- •Кафедра автоматизації і комп’ютерних систем
- •Классификация архитектурных типов процессоров.
- •Традиционно машинный уровень.
- •Команды обращения к процедурам
- •Процедуры
- •Управление циклами
- •Представление данных
- •Управление процессами
- •Типы адресации
- •Поиск и сортировка
- •Сортировка данных
- •Межпроцессорное взаимодействие.
- •Критические области.
- •Методы синхронизации с пассивным ожиданием.
- •Решение задачи производительности потребителя с помощью мониторов.
- •Разработка систем с помощью передачи сообщений.
- •Классические проблемы межпроцессорного взаимодействия.
- •Планировщик процессов
- •Планирования в системах реального времени.
- •Организация виртуальной памяти.
- •Стратегии замещения страниц.
- •Алгоритм «2-я попытка»
- •Алгоритм «часы»
- •Алгоритм nfu (редко используемая страница)
- •Методы ускорения работы со страницами
- •Способы ассемблирования
- •Связывание программ
- •Структура объектного модуля
- •Атака системы безопасности
- •Принципы проектирования систем безопасности.
- •Аутентификация пользователей
- •Механизм защиты
- •Технические механизмы защиты
- •Защита информации при передаче
- •Основные понятия криптографии:
- •Криптографический протокол
- •Гибридные криптосистемы
- •Цифровая подпись
- •Сертификаты
- •Алгоритм des
- •Принципы аутентификации управления доступом
- •Аутентификация с использованием односторонних функций
- •Аутентификация по принципу "запрос-ответ"
- •Аутентификация управления доступом в Unix
- •Супер-пользователь Root
- •Теневые пароли
- •Поддержка возможностей в Linux.
- •Аутентификация.
- •Идентификаторы безопасности.
- •Одалживание прав.
- •Управление доступом Windows xp.
- •Аудит. Общие принципы.
- •Локальная безопасность.
- •Сетевая безопасность
Алгоритм des
Алгоритм DES (data encryption standard) – стандарт США 1977г – ключ шифрования – 56 бит.
Сейчас используется так называемый тройной DES – последовательное шифрование 3мя разными ключами.
В 2001г также был принят стандарт AES (advanced encryption standard) – допускает ключи на 128,192 и 256 бит.
Обмен сообщений с симметричным алгоритмом шифрования происходит по следующему протоколу:
Алиса и Боб договариваются об использовании симметричной системы шифрования
Они договариваются об общем ключе
Алиса шифрует исходный текст ключом и пересылает Бобу
Боб расшифровывает сообщение.
Принципы аутентификации управления доступом
Аутентификация по учетным записям осуществляется с помощью следующих данных:
Имя пользователя для входа в систему
идентификатор пользователя (числовое значение уникальное)
Информация о пароле и пароль пользователя
Информация об ограничениях, куда входит: срок действия учетной записи, периодичность смены пароля, часы, дни недели и т.д.
Информация о группах, в которых участвует пользователь.
Расположение домашнего каталога пользователя
Настройки сессии пользователя, такие как: использование команд интерпретатора, использование оболочки, используемые программные продукты.
Вся информация вместе с учетными записями храниться в базе данных учетных записей. Администратор может менять любую учетную запись. Обычно пользователь может менять, как правило, только свой пароль.
При доступе к ресурсу проверяются права не только пользователя, но и права его группы. Отказать в доступе к ресурсу можно при отсутствии прав либо у пользователя, либо у группы.
Аутентификация с использованием односторонних функций
При этом сохраняется не пароль, а его односторонняя функция.
Протокол аутентификации имеет следующий вид:
Алиса посылает системе свое имя и пароль
Система вычисляет одностороннюю функцию пароля
Система сравнивает значение вычисленное со значением в базе данных
Достоинство: если злоумышленник получит доступ к списку паролей, он не может его восстановить (злоумышленник - Трудди).
Недостаток: аутентификация с использованием односторонних функций не защищает от словарных атак, однако злоумышленнику необходимо применять односторонние функции.
В качестве одного из способов борьбы со словарной атакой используют способ "соль" – случайная строчка, которая добавляется в пароль перед шифрованием (при односторонней функции).
Аутентификация по принципу "запрос-ответ"
Применяется в сетевой аутентификации для избежания передачи по сети незашифрованных паролей.
Для аутентификации передаются хэш-функции паролей, которые называются "дайджестами".
Дайджест – хэш-функция пароля, передаваемая по сети при аутентификации.
Протокол аутентификации по принципу "запрос-ответ":
система сохраняет односторонний дайджест пароле Алисы в базе данных учетных записей
Алиса передает системе входное имя открытым текстом и дайджест пароля
Система генерирует случайное число, называемое вызовом, и передает Алисе
Алиса применяет другую одностороннюю функцию к вызову, причем на вход этого вызова передается также и дайджест Алисы
Алиса передает системе открытое число, которое называется ответом
Система вычисляет на основании данных из базы данных учетных записей и ранее генерируемого случайного числа значение, аналогичное принятому.
Если ответ Алисы совпал с вычисленным значением, то аутентификация успешна.
Использование случайных значений системы при вызове позволяет защитить от атаки воспроизводства.
Атака воспроизводства – атака, во время которой Труди перехватывает информацию, переданную Алисе, для того, чтобы позже передать информацию Бобу под видом Алисы.
Надежность протокола в данном случае зависит от надежности односторонней функции.
С появлением Windows 2000 от этого протокола отказались, так как был разработан протокол Kerberos.
Одноразовые пароли – предназначены для решения задач аутентификации. Действителен только во время сессии.
Перехват одноразового пароля ничего не даст.
Протокол:
Алиса задает случайное значение для инициализации системы.
Система вычисляет односторонние функции случайного значения каскадно N+1 раз (результат вычисления предыдущей функции является входным значением следующей)
N значений система передает Алисе, а N+1 сохраняет у себя
При входе в систему Алиса задает свое имя и выбирает число, которое является N-м вычислением хэш-функции системы, и пересылает системе.
Система вычисляет хэш-функцию присланного числа и, если она совпадает с N+1 вычислением, закрепленным за Алисой. Аутентификация успешна. При этом N+1 значение хранимое системой заменяется на N-е
При следующем сеансе аутентификации Алиса вместе со своим именем посылает N-1 вычисленное значение, по которому система вычитывает хэш-функцию и сравнивает … и т.д. пока ряд одноразовых паролей не будет заполнен.