Rețele și sisteme de comunicații online

Ross M. Greenberg

P riobretya unele sisteme de programare experiență folosind tehnologia de autentificare Kerberos și de a înțelege modul în care aceasta se face în compania Microsoft, am învățat, de asemenea, câteva lucruri importante despre interfața sa SSPI (Security Support Provider Interface). Dorința de a face cu ea a fost bine cauzată nu de prezența unui potențial „moale“, și, pe de altă parte, deschizând orizonturi pentru dezvoltarea sistemelor de siguranță. Sa dovedit că pentru asta există mult mai multe oportunități decât mi-aș putea imagina. În cele din urmă, datorită acestei interfețe, încercările de a rupe în rețeaua dvs. vor înceta să vă deranjeze. poate fi.







La prima vedere, se pare că atunci când se dezvoltă SSPI, toate "găurile" cunoscute erau "fixe", adăugând totuși adăugarea unor noi funcții și programe la pachetul deja disponibil, este destul de ușor.

Utilizarea componentelor SSPI trebuie să fie autorizată prin verificarea semnăturilor digitale de la toți CSP (Cryptography Service Provider) înainte de a le descărca de sistem. Microsoft semnează aceste module folosind cheia secretă a perechii cheie PKI pentru a demonstra că este de acord cu legislația americană privind exporturile. SSPI acceptă multe module CSP, inclusiv protocoale de nivel de transport, cum ar fi Microsoft Message Queue (MSMQ). Activarea protocolului MSMQ asigură transportul automat, sigur și autentificat al mesajelor prin medii nesigure și nesigure, cum ar fi Internetul. Abordare excelentă!

Acreditărilor parametru reprezintă Returnată Handle contextul utilizator (structura de date izolate conținând cheile de sesiune și alte informații legate de un compus specific), care identifică utilizatorul și dreptul în ceea ce privește sistemele locale și la distanță, precum și pentru utilizatorii lor. Contextul definește, de asemenea, termeni importanți precum "impersonalizarea" și "delegarea". Impersonalizatsiya - este abilitatea de a avea un utilizator autentificat pentru a lucra cu programele în numele unui alt în principal pe mașina locală. Delegând - date despre context, inclusiv autentificarea, la mașina de la distanță pentru a avea acces la serviciile disponibile pentru a le.







În mod obișnuit, autentificarea este delegată într-un moment în care mașina client accesează serverul în numele utilizatorului, adică se impersonalizează în sistem. Dacă acest server are nevoie să acceseze un alt server pentru a executa o tranzacție, el, la rândul său, poate folosi impersonalizarea. Un astfel de mecanism îi permite să vorbească în numele unui utilizator autentificat. Delegația face posibila impersonarea secvențială a unui utilizator autentificat al sistemului local cu privire la alte servere la distanță.

Conceptul de impersonalizare ascunsă vă permite să vorbiți în numele unui alt utilizator, ca și cum ați fi cu adevărat. N-am avut ocazia să îmi dau seama dacă un astfel de utilizator ar putea delega date de autentificare, deoarece capul meu încă mai difuzează din ceea ce încerc să înțeleg, deoarece se potrivește cu Lista de control al accesului și cu serviciul Active Directory .

Înainte de a atribui un pointer sau o referință la contextul SSPI sau de a emite o identitate unui utilizator autentificat, trebuie verificate resursele sistemului de securitate, și anume lista pachetelor de securitate rezidente. Aceasta se face prin apelarea o dată a funcției EnumerateSecurityPackages, care, ca răspuns, oferă informațiilor despre programarea apelurilor despre pachetele rezidente din sistem. Apoi, cel mai potrivit pachet este selectat din listă, care este un fișier de date de tip SecPkgInfo. Una dintre cele mai importante părți ale acestei structuri include informații despre dacă pachetul verificat asigură integritatea și confidențialitatea mesajelor. Cred că sprijinul pentru autentificare și criptare este foarte important pentru orice sistem de securitate care merită atenție.







Articole similare

Trimiteți-le prietenilor: