Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

voland / доклад

.doc
Скачиваний:
6
Добавлен:
16.04.2013
Размер:
156.16 Кб
Скачать

Доклад

Программа защиты сетевых соединений с помощью протокола ISAKMP.

В настоящее время проблемы защиты информации передаваемой в сетях стали весьма актуальными. Для решения этих проблем были разработаны протоколы, обеспечивающие конфиденциальность, целостность и аутентичность передаваемой информации. Следующей за этим проблемой стала проблема получения параметров соединения и распределение ключевой информации между партнерами. Простейший способ решения этой задачи – ручное конфигурирование системы. При этом способы партнеры сами договариваются об используемых способах защиты и ключевой информации, и сами конфигурируют свои системы. Недостатком этого способа является отсутствие масштабируемости. Т.е. данный способ хорошо работает в небольших системах. При увеличении количества участников использование данного способа становиться невозможным, т.к. каждый должен договориться со всеми остальными о способах защиты и ключах. Протокол ISAKMP был специально разработан для решения этой задачи. Он предназначен для автоматического получения параметров соединения и ключевой информации.

Общая структура системы защиты сетевого трафика с использованием протокола ISAKMP представлена на плакате 1. В составе каждой из систем можно выделить модуль обработки сетевого трафика, модуль протокола ISAKMP, модуль управления и модули хранения политик. Обработка сетевого трафика модулем обработки проводится по правилам спускаемым от модуля управления. При возникновении необходимости в каком либо правиле, модуль обработки посылает запрос на его создание в модуль управления, который передает этот запрос в модуль ISAKMP. Модуль ISAKMP, согласно прописанной политике, договаривается с модулем ISAKMP партнера о параметрах секретного соединения и ключевой информации. После этого созданное правило передается модулю управления и прогружается им в модуль обработки. Процесс работы модуля ISAKMP состоит из двух фаз. Первая проводится по незащищенному каналу и имеет своей целью установление временного секретного соединения. Под защитой которого проводится вторая фаза, во время которой о правилах защиты сетевого трафика и соответствующей ключевой информации.

На плакате 2 представлены входные и выходные данные, используемые в данной программе. Как уже отмечалось ранее, работа протокола состоит из нескольких фаз (или режимов). Каждому из режимов соответствуют свои входные и выходные данные. Также входные и выходные данные зависят от той роли, которую играет программа в соединении – инициатора или ответчика.

Структура программы, реализующей указанные идеи, представлена на Плакате 3. В последнее время в программировании все чаще стал появляться термин «нити». Нить – независимая последовательность выполнения программы внутри одного процесса. Представляемая здесь программа имеет нитевую структуру. Входящие пакеты через порт принимаются нитью работы с сетью и передаются нити управления пакетами. Здесь происходит проверка из структуры, частичный разбор и поиск нити для обработки на основе полученных при разборе данных. Поиск данной нити осуществляется с помощью таблиц доступа к нитям, выполняющим первую и вторую фазу. Также пакет может инициировать создание новой нити обработки. В этом случае он передается нити создания новой нити. Также новая нить может быть создана по запросу от модуля управления на создания нового соединения. В процессе своей работы нити обработки могут обращаться в модуль хранения конфигурации за необходимой информацией. Ответные пакеты отправляются с помощью нити работы с сетью.

На плакатах 4 и 5 представлены схемы алгоритмов обработки входного пакета и работы рабочей нити. Для алгоритма обработки входного пакета показаны правила и данные, по которым происходит проверка пакета и поиск соответствующей нити обработки.

На плакате 6 представлены результаты работы программы. Результаты представлены в виде отдельно для инициатора и ответчика. Также они разделены для первой фазы (агрессивный режим) и для второй фазы. Результаты представлены в виде протокола действий с указанием результатов всех действие (расчеты, проверки и т.п.)

В организационно-экономической части проекта (плакат 8) была проведена сегментация рынка пользователей программы установления секретных сетевых соединений с помощью протокола ISAKMP. В результате расчетов был выделен сегмент потребителей использующих данную программу в системах авторизации доступа, системах разграничения доступа и в сетях банкоматов. Всех этих потребителей объединяют повышенные требования к количеству и разнообразию настроек, реализуемым методам аутентификации и системы протоколирования работы системы.

В разделе “Производственная и экологическая безопасность” были рассмотрены вопросы, связанные с безопасностью работы с монитором персонального компьютера.

Представленная программа отвечает всем стандартам протокола ISAKMP. Весь проект состоит из порядка 30 заголовочных файлов и 45 файлов с исходным текстом общим объемом около 400 килобайт.

В заключение хочу поблагодарить руководителя проекта Пьянзина Анатолия Яковлевича за умело осуществленное руководство и консультации по спорным вопросам; консультанта Царева Николая Владимировича — начальника исследовательско-проектировочного отдела компании “ТВС Лимитед” за предоставленную возможность реализовать дипломный проект и пройти стажировку в компании.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Мы не исправляем ошибки в тексте (почему?), но будем благодарны, если вы все же напишите об ошибках.

Соседние файлы в папке voland