- •Основные функции ос:
- •Дополнительные функции:
- •Состав операционной системы
- •4. Классификация ос
- •Особенности алгоритмов управления ресурсами
- •Особенности аппаратных платформ
- •Особенности областей использования
- •Особенности методов построения
- •Примеры архитектуры реальных операционных систем Архитектура операционной системы unix
- •Архитектура операционной системы Windows
- •2.1.1 Понятие процесса
- •2.1.2 Модель процесса
- •2.1.3 Создание процесса
- •2.1.4 Завершение процесса
- •2.1.5 Иерархия процессов
- •2.1.6 Состояние процессов
- •2.2 Потоки (нити, облегченный процесс)
- •2.2.1 Понятие потока
- •2.2.2 Модель потока
- •2.2.3 Преимущества использования потоков
- •2.2.4 Реализация потоков в пространстве пользователя, ядра и смешанное
- •2.2.5 Особенности реализации Windows
- •16. Состояния потоков
- •19. Синхронизирующие объекты ос: системные семафоры, мьютексы, события, сигналы.
- •25. Устройство ввода-вывода
- •[Править]Устройства ввода/вывода
- •Задачи файловой системы
- •29. 5. Организация файлов и доступ к ним
- •Последовательный файл
- •Файл прямого доступа
- •Другие формы организации файлов
- •Операции над файлами
- •32. Терминология компьютерной сети
- •[Править]Уровни модели osi
- •[Править]Прикладной уровень
- •[Править]Представительский уровень
- •[Править]Сеансовый уровень
- •[Править]Транспортный уровень
- •[Править]Сетевой уровень
- •[Править]Канальный уровень
- •[Править]Физический уровень
- •[Править]Соответствие модели osi и других моделей сетевого взаимодействия
- •[Править]Семейство tcp/ip
- •[Править]Семейство ipx/spx
- •[Править]Основное назначение
- •38. Тема 3.3 Сетевые службы и сетевые сервисы.
- •Понятие сетевой службы и сетевого сервиса
- •Клиент-серверная организация сетевых служб. Согласование протоколов
- •39. Одноранговые и серверные сетевые операционные системы
- •Ос в одноранговых сетях
- •Ос в сетях с выделенными серверами
- •40. Служба каталогов
- •[Править]Историческая справка
- •[Править]Реализация
- •42. 5.6. Сетевые файловые системы
- •5.6.2. Сетевая файловая система (nfs)
- •43. Информационная безопасность
- •[Править]Сущность понятия «информационная безопасность» [править]Содержание понятия
- •[Править]Стандартизированные определения
- •[Править]Существенные признаки понятия
- •[Править]Рекомендации по использованию терминов
- •[Править]Объём (реализация) понятия «информационная безопасность»
- •[Править]Нормативные документы в области информационной безопасности
- •[Править]Органы (подразделения), обеспечивающие информационную безопасность
- •[Править]Организационно-технические и режимные меры и методы
- •[Править]Программно-технические способы и средства обеспечения информационной безопасности
- •[Править]Организационная защита объектов информатизации
- •[Править]Исторические аспекты возникновения и развития информационной безопасности
- •47. Шифрование
- •49. Технология защищенного канала
- •50. Элементы системы аутентификации
- •[Править]Факторы аутентификации
- •[Править]Способы аутентификации [править]Аутентификация по многоразовым паролям
- •[Править]Защищенность
- •[Править]Базы учетных записей
- •[Править]Аутентификация по одноразовым паролям
- •[Править]Многофакторная аутентификация
- •[Править]Протоколы аутентификации
- •Cубъект расшифровывает полученое число на основе своего уникального ключа и сравнивает результат с n1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
- •[Править]Причина появления
- •[Править]Развитие протокола [править]Ранние версии
- •[Править]Kerberos 4
- •[Править]Kerberos 5
- •[Править]Использование и распространение
- •[Править]Принцип работы [править]Kerberos 4
- •[Править]Kerberos 5
- •[Править]Формальное описание
- •[Править]Подробное описание
- •[Править]pkinit
- •52. Человеко-машинный интерфейс
[Править]Kerberos 5
Kerberos 5 является развитием четвертой версии, включает всю предыдущую функциональность и содержит множество расширений. Однако, с точки зрения реализации, Kerberos 5 является абсолютно новым протоколом.
Основной причиной появления пятой версии являлась невозможность расширения. Со временем, атака полным перебором на DES используемом в Kerberos 4 стала актуальна, но используемые поля в сообщениях имели фиксированный размер и использовать более стойкий алгоритм шифрования не представлялось возможным.
Для решения данной проблемы было решено создать расширяемый протокол с возможностью использования на различных платформах на основе технологии ASN.1. Это позволило использовать в транзакциях различные типы шифрования. Благодаря этому была реализована совместимость с предыдущей версией. Кроме того у ЦРК появляется возможность выбирать наиболее безопасный протокол шифрования поддерживаемый участвующими сторонами.
Кроме того оригинальный протокол Kerberos 4 подвержен перебору по словарю. Данная уязвимость связана с тем, что ЦРК выдает по требованию зашифрованный TGT любому клиенту. Важность данной проблемы так же подчеркивает то, что пользователи обычно выбирают простые пароли.
Чтобы усложнить проведение данной атаки, в Kerberos 5 было введено предварительное установление подлинности. На данном этапе ЦРК требует, чтобы пользователь удостоверил свою личность прежде, чем ему будет выдан билет.
За предварительную аутентификацию отвечает политика ЦРК, если она требуется, то пользователь при первом запросе к СА получит сообщение KRB_ERROR. Это сообщение скажет клиенту, что необходимо отправлять AS_REQ запрос со своими данными для установления подлинности. Если ЦРК не опознает их, то пользователь получит другое сообщение KRB_ERROR, сообщающее об ошибке и TGT не будет выдан.
[Править]Формальное описание
Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами |
|
|
Идентифкаторы Алисы (Alice), инициатора сессии |
|
Идентифкатор Боба (Bob), стороны, с которой устанавливается сессия |
|
Идентифкатор Трента (Trent), доверенной промежуточной стороны |
|
Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента |
|
Шифрование данных ключом Боба, либо совместным ключом Боба и Трента |
|
Порядковый номер сессии (для предотвращения атаки с повтором) |
|
Случайный сеансовый ключ, который будет использоваться для симетричного шифрования данных |
|
Шифрование данных временным сеансовым ключом |
|
Метки времени, добавляемые в сообщения Алисой и Бобом соответственно |
|
Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно |
Протокол использует только симметричное шифрование и предполагает, что у каждого корреспондента (Алисы и Боба) есть общий секретный ключ с третьей доверенной стороной (Трентом).
Алиса направляет доверенной стороне (Тренту) свой идентификатор и Боба:
Трент генерирует два сообщения. Первое включает метку времени , время жизни ключа , новый сеансовый ключ для Алисы и Боба и идентификатор Боба . Это сообщение шифруется общим ключом Алисы и Трента. Второе сообщение содержит то же самое, кроме идентификатора — он заменён на идентификатор Алисы . Само сообщение шифруется общим ключом Трента и Боба:
Алиса генерирует сообщение из собственного идентификатора и метки времени , после чего шифрует сообщение сеансовым ключом и посылает Бобу вместе со вторым сообщением от Трента:
В целях собственной аутентификации Боб шифрует модифицированную метку времени общим сеансовым ключом и посылает её Алисе:
Важным предположением является синхронизированность часов всех участников протокола. Однако на практике используется синхронизация с точностью до нескольких минут с запоминанием истории передач (с целью обнаружения повтора) в течение некоторого времени.