Аутентификация/авторизация при помощи паролей.

1. Профили пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы (например, файл /etc/passwd в Unix-подобных операционных системах). Недостаток - взлом системы возможен методом перебора паролей (для устранения чего в Unix используется метод "теневых" (shadow) паролей).

2. Профили процессов. Подобный метод реализован в технологии аутентификации Kerberos [10], где задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером "прозрачным" образом). Очевидно, что сервер Kerberos становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети; хотя в целом Kerberos предоставляет более сильный механизм защиты, чем метод профилей пользователей.

3. Комбинированные методы. Наличие нескольких методов защиты всегда создает дополнительные сложности для разработчиков прикладного программного обеспечения. Для устранения этого недостатка разработан ряд стандартизованных программных интерфейсов к средствам аутентификации (PAM [12], частично GSS-API [13]), которые также можно считать "бутылочным горлышком" системы безопасности.

Инкапсуляция передаваемой информации в специальных протоколах обмена.

1. Инфраструктуры с открытыми ключами. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого, который становится общеизвестным, и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно). Это позволяет конфиденциально общаться известному реципиенту (кто эмитирует открытые ключи) и частному отправителю информации. Наиболее широко распространены следующие системы такого рода: ISO X.509 (в особенности его реализация для WWW,- Secure Socket Layer - SSL [8]) - шифрование трафика транспортного уровня; Pretty Good Privacy (PGP) - общецелевая система шифрования с открытым ключом, наиболее широко используемая в системах электронной почты.

2. Secure Shell protocol (ssh). Протокол ssh [9] используется в Unix-системах для шифрования многих видов коммуникаций между удаленными системами (таких как копирование файлов или протокол X11). Данный протокол также использует шифрование с открытым ключом, но только на этапе установления соединений. Непосредственно транспортный трафик шифруется обычными алгоритмами: DES, 3DES, RC4 и др.

3. Комбинированные методы. Как и в предыдущем примере, наличие ряда методов делает полезным создание стандартизованного коммуникационного интерфейса для прикладных программ. Упомянутый интерфейс GSS-API представляет собой именно такое средство. Вообще следует отметить, что всем построенным на шифровании системам присущ риск компрометации путем подбора ключей шифрования. И хотя сегодня эта задача требует огромных вычислительных ресурсов, решение Министерства торговли США о разрешении экспорта технологий, использующих шифрование с длиной ключа до 128 бит, свидетельствует о серьезности подобной угрозы.