Hálózati és kommunikációs rendszer on-line
Ross M. Greenberg
P riobretya némi tapasztalata programozási rendszereket használ Kerberos hitelesítési technológia és megérteni, hogyan történik a cég a Microsoft, Azt is megtanultam néhány fontos dolgot a felület SSPI (Security Support Provider Interface). A vágy, hogy foglalkozni vele alaposan okát nem a jelenléte egy potenciális „laza”, és másrészt, megnyitja távlatokat fejlesztése a biztonsági rendszereket. Kiderült, hogy ez sokkal több lehetőség, mint azt gondolta volna. És végül, hála ez a felület behatolási kísérlet behatolók a hálózat nem fog zavarni. Ez lehet.
Első pillantásra úgy tűnik, hogy a fejlesztés a SSPI voltak „zárt” minden ismert „lyukak”, ugyanakkor új funkciókat és programok a meglévő csomag nagyon könnyű.
Alkalmazás SSPI alkatrészek engedélyezni kell a digitális aláírások ellenőrzése az összes modul CSP (kriptográfiai szolgáltató), mielőtt a rendszer betölti őket. Microsoft aláírta ezeket a modulokat privát kulccsal PKI kulcspárt bizonyítása érdekében, hogy az Amerikai Egyesült Államok export törvényeket. SSPI támogatja a különböző modulok CSP, beleértve a szállítási réteg protokollok, mint például a Microsoft Message Queue (MSMQ). Engedélyezze MSMQ protokoll garantálja automatikusan a szállítás biztonságos hiteles kommunikációt bizonytalan és megbízhatatlan média, mint például az internet. Kiváló!
Bizonyítványok Handle Visszaküldött paraméter képviseli a felhasználói környezetben (izolált tartalmazó adatszerkezet munkamenet kulcsokat és egyéb kapcsolódó információkat, hogy egy adott vegyület), amely azonosítja a felhasználó és a megfelelő, tekintettel a helyi és a távoli rendszerek, valamint a felhasználók számára. Context is meghatározza, így fontos kifejezések, mint „impersonalizatsiya” és a „felhatalmazás”. Impersonalizatsiya - az a képesség, hogy egy hitelesített felhasználó dolgozni a programokat más nevében elsősorban a helyi gépen. Delegálása - összefüggésben adatokat, beleértve a hitelesítés, a távoli gép a szolgáltatásokhoz való hozzáférést számukra elérhető.
Jellemzően hitelesítés küldöttség végezzük, amikor a kliens gépen a szervert a felhasználó nevében, azaz a. E. Impersonaliziruet meg a rendszerben. Ha a kiszolgálónak hozzáférni egy másik szerverre, hogy a tranzakció lezárásához, ő is, viszont használhatja impersonalizatsiey. Ez a mechanizmus lehetővé teszi, hogy nevében a hitelesített felhasználó. Felhatalmazó lehetővé teszi, hogy következetes impersonalizatsiyu hitelesített felhasználó helyi rendszerrel kapcsolatos egyéb távoli szervereken.
A koncepció a látens impersonalizatsii lehetővé teszi, hogy nevében eljárjon egy másik felhasználó, mintha valóban őket. Nem voltam olyan lehetőséget, hogy megtudja, hogy az ilyen felhasználó delegálni hitelesítési adatokat, mert a fejem még mindig megy körbe, amit próbálok megérteni, hogy van ez összhangban van a ACL (Access Control List) és az Active Directory Service .
Hozzárendelése előtt egy mutatót vagy hivatkozás keretében vagy SSPI embléma hitelesített felhasználó ellenőrizni kell forrásokat védelmi rendszer, azaz egy listát rezidens biztonsági csomagok. Ez úgy történik, hogy egyetlen hívást EnumerateSecurityPackages funkció, amely válaszként ad hívó információt a rezidens csomagokat a rendszerben. Ezután a listáról, amely egyfajta SecPkgInfo array adat kiválasztja a legmegfelelőbb csomagot. Az egyik legfontosabb része ennek a szerkezetnek információt tartalmaz arról, hogy érvényesítse a csomag támogatást nyújt a integritását és bizalmas közlések. Azt hiszem, hogy a támogatás hitelesítési és titkosítási nagyon fontos minden érdemleges biztonságot.