Протоколы безопасного сетевого взаимодействия
ВведениеБитовые строки
Строки IA5
Целое
NULL
Идентификаторы объектов
Строки октетов
Строки печатных символов
Тип CHOICE
Тип SEQUENCE
Тип SEQUENCE OF
Тип SET
Тип SET OF
Тип ANY
Тип UTCTime
Протоколы безопасного сетевого взаимодействия
История LDAPЧто такое LDAP
Преимущества LDAP
LDAP vs базы данных
Принципы развертывания серверов LDAP
Модели LDAP
Информационная модель
Информационное дерево Каталога
Модель именования
Относительные уникальные имена
Полные уникальные имена
Запись LDAP
Атрибуты
Описания атрибута
Типы атрибутов
Опции атрибутов
Значение атрибута
Атрибуты функционирования
Aliases
Схема
Расширение схемы
Класс объекта
Абстрактные классы объектов
Структурные классы объектов
Вспомогательные классы объектов
Наследование классов объектов
Административная и функциональная информация Каталога
Атрибут objectClass
Функциональные атрибуты
Синтаксисы
Правило присваивания значения атрибута
Правила соответствия
Правила содержимого DIT
Правила структуры DIT и формы имени
Записи подсхемы
Класс объекта "extensibleObject"
LDIF
Распределенное множество серверов LDAP
Разработка топологии
Referrals
Контекст корневого именования и данные сервера
Репликация
Протоколы безопасного сетевого взаимодействия
Протокол LDAPОперации протокола LDAP
Типичные переговоры LDAP операции Bind
Операция Unbind
Операция Search
Операция Modify
Операция Add
Операция Delete
Операция ModifyDN
Операция Compare
Операция Abandon
Расширенные операции
Протоколы безопасного сетевого взаимодействия
Введение в Х.509v3Сертификат Х.509 версии 3
Сертификационные пути и доверие
Отмена сертификата
Частные расширения Internet
Доступ к информации уполномоченного органа
Информационный доступ субъекта
Основные поля сертификата
Поля сертификата
TbsCertificate
SignatureAlgorithm
SignatureValue
Version
Serial number
Signature
Issuer
Действительность сертификата
Subject
Информация открытого ключа субъекта
Уникальные идентификаторы
Расширения
Расширения сертификата
Стандартные расширения
Идентификатор ключа сертификационного центра
Идентификатор ключа субъекта
Использование ключа
Период использования закрытого ключа
Политики сертификата
Отображения политик
Альтернативное имя субъекта
Альтернативные имена выпускающего
Атрибуты директории субъекта
Базовые ограничения
Ограничения имени
Ограничения политики
Расширенное использование ключа
Точки распространения CRL
Предотвращение anyPolicy
Протоколы безопасного сетевого взаимодействия
Профиль CRL и расширений CRLПоля CRL
Поля CertificateList
TbsCertList
SignatureAlgorithm
SignatureValue
Список сертификатов "To Be Signed"
Версия
Подпись
Имя выпускающего
Дата данного изменения
Следующее изменение
Отмененные сертификаты
Расширения
Расширения CRL
Идентификатор ключа уполномоченного органа
Альтернативное имя выпускающего
Номер CRL
Индикатор дельта CRL
Точка распространения CRL
Наиболее свежий CRL (точка распространения дельта CRL)
Расширения записи CRL
Код причины
Код инструкции приостановки
Дата недействительности
Проверка действительности сертификационного пути
Проверка действительности базового пути
Входы
Инициализация
Инициализация - 3
Основная обработка сертификата
Подготовка для сертификата i+1
Wrap-up процедура
Выходные значения
Использование алгоритма проверки действительности пути
Действительность CRL
Входы отмены
Инициализация и переменные состояния отмены
Обработка CRL
Обсуждение проблем безопасности
Протоколы безопасного сетевого взаимодействия
ВведениеТребования к управлению PKI
Запрос инициализации
Ответ инициализации
Запрос регистрации/сертификации
Ответ регистрации/сертификации
Содержимое запроса изменения ключа
Содержимое ответа изменения ключа
Содержимое запроса восстановления ключа
Содержимое ответа восстановления ключа
Содержимое запроса отмены
Содержимое ответа отмены
Содержимое запроса кросс-сертификации
Содержимое ответа кросс-сертификации
Содержимое оповещения об изменении ключа СА
Оповещение сертификата
Оповещение об отмене
Оповещение о CRL
Содержимое подтверждения PKI
Содержимое общего сообщения PKI
Содержимое общего ответа PKI
Содержимое сообщения об ошибках
Синтаксис CertRequest
Синтаксис доказательства обладания
Использование МАС, основанного на пароле
Управление публикуемой информацией
Управление опциями архивирования
Схема LDAPv2 для инфраструктуры открытого ключа Х.509
Объекты репозитория PKI
Возможный транспорт
Протокол управления на основе файла
Протокол управления, основанный на ТСР
Протокол управления по e-mail
Протокол управления по НТТР
Протоколы управления по LDAP v2
LDAP чтение репозитория
Bind Request
Bind Response
Search Request
Search Response
LDAP поиск в репозитории
LDAP модификация репозитория
Bind
ModifyRequest
Операции управления PKI
Инициализация конечного участника
Начальная регистрация/сертификация
Инициализация регистрации/сертификации
Начальная аутентификация сообщения конечного участника
Расположение генератора ключа
Подтверждение успешной сертификации
Обязательные схемы
Централизованная схема
Базовая схема аутентификации
Доказательство обладания (Proof of Possession – РОР) закрытым ключом
Ключи подписывания
Ключи шифрования
Ключи согласования ключа
Изменение ключа корневого СА
Действия оператора СА
Проверка сертификатов
Проверка в случаях 1, 4, 5 и 8
Отмена – изменение ключа СА
Кросс-сертификация
Односторонняя схема запроса-ответа
Запрос сертификата
Изменение ключа
Структуры данных
Полное сообщение PKI
Заголовок сообщения PKI
Тело сообщения PKI
Синтаксис CertReqMessage
Защита сообщения PKI
Общие структуры данных
Содержимое запрашиваемого сертификата
Зашифрованные значения
Коды статуса и информация о неудаче для PKI-сообщений
Идентификация сертификата
Опции архивации
Публикуемая информация
Структуры РОР
Example.18.1
Протоколы безопасного сетевого взаимодействия
Обзор протоколаЗапрос
Ответ
Исключительные случаи
Семантики thisUpdate, nextUpdate и producedAt
Ответ Pre-production
Делегирование полномочий OCSP Responder'у
Компрометация ключа СА
Содержимое сертификата
Требования принятия подписанного ответа
Детали протокола
Запросы
Синтаксис запроса
Замечания о синтаксисе запроса
Синтаксис ответа
ASN.1 спецификация для OCSP ответа
Время
Отвечающие уполномоченные органы
Обязательные и дополнительные криптографические алгоритмы
Расширения
Nonce
Ссылки на CRL
Типы принимаемых ответов
Архивное хранение
Расположение сервиса
Обсуждение проблем безопасности
OCSP поверх НТТР
Введение
Политика сертификата
Примеры политики сертификата
Поля сертификата Х.509
Расширение CertificatePolicies
Расширение PolicyMappings
Расширение PolicyConstraints
Квалификаторы политики
Регламент практики сертификации
Взаимосвязь между политикой сертификата и регламентом сертификационной практики
Множество постановлений
Содержание множества постановлений
Введение
Общие постановления
Идентификация и аутентификация
Требования выполнения
Создание и инсталляция пары ключей
Защита закрытого ключа
Другие аспекты управления ключом
Данные активации
Управление безопасностью компьютера
Управление безопасностью жизненного цикла
Управление криптографическим модулем
Протоколы безопасного сетевого взаимодействия
KerberosПричины создания Kerberos
Kerberos версии 4
Простой аутентификационный протокол
Более безопасный аутентификационный протокол
Более безопасный аутентификационный протокол - 2
Аутентификационный протокол версии 4
Области Kerberos
Протоколы безопасного сетевого взаимодействия
ВведениеОбщие механизмы расширений
Расширенный Client Hello
Расширенный Server Hello
Расширения Hello
Расширения в протоколе Рукопожатия
Используемые расширения
Указание имени сервера
Переговоры о максимальной длине фрагмента
URLs сертификата клиента
Указание доверенного СА
Урезанный НМАС
Запрос статуса сертификата
Alerts ошибок
Процедура определения новых расширений
Обсуждение проблем безопасности
Безопасность server_name
Безопасность max_fragment_length
Безопасность client_certificate_url
Безопасность trusted_ca_keys
Безопасность truncated_hmac
Безопасность status_request
Криптографические операции
НМАС и псевдослучайная функция
Протокол Записи
Состояния соединения
Уровень Записи
Фрагментация
Компрессия и декомпрессия
Защита полезной информации записи
Вычисление ключей
Протокол Рукопожатия TLS
Протокол изменения шифрования
Alert протокол
Сообщения закрытия
Обзор протокола Рукопожатия
Протокол Рукопожатия
Сообщения Hello
Сертификат сервера
Сообщение сервера обмена ключа
Server Hello Done
Сертификат клиента
Сообщение Client Key Exchange
Проверка целостности с помощью сертификата клиента
Сообщение Finished
Вычисление мастер-секрета
Протоколы безопасного сетевого взаимодействия
Основные понятия
Ключи хоста
Возможности дальнейшего развития SSH
Интерактивные сессии
Открытие сессии
Запрос псевдо-терминала
Передача переменных окружения
Начало выполнения shell или команды
Передача данных сессии
Сообщение об изменении размеров окна терминала
Управление локальным потоком
Сигналы
Возвращаемый статус выхода
Запрос перенаправления порта
Обсуждение проблем безопасности
Определение политики безопасности
Размеры пакета и заголовка
Локализация и поддержка различных наборов символов
Способ именования объектов протокола
Введение
Установление соединения
Обмен версией протокола
Совместимость со старыми версиями SSH
Старый клиент, новый сервер
Новый клиент, старый сервер
Протокол бинарного пакета
Максимальная длина пакета
Компрессия
Шифрование
Целостность данных
Методы обмена ключа
Алгоритмы открытого ключа
Обмен ключа
Переговоры об алгоритме
Выход из обмена ключа
Принятие ключей в использование
Обмен ключа Диффи-Хеллмана
Повторный обмен ключа
Запрос сервиса
Дополнительные сообщения
Сообщение разрыва соединения
Обсуждение проблем безопасности
Обзор протокола аутентификации
Запросы на аутентификацию
Ответы на запросы аутентификации
Запрос на аутентификацию "none"
Завершение аутентификации пользователя
Баннерные сообщения
Метод аутентификации с использованием открытого ключа: publickey
Метод аутентификации с использованием пароля: password
Метод аутентификации на основе адреса хоста: hostbased
Обсуждение проблем безопасности
Протокол соединения
Общие запросы
Механизм канала
Открытие канала
Передача данных
Закрытие канала
Запросы, специфичные для канала
Протоколы безопасного сетевого взаимодействия
ВведениеЦели разработки
Обзор системы
Как работает IPsec
Где может размещаться IPsec
Безопасные Ассоциации
Определения
Функциональности SA
Комбинации SA
Базы данных безопасной ассоциации
БД политики безопасности (SPD)
База данных Безопасной Ассоциации (SAD)
Примеры комбинаций SA
SA и Управление Ключом
Ручные технологии
Автоматические SA и Управление Ключом
Проблемы выполнения
Протоколы безопасного сетевого взаимодействия
ВведениеТерминология ISAKMP
Фаза 1 аутентификации с Revised Mode шифрования открытым ключом
Фаза 1 аутентификации с Pre-Shared ключом
Фаза 2 – Quick Mode
New Group Mode
Информационные обмены ISAKMP
Обсуждение проблем безопасности
Фазы переговоров
Идентификация Безопасных Ассоциаций
Создание Token анти-препятствия ("Cookie")
Содержимые ISAKMP
Формат заголовка ISAKMP
Общий заголовок содержимого
Атрибуты данных
Содержимое SA
Содержимое Proposal
Содержимое Transform
Содержимое Key Exchange
Содержимое Identification
Содержимое Certificate
Содержимое Certificate Request
Содержимое HASH
Содержимое Signature
Содержимое Nonce
Содержимое Notification
Содержимое Delete
Содержимое Vendor ID
Используемая нотация
Содержание раздела