Билет № 36 аутентификация информации. Цифровая подпись. Система Kerberos

Операционная система Windows 2000. Уровень аппаратных абстракций. Функции уровня. Уровень ядра.

Задачу см. в конце билета

1) Аутентификацией информации в компьютерных системах понимают уста­новление подлинности данных, полученных по сети, исключительно на основе информации, содержащейся в полученном сообщении. Конечной це­лью аутентификации информации является обеспечение защиты участников информационного обмена от навязывания ложной информации. Концепция ау­тентификации в широком смысле предусматривает установление подлинности информации как при условии наличия взаимного доверия между участниками обмена, так и при его отсутствии.

В компьютерных системах выделяют два вида аутентификации информации:

аутентификация хранящихся массивов данных и программ — установление того факта, что данные не подвергались модификации;

аутентификация сообщений — установление подлинности полученного сооб­щения, в том числе решение вопроса об авторстве этого сообщения и установ­ление факта приема.

Цифровая подпись

Для решения задачи аутентификации информации используется концепция циф­ровой (или электронной) подписи. под термином «цифровая подпись» понимаются методы, позволяющие устанавливать подлинность автора сообщения при возникновении спора относительно авторства этого сообщения.

Основная область применения цифровой подписи — это финансо­вые документы, сопровождающие электронные сделки, документы, фиксирую­щие международные договоренности и т. п. Если сообщение снабжено цифровой подписью, то получатель может быть уверен, что оно не было изменено или под­делано по пути.

До настоящего времени наиболее часто для построения схемы цифровой под­писи использовался алгоритм RSA. В основе этого алгоритма лежит концепция Диффи-Хеллмана- каждый пользователь сети имеет свой закрытый ключ, необходимый для формирования подписи; соответствую­щий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети. Такие схемы аутентификации называются асимметричными. К недостаткам данного алгоритма можно отнести то, что длина подписи в этом случае равна длине сообщения, что не всегда удобно.

Цифровые подписи применяются к тексту до того, как он шифруется. Если по­мимо снабжения текста электронного документа цифровой подписью надо обес­печить его конфиденциальность, то вначале к тексту применяют цифровую под­пись, а затем шифруют все вместе: и текст, и цифровую подпись другие методы цифровой подписи основаны на формировании соответствующей сообщению контрольной комбинации с помощью классических алгоритмов типа DES. Учитывая более высокую производительность алгоритма DES по сравне­нию с алгоритмом RSA, он более эффективен для подтверждения аутентичности больших объемов информации. А для коротких сообщений типа платежных по­ручений или квитанций подтверждения приема, наверное, лучше подходит алго­ритм RSA.

Kerberos — это сетевая служба, предназначенная для централизованного решения задач аутентификации и авторизации в крупных сетях. Она может работать в среде многих популярных ОС, например в Windows 2000 система Kerberos встроена как основной компонент безопасности

В сетях, использующих систему безопасности Kerberos, все процедуры аутентификации между клиентами и серверами сети выполняются через посредника, которому доверяют обе стороны аутентификационного процесса, причем таким авторитетным арбитром является сама система Kerberos.

В системе Kerberos клиент должен доказывать свою аутентичность для доступа к каждой службе, услуги которой он вызывает.

Все обмены данными в сети выполняются в защищенном виде с использованием алгоритма шифрования DES.

Сетевая служба Kerberos построена по архитектуре клиент-сервер, что позволяет ей работать в самых сложных сетях.

В системе Kerberos имеются следующие участники:

Kerberos-сервер, Кеrberos-клиенты, ресурсные серверы.

Путь клиента к ресурсу в системе Kerberos состоит из трех этапов:

1. Определение легальности клиента, логический вход в сеть, получение разрешения на продолжение процесса получения доступа к ресурсу.

2. Получение разрешения на обращение к ресурсному серверу.

3. Получение разрешения на доступ к ресурсу

В системе Kerberos пользователь один раз аутентифицируется во время логического входа в сеть, а затем проходит процедуры аутентификации и авторизации всякий раз, когда ему требуется доступ к новому ресурсному серверу.

2) Работа уровня HAL заключается в том, чтобы предоставить всей остальной системе абстрактные аппаратные устройства, свободные от индивидуальных особенностей аппаратуры. Эти устройства представляются в виде машинно-независимых служб (процедурных вызовов и макросов), которые могут использоваться остальной ОС и драйверами.

В уровень HAL включены те службы, которые зависят от от набора микросхем материнской платы и меняются от машины к машине в разумных предсказуемых пределах.

Функции:

УРОВЕНЬ ЯДРА:

Назначение ядра – сделать остальную часть ОС независимой от аппаратуры. Для этого ядро на основе низкоуровневых служб HAL формирует абстракции более высоких уровней. Например, у уровня HAL есть вызовы для связывания процедур обработки прерываний с прерываниями и установки их приоритетов. Больше ничего в этом отношении HAL не делает. Ядро же предоставляет полный механизм для переключения контекста и планирования потоков.

Ядро также предоставляет низкоуровневую поддержку двум классам объектов ядра – управляющим объектам и объектам диспетчеризации. Эти объекты используются системой и приложениями для управления ресурсами компьютерной системы: процессами, потоками, файлами и т. д.

Каждый объект ядра – это блок памяти, выделенный ядром, доступный только ему и представляющий собой структуру данных, в которой содержится информация об объекте.