Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4628 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
Сети и Телекоммуникации 
Файл:
Доклады и презентации по сетям студентов МОЭВМ 33хх гр. / Безопас Кирилова 3305 / Презентация.rtf
Скачиваний:
39
Добавлен:
01.05.2014
Размер:
1.1 Mб
Скачать
►Содержание►

Протокол cнap

Еще одним протоколом удаленной аутентификации пользователей КС является протокол CНAP (Challenge Handshake Authentication Protocol), основанной на модели «рукопожатие». Идеей протокола SHAP является передача пароля в хешированном виде с использованием полученного от сервера случайного числа.

CHAP используется для периодической идентификации центрального компьютера или конечного пользователя с помощью согласования по трем параметрам. Идентификация происходит в момент установления связи, но может повторяться и после ее установления.

Обычно в качестве односторонней хэш-функции CHAP используется MD5, а общий секрет хранится в текстовой форме. У компании Microsoft есть свой вариант протокола CHAP (MS-CHAP), где пароль (на вызывающей машине и на идентификаторе) хранится в зашифрованном виде. Это дает протоколу MS-CHAP некоторое преимущество: в отличие от стандартного протокола CHAP он может пользоваться широко доступными базами данных постоянно зашифрованных паролей.

Протокол Kerberos

Если в РКС имеется несколько серверов, предоставляющих свои сервисы клиентам, то для надежной аутентификации пользователей КС, которые обращаются к ее серверам с различных рабочих станций, и самих серверов может использоваться прокол Kerberos. Этот протокол предполагает использование центрального сервера аутентификации СА, в функции которого и входит идентификация серверов и пользователей КС.

Для обеспечения конфиденциальности передаваемой по сети информации в протоколе Kerberos используются функции шифрования и сеансовые (используемые однократно) ключи шифрования для передачи данных между клиентом и сервером.

TCSEC

Обработка секретной и конфиденциальной информации требует от системы использовать механизм гарантии соответствующей идентификации и аутентификации пользователей. Все возможные подходы к идентификации и аутентификации' должны быть идентифицированы, рассмотрены и сравнены с Критерием Оценки Достоверности Вычислительных Систем (TCSEC), или с “Оранжевой Книгой” (в Европе — Критерием Оценки Безопасности Информационных Технологий, или “Белой Книгой”).

TCSEC делится на четыре класса: D, С, В и А. Эти классы упорядочены, причем самый высокий класс (А) зарезервирован за системами, имеющими наивысший уровень защиты информации. Внутри классов В и С имеются подклассы, которые тоже упорядочены в соответствии с обеспечиваемым уровнем защиты. Коротко говоря, принадлежность к классу D означает, что система не имеет средств защиты информации (неклассифицированная), к классу С — что она имеет некоторые средства избирательной защиты (классифицированная), к классу В — что к упомянутым ранее средствам добавляются гарантии безопасности и они описываются как “полномочные” (секретная информация), ну а если система отнесена к классу А, значит, средства защиты ранее проверены (совершенно секретная информация). Многие популярные операционные системы (например, различные варианты PС UNIX, Sun Solaris 2.3 и т.п.) соответствуют классу С.

Что же касается устойчивости к нападениям извне, то, согласно "Оранжевой книге" Министерства обороны США, программное обеспечение может относиться к одному из следующих классов: класс D - защита отсутствует, пользователь имеет неограниченный доступ ко всем ресурсам. К этому классу относятся операционные системы типа MS-DOS; класс C, наиболее популярный подкласс - C2. Доступ с паролем и именем. При работе с базой данных класса С пользователь, получив доступ к той или иной таблице базы, получает и доступ ко всем имеющимся в ней данным. К этому классу относится большинство сетевых операционных систем; класс B, наиболее употребительный подкласс - B1. Базы данных класса В позволяют дифференцировать доступ к данным для разных пользователей даже внутри одной таблицы. Улучшенные с точки зрения безопасности реализации стандартных операционных систем производят многие фирмы (DEC, Hewlett-Packard, Santa CruzOperations, Sun); класс А - наиболее защищенные операционные системы, которые российские системные интеграторы рекомендуют использовать только при построении сетевой защиты от внешнего мира (создании брандмауэра).

Шифрование

Для обеспечения безопасности передачи данных между удаленными объектами нужно чтобы эти данные при попадании в чужие руки не могли быть прочитаны. Для этого данные передаются в зашифрованной видею

Шифрование данных может осуществляться в режимах On-Line (в темпе поступления информации) и Off-Line (автономном). Остановимся подробнее на первом типе, представляющем больший интерес. Наиболее распространены два алгоритма.

Стандарт шифрования данных DES (Data Encryption Standard) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации.

Алгоритм RSA был изобретен Ривестом, Шамиром и Альде-маном в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов.

DES, технически, является СИММЕТРИЧНЫМ алгоритмом, а RSA — АСИММЕТРИЧНЫМ, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрования сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования.

Безопасность баз данных.

Trusted ORACLE7

Корпорация Oracle разработала реляционную СУБД с обес­печением многоуровневой защиты информации (Multi-Level Security — MLS) — Trusted ORACLE7, обладающую, в том числе, и всеми стандартными возможностями ORACLE7.

В прошлом компании, которые желали защитить секретную или конфиденциальную информацию, вынуждены были использовать для этих целей специальное или выделенное оборудование. С появлением таких продуктов, как Trusted ORACLE7, эта необходимость отпала. Trusted ORACLE7 позволяет размещать важную для конкурентов информацию в базе дан­ных, в которой хранится общая информация, без всякого риска, что какой-то пользователь случайно или преднамеренно получит доступ к секретной или конфиденциальной информации.

Trusted ORACLE7 функционирует с использованием двух наборов правил: Избирательное Управление Доступом (DAC — Discretionary Access Control) и Полномочное Управление Доступом (MAC — Mandatory Access Control). Использование DAC ограничивается такими объектами баз данных, как табли­цы, виды, последовательности и хранимые процедуры, основан­ные на идентификации пользователей, и групповые ассоциа­ции. Создатель объектов баз данных — например, таблиц — мо­жет предоставлять доступ другому пользователю.

MAC представляет собой шаг вперед по сравнению с DAC и помечает содержание объектов баз данных. MAC ограничивает доступ к объекту путем сравнения так называемой метки объек­та с уровнем авторизации пользователя. Помимо меток MAC Trusted ORACLE7 помечает такие элементы объектов, как строки и таблицы. В результате этого свойства даже при усло­вии, что DAC пытается дать пользователю доступ к помеченно­му объекту, ему будет разрешен доступ, только если его уровень авторизации будет не ниже, чем уровень авторизации информа­ции, к которой пытается получить доступ пользователь.

Стандарты в области безопасности распределенных систем

Стандартов в области безопасности распределенных систем много. Выделим три основных:

  • интерпретация "Оранжевой книги" для сетевых конфигураций

  • международные стандарты X.800 и X.509

  • рекомендации IETF

Соседние файлы в папке Безопас Кирилова 3305
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности