Модуль регистрации СФ
Для обеспечения возможности удалённого управления работой СФ необходимо зарегистрировать подсистему удалённого администрирования на СФ, дать администратору соответствующие полномочия (права), выдать аутентификационные данные СФ для регистрации удалённым администратором и зарегистрировать СФ на компьютере удалённого администратора.
Каждая подсистема удалённого администрирования должна иметь уникальный номер, определяемый удаленным администратором при первом запуске и контролируемый СФ в процессе регистрации.
Модуль регистрации СФ подсистемы удалённого администрирования позволяет зарегистрировать удалённые СФ по их уникальному серийному номеру, вырабатываемому в процессе генерации инсталляционных дискет с программно-аппаратным комплексом "ФПСУ Х.25", а также просматривать и редактировать список зарегистрированных СФ.
Регистрация производится путём обмена проверочными частями аутентификационных данных, вырабатываемыми самостоятельно каждой из регистрируемой сторон и записываемыми на дискеты.
Права на доступ к подсистемам МЭ для удалённых администраторов устанавливает локальный администратор МЭ (только классов "администратор" и "главный администратор") при взаимной регистрации МЭ и удалённого администратора. Удалённому администратору могут быть предоставлены следующие права:
При запросах удаленного администратора на контроль и управление МЭ производятся обязательные взаимные процедуры идентификации и аутентификации.
На этапе идентификации будет проверено, что удалённый администратор, осуществляющий попытку установления соединения передачей пакета "Запрос вызова", является зарегистрированным по его уникальному номеру и не производит работу с данным МЭ в текущее время, а удаленный МЭ, ответивший на этот запрос, имеет тот же серийный номер МЭ, к которому обращался удалённый администратор.
Таким образом реализуется схема взаимной идентификации.
На этапе аутентификации будет проверено, что удалённый администратор, от которого пришел вызов, обладает теми же знаниями, которыми должен обладать администратор с выявленным в процессе идентификации номером, а также что МЭ, к которому обращался удалённый администратор, обладает теми же знаниями, которыми должен обладать МЭ с данным серийным номером. Таким образом реализуется схема взаимной аутентификации.
Взаимная аутентификация будет производиться как при запросе на установление связи (проключение виртуального канала), так и на каждый блок передаваемой информации.
Механизм идентификации заключается в том, что при передаче пакета "Запрос вызова" подсистема удалённого администрирования дополняет его полями, содержащими собственный уникальный номер и уникальный серийный номер МЭ, к которому он обращается. При получении этого запроса МЭ производит поиск в регистрационной таблице удалённых администраторов по указанному уникальному номеру. В случае отрицательного результата идентификация удалённого администратора на МЭ считается невыполненной, будет выдан приказ на разъединение проключаемого виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.
В случае положительного результата поиска МЭ вышлет пакет "Подтверждение вызова", снабдив его собственным серийным номером и уникальным номером удалённого администратора, идентификация которого осуществлена. Подсистема удаленного администрирования, приняв пакет, проверяет совпадение посланных и полученных данных. При несовпадении идентификация удалённого МЭ администратором считается невыполненной, будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.
После успешной идентификации удалённый МЭ и удалённый администратор начинают процедуру взаимной аутентификации при вызове посредством передачи друг другу некоторых случайно сгенерированных вопросов и ответов на эти вопросы с использованием, выработанным при генерации персональных аутентификационных данных.
Каждая из сторон проверит ответ на свой вопрос с использованием зарегистрированных проверочных аутентификационных данных. При отрицательном результате аутентификация любой из сторон противоположной стороной считается невыполненной, будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс взаимной аутентификации будет закончен с отрицательным результатом.
В дальнейшем при передаче конкретных запросов на выполнение действий по дистанционному контролю или управлению МЭ по установившемуся виртуальному соединению будет также производиться взаимная аутентификация МЭ и удалённого администратора с контролем прав, установленных для данного удалённого администратора (подлинность уникального номера которого была выяснена в процессе идентификации и аутентификации при попытке установления виртуального соединения) при регистрации на МЭ локальным администратором соответствующего класса и реализуемых данным удалённым администратором в текущем запросе. При отрицательном результате аутентификации или превышении прав на доступ в текущем запросе будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс удалённого управления или контроля будет закончен с отрицательным результатом.
Алгоритм выработки ответа на аутентификацию и проверки его построен по рекомендациям протокола ITU-T X.509.
Реализованная таким образом в программно-аппаратном комплексе "ФПСУ X.25" схема аутентификации удалённого администратора при запросах на доступ к МЭ с целью контроля или управления обеспечивает устойчивость передачи данных к пассивному и активному перехвату информации в сетях Х.25.
