- •2. Модели аппаратных ключей hasp hl
- •3. Охарактеризовать технологию защиты приложений с помощью утилиты hasp Envelope.
- •4. Охарактеризовать основные сервисы hasp, используемые при защите программ с использованием hasp api.
- •5. Обзор функций Hasp srm Run-time api
- •6. Основные сведения о типичной микропроцессорной карточке.
- •7. Методы защиты смарт-карт от подделки.
- •10. Структуры и типы команд по стандарту iso 7816-4
- •11. Виды ключей смарт-карт ase и работа с ними на уровне карты.
- •1. Персональный идентификационный номер (pin)
- •2. Главный ключ
- •3. Ключи доступа
- •4. Вычислительные ключи
- •12. Виды ключей смарт-карт ase и работа с ними на уровне приложений.
- •1. Персональный идентификационный номер (pin)
- •2. Главный ключ
- •3. Ключи доступа
- •4. Вычислительные ключи
- •13. Основные параметры функций asehlCreate File
- •14. Основные параметры функций asehlCreate App
- •15. Описание параметров File Properties
- •16. Назначение смарт-карт e-Token pro:
- •17. Основные характеристики eToken Pro
- •18.Четыре области памяти в смарт-картах eToken pro
- •20. Уровни доступа к информации в картах eToken
- •21. Архитектура программного обеспечения
- •22. Среда программирования eToken rte
- •27. Охарактеризовать 2 схемы аутентификации, использующиеся в современных вычислительных системах.
- •28. Охарактеризовать виды биометрической аутентификации
- •29. Поясните схему «запрос-ответ» при взаимной аутентификации.
- •30. Что такое «временной штемпель», как он используется при взаимной аутентификации.
- •31. Схема взаимной аутентификации с использованием рукопожатия.
- •32. Базовый протокол централизованного распределения ключей для симметричной криптосистемы.
- •33. Базовый протокол распределения ключей для асимметричных криптосистем с использованием сертификатов открытых ключей.
- •34. Структура сертификата по рекомендациям X.509.
- •35. Проверка сертификатов, в том числе полученных в разных удостоверяющих центрах.
- •36. Прямой обмен ключами между пользователями с использованием криптосистемы с открытым ключом для шифрования и передачи секретного ключа симметричной системы (электронный цифровой конверт).
- •37. Использование системы открытого распределения ключей Диффи-Хеллмана для формирования ключей.
- •38. Симметричные методы аутентификации субъекта. Схема Kerberos.
- •39. Аутентификация субъекта в асимметричных системах по стандарту ccitt Recommendation X.509.
- •40. Генерация ключей по стандарту ansi X 9.17.
- •41. Хранение ключей согласно iso 8532.
- •42. Мастер-ключ. Правила распространения и хранения.
- •43. Сеансовый ключ. Хранение
- •44. Методы обеспечения целостности. Режим выработки имитовставки гост 28147-89
- •45. Методы контроля целостности сообщений. Использование шифрования, эцп, кодов аутентификации сообщений, имитовставок,
- •47. Модели политики безопасности при построении защищенных систем
- •48. Алгоритм обработки битов защиты в unix.
- •49. Списки прав доступа acl.
- •50. Алгоритм обработки списков прав доступа (произвольное управление доступом) в Trusted Mach
- •51. В чем заключается полномочный (мандатный) способ доступа субъектов к объектам.
- •52. Мандатное управление доступом в мсвс 3.0
- •53. Аудит
48. Алгоритм обработки битов защиты в unix.
Владелец |
Группа |
Все пользователи |
||||||||
Чтение |
Запись |
Выполн. |
Чтение |
Запись |
Выполн. |
Чтение |
Запись |
Выполн. |
||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
Алгоритм предоставления прав доступа.
Субъект ассоциируется с эффективным идентификатором (EUID), содержащим информацию о пользователе и группе, к которой он принадлежит.
1. Проверяется, является ли субъект владельцем. При этом сравниваются значения EUID процесса и EUID' владельца объекта. Если EUID'= EUID, то сравниваются полномочия владельца с запрашиваемым типом доступа. Если запрашиваемый тип доступа присутствует в соответствующем поле, доступ предоставляется. Если нет, отклоняется. Если идентификаторы не равны, то осуществляется переход ко второму шагу.
2. Проверка соответствия полномочий входящего в группу владельца осуществляется аналогично п.1.
3. Сравниваются полномочия, предоставленные всем пользователям системы с запрашиваемым типом доступа. Если запрашиваемый тип присутствует в соответствующем поле, то доступ предоставляется, если нет – отклоняется.
49. Списки прав доступа acl.
ACL — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.
Списки контроля доступа являются основой систем с избирательным управлением доступом.
Преимущество – возможность задания прав доступа индивидуально для каждого пользователя.
Недостаток – большие временные затраты на обработку списков по сравнению с доступом с помощью битов защиты.
В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.
При централизованном хранении списков контроля доступа можно говорить о матрице доступа, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую непосредственно с самим объектом.
Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначения прав группам пользователей, а не персонально.
50. Алгоритм обработки списков прав доступа (произвольное управление доступом) в Trusted Mach
Правила политики безопасности
1. Для того чтобы субъект получил к объекту доступ по чтению, уровень безопасности субъекта должен доминировать над уровнем безопасности объекта. Кроме того, субъект должен иметь дискреционные полномочия на чтение этого объекта.
2. Для того чтобы субъект получил доступ записи к объекту, уровень безопасности субъекта должен совпадать с уровнем безопасности объекта. Кроме того, субъект должен иметь дискреционные полномочия на запись в этот объект.
3. Для того чтобы субъект получил возможность добавить данные в объект, уровень безопасности объекта должен доминировать над уровнем безопасности субъекта. Кроме того, субъект должен иметь дискреционные полномочия на добавления данных в этот объект.
4. Для того чтобы субъект мог осуществлять управление доступом к объекту, субъект и каталог, в котором содержится этот объект, должны иметь один и тот же уровень безопасности. Кроме того, политика произвольного управления доступом должна разрешать субъекту управление доступом для этого объекта.
5. Субъект может создавать объекты, уровень безопасности которых доминирует над его уровнем безопасности. Кроме того, субъект должен иметь дискреционные полномочия на создание объектов этого типа.
Нормативное управление доступом является определяющим
ACL cистемы Trusted Mach
Формат элементов списка
<тег>:<идентификатор>:<разрешенные права>:<запрещенные права>
Тег – одно из ключевых слов “user”, “group”, “all”;
Идентификатор – в зависимости от значения поля тег, либо идентификатор пользователя (в поле тег указано user), либо идентификатор группы (в поле тег стоит “group”), либо символ шаблона «*» (поле тег содержит all);
Разрешенные права доступа – список разрешенных прав доступа (поле означает пустой список);
Запрещенные права доступа – список запрещенных прав доступа (поле означает пустой список).
Например:
user : john : read, write : none
group : programmers : read, write : none
group : users : none : read
all:* : read : none
Условия, необходимые для разрешения конфликтов
1. Запрашиваемые права доступа должны отсутствовать во всех элементах списка запрещенных прав доступа, применимых к данному субъекту.
2. Запрашиваемые права доступа должны присутствовать хотя бы в одном элементе списка разрешенных прав доступа, который относится к данному субъекту.
Алгоритм обработки списка прав доступа
1. Сначала в списке прав доступа ищутся элементы, для которых в поле <идентификатор> указано имя субъекта, запросившего доступ к объекту. Программа контроля доступа просматривает все записи подобного вида и комбинирует из них индивидуальные наборы разрешенных и запрещенных прав доступа. Если хотя бы одно из запрашиваемых прав доступа присутствует в списке запрещенных, то в доступе отказывается. Если все без исключения запрашиваемые права доступа входят в набор разрешенных прав, то доступ разрешается. Если ни одно из запрашиваемых прав не присутствует в наборе запрещенных, но не все запрашиваемые права указаны в наборе разрешенных, то вступает в силу управление доступом на уровне групп.
2. Управление доступом на уровне групп выполняется аналогично 1. К групповому набору разрешенных прав добавляется индивидуальный набор, полученный на предыдущем этапе.
3. Управление доступом на уровне шаблонов выполняется аналогично 1, 2. К шаблону разрешенных прав добавляются индивидуальный и групповой наборы разрешенных прав, полученные на предыдущих этапах.