Аутентификация информации. Система kerberos.
Под аутентификацией информации понимают установление подлинности данных, полученных по сети, на основе информации, содержащейся в полученном сообщении. Если конечной целью шифрования информации является обеспечение защиты от несанкционированного ознакомления с этой информацией, то конечной целью аутентификации информации является обеспечение защиты участников информационного обмена от навязывания ложной информации.
В компьютерных системах выделяют два вида аутентификации информации: аутентификация хранящихся массивов данных и программ — установление того факта, что данные не подвергались модификации; аутентификация сообщений — установление подлинности полученного сообщения, в том числе решение вопроса об авторстве этого сообщения и установление факта приема.
Для решения задачи аутентификации информации используется концепция цифровой (или электронной) подписи (методы, позволяющие устанавливать подлинность автора сообщения (документа) при возникновении спора относительно авторства этого сообщения).
Основная область применения цифровой подписи — это финансовые документы, сопровождающие электронные сделки, документы, фиксирующие международные договоренности и т. п.
До настоящего времени наиболее часто для построения схемы цифровой подписи использовался алгоритм RSA. В основе этого алгоритма лежит концепция Диффи-Хеллмана. Она заключается в том, что каждый пользователь сети имеет свой закрытый ключ, необходимый для формирования подписи; соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети.
Компания Microsoft разработала средства для доказательства аутентичности программных кодов, распространяемых через Интернет. Пользователю важно иметь доказательства, что программа, которую он загрузил с какого-либо сервера, действительно содержит коды, разработанные определенной компанией. Microsoft разработала технологию аутентикода, суть которой сострит в следующем: организация, желающая подтвердить свое авторство на программу, должна встроить в распространяемый код так называемый подписывающий блок. Этот блок состоит из двух частей. Первая часть»— сертификат этой организации, полученный обычным образом от какого-либо, сертифицирующего центра. Вторую часть образует зашифрованный дайджест, полученный в результате применения односторонней функции к распространяемому коду. Шифрование дайджеста выполняется с помощью закрытого ключа организации.
Kerberos — это сетевая служба, предназначенная для централизованного решения задач аутентификации и авторизации в крупных сетях.
В сетях, использующих систему безопасности Kerberos, все процедуры аутентификации между клиентами и серверами сети выполняются через посредника, которому доверяют обе стороны аутентификационного процесса, причем таким авторитетным арбитром является сама система Kerberos.
В системе Kerberos клиент должен доказывать свою аутентичность для доступа к каждой службе, услуги которой он вызывает.
Все обмены данными в сети выполняются в защищенном виде с использованием алгоритма шифрования DES.
Сетевая служба Kerberos построена по архитектуре клиент-сервер, что позволяет ей работать в самых сложных сетях. Kerberos-клиент устанавливается на всех компьютерах сети, которые могут обратиться к какой-либо сетевой службе. В таких случаях Kerberos-клиент от лица пользователя передает запрос на Kerberos-сервер и поддерживает с ним диалог, необходимый для выполнения функций системы Kerberos.
1. Определение легальности клиента, логический вход в сеть, получение разрешения на продолжение процесса получения доступа к ресурсу.
2. Получение разрешения на обращение к ресурсному серверу.
3. Получение разрешения на доступ к ресурсу.
Для решения первой и второй задач клиент обращается к Kerberos-серверу. Каждая из этих двух задач решается отдельным сервером, входящим в состав Kerberos-сервера. Выполнение первичной аутентификации и выдача разрешения на продолжение процесса получения доступа к ресурсу осуществляется аутентификационным сервером. Этот сервер хранит в своей базе данных информацию об идентификаторах и паролях пользователей.
Вторую задачу, связанную с получением разрешения на обращение к ресурсному серверу, решает другая часть Kerberos-сервера — сервер квитанций. Сервер квитанций для легальных клиентов выполняет дополнительную проверку и дает клиенту разрешение на доступ к нужному ему ресурсному серверу. Для выполнения своих функций сервер квитанций использует копии секретных ключей всех ресурсных серверов, которые хранятся у него в базе данных. Кроме этих ключей сервер TGS имеет еще один секретный DES-ключ, который разделяет с сервером AS.
Третья задача — получение разрешения на доступ непосредственно к ресурсу — решается на уровне ресурсного сервера.
1) Архитектура вычислительной системы.
2) Классификация вычислительных систем.
3) Элементная база современного компьютера.
4) Bios назначение и функции. Процедура post.
5) Unified extensible firmware interface - uefi
6) Операционная система. (задачи, функции, состав)
7) Copyleft и gnu gpl
8) Ядро ос linux
9) Файловая система ос linux
10) Основные команды ос linux. Командный интерфейс.
11) Основные команды ос linux. Работа с файловой системой.
12) Основные команды ос linux. Работа с пользователями и группами.
13) Основные команды ос linux. Работы с файлами, каталогами и ссфлками.
14) Ядро ос windows.
15) Файловая система ос windows.
16) Реестр.
17) Структура сетевой операционной системы.
18) Одноранговые сетевые ос и ос с выделенными серверами.
19) Ос для рабочих групп и ос для сетей масштаба предприятия.
20) Приложения клиент-сервер. Классы приложений клиент-сервер. Трехзвенная архитектура клиент-сервер.
21) Мультипрограммирование.
22) Мультипроцессорная обработка.
23) Планирование процессов и потоков. Понятия «процесс» и «поток».
24) Создание процессов и потоков.
25) Планирование и диспетчеризация потоков. Состояния потока.
26) Вытесняющие и невытесняющие алгоритмы планирования.
27) Алгоритмы планирования, основанные на квантовании.
28) Алгоритмы планирования, основанные на приоритетах.
29) Смешанные алгоритмы планирования.
30) Планирование в системах реального времени. Моменты перепланировки.
31) Мультипрограммирование на основе прерываний. Назначение и типы прерываний.
32) Мультипрограммирование на основе прерываний. Механизм прерываний.
33) Мультипрограммирование на основе прерываний. Программные прерывания.
34) Системные вызовы.
35) Синхронизация процессов и потоков. Цели и средства синхронизации.
36) Функции ос по управлению памятью.
37) Типы адресов памяти.
38) Алгоритмы распределения памяти. Распределение памяти фиксированными разделами.
39) Алгоритмы распределения памяти. Распределение памяти динамическими разделами.
40) Алгоритмы распределения памяти. Перемещаемые разделы.
41) Свопинг и виртуальная память.
42) Алгоритмы распределения памяти. Страничное распределение.
43) Алгоритмы распределения памяти. Сегментное распределение.
44) Алгоритмы распределения памяти. Сегментно-страничное распределение.
45) Разделяемые сегменты памяти.
46) Кэширование данных. Кэш-память.
47) Кэширование данных. Принцип действия кэш-памяти. Проблема согласования данных.
48) Способы отображения основной памяти на кэш.
49) Сетевая безопасность. Конфиденциальность, целостность и доступность данных.
50) Классификация угроз.
51) Системный подход к обеспечению безопасности.
52) Политика безопасности.
53) Шифрование. Симметричные несимметричные алгоритмы шифрования, криптоалгоритм rsa.
54) Аутентификация. Авторизация доступа. Аудит.
55) Технология защищенного канала
56) Технологии аутентификации. Сетевая аутентификация на основе одноразового-многоразового пароля.
57) Аутентификация на основе сертификатов. Схема использования сертификатов. Сертифицирующие центры.
58) Аутентификация информации. Система kerberos.