Корпоративные информационные системы

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

Введение

1. Системы счисления и операции, применяемые в IP сетях

2. Аутентификация, авторизация и учет

3.Маршрутизация в IP сетях

4. Обслуживания очередей в маршрутизаторе

5. Технология коммутации по меткам

6. Метод защиты информации в IP сетях

7.Список используемых источников

ВВЕДЕНИЕ

Корпоративная сеть - есть построенная с использованием различных топологий и объединяющая разрозненные офисы в единую сетевую систему. Часто, корпоративные сети в качестве канала передачи данных используют интернет, несмотря на это, доступ из вне к сети предприятия запрещён или строго ограничен как на физическом уровне так и на административном.

Благодаря своей логической структуре сеть позволяет организовать одновременную работу сотрудников разных подразделений с распределенными или централизованными территориально приложениями, базами данных и другими сервисами (обработка, систематизация и хранение данных внутрикорпоративной информации).

Корпоративная сеть логически отделена от публичных сетей, то есть ваш трафик полностью защищен от несанкционированного доступа (прослушивания) извне.

1.СИСТЕМЫ СЧИСЛЕНИЯ И ОПЕРАЦИИ, ПРИМЕНЯЕМЫЕ В IP - СЕТЯХ

Система счисления состоит из символов и правил их применения. Вес каждого символа зависит от его позиции в изображенном числе. Счёт позиции ведется справа налево, самый правый символ имеет наименьший вес, самый левый наибольший.

Наиболее распространенной является десятичная система счисления. Она использует десять символов - 0..9. Вес первого (самого правого) символа числа умножается на 10^0,следущего на 10^1 и т.д.

Пример: десятичное число 3567 в двоичном коде

1*2^11+1*2^10+0*2^9+1^*8+1*2^7+1*2^6+1*2^5+0*2^4+1*2^З+1*2^2+1*2^1+1*2^0=110111101111=2048+1024+256+128+64+32+8+4+2+1=3567.

В цифровых вычислительных устройствах применяется двоичная система счисления. Она использует два символа 0 и 1. Вес первого символа числа умножается на 2^0, следующего на 2^1 и т.д.

При описание протоколов IP-сетей для сокращения записи вместо двоичного кода используют шестнадцатеричную систему счисления. Она использует шестнадцать символов - 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F. Соответствие между значениями символов в десятичной, двоичной и шестнадцатеричной системе счисления приведено в табл.1.

Вес первого символа числа умножается на 16^0 следующего на 16^1 и т.д.

Для коммуникации в IP-сетях используется IP-адрес, состоит из 32 двоичных символов (битов). Для удобства работы это двоичное число разбивают на 4 группы по 8 битов, каждую группу представляют в десятичном коде и отделяют одну группу от другой точки.

Такой способ представление IP-адрес называется десятично-точечным представлением.

Табл.1 Система счисления

Десятичный	Двоичный	Шестнадцатеричн
Код	код	ый код
0	0000	0
1	0001	1
2	0010	2
3	0011	3
4	0100	4
5	0101	5
6	0110	6
7	0111	7
8	1000	8
9	1001	9
10	1010	А
11	1011	В
12	1100	С
13	1101	D
14	1110	Е

Задание №1

В виде табл.2 представить IP - адрес Y1,Y2,Y3,Y4.

Табл.2 Представление IP-адреса в различных системах счисления

Десятичное представление IP -адреса	19	91	96	97
IP-адрес в двоичном коде	00010011	01011011	01100000	01100001
IP - адрес в шестнадцатеричном коде	13	5B	60	61

Задание 2

Для шифрования информации в IP-сетях часто применяют операцию вычисления числа М по модулю п, которое записывается в виде W = mod n М и находится как остаток от деления М/n.

Найти mod Yl Y2Y3Y4.

M=19919697 n=19

1) Находим частное от деление Wl= М/n=19919697=1048405.1

2) Находим целую часть частного W2= INT(Wl)=1048405

3) Находим произведение W3= n*W2=19*1048405=19919695

4) Находим искомое W=w= mod19 83384331 = M-W3=19919691-19919695=2.

Задание 3

При вычислении маршрута в IP-сетях используют логическую операцию "И" поразрядного сложения чисел.

Найти результат сложения чисел Y1 и Y2, используя операцию логического сложения "И"

Yl=00010011

Y2=01011011

00010011--> 19

2. АУТЕНТИФИКАЦИЯ, АВТОРИЗАЦИЯ И УЧЁТ

Типовая структура корпоративной сети :

· Вспомогательный (Proxy) сервер, основными функциями которого является коммутация трафика между интерфейса Int-1, Int-2 и Int-3 в соответствие со списками доступа администратора.

· Хосты локального и удаленного пользователя.

· Серверы

DHCP для конфигурирования хостов;

AAA для аутентификации, авторизации и учёта;

e-mail для обработки почтовых сообщений;

DB1 и DB2 для хранения документаций группового использования.

В корпоративной сети последовательно осуществляется три административные процедуры: аутентификация, авторизация и учёт.

Аутентификация - установление легитимности абонента посредством запроса его имени и пароля. При попытке подключения пользователя к корпоративной сети proxy - сервер запрашивает его имя и пароля. Полученный ответ в списке доступа вида: имя пользователя (Name или User ID) - пароль (Password), которая внесена администратором сети и хранения на AAA-сервере. Аутентификация может осуществляться при помощи двух протоколов - Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP), являющимся составными частями протокола PPP.

В протокол PAP имя пользователя и пароль передаются в одном сообщении и в открытом виде. Они могут быть легко перехвачены злоумышленником, поэтому протокол PAP используется только для аутентификации удаленных пользователей.

При использовании протокола CHAP proxy-сервер посылает удаленному хосту пользователя некоторое случайное число V, а хост возвращает другое число W, вычисленное по заранее известной функции с использование имени и пароля. Иначе говоря, W=f(V, Name, Password). Предполагается, что злоумышленник в состоянии перехватить пересылаемое по сети значения V, Name и W, и ему известен алгоритм вычисления функции f. Существо формирования W состоит в том, что исходные элементы (биты) случайного числа V различным образом перемешиваются с неизвестными элементами пароля. Полученный текст подвергается сжатию. Такое преобразование называется дайджест функцией или хэш-функцией, а результат - дайджестом.

Proxy-сервер запрашивает у AAA-сервера истинное значение W, пересылая ему значения Name и Challenge=V. Сервер ААА вычисляет W и возвращает его Proxy-серверу. Proxy-сервер сравнивает 2 значения W, полученные от хоста и от ААА-сервера, если они совпадают, то хосту высылается сообщение об успешной аутентификации. После это Proxy-сервер на основании списка управления доступом производит авторизацию, т.е. определяет к каким серверам группового пользования может обращаться пользователь, а эти сервера, в свою очередь, определяют, какие операции он может осуществлять

Рис.1.Процедура аутентификации пользователя

Задание 4

сеть маршрутизация коммутация информация

В виде рис.1 представить процедуру аутентификации при следующих исходных данных:

Имя пользователя(Name)-Lavrentyev

Пароль(Password)-1991(Y1Y2)

Случайное число(V=Challenge)-9697(Y3Y4)

Name =Lavrentyev = 0x4c617672656e74796576

Password = 1991 =0x31393931

V = 9697=0x25e1

Перемешиваем байты пароля и случайного числа.

F=0x32153е91393116 = 5506682540676910

W= F=mod0x313939310x55066825406769=18190840

3. Маршрутизация в IР-сетях

В версии IPv4 имеется пять классов адресов, приведенных в табл. 4. где жирным шрифтом выделена старшая часть IP-адреса, указывающая номер сети.

Табл. 4

Класс	Первые биты IР-адреса	Наименьший номер сети	Наибольший номер сети	Максимальное число сетей	Максимальное число узлов в каждой сети
А	0	0.0.0.0	127.0.0.0	-2	-2
В	10	128.0.0.0	191.255.0.0	-2	-2
С	110	192.0.0.0	223.255.255.0	-2	-2
D	1110	224.0.0.0	255.255.255.255		Групповые адреса
Е	1111	240.0.0.0	255.255.255.255		Эксперимент.+ Резерв

Большие сети используют адреса класса А, средние - класса В, маленькие - класса С.

В IPv4 существуют определенные соглашения об использовании адресов.

1.Сеть с номером 0.0.0.0 зарезервирована для использования в служебных сообщениях, а сеть с номером 127.0.0.0 используется для петлевого соединения (пересылки пакетов самим себе), поэтому общее количество сетей класса А равно 126.

2.Маршрутизация пакета в публичной сети всегда производится на основании классического IP-адреса номера сети, согласно табл. 1.1, поэтому адрес сети не может быть назначен ни одному узлу.

3.Адрес узла со всеми двоичными “1” предназначен для адресации всем узлам соответствующей сети (широковещательная рассылка), поэтому этот адрес не может быть назначен ни одному узлу. Совместно с пунктом 2 это означает, что число узлов в любой сети уменьшается на 2.

4.В каждом классе имеется диапазон сетевых адресов для частного использования, которые в публичных сетях отсутствуют. Они используются для построения локальных корпоративных сетей. В классе А - это сеть 10.0.0.0, в классе В - диапазоны сетей от 172.16.0.0 до 172.31.0.0, в классе С - диапазон сетей от 192.168.0.0 до 192.168.255.255.

5.Основное назначение адресов класса D - распространение информации по схеме "один-ко-многим” для групповой рассылки в Интернет аудио- и видеоинформации. Хост, который хочет осуществить рассылку, с помощью протокола группового обслуживания Интернет (Internet Group Management Protocol - IGMP) сообщает о создании в сети мультивещательной группы с определенным адресом. Устройства, которые хотят присоединиться к создаваемой группе, высылают свое подтверждение. Одно и то же устройство может входить в несколько групп, в одну и ту же группу могут входить устройства различных сетей.

6.Адреса класса Е зарезервированы для будущих применений.

Маршрутизация пакета в публичной сети всегда производится на основании классического IP-адреса номера сети, согласно табл. 1.1. Номер сети принято обозначать с помощью маски, количество лидирующих ''единиц' в маске показывает число старших разрядов, которые определяют номер сети. Запись маски производится в формате IP-адреса. Таким образом, для сети класса А стандартная маска имеет вид 255.0.0.0 (в двоичном коде 11111111.00000000.00000000.00000000), для сети класса В - 255.255.0.0 (11111111.11111111.00000000.00000000), для сети класса С - 255.255.255.0 (11111111.11111111.11111111.0000000).

Наличие только четырех классов адресов часто бывает неудобно. Например, администратору необходимо создать сеть из 8000 узлов. Сеть класса С (254 узла) слишком мала, а сеть класса В (65534) слишком велика. Эта проблема решается с помощью создания подсетей, путем переназначения части битов узла в качестве битов сети. Процесс заимствования части битов всегда начинается с крайнего левого бита.

Задание 5

1)Имеется сеть 131.40.0.0. Администратор разбил ее на 6 подсетей по 8100 узлов в каждой.

Номер сети	Число узлов в подсети
10000111 00100110 00000000 00000000 131. 40. 0. 0	8100
10000111 00100110 00100000 00000000 131. 40. 32. 0	8100
10000111 00100110 01000000 00000000 131. 40. 64. 0	8100
10000111 00100110 01100000 00000000 131. 40. 96. 0	8100
10000111 00100110 10000000 00000000 131. 40. 128. 0	8100
10000111 00100110 10100000 00000000 131. 40. 160. 0	8100
10000111 00100110 11000000 00000000 131. 40. 192. 0	8100
10000111 00100110 11100000 00000000 131. 40. 224. 0	8100

2) Составить таблицу маршрутов маршрутизатора R для обслуживания всех подсетей.

Пункт назначения (Destination)	Маска сети (Subnet Mask)	Пункт пересылки (Next Hop)	Интерфейс (Interface)	Метрика (Metric)
131.40.32.0	255.255.224.0	0.0.0.0	s1	1
131.40. 64 0	255.255.224.0	0.0.0.0	s2	20
131.40.96.0	255.255.224.0	0.0.0.0	s3	15
131.40.128.0	255.255.224.0	0.0.0.0	s4	10
131.40.160.0	255.255.224.0	0.0.0.0	s5	4
131.40.192.0	255.255.224.0	0.0.0.0	s6	8
Default	0	0.0.0.0	s7	18

3. Определить на какие интерфейсы будут направлены пакеты с IP-адресами назначения 131.40.Y1.Y2, 131.40.Y2.Y3, 131.40.Y3. Y4.

Для первого пакета

IP=131.40.19.91 10000011. 00101000. 00010011. 01011011

Mask=255.255.224.0 11111111. 11111111. 11100000. 00000000

------------------------------------------------------

Destination = 10000011. 00101000. 00000000. 00000000 131. 40.0.0.

Такой записи в таблице маршрутизации нет, пакет уничтожается.

Для второго пакета

IP=131.40.91.96 10000011. 00101000. 01011011. 01100000

Mask=255.255.224.0 11111111. 11111111. 11100000. 00000000

------------------------------------------------------

Destination = 10000011. 00101000. 0100000. 00000000 131. 40.64.0

Пакет будет направлен на интерфейс s2.

Для третьего пакета

IP=131.40.96.97 10000011. 00101000. 01100000. 01100001

Mask=255.255.224.0 11111111. 11111111. 11100000. 00000000

------------------------------------------------------

Destination = 10000011. 00101000. 01100000. 00000000 2 131. 40.96.0.

Пакет будет направлен на интерфейс s3

4. Обслуживание очередей в маршрутизаторе

Сеть с коммутацией пакетов Интернет предназначена для обслуживания различных типов услуг (видео, речь, данные). Для реализации каждой услуги необходимо выделить определенный сетевой ресурс - производительность управляющих устройств, полосу передачи канала связи и т.д. Для понимания возникновения дефицита канальных ресурсов рассмотрим типовую схему обслуживания услуг маршрутизаторов (рис. 1).

сеть маршрутизация коммутация информация

Рис. 1. Схема обслуживания вызовов маршрутизатором

Каждая услуга характеризуется своей полосой передачи bw (Band Width) и длиной пакета LEN. Услуга порождает поток пакетов (вызовов). На каждый из n входов (интерфейсов) сетевого маршрутизатора поступает множество пакетов, принадлежащим разным услугам. Каждый пакет может потребовать соединения с одним или несколькими из М выходов (интерфейсов) маршрутизатора. Если в момент поступления пакета имеется свободный требуемый выход, то пакет обслуживается немедленно, в противном случае он обслуживается в порядке очереди. Дефицит канальных ресурсов возникает в моменты времени, когда несколько одновременно поступивших пакетов требуют соединения с одним и тем же выходом маршрутизатора, имеющего конечную скорость передачи VEL.

Традиционно в Интернет существует единственный способ распределения ресурсов - “с наибольшими усилиями” (Best Effort), заключающийся в принципе “первый пришел - первый обслужен” (First In - First Out, FIFO). Такой алгоритм обслуживания хорошо работает, если приложения терпимы к задержкам пакетов из-за образования очередей или в случае, если сетевые

ресурсы намного превышают потребности поступающих вызовов. Например, если имеются высокопроизводительное управляющее устройство и сверхскоростные каналы связи, то аппаратная задержка и время занятия канала связи для передачи пакета ничтожно и очереди в маршрутизаторе не возникают. Такая ситуация показана на рис. 2а, когда на один выход (Вых) поступают пакеты от трех входов (Вх.1, Вх.2, Вх.З). Однако, запросы реально поступающих вызовов сопоставимы с возможностями канальных ресурсов, а иногда значительно их превышают. На рис. 26 показана та же ситуация при использовании каналов связи с малой скоростью.

Видно, что использование низкоскоростных каналов приводит к значительному джиттеру всех потоков, что совершенно неприемлемо для таких приложений, как передача речи. Следовательно, проблема состоит в том, чтобы создать такой порядок обслуживания потоков, чтобы приложения, чувствительные к задержкам, имели большую пропускную способность за счет снижения пропускной способности других приложений, терпимых к задержкам. Это достигается введением специальных механизмов: дозирования и выравнивания трафика; предотвращения перегрузки сети; обслуживания очередей на основе приоритетов.



Рис. 2. Диаграмма обслуживания пакетов алгоритмом FIFO на а) высокоскоростных и б)низкоскоростных каналах

Для обнаружения перегрузки на интерфейсе маршрутизатору необходимо иметь численные значения среднего размера очереди Bmid и вероятности отбрасывания пакета prob.

Средний размер очереди вычисляется по формуле

Bmid=(1-)+*

Где -измеренный предыдущий размер очереди, Вп - измеренный текущий размер очереди, п - весовой коэффициент, определяемый администратором. Большое значение n приводит к доминированию предыдущего среднего значения очереди, малое - к доминированию текущего размера очереди. Эмпирически найдено наиболее приемлемое значение п=9.

Вероятность отбрасывания пакета вычисляется по формуле

Prob=

где Bmid - вычисленный выше средний размер очереди, Втах - конфигурируемое администратором значение длины очереди буфера, с которого начинает действовать алгоритм RED. В - конфигурируемое администратором максимальное значение очереди.

При малом значении очереди (Bmid> Bmax) отбрасывание пакетов не происходит, при превышении средней длины очереди допустимого значения (Bmax< Bmid<B) вероятность отбрасывания пакетов линейно возрастает, а при достижении очереди своего максимального значения (Bmid=B) отбрасываются все вновь поступившие пакеты.

Задание 6

Измеренный предыдущий размер очереди Bn-1 = Y3, измеренный текущий размер очереди Bn=Y4, конфигурируемое администратором значение Bmax = Y2+10, B =Y2+50. Найти вероятность отбрасывания пакета из очереди prob.

Bn-1 = 96;

Bn = 97;

Bmax = Y2+10=91+10=101;

B =Y2+50=91+50=141;

Bmin= Bn-1(1-2-n)+ Bn*2-n=96*(1-2-9) +97*2-9=96,001;

prod= Bmin- Bmax /B- Bmax=96,001-101/141-101=-0,124

Отбрасывание пакетов не происходит.

Классификатор пакетов (Packet Classifier) выполняет две функции: распознавание пакета и его маркировку (присвоение пакету определенного приоритета или класса). Он устанавливается в каждом пограничном маршрутизаторе. Функция распознавания зависит от пяти параметров - IP-адреса источника, IР-адреса назначения, порта источника, порта назначения, поля протокола IP-пакета (ICMP, TСР, UDP) В зависимости от принятого механизма обеспечения качества обслуживания пакет маркируется путем установки поля IP-приоритета (биты 0-2 в поле TOS заголовка IР-пакета);

установки кода дифференцированной услуги (Differentiated Services Code Point, DSCP) взамен поля TOS в заголовке пакета;

внесения внутренней записи о принадлежности пакета к QoS-группе.

Планировщик очередей (Packet Scheduler) может использовать один из ниже перечисленных механизмов обслуживания очереди: взвешенного справедливого обслуживания потока (Weighted Fair Queuing, WFQ), взвешенного справедливого обслуживания классов (Class-Based Weighted Fair Queuing, CBWFQ), относительного приоритета (Priority Queue, PQ).

Задание 7

Для класса А выделено Y1% полосы, а оставшаяся полоса - для класса В. Максимальная длина пакета 512 байт. Сколько байт будет считано из очереди за один цикл для каждого класса?

Решение

A=19%

B=81%

q1=19%/81%*512=120,1байт.

q2=81%/81%*512=512 байт.

5. ТЕХНОЛОГИЯ КОММУТАЦИЯ ПО МЕТКАМ

В традиционной IP-сети пакет, поступивший с некоторого интерфейса, поступает в модуль IP, который анализирует заголовок пакета и перемещает его на другой интерфейс в соответствии со своей таблицей маршрутов. Таблица маршрутов обычно заполняется автоматически с помощью протоколов маршрутизации (OSPF, RIP). Администратор сети имеет ограниченные возможности изменения таблицы маршрутов и не в состоянии оперативно повлиять на ситуацию в случае перегрузки какого-либо участка сети. Кроме того, просмотр всей таблицы для выбора оптимального маршрута часто приводит к значительной аппаратной задержке, снижающей производительность маршрутизатора. Поэтому желательно

иметь возможность маршрутизировать пакеты, как на основе IP-адреса назначения, так и произвольным образом;

иметь упрощенную таблицу маршрутов установления соединений и перенести функции коммутации на более низкий уровень, освободив от этой работы IP-модуль.

Все эти возможности предоставляет технология многопротокольной коммутация по меткам (Multiprotocol Label Switching, MPLS), которая скорее является механизмом управления трафиком, чем механизмом обеспечения качества обслуживания. Технология MPLS используется маршрутизаторами внутри автономной сети, которую принято называть MPLS-сетью или MPLS-доменом. MPLS-маршрутизатор содержит две компоненты: распределитель меток и коммутатор меток.

Распределитель меток осуществляет распространение и привязку метки к интерфейсу, на который следует направлять пакеты, имеющих некое общее свойство (Forwarding Equivalence Class, FEC), например, префикс IP-сети. Основным протоколом распространения меток и их привязки к IP-адресам является протокол распространения меток (Label Distribution Protocol, LDP), использующий порт 646 протоколов UDP и TCP. Он ответственен за уникальность значений назначаемых меток и поддержание надежности функционирования. Последнее достигается периодическим обменом сообщениями Hello между сопряженными маршрутизаторами. Коммутатор меток осуществляет продвижение пакетов на основе замены меток, используя информационную базу меток (Label Information Base, LIB).

Существует несколько способов привязки меток. Ниже приведен способ нисходящего упорядоченного управления.

В режиме нисходящего упорядоченного управления инициатором распространения меток являются пограничные маршрутизаторы (Label Edge Router, LER). Распространение меток производится в направлении, противоположном движению потока. Каждый маршрутизатор имеет свой пул меток. Например, LER2 через интерфейс 2 имеет доступ к IP-сетям А и В. Через интерфейс 1 он распространяет эту информацию о сетях ближайшим соседям - внутреннему маршрутизатору (Label Switching Router, LSR) LSR3. Признаком непосредственного подключения к LER2 указанных IP-сетей, является отсутствие в его сообщении метки (NULL)

Задание 8

Маршрутизаторы имеют следующие пулы меток: LER1 - от 1 до 83, LSR1 - от (83+1)=84 до (83+9)=92, LSR2 - от (83+10)=93 до (83+19)=102, LSR3 - от (83+20)=103 до (83+29)=112, LSR4 - от (83+30)=113 до (83+39)=122, LER3 - от (83+40)=123 до (83+49)=132 . Значения метрик соответствуют меткам. Составить информационную базу меток (Label Information Base, LIB) для каждого маршрутизатора для сетей А и В.

Информационная база меток для LER1

ВХОД	ДЕЙСТВИЕ	ВЫХОД
Интерфейс	IP-адрес	Метка		Метка	Метрика	Интерфейс
1	A		PUSH	1	1	2
1	B		PUSH	1	1	2
1	A		PUSH	19	19	3
1	B		PUSH	19	19	3

Здесь имеется в виду, путь через интерфейс 2 имеет лучшую метрику, чем через интерфейс 3.

Информационная база меток для LSR2

ВХОД	ДЕЙСТВИЕ	ВЫХОД
Интерфейс	IP-адрес	Метка		Метка	Метрика	Интерфейс
1		1	SWAP	29	29	2
3		20	SWAP	29	29	2

При поступление пакета на интерфейс 1 имеющий метрику1, следует заменить на 29 и отправить на интерфейс 2. При интерфейсе 3 имеющий метрику 20следует заменить на 29 и отправить на интерфейс 2.

Информационная база меток для LSR3

ВХОД	ДЕЙСТВИЕ	ВЫХОД
Интерфейс	IP-адрес	Метка		Метка	Метрика	Интерфейс
1		29	POP		3	2
3		49	POP		3	2

При поступление на интерфейс 1имеет метку 29 её следует удалить и отправить на интерфейс 2. При поступлении на интерфейс 3 имеет метку 49 её следует удалить и отправить на интерфейс 3.

Информационная база меток для LSR4

ВХОД	ДЕЙСТВИЕ	ВЫХОД
Интерфейс	IP-адрес	Метка		Метка	Метрика	Интерфейс
2		59	SWAP	49	3	1

При поступление на интерфейс 2 имеет метку 59 следует её заменить на метку 49 и отправить на интерфейс 1.

6. МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В IP-СЕТЯХ

Для предотвращения чтения и подмены перехваченных сообщений легальные пользователи используют шифрование. Шифрование состоит в том, что элементы исходного текста сообщения P различным образом “перемешиваются” с неизвестным злоумышленнику псевдослучайным текстом, называемым ключом K1 и в виде зашифрованного текста C=EK1(P) передаются в канал связи. Легальный пользователь, применяя к принятому сообщению C процедуру дешифрирования D ключом K2, получает исходный текст DK2(C)= DK2(EK1(P))=P. В приведенных записях E и D - некие математические функции, а К1 необязательно равно К2. Значение ключа известно только легальным пользователям. Для повышения криптостойкости системы значения ключей периодически (например, раз в месяц) меняются. Существует несколько способов защиты информации.

Несимметричный алгоритм шифрования с открытыми ключами основан на алгоритме Диффи-Хеллмана (W.Diffie, M.Hellman) и предполагает наличие у легального пользователя пары ключей таких, что текст, зашифрованный одним ключом, может быть расшифрован только с помощью второго ключа. Один из ключей K1=e является открытым, его легальный пользователь раздает всем, от кого он хочет получать зашифрованную информацию. Другой ключ K2=d - закрытый, его пользователь хранит в защищенном месте. Наиболее известная реализация алгоритма, именуемая RSA, названа в честь его авторов R.Rivest, A.Shamir, L.Adleman и реализуется следующим образом.

1) Выбирается два простых числа, например, p = 7, q = 11.

2) Вычисляется произведение n = p*q = 7*11 = 77.

3) Вычисляется произведение m = (p-1)*(q-1) = 6*10 = 60.

4) Выбирается открытый ключ е = 13, как случайное число, не имеющее общих сомножителей с m = 60.

5) Вычисляется закрытый ключ, как число обратное значению открытого ключа по модулю m, т.е. такое, что mod m e*d = 1, откуда d = 37.

6) Производится рассылка открытого ключа (n=77, e=13) легальным пользователям. Закрытый ключ (n=77, d=37) хранится в секрете.

Односторонний алгоритм шифрования применяется для проверки целостности данных. Существо преобразования состоит в том, биты исходного текста P произвольной длины перемешиваются и сжимаются по определенному известному алгоритму. Такое преобразование называется дайджест-функцией (digest function) или хэш-функцией, а результат - дайджестом H(P). Полученный дайджест намного короче исходного текста и по нему невозможно восстановить исходный текст. Вероятность неопознанной подмены текста зависит от длины дайджеста А и вычисляется как 2-А. Существуют два наиболее распространенных алгоритма вычисления дайджеста: MD5 (Message Digest 5) и SHA-1 (Secure Hash Algorithm 1). Первый из них формирует дайджест длиной 128 разрядов, второй - 160 разрядов. Затем полученный дайджест шифруется с помощью секретного (или закрытого) ключа K, образуя цифровую подпись K(H(P)). Исходный открытый текст вместе с цифровой подписью передается в канал связи. Легальный получатель с использованием такого же секретного (или открытого ключа) дешифрирует цифровую подпись, получая исходный дайджест, а затем заново вычисляет дайджест из принятого открытого текста. Если вычисленный дайджест совпадает с исходным, принятым из канала связи, то принятый текст не был подвергнут никаким изменениям, что дает получателю уверенность в целостности принятых данных.

Задание 9

Написать процедуру передачи текста F=Y1Y2Y3Y4, заверенного цифровой подписью, используя индивидуальные данные Y1, Y2, Y3, Y4 и параметры открытого (n=33, е=7) и закрытого (n=33, d=3) ключей.

Решение:

Берем исходный текст (число) M = F = Y1 Y2 Y3 Y4 =19919697.

Вычисляем дайджест А = mod s M = mod 23 19919697 = 18.

Формируем цифровую подпись.B = mod n Ad = mod 33 183 = 24.

Проверяет подлинность текста с помощью открытого ключа

mod n Be = mod 33 247= 18= A.

Совпадение подтверждено и вычисленный дайджест А=18 с дайджестом, принятым из канала связи удостоверяет подлинность принятого текста F=19919697.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы

Бройдо В.П. вычислительные системы, сети и телекоммуникации.

3.Кожанов Ю.Ф., Колбанёф М.О. корпоративные информационные системы. Учебное пособие по курсовому проекту.

Размещено на Allbest.ru