Загрузка...
Учебная работа. Реферат: Криптографическая защита функционирование ЛВС в реальном режиме времени
Введение 1
Архитектура секретности сети в 2-ух словах 3
средства и механизмы секретности:
ВОС и остальные точки зрения 4
средства секретности 8
Специальные механизмы секретности 9
Некие способы скрытия полезной инфы от
сторонних глаз 10
Генерация трафика 11
Управление маршрутизацией 11
Цифровая сигнатура 12
Исходные условия выбора системы криптографии 12
Обоснование отказа от аппаратной оставляющей 16
Обоснование выбора и настройка системы 17
Математический аппарат работоспособности способа 22
Заключение 21
Применяемая литература 22
Развитие вычислительной техники началось достаточно издавна, а вот настоящий прогресс индивидуальных вычислительных машин произошёл сравнимо не так давно. Прошло не так много времени, а 86х286 микропроцессор не стал быть животрепещущим и лишился способности делать даже десятую часть тех вычислений, которые требуются сейчас. Тактовая частота в 2,5 ГГц стала сейчас обыденным явлением и изумить таковыми производительными мощностями тяжело.
Зато объёдинение индивидуальных компов в сеть осталось животрепещущим. Естественно, улучшение аппаратного обеспечения и линий связи положительно отразилось на росте скорости передачи данных, технологии объёдинения вычислительных машин в сеть также прогрессировал.
Только одно осталось постоянно – необходимость защиты инфы от несанкционированного доступа снаружи, в том числе и в вычислительных сетях.
Для заслуги этих целей употребляется огромное количество способов. Более обычным решением сделалось введение защиты в сетях средством клиент-серверных и одноранговых архитектур. Но и они спасовали, когда возникла необходимость защитить сами полосы связи от вмешательства либо информацию от лиц, не обладающими определённым диапазоном прав, но всилу определённых критерий заполучившие «чужие» пароли на доступ. Перехват инфы может проводиться по наводкам ЭДС в кабелях, можно, в последнем случае, подключится впрямую к кабелю либо к ОВЛС при помощи специальной аппаратуры.
Так либо по другому, добраться до передаваемой (получаемой) инфы по мере необходимости не составляет большенный трудности, в особенности для средств разведки. Это, в принципе, не так принципиально в сетях, где не содержится информация, нуждающаяся в засекречивании. Но ведь есть огромное количество вариантов, когда возникает воистину необходимость защитить информацию от обработки её лицами, которым она не предназначена.
В таковых вариантах актуальность приобретает криптографическая защита инфы и результаты её деятельности. Это более обычной и действенный метод защитить передаваемую информацию от несанкционированного доступа и насчитывает огромное количество способов. Некие из их будут рассмотрены дальше.
Ещё нужно сказать пару слов о обеспечении процесса криптографического шифрования данных в индивидуальных компах обширно употребляется программный комплекс шифрования данных, но вместе с сиим существует и аппаратный. Он наименее удачный, просит определённых критерий для реализации, зато владеет некими преимуществами перед программным, потому что не требователен к остальному аппаратному обеспечения ПК и возникает возможность использования физических ключей. Но на нынешний денек уже есть способы использования физических ключей при программном шифровании данных, вставляющихся через порты ПК .
СЕКРЕТНОСТЬ В
ISO
.
Архитектура секретности сети в 2-ух словах.
термин » архитектура секретности сети» можно осознавать по-разному. Согласно одной из его трактовок, архитектура секретности — это, в главном, терминологические определения и достаточно абстрактные советы разрабам протоколов. Архитектура секретности МОС, ISO 7498-2, является примером такового подхода. Огромную часть этого
эталона занимают управление по секретности, определение средств и устройств секретности, и рассмотрение общих угроз в среде сетевых открытых систем.
Лишь маленькая часть этого документа обеспечивает базу для оценки предлагаемых средств секретности в протоколах ВОС. По существу эта база состоит из 2-ух таблиц и приложения к ним. одна таблица обеспечивает советы по тому, какие механизмы секретности могут употребляться для обеспечения определенных средств секретности. 2-ая(и наиболее спорная) таблица описывает, какие средства секретности могут предоставляться протоколами на любом из 7 уровней ЭМВОС. Наиболее того, при рассмотрении контекста, в каком существует ISO 7498-2, другими словами остальных документов, описывающих модель ВОС, оказывается, что ISO 7498-2 — это достаточно абстрактный уровень строительной спецификации.
В области ВОС(и МККТТ) базисные эталоны обычно являются достаточно абстрактными, чтоб исключить разработку взаимно работоспособных товаров независящими производителями на базе лишь этих эталонов. Это ведет к возникновению «профилей», которые содержат детальные описания и накладывают ограничения на размер блоков данных и т.д., делая вероятным создание независящих взаимно работоспособных
реализаций. В среде веб эталоны, обычно, наиболее конкретны и поэтому не требуют доп профилей. Не считая того, в Вебе существует тенденция разрабатывать
эталоны для тех вещей, которые МОС считает «локальным вопросцем», предоставляя юзерам огромную упругость при выбирании оборудования у производителей, к примеру эталона OSPF. Беря во внимание такую ориентацию эталонов Веба,
архитектура секретности Веба видимо обязана быть наименее абстрактной и наиболее ограниченной, чем ее соответствие в ВОС.
средства и механизмы секретности: ВОС
и остальные точки зрения.
ISO 7498-2 описывает архитектуру секретности для модели ВОС, дополняя базисную справочную модель, определенную в ISO 7498-1. Этот документ является красивым введением в архитектуру секретности как Веба, так и ряда ЛВС. Уровни 1-4 справочной
модели ВОС прямо соответствуют протоколам, применяемым в стеке протоколов TCP/IP. Эти два стека протоколов различаются тем, что стек TCP/IP отводит под приложения средства
взаимодействия, надлежащие уровням 5-7 стека ВОС. Тем не наименее, уровень 5 не имеет средств секретности, связанных с ним, согласно ISO 7498-2. Рассмотрение средств секретности, обеспечиваемых на презентабельном и прикладном уровнях просто соотносится с приложениями TCP/IP.
Архитектура секретности МОС состоит из 5 главных частей: определений средств секретности, определений устройств секретности , принципов разделения средств секретности по уровням, соответствия меж средствами
секретности и уровнями, и соответствия меж механизмами и средствами. Как было сказано ранее, маленькая, но принципиальная часть этого эталона посвящена рассмотрению принципов,
которые должны определять то, какие средства будут предоставляться каждым из уровней. Есть и остальные нюансы этого эталона, к примеру определения типов атак, но
они носят руководящий нрав. Три приложения содержат доп базисную информацию по данной для нас архитектуре, наиболее детально объясняя решения, описанные в этом эталоне.
средства секретности являются абстрактными понятиями, которые могут употребляться, чтоб охарактеризовать требования секретности. Они различаются от устройств
секретности, которые являются определенными мерами при реализации средств секретности. Критичным строительным элементом этого эталона является определение того, какие
средства секретности должны обеспечиваться на любом из уровней справочной модели. Это определение является управлением для разрабов протоколов, но не для тех,
кто делает реализации протоколов, и не для разрабов сетей.
одной из самых узнаваемых частей ISO 7498-2 является таблица, которая устанавливает соответствие меж средствами секретности и уровнями справочной модели. Таблица такового
рода обязана основываться на наборе базовых принципов. Перед тем, как разглядывать средства секретности и разделение их по уровням, уместно коротко разглядеть эти принципы. В ISO 7498-2 описано семь принципов разделения секретности по уровням, которые коротко изложены ниже:
1) Число вариантов, средством которых быть может реализовано средство секретности, обязано быть наименьшим. Иными словами, обилие не обязано быть самоцелью.
Разработка и реализация технологии секретности — это непростая задачка, и этот принцип утверждает, что следует минимизировать число решений данной для нас задачки. Тем не наименее,
почти все обосновывают, что сама архитектура секретности ВОС далека от соблюдения этого принципа, потому что включает много альтернатив для обеспечения средств секретности на разных уровнях.
2) средства секретности могут быть реализованы наиболее чем на этом же уровне при разработке системы секретности. Это непременно правильно, и иллюстрируется рассмотрением гибридных
решений секретности в разных контекстах, к примеру в сетях МО США
3) способности секретности необязательно должны дублировать имеющиеся способности взаимодействия. Это подразумевает, что где это может быть, необходимо полагаться на
имеющиеся средства взаимодействия, чтоб механизмы секретности не дублировали эти функции. Это потрясающий принцип, но нередко можно найти, что базисные средства взаимодействия не могут употребляться для обеспечения секретности без утраты секретности. к примеру, соблазнительно применять средства упорядочения либо обнаружения ошибок, выставленные протоколами Транспортного уровня, как часть подобных средств секретности. Тем не наименее, поочередные номера и коды, обнаруживающие ошибки, были разработаны для критерий безопасных ошибок, и могут оказаться неадекватными при брутальных атаках. Если создатели протокола учитывали требования секретности при разработке протокола, то тогда реально избежать такового дублирования.
4) Независимость уровней не обязана нарушаться. Это тривиальный принцип, и его следует соблюдать. Опасность при несоблюдении этого принципа заключается в том, что можно
воплотить механизмы секретности на одном из уровней, которые из-за непроверенных догадок о средствах, предоставляемых остальным уровнем, не сработают, когда эти
догадки окажутся неверными. Это не значит, что защита на одном из уровней не может полагаться на механизмы секретности на наиболее нижнем уровне, но значит, что это
взаимодействие обязано быть очевидным и основываться на отлично специфицированных интерфейсах средства. Иная форма нарушения независимости уровней возникает в маршрутизаторах и мостах, которые обращаются к инфы протокола наиболее высочайшего уровня для наилучшего разграничения доступа. Эти средства секретности могут не сработать при возникновении новейших протоколов наиболее высочайшего уровня либо использовании
криптографии на наиболее больших уровнях.
5) Размер надежных способностей должен быть минимизирован. Этот принцип отлично представлен в архитектуре МО США
обеспечение средств секретности на базе межконцевого взаимодействия, а не доверия к промежным участникам взаимодействия. В свою очередь это обосновывает необходимость
реализации секретности на верхних уровнях. Тем не наименее, минимизация дублирования(принципы 1 и 3) возражает против обеспечения средств секретности на базе приложений. Эти противоречия разъясняют предоставление средств секретности в
широком спектре приложений на межсетевом и транспортном уровнях. Тем не наименее, как мы увидим позднее, внедрение сетевого либо транспортного уровней нередко приводит к
интеграции средств секретности в операционные системы, что приводит к возникновению новейшего огромного количества заморочек.
6) Каждый раз, когда секретность, реализуемая на этом же уровне, полагается на механизмы секретности на наиболее нижнем уровне, принципиально чтоб остальные уровни не вмешивались в это
взаимодействие, нарушая зависимость. Это соединено с принципом 4, потому что ошибка при реализации независимости уровней просто может нарушить межуровневую секретность. Этот принцип связан с несколькими иными. Минимизация надежных способностей
(принцип 5) обосновывает необходимость перемещения средств секретности на наиболее высочайшие уровни, но внедрение устройств секретности на одном из уровней для обеспечения
средств наиболее больших уровней помогает избежать дублирования(принципы 1 и 3).
7) средства секретности, обеспечиваемые на уровне, должны быть определены таковым образом, чтоб можно было добавлять новейшие средства к базисным коммуникационным
средствам. Это весьма удобно, потому что не все реализации уровня будут добиваться либо предоставлять все вероятные средства секретности, потому модульность упростит
разработку и реализацию таковых средств. В Вебе это является весьма принципиальным правилом, потому что мы имеем дело с огромным числом реализаций, в которые нужно будет вставлять
средства секретности.
Средства секретности
Архитектура секретности ВОС описывает 5 главных средств секретности: конфиденциальность, аутентификацию, целостность, управление доступом и контроль участников взаимодействия (nonrepudiation). Для большинства из этих средств также определены варианты, к примеру взаимодействие при помощи виртуального соединения либо дейтаграмм. Выбор средств взаимодействия не является значимым; вероятен
выбор одной из альтернатив (дейтаграммы либо виртуальные каналы) для базисных средств секретности.
Специальные механизмы секретности
ISO 7498-2 включает короткое описание набора устройств секретности, и таблицу, которая связывает эти механизмы со средствами секретности. Перечень этих устройств не является
ни базовым, ни полным. к примеру, не включена разработка для на физическом уровне защищаемых каналов как средство для обеспечения конфиденциальности физически. Контроль за электромагнитным излучением оборудования, обрабатывающего скрытые данные, являющийся общей неувязкой для всей государственной секретности, также отсутствует.
Черта устройств или как специфичных, или как неспецифичных также кажется несколько случайной, по последней мере в нескольких вариантах (Смысл состоит в том, что внедрение специфичных устройств обеспечивает личные средства секретности на отдельных уровнях, а неспецифические механизмы употребляются всеми, и не могут быть специфичностью определенных средств секретности). к примеру, грифы секретности характеризуются как быстрее неспецифичные, чем специфичные, но нет точного определения предпосылки такового разделения. Но все-же, лаконичный обзор устройств секретности дозволяет применять ISO 7498-2 как базу, и в предстоящем мы будем разглядывать этот же набор устройств. Рассмотрение специфичных устройств, и установление соответствия меж этими механизмами и средствами по сути не является основным в архитектуре секретности, и потому мы уделим меньше внимания механизмам, чем средствам.
Некие способы скрытия полезной
инфы от сторонних глаз.
Шифрование
Шифрованием именуют внедрение криптографии для преобразования данных, делающего их никчемными для использования. Хотя тут употребляется термин шифрование, почти всегда также реализуется комплементарная
функция дешифрования. До шифрования (либо опосля дешифрования) данные именуются текстом. Опосля шифрования (перед дешифрованием) данные именуются зашифрованным текстом. Как для симметричной( с скрытым ключом) криптографии, так и для несимметричной( с открытым ключом) криптографии есть реализации этого механизма.
Шифрование обычно употребляется для обеспечения конфиденциальности, но быть может также употребляться иными средствами секретности. Необходимость этого
возникает из-за того, что шифрование имеет последующее свойство — неважно какая модификация зашифрованного текста приводит к непредсказуемым изменениям в начальном тексте. При
использовании таковых технологий обеспечивается отменная база для устройств аутентификации и целостности на этом же либо наиболее больших уровнях. Генерация, распределение и хранение криптографических ключей, применяемые при шифровании,
являются незапятнанными функциями управления секретностью.
Генерация траффа
Генерация траффа — это механизм, который может употребляться для предоставления некой конфиденциальности потока траффа на уровне, большем, чем
физический (к примеру, на сетевом либо прикладном уровнях). Генерация траффа может включать генерацию подложного траффа, дополнения для обыденных пакетов, и передачу пакетов назначениям, хорошим от требуемого. Как обыденные, так и подложные пакеты могут дополняться до неизменной наибольшей длины, либо могут дополняться до случайной, меняющейся длины. Для скрытия взаимосвязей источник-получатель следует передавать подложный трафф большенному числу предназначений, что делает эту технологию дорогостоящей и изредка применяемой. естественно, этот механизм
не будет действенным без предоставления конфиденциальности.
Управление маршрутизацией
Иным механизмом для обеспечения конфиденциальности является управление маршрутизацией. Оно употребляется на сетевом либо прикладном уровнях для ограничения путей, по которым передаются данные от источника к предназначению. Выбор маршрутов может очевидно управляться пользовательскими системами, к примеру маршрутизация источника (функция в IP), либо производиться на промежных системах, к примеру на основании отметок секретности, записанных в пакеты на пользовательских системах. Этот механизм очевидно просит доверия к промежным системам, и потому наиболее уязвим, чем шифрование меж
конечными системами. Этот механизм быть может также применен для поддержки средства целостности с восстановлением, к примеру выбирая другие пути опосля
атак, повредивших пути взаимодействия.
Цифровая сигнатура
Механизмы цифровой сигнатуры обычно реализуются, используя асимметричную тайнописью, хотя был разработан ряд технологий, использующих симметричную тайнописью. Цифровая сигнатура генерируется источником данных, и проверяется приемником. Используя асимметричную тайнописью( с открытым ключом) можно сгенерировать сигнатуру, вычислив контрольную сумму для подходящих данных, а потом зашифровав приобретенное
При использовании шифрования с открытыми ключами генерация и проверка цифровой сигнатуры предполагает внедрение криптографических ключей, связанных с отправителем, но не с получателем. Потому, отправителю не необходимо знать, кто будет позже верифицировать его сигнатуру, что делает этот механизм в особенности комфортным для широковещательных приложений . Если употребляется корректная форма контрольной суммы(к примеру, при помощи кэширования), то этот механизм может обеспечить средство контроля участников взаимодействия. Он может также обеспечить реализацию
средства аутентификации и целостности, в каких необходимо инспектировать тождество сути при помощи особых данных, не узнаваемых заблаговременно.
Кроме перечисленных способов существует ещё много остальных, не рассматриваемых в данном курсовом проекте.
Исходные условия выбора системы криптографии.
Сначала, для выбора системы криптографии нужно будет обусловиться с масштабами сети и ограничивающими факторами. Внедрение определённых способов криптографии просит кроме больших производительных мощностей доборной аппаратной базы. Так что за изначальное условие примем факт, что сеть представляет из себя клиент-сервер архитектуру на базе топологии звезда с 8-и входовыми концентраторами и пропускной способностью канала 100 Мбит в секунду. В качестве проводного носителя будет употребляться витая пара группы CAT-5. Для устранения способности считывания инфы из кабеля со стороны, также исключением воздействия помех, будет употребляться экранированная STP витая пара. Это, непременно, прирастит стоимость сети, зато обеспечит нужную устойчивость к действию наружных причин на среду передачи данных. Все машинки сети размещены в границах 1-го этажа и потребностей в повторителях (репитерах) не возникает.
Для выполнения работы по криптографической защите данных будет употребляться программный комплекс, установленный на всех ПК сети, функционирующий в настоящем масштабе времени и позволяющий только некординально снижать производительность сети засчёт маленького лишнего кода функционирующего резидентно. Ключи на «отпирание» закрытой инфы находятся на любом ПК и доступ к ним есть лишь у юзеров, допущенных до работы на этих ПК .
Протоколы взаимодействия в сети допускают выход всей данной для нас сети в веб, но выход осуществляется только через модем, установленном на сервере и употребляется в масштабах сети только для передачи e-mail.
Для ублажения всем сиим требованиям в качестве системы криптографии был избран программный комплекс WinCrypt, пригодный в использовании как для Windows 9х так и для наиболее поздних версий в том числе и Windows 2000.
Схема 1. Общая организация использования программного
и аппаратного обеспечения в сети.
Для заслуги более высокопроизводительной работы в сети и обеспечения сохранения прав и паролей в сети употребляется операционная система Windows 2000.
В выполнении собственных многофункциональных задач WinCrypt употребляет ряд функций, которые будут описаны ниже. Любая из их даёт возможность провести определённую обработку данных для следующей их передачи в канал связи.
Описание программного продукта.
WinCrypt был разработан в МО ПНИЭИ на базе типовых ПЭВМ для разных масштабов использования.
WinCrypt обеспечивает:
— Шифрование и проверку целостности с внедрением имитовставки данных, передаваемых меж узлами сети;
— Одностороннюю аутентификацию узлов защищенной сети на базе
имитовставки;
— Управление главный системой защищенной сети из 1-го либо нескольких
центров управления.
WinCrypt дозволяет защищать не только лишь данные, передаваемые конкретно по протоколу IP, да и данные, передаваемые по протоколу IPX/SPX, с подготовительной инкапсуляцией их в протокол IP в согласовании с советами RFC-1234.
Хоть какой абонент защищенной сети, подсоединенный к криптографическому комплексу WinCrypt, может обмениваться данными с хоть каким остальным абонентом сети, при этом шифрование передаваемых данных для абонентов является прозрачным. Не считая того, применение WinCrypt дозволяет скрыть трафик меж абонентами защищенных локальных сетей. Это определяется тем, что обмен данными в сети происходит меж WinCrypt, имеющими собственные сетевые адреса, а адреса абонентов передаются по каналам связи лишь в зашифрованном виде.
Управление ключами, применяемыми в системе, производится из WinCrypt. При управлении главный системой выполняются:
— формирование и распространение по сети справочников соответствия, определяющих, какие конкретно абоненты ЛВС имеют доступ в виртуальную приватную сеть;
— повторяющаяся (плановая) смена ключей шифрования, применяемых в системе;
— оповещение (WinCrypt) о компрометации ключей;
— сбор и хранение инфы о всех нештатных событиях в сети, которые появляются при аутентификации узлов, передаче зашифрованной инфы, ограничении доступа абонентов ЛВС.
В комплексе WinCrypt употребляется симметричная главная система с внедрением парных ключей шифрования.
WinCrypt — высокопроизводительный (100 — 600 Мбит/сек) программно комплекс шифрования трафика IP для линий связи Ethernet, Frame Relay, X.25 и асинхронным линиям (может быть ATM). Так же реализован ряд доп способностей:
— защиту протокола SNMP;
— управление и конфигурация комплекса по протоколу SNMP из продукта HP OpenView;
— поддержка защищённых протоколов динамической маршрутизации;
— завышенная отказоустойчивость;
— предоставление ЦУКС услуг защищённого DNS (система наименования
доменов).
Существует ещё огромное количество остальных программных товаров, позволяющих воплотить криптографическую защиту данных, но программный комплекс WinCrypt владеет широким диапазоном функций, и потому главный задачей остаётся лишь избрать те, которые более много будут удовлетворять требованиям юзера либо (как в рассматриваемом случае) требованиям «золотой середины» – малые утраты производительных мощностей при очень высочайшем уровне защиты инфы.
Обоснование отказа от аппаратной составляющей.
Жёсткой необходимости отказа от аппаратного обеспечения криптографической защиты нет, но необходимости её применять нет по последующим причинам:
1. размеры сети не настолько пространны, так что больших вычислений, направленных на обработку функций криптографической защиты не будет, а как следует, нет необходимости устанавливать дорогостоящие комплексы, требующие кроме всего остального ещё и доп Издержки на их сервис и выводящее из строя засекреченную работу всей сети при поломке.
2. Производительные мощности сети разрешают применять программное обеспечение, направленное на криптографическую защиту инфы без существенных утрат производительных мощностей.
3. Введение новейшего устройства в сеть плохо воздействует на её работоспособность, что выразится в снижении её быстродействия, росту коллизий и повышение занимаемой площади, что в неких критериях неприемлимо.
4. И, пожалуй, самым крайним аргументом будет выступать тот, что такового рода комплексы разрабатывались для внедрения на производстве либо по последней мере в корпоративных сетях, но никак не в локальных сетях.
Обоснование выбора и настройка системы.
Для ответа на вопросец, какую же настройку предпочесть, следует учитывать некие данные, приведённые в таблице. Согласно выбора ряда критериев динамически меняется и сама структура ядра комплекса, позволяя найти характеристики сети.
№ п/п
Заглавие способа
Защищённость
Избыточность
1
Шифрование
Высочайшая
Низкая
2
Генерация трафика
Средняя
Наивысшая
3
Управление маршрутизацией
Средняя
Средняя
4
Цифровая сигнатура
Высочайшая
Средняя
5
Механизм управления доступом
Средняя
Высочайшая
6
Механизм целостности данных
Средняя
Высочайшая
7
Обмен аутентификацией
Высочайшая
Низкая
8
доказательство третьего лица
Низкая
Средняя
Эти два параметра всякого из способов не разрешают составить полной картины о способе, но на данном шаге дают возможность сформировать Мировоззрение о том, какими способностями владеет тот либо другой способ. Следует подразумевать, что эти способы разрабатывались в различное время и потому некие ужаснее, некие лучше. Но есть ещё ряд характеристик, позволяющих применять эти способы в разных ситуациях, но я сознательно выделил те характеристики, которые рассматриваются для данных критерий рассматриваемой сети.
Остальные свойства способов в поставленных критериях нас заинтересовывать не будут.
сейчас главный задачей остаётся выбор способа, на который следует настроить комплекс. Более хорошим сочетанием свойства владеют шифрование и обмен аутентификацией. порядок работы шифрования рассматривался ранее, а вот обмен аутентификацией будет рассмотрен ниже:
Аутентификация источника данных нередко реализуется при помощи использования устройств целостности, в сочетании с технологиями управления криптографическими ключами. Для приложений с групповой передачей цифровые сигнатуры могут обеспечить те же самые способности. Аутентификация юзеров обычно реализуется при помощи паролей, но аутентификация настоящих юзеров выходит за рамки справочной модели, потому что люди-пользователи не попросту процессы на прикладном уровне. Тем не наименее, пароли также могут быть применены для обоюдной аутентификации действий, хотя их внедрение достаточно проблематично в среде открытых систем.
Аутентификация взаимодействующих сущностей реализуется при помощи процедуры двойного либо тройного квитирования установления связи, аналогичной механизмам синхронизации поочередных номеров, применяемым в неких протоколах. Одиночное квитирование обеспечивает лишь одностороннюю аутентификацию, и не может отдать гарантий без синхронизации часов. Двойное квитирование может обеспечить
обоюдную аутентификацию, но без обоюдной убежденности в синхронизации часов. Тройное квитирование обеспечивает обоюдную аутентификацию взаимодействующих действий, при которой нет необходимости синхронизировать часы. И тут, опять, аутентификация обычно полагается на механизмы
управления криптографическими ключами при ассоциировании аутентифицируемой сути с ключом. Базисная аутентификация справочника в Х.500( Х.509) дает нам примеры одиночного, двойного и тройного квитирования при аутентификации с внедрением технологий управления асимметричными ключами, хотя определенные протоколы, описанные в этом эталоне содержат несколько маленьких ошибок. Не считая того, одиночное и двойное квитирование включает передачу временных меток, и вытекающая из этого зависимость от синхронизации часов потенциально является неувязкой в среде распределенных систем.
Из всего этого видно, что Потребность аж в тройном квитировании не сумеет не сказать негативно на работоспособности системы. Это, непременно, даёт высшую защиту, но такие манипуляции с данными могут загрузить даже 100 Мегабитную сеть и привести к неизменным коллизиям в среде передачи данных, что совершенно не удовлетворяет нашим требованиям, в то время как шифрование просто изменяет до неузнаваемости начальные данные по псевдослучайному закону и передаёт их по сети как обыденные пакеты инфы без любых квитанций. Это, непременно, увеличивает работоспособность сети, хотя есть и утраты в фильтре доступа к передаваемой инфы. Но этот минус возмещается необходимостью ключа на дешифрование у лица-получателя инфы.
Таковым образом, в качестве главный модели криптографической защиты данных будет употребляться шифрование данных в рамках WinCrypt.
Разглядим схему взаимодействия данных:
Математический аппарат работоспособности способа.
Шифрование делается по установленному методу, ключ которого может изменяться в согласовании с пожеланием юзеров, но важным параметром шифрования является время на дешифрацию Tдеш
, которое пригодилось бы вычислительной машине на обработку всех вариантов представления инфы. Оно определяется сначала производительно мощностью самой машинки по характеристике количества производимых за секунду операций и от длины ключа. Разглядим самый просто вариант:
Пусть длина ключа составляет 10 численных символов, а быстродействие вычислительной машинки 2*109
операций за секунду, тогда весь ключ будет перебран (с учётом того, что не будет выполняться оценка текста на смысловое содержание) за 1010
операций что составит всего только 5 секунд, зато если при таковых же критериях заместо численных символов будут употребляться латинский алфавит состоящий из больших и строчных букв, также числа (как оно обычно и употребляется) и ключ составит 20 знаков. Тогда в знаках ключа вместится 6620
вариантов дешифрования и обработка данной для нас композиции займёт 1229840286012501806063793353 секунды что составит 2339878778562598565570 лет из чего же можно прийти к выводу, что без ключа браться за расшифрование шифрограммы глупо.
Таковой обычной подсчёт дозволяет утверждать о высочайшей надёжности рассматриваемого способа. График наглядно показывает это (повышение длины ключа L влияет на увеличение стойкости кода P):
Заключение.
В данном курсовом проекте были рассмотрены несколько вариантов криптографической защиты локальной сети в настоящем масштабе времени, но как показал наиболее детализированный подход, не они все подступали по тем либо другим характеристикам.
Таковым образом, был избран конечным способ шифрования данных. Его устойчивость к «вскрытию» был подтверждён на определенном примере. Данный вариант был рассмотрен лишь для определенных критерий со обилием ограничений, но это совершенно не означает, что внедрение остальных способов неэффективно – всё зависит от определенных критерий.
Вцелом, внедрение криптографических систем в локальных вычислительных сетях требуется лишь в критериях необходимости защиты данных, а внедрение их без таковой потребности только прирастит избыточность кодов передаваемых пакетов данных и уменьшит тем производительность сети.
Применяемая литература:
1. «Криптографическая защита» – особый справочник, Москва, ОЛМО ПРЕСС 2001 год.
2. «Защита инфы в сетях ЭВМ » – А. Злой, Москва 1999 год.
3. Internet – ресурсы.
]]>