- •§1. Основные принципы организации и задачи сетевой безопасности.
- •Уровень 1, физический (Physical Layer).
- •Уровень 3, сетевой (Network Layer)
- •Уровень 4, транспортный (Transport Layer)
- •Уровень 5, сеансовый (Session Layer)
- •Уровень 6, уровень представления (Presentation Layer)
- •Уровень 7, прикладной (Application Layer)
- •Рекомендации ieee 802
- •Сетезависимые и сетенезависимые уровни
- •§3. Обзор стека протоколов tcp/ip
- •3.1. Общая характеристика tcp/ip
- •Структура стека tcp/ip и краткая характеристика протоколов
- •3.2. Протоколы iPv4 и iPv6
- •Формат заголовка iPv4
- •Адресация в iPv6
- •Формат заголовка iPv6
- •Взаимодействие iPv6 и iPv4
- •Туннелирование
- •Двойной стек
- •Трансляция протоколов
- •IPv6 в России
- •§4. Математические основы криптографии.
- •4.1. Криптографические примитивы.
- •4.1.1. Подстановки
- •4.1.2. Перестановки
- •4.1.3. Гаммирование.
- •4.1.4. Нелинейное преобразование с помощью s-боксов
- •4.1.5. Комбинированные методы.
- •4.2. Потоковые шифры на основе сдвиговых регистров.
- •4.3. Абелевы группы и конечные поля.
- •4.3.1. Основные определения и примеры.
- •4.3.2. Неприводимые многочлены в конечном поле k.
- •4.4. Эллиптические кривые
- •4.5. Односторонние функции.
- •§5. Криптографические средства защиты.
- •5.1. Классификация криптографических методов.
- •5.2. Схема метода rc4.
- •5.4. Асимметричные системы шифрования
- •5.5. Алгоритм ЭльГамаля.
- •5.6. Алгоритм Диффи-Хелмана выработки общего секретного ключа.
- •§6. Электронно-цифровая подпись
- •6.1. Свойства эцп и ее правовые основы.
- •6.2. Алгоритм создание эцп и стандарты.
- •6.3. Использование эллиптических кривых в стандарте цифровой подписи.
- •§7. Сетевая аутентификация
- •Вычисление хеш-функций
- •7.2. Парадокс дня рождения
- •Использование цепочки зашифрованных блоков
- •Алгоритм md5
- •7.4. Алгоритм hmac
- •7.5. Простая аутентификация на основе хеш-значений
- •7.5. Сетевая аутентификация на основе слова- вызова.
- •§7. Протокол расширенной аутентификации Kerberos
- •§9. Стандарт сертификации X.509.
- •9.1. Аутентификация пользователей на основе сертификатов
- •9.2. Состав сертификата
- •Имя владельца сертификата.
- •Открытый ключ владельца сертификата.
- •Компоненты иок и их функции
- •Центр Сертификации
- •Эцп файлов и приложений
- •Стандарты в области иок
- •Стандарты pkix
- •Стандарты, основанные на иок
- •§10. Защита информации, передаваемой по сети
- •10.1. Организация защиты данных в сетях.
- •10.2. Протокол iPsec.
- •10.3. Спецификации iPsec.
- •10.3.1. Защищенные связи
- •10.3.2. Транспортный и туннельный режимы iPsec.
- •10.4. Режим ah протокола ipSec
- •10.6. Управление ключами ipSec
- •Следующий элемент
- •Тип обмена
- •Идентификатор сообщения
- •§11. Защита web.
- •11.1. Угрозы нарушений защиты Web
- •11.2.Архитектура ssl
- •Идентификатор сеанса.
- •2 Этап. Аутентификация и обмен ключами сервера.
- •3 Этап. Аутентификация и обмен ключами клиента.
- •4 Этап. Завершение.
- •11.4. Протокол set
- •11.5. Сравнительные характеристики протоколов ssl и set
- •§12. Организация сетей gsm.
- •12.1. Основные части системы gsm, их назначение и взаимодействие друг с другом
- •12.2. Полный состав долгосрочных данных, хранимых в hlr и vlr.
- •12.3. Полный состав временных данных, хранимых в vlr.
- •12.4. Регистрация в сети.
- •12.5. Пользовательский интерфейс мобильной станции
- •Регистрация пользователя в сети
- •Классы доступа
- •Режим фиксированных номеров
- •13. Защита сетей gsm.
§9. Стандарт сертификации X.509.
9.1. Аутентификация пользователей на основе сертификатов
Аутентификация на основе сертификатов является альтернативой использованию паролей и представляется естественным решением, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких условиях процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой.
Аутентификация пользователя на основе сертификатов происходит примерно так же, как при пропуске людей на территорию большого предприятия. Вахтер разрешает проход на основании документа, который содержит фотографию и подпись данного сотрудника, удостоверенные печатью предприятия и подписью лица, выдавшего его. Сертификат — аналог этого документа и выдается по запросам сертифицирующими организациями при выполнении определенных условий. Он представляет собой электронную форму, в которой имеются такие поля, как имя владельца, наименование организации, выдавшей сертификат, открытый ключ владельца. Кроме того, сертификат содержит электронную подпись выдавшей организации — все поля сертификата, зашифрованные закрытым ключом этой организации. Использование сертификатов основано на предположении, что сертифицирующих организаций немного, и их открытые ключи могут быть обнародованы каким-либо способом, например с помощью тех же публикаций в журналах.
Когда нужно удостоверить личность пользователя, он предъявляет свой сертификат в двух формах — открытой, то есть такой, в которой он получил его в сертифицирующей организации, и закрытой, зашифрованной с применением собственного закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и с его помощью расшифровывает закрытый сертификат. Совпадение результата с данными открытого сертификата подтверждает тот факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым.
Затем с помощью известного открытого ключа выдавшей сертификат организации производится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат — значит, пользователь действительно прошел регистрацию в этой сертифицирующей организации, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.
Сертификаты можно использовать не только для аутентификации, но и для авторизации, т.е. для предоставления избирательных прав доступа. Для этого в сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей. Эта категория зависит от условий, на которых сертифицирующая организация выдает сертификат. Например, организация, поставляющая информацию через Internet на коммерческой основе, может выдавать пользователям, оплатившим годовую подписку на некоторый бюллетень, сертификаты определенной категории, а Web-сервер будет предоставлять доступ к страницам этого бюллетеня только при предъявлении данного сертификата.
При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций. Может также понадобиться некоторый механизм отображения категорий владельцев сертификатов на традиционные группы пользователей, чтобы можно было использовать в неизменном виде механизмы управления избирательным доступом большинства операционных систем и приложений.
Механизм получения пользователем сертификата хорошо автоматизируется в системе клиент—сервер. Рассмотрим пример, в котором браузер выполняет роль клиента, а специальный сервер сертификатов, установленный в сертифицирующей организации, — роль сервера. Браузер вырабатывает для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того чтобы еще неподписанный сертификат нельзя было подменить при передаче по сети, браузер зашифровывает его закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает владельцу каким-либо способом. Очевидно, что все возможные случаи предусмотреть и автоматизировать нельзя, — иногда бывает нужна неформальная процедура подтверждения пользователем своей личности и права на получение сертификата. Эта процедура требует участия оператора сервера сертификатов и осуществляется, например, путем доказательства пользователем оплаты услуги или его принадлежности к какой-либо организации. После получения сертификата браузер хранит его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают этот процесс.
Microsoft реализовала поддержку сертификатов в браузере Internet Explorer и в WEB- сервере Internet Information Server. Кроме того, Microsoft разрабатала собственный сервер сертификатов, выдающий сертификаты стандарта X.509 различных степеней доверия. В состав пакетов MS Office входит программа Selfcert.exe, позволяющая пользователям создавать собственные сертификаты и использовать их для создания цифровых подписей электронных документов Word, Excel и PowerPoint.