Информационная безопасность

       

Санкционирование транзакций


Web-службы обычно проверяют полномочия пользователей с помощью учетных записей и паролей. По завершении процедуры регистрации служба исходит из того, что предоставившая пароль и затем направившая запрос о выполнении транзакции программа действует по поручению пользователя и в его интересах. Но в условиях, когда вирусы получают все более широкое распространение, такое предположение не всегда обосновано.

Для повышения надежности процедуры санкционирования транзакций ответственная за санкционирование транзакций программа может воспользоваться реализованными в NGSCB защищенными средствами вывода, чтобы предъявить пользователю именно ту транзакцию, которая запрашивается. Например, поставщик направляет пользователю оформленное в виде HTML-страницы описание транзакции, и агент отображает его с помощью защищенных средств вывода.

Агент может также использовать защищенные средства ввода для получения локальной санкции на выполнение отображенной транзакции. Приложение может использовать средства засвидетельствования для передачи запроса на транзакцию и гарантировать надежность клиента, направившего запрос.



Содержание раздела