Разработка системы доступа к ресурсам образовательного веб-портала вуза
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
дет контролировать эта система защиты.
Отчетность и подконтрольность.
Система защиты должна предоставлять доказательства корректности своей работы.
Ответственность.
Подразумевается личная ответственность лиц, занимающихся обеспечением информационной безопасности.
Изоляция и разделение.
Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.
Полнота и согласованность.
Надежная система защиты должна быть полностью специфицирована, протестирована и согласована.
Параметризация.
Защита становится наиболее эффективной и гибкой, если допускает изменение своих параметров со стороны администратора безопасности.
Принцип враждебного окружения.
Система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки как законные пользователи и высокопрофессиональные действия как потенциальные нарушители. Необходимо предполагать, что они обладают достаточной квалификацией, чтобы найти пути обхода система защиты, если таковые будут иметься.
Привлечение человека.
Наиболее важные и критические решения должны приниматься человеком.
При разработке системы доступа были реализованы следующие меры защиты ИР:
Применяется паролирование Личных кабинетов пользователей системы
Пароли по сети передаются только в зашифрованном виде.
Используется алгоритм шифрования SHA1
Используется механизм аутентификации пользователей
Применяется механизм управления сессиями
В программном коде созданы специальные функции проверки вводимой пользователем информации.
Запрещен ввод специальных символов
Ограничена длина строк для ввода информации
Проверка переменной окружения веб-сервера
Реализована защита от автоматических регистраций, которая позволяет предотвратить заполнение базы данных ненужной информацией
Доступ к Личному кабинету возможен одновременно только с одного IP -адреса
При разработке использовалось ПО, которое соответствует промышленным стандартам
5.3 Алгоритм шифрования паролей SHA1
Для шифрования паролей используется алгоритм шифрования SHA1.Hash Algorithm 1 - алгоритм криптографического хеширования. Описан в RFC 3174. Для входного сообщения произвольной длины (максимум 264 ? 1 бит, что равно 2 эксабайта) алгоритм генерирует
-битное хеш-значение, называемое также дайджестом сообщения. Используется во многих криптографических приложениях и протоколах. Также рекомендован в качестве основного для государственных учреждений в США. Принципы, положенные в основу SHA-1, аналогичны тем, которые использовались Рональдом Ривестом при проектировании MD4.
Описание алгоритма.реализует хеш-функцию, построенную на идее функции сжатия. Входами функции сжатия являются блок сообщения длиной 512 бит и выход предыдущего блока сообщения. Выход представляет собой значение всех хеш-блоков до этого момента. Иными словами хеш блока Mi равен
= f(Mi,hi ? 1).
Хеш-значением всего сообщения является выход последнего блока.
Рис. Одна итерация алгоритма SHA1
Инициализация.
Исходное сообщение разбивается на блоки по 512 бит в каждом. Последний блок дополняется до длины, кратной 512 бит. Сначала добавляется 1 а потом нули, чтобы длина блока стала равной (512 - 64 = 448) бит. В оставшиеся 64 бита записывается длина исходного сообщения в битах.
Если последний блок имеет длину более 448, но менее 512 бит, дополнение выполняется следующим образом: сначала добавляется 1, затем нули вплоть до конца 512-битного блока; после этого создается ещё один 512-битный блок, который заполняется вплоть до 448 бит нулями, после чего в оставшиеся 64 бита записывается длина исходного сообщения в битах. Дополнение последнего блока осуществляется всегда, даже если сообщение уже имеет нужную длину.
Инициализируются пять 32-битовых переменных.
Криптоанализ.
Криптоанализ хеш-функций направлен на исследование уязвимости к различного вида атакам. Основные из них:
нахождение коллизий - ситуация, когда двум различным исходным сообщениям соответствует одно и то же хеш-значение.
нахождение прообраза - исходного сообщения - по его хешу.
При решении методом грубой силы:
вторая задача требует 2160 операций.
первая же требует в среднем 2160/2 = 280 операций
От устойчивости хеш-функции к нахождению коллизий зависит безопасность электронной цифровой подписи с использованием данного хеш-алгоритма. От устойчивости к нахождению прообраза зависит безопасность хранения хешей паролей для целей аутентификации.
В январе 2005 года Vincent Rijmen и Elisabeth Oswald опубликовали сообщение об атаке на усеченную версию SHA-1 (53 раунда вместо 80), которая позволяет находить коллизии меньше, чем за 280 операций.
В феврале 2005 года Сяоюнь Ван, Йицунь Лиза Йинь и Хунбо Ю представили атаку на полноценный SHA-1, которая требует менее 269 операций.
Данный алгоритм шифрования, по оценкам специалистов, обладает высокой степенью надежности и рекомендован для обеспечения высокого уровня безопасности передаваемой информации, поэтому было принято решение использовать этот алгоритм шифрования при передаче паролей от пользователя к системе сервера.
5.4 Применен