Содержание
Введение 4
Web-среда и конфиденциальность 5
Web-среда как среда для обмена данными 5
Глобальная сеть Интернет и проблемы безопасной коммуникации 5
Современные исследования безопасности глобальной сети 6
SERVE 6
Исследование NIST 6
Угрозы и типичные методы их реализации 7
Внедрение злонамеренного кода в запрос к БД 7
Атака направленная на отказ в обслуживании 7
Технологии обеспечения защищенного обмена данными в web 8
Программное применение криптографических алгоритмов 8
Построение защищенной виртуальной сети поверх web 9
Аутентификация пользователей 10
Сookie аутентификация 10
Привязка к IP-адресу 11
URL как альтернатива Сookie 11
Криптографические алгоритмы аутентификации 11
Сетевые протоколы для защиты информации 12
IP Security 12
SSL 3.0 \ TLS 1.0 12
Защита от типичных атак злоумышленника 13
Подготовленные выражения и SQL инъекции 13
Противодействие DoS атакам 13
Аппаратные средства для защиты трафика 14
Трудности возникающие при программной реализации 15
Классы защищенности 15
Подходы и технологии реализации 16
Использование штатных средства браузера и сервера 16
Написание отдельного приложения 16
Использование программно-аппаратных средств 17
Противодействие программным закладкам 18
Стандарты и сертификация 19
PKCS 19
FIPS 21
ГОСТ 21
Обзор библиотек, реализующих криптоалгоритмы 22
Crypto++ 22
Botan 22
OpenSSL 22
CryptoAPI 22
Обзор ПО для защиты передачи данных 23
OpenVPN 23
Игла-П 23
Crypton IPMobile 24
Crypton Emulator 24
Crypton AncNet Pro 24
Разработка собственного ПО для обмена текстовыми сообщениями 25
Постановка задачи и требования к безопасности 25
Архитектура системы 26
Аутентификация и выработка общего ключа 27
Технологии реализации 28
Заключение 29
Использованные источники 3
Выдержка из текста
завершении итоговой работы приводится своего рода отчет по практическому освоению материала – реализации программного средства для защищенного обмена текстовыми сообщениями в web-среде. В программном средстве применены криптографические алгоритмы симметричного и асимметричного шифрования – ГОСТ-28147-89 и RSA соответственно. Также применены электронные цифровые подписи и реализована взаимная аутентификация участников системы. Программное средство является достаточно простым по своей сути – приватный обмен текстовыми сообщениями между удаленными пользователями в web-среде. ПО представляет собой кроссплатформенную программу-клиент с графическим оконным интерфейсом и серверное программное средство для организации обмена сообщениями напрямую между двумя клиентами. Автор преследовал прежде всего цель отработать практическое применение криптографических алгоритмов. Разработанное программное средство отвечает поставленным требованиям по защите конфиденциальных данных. Также был разработан и реализован центр распределения ключей.
Итак, работа посвящена проблемам разработки ПО для защищенного обмена данными в Web. В рамках одной работы невозможно подробно разобрать все особенности и ответить на все вопросы, однако автор предпринял попытку провести небольшое исследование в рамках этой темы и закрепить знания в ходе практической программной разработки
Список использованной литературы
Использованные источники
1. http://www.servesecurityreport.org/ — отчет по Security Analysis of the Secure Electronic Registration and Voting Experiment
2. http://www.security.ru/ сайт ЗАО «МО ПНИЭИ» (Пензенский НИИ электротехники)
3. http://www.ancud.ru/ сайт ООО «Анкад»
4. Шлее М. Qt4. Профессиональное программирование на C++. – СПб.: БХВ-Петербург, 2007 – 880с.
5. Панасенко С. Алгоритмы шифрования. Специальный справочник. – СПб.: БХВ-Петербург, 2009 г. — 576 стр.
6. Hoglund, Мак-Гроу Взлом программного обеспечения: анализ и использование кода / Exploiting Software: How to Break Code М.: Вильямс, 2005 г. — 400 с.
7. Смит Аутентификация. От паролей до открытых ключей / Authentication: From Passwords to Public Keys М.: Вильямс, 2002 г. — 432 стр.