установления соединения, в процессе которой и создается составной канал. И только после этого можно начинать передавать данные.

Коммутация пакетов

Техника коммутации пакетов была специально разработана для эффективной передачи компьютерного трафика. При коммутации пакетов все передаваемые пользователем сети сообщения разбиваются в исходном узле на сравнительно небольшие части, называемые пакетами. Пакеты обычно могут иметь переменную длину, но в узких пределах, например от 46 до 1500 байт. Каждый пакет снабжается заголовком, в котором указывается адресная информация, необходимая для доставки пакета узлу назначения, а также номер пакета, который будет использоваться узлом назначения для сборки сообщения.

Глобальные сети

Хронологически первыми появились глобальные сети (Wide Area Networks, WAN).

Глобальная вычислительная сеть объединяет компьютеры, находящиеся на больших расстояниях друг от друга: в разных городах, в разных странах и на разных континентах. Глобальные компьютерные сети очень многое унаследовали от телефонных сетей.

Первых глобальных сетях часто использовались уже существующие каналы связи, изначально предназначенные совсем для других целей.

Прогресс глобальных компьютерных сетей во многом определялся прогрессом телефонных сетей. С конца 60-х годов в телефонных сетях стала все чаще применяться передача голоса в цифровой форме, что привело к появлению высокоскоростных цифровых каналов, соединяющих АТС и позволяющих одновременно передавать десятки и сотни разговоров. Была разработана специальная технология плезиохронной цифровой иерархии (Plesiochrohous Digital Hierarchy, PDH), предназначенная для так называемых первичных, или опорных сетей.

Первоначально технология PDH, поддерживала скорости до 140 Мбит/с. Но в конце 80-х годов появилась технология синхронной цифровой иерархии (Synchronous Digital Hierarchy, SDH) расширила диапазон скоростей цифровых каналов до 10 Гбит/с, а технология спектрального мультиплексирования (Dese Wave Division Multiplexing, DWDM) - до сотен гигабит и даже нескольких терабит в секунду.

К настоящему времени глобальные сети по разнообразию и качеству сервисов догнали локальные сети.

Локальные сети

Локальные сети (Local Area Networks, LAN) - это объединение компьютеров, сосредоточенных на небольшой территории, обычно в радиусе не более 1-2 км. В общем случае локальная сеть представляет собой коммуникационную систему, принадлежащую одной организации.

На первых порах для соединения компьютеров друг с другом использовались нестандартные программно-аппаратные средства. Разнообразные устройства сопряжения, использующие свой собственный способ представления данных на линиях связи, свои типы кабелей и т.п., могли соединять только те конкретные модели компьютеров, для которых были разработаны.

В середине 80-х годов положение дел в локальных сетях стало кардинально меняться. Утвердились стандартные технологии объединения компьютеров в сеть - Ethernet, Arcnet, Token Ring, Token Bus, несколько позже - FDDI. Мощным стимулом для их появления послужили персональные компьютеры. ПК стали преобладать в локальных сетях, причем в качестве не только клиентстских компьютеров, но и в качестве центров хранения и обработки данных, то есть сетевых серверов, потеснив с этих привычных ролей мини-компьютеры и мэйнфреймы.

Конец 90-х выявил явного лидера среди технологий локальных сетей - семейство Ethernet, в которое вошли классическая технология Ethernet 10 Мбит/с, а также Fast Ethernet 100 Мбит/с и Gigabit Ethernet 1000 Мбит/с.

Топология сетей

Как только компьютеров становится больше двух, появляется проблема выбора конфигурации физических связей, или топологии. Под топологией сети понимается конфигурация графа, вершинам которого соответствуют конечные узлы сети (например компьютеры) и коммуникационное оборудование (например, маршрутизаторы), а ребрам - электрические и информационные связи между ними. Рассмотрим основные топологии сетей.

Типовые топологии сетей

· а - полносвязная топология, в ней каждый компьютер непосредственно связан со всеми остальными. Несмотря на логическую простоту, этот вариант оказывается громоздким и неэффективным

· б - ячеистая топология, получается из полносвязной путем удаления некоторых возможных связей. Эта топология допускает соединение большого количества компьютеров и характерна, как правило. для крупных сетей.

· в - общая шина, здесь в качестве центрального элемента выступает пассивный кабель, к которому по схеме "монтажная ИЛИ" подключается несколько компьютеров. Передаваемая информация распространяется по кабелю и доступна одновременно всем компьютерам, присоединенным к этому кабелю. Основными преимуществами такой схемы является ее дешевизна и простота наращивания - то есть присоединение новых узлов к сети. Самый большой недостаток общей шины является ее низкая надежность: любой дефект кабеля или какого-нибудь из многочисленных разъемов полностью парализует сеть.

· г - топология звезда образуется в случае, когда каждый компьютер подключается отдельным кабелем к общему центральному устройству, называемому концентратором. В качестве концентратора может выступать как компьютер, так и специализированное устройство, такое как многовходовой повторитель, коммутатор или маршрутизатор. К недостаткам данной топологии относится более высокая стоимость сетевого оборудования из-за необходимости приобретения специализированного центрального устройства.

· д - топология дерево получается путем использования нескольких концентраторов, иерархически соединенных между собой связями типа звезда. В настоящее время эта топология является самой распространенной. как в локальных, так и в глобальных сетях.

· е - кольцевая конфигурация. В данной топологии данные передаются по кольцу от одного компьютера к другому. Главным достоинством кольца является то, что оно по своей природе обладает свойством резервирования связей, любая пара узлов соединена здесь двумя путями - по часовой стрелке и против нее.

Небольшие сети обычно имеют типовую топологию - звезда, кольцо или общая шина, но для крупных сетей характерно наличие произвольных связей между компьютерами. В таких сетях можно выделить отдельные, произвольно связанные фрагменты (подсети), имеющие типовую топологию, поэтому их называют сетями со смешанной топологией.

Адресация узлов сети

Адреса могут быть числовыми (например, 129.26.255.255) и символьными (site.domen.ru). Один и тот же адрес может быть записан в разных форматах, например, числовой адрес в предыдущем примере 129.26.255.255 может быть записан и шестнадцатеричными цифрами - 81.1а.ff.ff.

Множество всех адресов, которые являются допустимыми в рамках некоторой адресации, называется адресным пространством. Адресное пространство может иметь плоскую (линейную) организацию или иерархическую организацию. В первом случае множество адресов никак не структурировано. При иерархической схеме адресации оно организовано в виде вложенных друг в друга подгрупп, которые, последовательно сужая адресуемую область, в конце концов, определяют отдельный сетевой интерфейс.

Примером плоского числового адреса является MAC-адрес, предназначенный для однозначной идентификации сетевых интерфейсов в локальных сетях. Такой адрес стараются сделать по возможности компактным и записывают в виде двоичного или шестнадцатеричного значения, например 0081005е24а8. Типичными представителями иерархических числовых адресов являются сетевые IP- и IPX-адреса. В них поддерживается двухуровневая иерархия, адрес делится на старшую часть - номер сети и младшую - номер узла.

 

IEEE 802.3

1. Стандарт, описывающий характеристики кабельной системы для ЛВС с шинной топологией (10Base5), способы передачи данных и метод управления доступом к среде передачи CSMA/CD.

2. Рабочая группа (подкомитет) Комитета IEEE 802, рассматривающая стандарты для сетей Ethernet.

IEEE 802.4

1. Стандарт, описывающий физический уровень и метод доступа с передачей маркера в ЛВС с шинной топологией. Используется в ЛВС, реализующих протокол автоматизации производства (MAP). Аналогичный метод доступа применяется в сети ARCnet.

2. Рабочая группа (подкомитет) Комитета IEEE 802, рассматривающая стандарты для сетей Token Bus.

IEEE 802.5

1. Стандарт, описывающий физический уровень и метод доступа с передачей маркера в ЛВС с топологией “ звезда ”. Используется в сетях Token Ring.

2. Рабочая группа (подкомитет) Комитета IEEE 802, рассматривающая стандарты для сетей Token Ring.

· IEEE 802.6 — стандарт, описывающий протокол для городских вычислительных сетей (MAN). Использует волоконно-оптический кабель для передачи данных с максимальной скоростью 100Мбит/с на территории до 100 км ².

· IEEE 802.11 — спецификация на беспроводные радиолинии связи для вычислительных сетей — определяет используемую ими частоту 2,4 ГГц, которая выделена в США для промышленности, науки и медицины.

· IEEE 802.11a — спецификация на беспроводные радиолинии связи для вычислительных сетей. Определяет использование частотного диапазона 5,15 – 5,35 ГГц и скорость передачи данных (голос и видео) до 54 Мбит/с.

· IEEE 802.11b — спецификация на беспроводные радиолинии связи для вычислительных сетей. Определяет использование частоты 2,412 – 2,437 ГГц и скорость передачи данных до 11 Мбит/с.

· 10Base-2, тонкий Ethernet — стандарт физического уровня, являющийся частью стандарта IEEE 802.3, который описывает топологию сети Ethernet на тонком коаксиальном кабеле (thin Ethernet, Cheapernet) при скорости передачи данных 10 Мбит/с.

· 10Base-5, толстый Ethernet — стандарт физического уровня, являющийся частью стандарта IEEE 802.3. Описывает топологию сети Ethernet на толстом коаксиальном кабеле (Thick Ethernet) при скорости передачи данных 10 Мбит/с.

· 10Base-F, 10Base-FL — стандарт физического уровня комитета IEEE 802.3, описывающий топологию сети Ethernet на волоконно-оптическом кабеле при скорости передачи данных 10 Мбит/с.

 

Удаленный вызов процедур

Стандартные операции вызова процедур предусматривают передачу в процедуру исходных параметров для ее работы и возврат в вызывающую программу результатов работы процедуры. В локальной ЭВМ передача в процедуру исходных параметров для ее работы и возврат в вызывающую программу результатов работы процедуры производится через стек.

Удаленный вызов процедур осуществляется с помощью технологии RPC (Remote Procedure Call - удаленный вызов процедур). Идея RPC состоит в том, чтобы с точки зрения пользователя (программиста) удаленный вызов процедур выглядел точно так же, как локальный. Это означает, что ни программист, ни вызывающая программа не должны уведомляться о том, что вызываемая процедура выполняется на другой ЭВМ, и наоборот, вызываемая процедура не должна уведомляться о том, что она вызывается программой, физически размещенной на другой ЭВМ сети. Иными словами, RPC призвана обеспечить прозрачность местоположения.

Связь посредством сообщений

Связь посредством сообщений применяется при необходимости передачи данных без их обработки на сервере (напр.: электронная почта). При осуществлении распределенной обработки информации, связь посредством сообщений является основным способом связи между процессами, размещенными на различных ЭВМ. Классификация связи посредством сообщений:

1. По виду используемой коммуникации:

а) Сохранная (резидентная) связь посредством сообщений. При этом виде связи используется коммуникация, ориентированная на установление соединения. Отправитель не контролирует состояние процесса-получателя в момент отправки сообщения. В то же время, сообщение не будет потеряно и будет доставлено процессу-получателю сразу, как только он будет готов его принять;

б) Нерезидентная связь посредством сообщений. При этом виде связи используется коммуникация, не ориентированная на установление соединения. Сообщение существует в системе только в момент его передачи процессомотправителем. Если по какой-либо причине процесс-получатель не имеет возможности принять сообщение, оно теряется;

2. По виду блокировки процесса-отправителя:

а) Синхронная связь посредством сообщений. При этом виде связи процесс-отправитель блокируется до получения ответа от процесса-получателя о приеме сообщения;

б) Асинхронная связь посредством сообщений. При этом виде связи процесс-отправитель продолжает свою работу, не дожидаясь квитанции от процесса-получателя.

В системах нерезидентной связи посредством сообщений применяется стандарт пересылки сообщений MPI (Message Passing Interface - связь посредством сообщений), основанный на сокетах Беркли.

Одноранговые сети.

 

Однора́нговая, децентрализо́ванная или пи́ринговая (от англ. peer-to-peer, P2P — равный к равному) сеть — это оверлейная компьютерная сеть, основанная на равноправии участников. В такой сети отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и сервером. В отличие от архитектуры клиент-сервера, такая организация позволяет сохранять работоспособность сети при любом количестве и любом сочетании доступных узлов. Участниками сети являются пиры.

В одноранговых сетях компьютеры могут выступать как в роли клиентов, так и в роли серверов. Так как все компьютеры в этом типе сетей равноправны, одноранговые сети не имеют централизованного управления разделением ресурсов. Любой из компьютеров может разделять свои ресурсы с любым компьютером в той же сети. Одноранговые взаимоотношения также означают, что ни один компьютер не имеет ни высшего приоритета на доступ, ни повышенной ответственности за предоставление ресурсов в совместное пользование.

Каждый пользователь в одноранговой сети является одновременно сетевым администратором. Это означает, что каждый пользователь в сети управляет доступом к ресурсам, расположенным на его компьютере.

Основной проблемой в одноранговых сетях является безопасность, т.к. отсутствуют средства обеспечения безопасности в масштабе сети. При этом отдельные ресурсы отдельных компьютеров могут быть защищены системой паролей, и только те пользователи, которые знают пароль, могут получить доступ к ресурсам.

Этот тип сети может быть работоспособным в малых сетях, но также требует, чтобы пользователи знали и помнили различные пароли для каждого разделенного ресурса в сети. С ростом количества пользователей и ресурсов одноранговая сеть становится неработоспособной. Это происходит не потому, что сеть не может функционировать правильно, а потому, что пользователи не в состоянии справиться со сложностью сети.

К тому же большинство одноранговых сетей состоит из набора типичных персональных компьютеров, связанных общим сетевым носителем. Эти типы компьютеров не были разработаны для работы в качестве сетевых серверов, поэтому производительность сети может упасть, когда много пользователей попытаются одновременно получить доступ к ресурсам какого-то одного компьютера. Кроме того, пользователь, к чьей машине происходит доступ по сети, сталкивается с падением производительности в то время, когда компьютер выполняет затребованные сетевые службы.

В одноранговой сети также трудно организовывать хранение и учет данных. Когда каждый сетевой компьютер может служить сервером, пользователям трудно отслеживать, на какой машине лежит интересующая их информация. Децентрализованная природа такого типа сети делает поиск ресурсов чрезвычайно сложным с ростом числа узлов, на которых должна происходить проверка. Децентрализация также затрудняет процедуру резервного копирования данных - вместо копирования централизованного хранилища данных требуется осуществлять резервное копирование на каждом сетевом компьютере, чтобы защитить разделенные данные.

Однако одноранговые сети имеют серьезные преимущества перед сетями с выделенным сервером, особенно для малых организаций и сетей. Одноранговые сети являются наиболее легким и дешевым типом сетей для установки. Большинство одноранговых сетей требует наличия на компьютерах, кроме сетевой карты и сетевого носителя (кабеля), только операционной системы. Как только компьютеры соединены, пользователи немедленно могут начинать предоставление ресурсов и информации в совместное пользование.

Преимущества одноранговых сетей:

- легкость в установке и настройке;

- независимость отдельных машин от выделенного сервера;

- возможность пользователем контролировать свои собственные ресурсы;

- сравнительная дешевизна в приобретении и эксплуатации;

- отсутствие необходимости в дополнительном программном обеспечении, кроме операционной системы;

- отсутствие необходимости иметь отдельного человека в качестве выделенного администратора сети.

Недостатки одноранговых сетей:

- необходимость помнить столько паролей, сколько имеется разделенных ресурсов;

- необходимость производить резервное копирование отдельно на каждом компьютере, чтобы защитить все совместные данные;

- падение производительности при доступе к разделенному ресурсу, на компьютере, где этот ресурс расположен;

- отсутствие централизованной организационной схемы для поиска и управления доступом к данным.

 

 

Основные понятия

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова " аутентификация " иногда используют словосочетание "проверка подлинности".

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.

В сетевой среде, когда стороны идентификации / аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

• что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
• как организован (и защищен) обмен данными идентификации / аутентификации.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

• нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
• нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

В открытой сетевой среде между сторонами идентификации / аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.

Надежная идентификация и затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации / аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация / аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.

Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.

Парольная аутентификация

Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");
• обучение пользователей;
• использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).
• Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации.

Одноразовые пароли

Рассмотренные выше пароли можно назвать многоразовыми; их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Гораздо более сильным средством, устойчивым к пассивному прослушиванию сети, являются одноразовые пароли.

Наиболее известным программным генератором одноразовых паролей является система S/KEY компании Bellcore. Идея этой системы состоит в следующем. Пусть имеется односторонняя функция f (то есть функция, вычислить обратную которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации. Пусть, далее, имеется секретный ключ K, известный только пользователю.

На этапе начального администрирования пользователя функция f применяется к ключу K n раз, после чего результат сохраняется на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:

• сервер присылает на пользовательскую систему число (n-1);
• пользователь применяет функцию f к секретному ключу K (n-1) раз и отправляет результат по сети на сервер аутентификации;
• сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик (n).

Другой подход к надежной аутентификации состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 секунд), для чего могут использоваться программы или специальные интеллектуальные карты (с практической точки зрения такие пароли можно считать одноразовыми). Серверу аутентификации должен быть известен алгоритм генерации паролей и ассоциированные с ним параметры; кроме того, часы клиента и сервера должны быть синхронизированы.

Надежность

Надежность работы вычислительной сети определяется надежностью работы всех ее компонентов. Для повышения надежности работы аппаратных компонентов обычно используют дублирование, когда при отказе одного из элементов функционирование сети обеспечат другие.