защита базы по флешке

18.09.2011, 17:18. **Показов** 24846. **Ответов** 23

Author24 — интернет-сервис помощи студентам

есть идея предоставить доступ у базе по ключу записанному на флешку
подскажите где глянуть по реализации данной идеи

@tmyky · 18.09.2011, 17:20

а поподробней?
в текущей формулировке - запишите ИД на флэшку и фсё

@okupoko · 18.09.2011, 18:04

Сообщение от lmike

в текущей формулировке - запишите ИД на флэшку и фсё

тогда уж лучше БД )))

Добавлено: Чесно говоря, сомневаюсь, что реализация такой защиты получится. Разве что, все данные будут зашифрованы и код закрыт. Но не ясно, как тогда делать представления.
Хотя, можно сделать лишь часть данных зашифрованными. Например, справочники открыты, с помощью справочной, а также другой открытой, информации строятся виды. Но при открытии документа пользователь видит лишь открытую инфу, если у него нет ключа. А остальная в виде кракозяблов, либо даже спрятана на уровне интерфейса.
А вот, если ключ есть, то видит все.
Ключ при этом должен быть записан специальным образом на флешку, чтобы его нельзя было скопировать, наверное, так можно сделать используя нестандартную файловую систему.
Думаю, следует изучить HASP и рядом с ним.

@otyxos · 18.09.2011, 19:38

Посмотрите http://www.guardant.ru/.
Делал коммерческий софт с использованием этого ключика. Правда не справился с ихнем API из под LS. Пришлось писать свою дллельку. Вариант рабочий.
Защита на уровне интерфейса, дизайн закрыт.

@okupoko · 18.09.2011, 20:54

Сообщение от alexas

Защита на уровне интерфейса

Клиент заплатил зря, если не использовалось шифрование необходимых даных.

@otyxos · 18.09.2011, 21:06

Ставилась задача - закрыть базы от несанкционированного доступа, а не защита информации.

@okupoko · 18.09.2011, 22:12

Сообщение от alexas

Ставилась задача - закрыть базы от несанкционированного доступа, а не защита информации

Клиент платил за то, что ему не требовалось Не помимаю смысла в такой задаче, если честно, т.к. домино имеет все требуемое для этого.

@ToxoRot · 19.09.2011, 13:37

Сообщение от Akupaka

Ключ при этом должен быть записан специальным образом на флешку, чтобы его нельзя было скопировать

это называется етокен, и в лотусе есть его прямая поддержка ;)

@okupoko · 19.09.2011, 14:05

ToxaRat,
eToken - это торговая марка. В нотес есть поддержка smartcard, означает ли это автоматическую поддержку электронных USB -ключей не уверен, но все может быть.

@otyxos · 19.09.2011, 14:37

Сообщение от ToxaRat

это называется етокен, и в лотусе есть его прямая поддержка ;)

Етокен хранит ID и пароль пользователя в защищенном контейнере и используется для аутентификации в клиенте (как замена ввода пароля ручками) плюс выдергиваеш токен - клиент закрывается.
Автор, вроде, имел ввиду другое: стоит нужный ключик - есть доступ к определенной базе (базам) - далее обычное доминошное разделение прав, нет ключика - нет доступа к этой базе НИКОМУ или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя.

Добавлено:

Сообщение от Akupaka

ToxaRat,
eToken - это торговая марка. В нотес есть поддержка smartcard, означает ли это автоматическую поддержку электронных USB -ключей не уверен, но все может быть.

Нормальная поддержка, пользуюсь.
http://www.dekart.com/products/access_cont...on_lotus_notes/

@okupoko · 19.09.2011, 14:47

Сообщение от alexas

Нормальная поддержка, пользуюсь.

т.е. драйверы нотес унифицированы для любого вида hasp? Ну, это радует. Хотя я никогда и не имел дела с ними.

По поводу задачи, я так понимаю, что именно это автор и имел в виду, но что мешает реализовать подобную защиту на уровне проверки наличия ключа как такового? Т.е. использовать не функционал аутентификации на клиенте с помощью hasp, а выполнять лишь проверку наличия ключа при определенных функциях доступа, как чтение документа? Подозреваю, что некий программный интерфейс для этого должен быть.
А может даже можно записать некий дополнительный ключ-дешифратор, с помощью которого можно получить доступ к зашифрованным данным?
В общем, это хорошее поле для раздумий...

@otyxos · 19.09.2011, 15:18

Сообщение от Akupaka

т.е. драйверы нотес унифицированы для любого вида hasp?

Только для аутентификации в клиенте.

Сообщение от Akupaka

..... что мешает реализовать подобную защиту на уровне проверки наличия ключа как такового? ..... выполнять лишь проверку наличия ключа при определенных функциях доступа, как чтение документа....А может даже можно записать некий дополнительный ключ-дешифратор, с помощью которого можно получить доступ к зашифрованным данным?

И наличие ключа проверять можно, и использовать записанную при программировании ключа информацию для доступа к данным, и шифровать и дешифровать данные - кодер-декодер может быть в ключе (на С обычно). Вендоры дают полную информацию о своих API с примерами использования.

@okupoko · 19.09.2011, 15:23

Ну, тогда у автора должно быть лишь желание и время разобраться ;) Похоже, что необходимый функционал может быть реализован.

@otyxos · 19.09.2011, 15:35

Точно.

@ToxoRot · 19.09.2011, 17:19

Сообщение от alexas

Автор, вроде, имел ввиду другое: стоит нужный ключик - есть доступ к определенной базе (базам) - далее обычное доминошное разделение прав, нет ключика - нет доступа к этой базе НИКОМУ или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя.

этокеном это всё и реализуется, базы шифруются, править АЦЛ не давать и без ключика фиг ты эти базы откроешь ;)

@okupoko · 19.09.2011, 18:09

ToxaRat ,
Антон, ты это реализовывал, честно?

@tmyky · 19.09.2011, 19:20

Сообщение от alexas

нет ключика - нет доступа к этой базе НИКОМУ или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя.

не оговаривались такие детали, было просто - флэшка и доступ ;)
т.о. шифруем базу под ID, ID - на флэшке
инсталяция многоюзеровая, т.о. локальная реплика у каждого своя
зачем мудрить-то?
это если идёт речь о локальной реплике

@otyxos · 19.09.2011, 19:42

Сообщение от ToxaRat

этокеном это всё и реализуется, базы шифруются, править АЦЛ не давать и без ключика фиг ты эти базы откроешь ;)

Все так. Шифрованные базы под ID в токене - при отсутствии ключа доступ не получить.

Сообщение от ToxaRat

......или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя.

А вот это с Dekart-ом никак, или есть доступ или нет. Никакой середины. А если, например, необходимо при отсутствии ключа дать ВСЕМ доступ только на чтение или запретить какие-нибудь действия, а при наличии ключа работает ACL ?

@okupoko · 19.09.2011, 23:05

Сообщение от lmike

т.о. шифруем базу под ID, ID - на флэшке

Что ты имеешь в виду под ID? user.ID? Если да, или, если это любой другой файл стандартной ФС, то это дает возможность скопировать содержимое флешки и получить доступ к данным.
Кроме того, если это учетка пользователя, то будет необходимо переключаться на него - это уже неудобства, т.к. с остальными программами надо и дальше как-то работать, т.е. необходимо будет переключаться постоянно между учетками. Да и БД должна быть размещена на сервере, для репликации между рабочими местами, а это дает возможность сделать открытую реплику в нужное место.

@ToxoRot · 20.09.2011, 11:39

Сообщение от Akupaka

Антон, ты это реализовывал, честно?

честно, только одна трабла была - етокен был маленький и пароль больше 20 раз менять не удавалось - при смене пароля размер ИД увеличивался

@otyxos 0 / 0 / 0 Регистрация: 19.03.2011 Сообщений: 205
	19.09.2011, 14:37	10
	Сообщение от ToxaRat это называется етокен, и в лотусе есть его прямая поддержка ;) Етокен хранит ID и пароль пользователя в защищенном контейнере и используется для аутентификации в клиенте (как замена ввода пароля ручками) плюс выдергиваеш токен - клиент закрывается. Автор, вроде, имел ввиду другое: стоит нужный ключик - есть доступ к определенной базе (базам) - далее обычное доминошное разделение прав, нет ключика - нет доступа к этой базе НИКОМУ или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя. Добавлено: Сообщение от Akupaka ToxaRat, eToken - это торговая марка. В нотес есть поддержка smartcard, означает ли это автоматическую поддержку электронных USB -ключей не уверен, но все может быть. Нормальная поддержка, пользуюсь. http://www.dekart.com/products/access_cont...on_lotus_notes/ 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	19.09.2011, 18:09	16
	ToxaRat , Антон, ты это реализовывал, честно? 0

otyxkopustym
		1
	защита базы по флешке 18.09.2011, 17:18. Показов 24846. Ответов 23 Метки нет (Все метки) есть идея предоставить доступ у базе по ключу записанному на флешку подскажите где глянуть по реализации данной идеи

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	18.09.2011, 17:20	2
	а поподробней? в текущей формулировке - запишите ИД на флэшку и фсё 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	18.09.2011, 18:04	3
	Сообщение от lmike в текущей формулировке - запишите ИД на флэшку и фсё тогда уж лучше БД ))) Добавлено: Чесно говоря, сомневаюсь, что реализация такой защиты получится. Разве что, все данные будут зашифрованы и код закрыт. Но не ясно, как тогда делать представления. Хотя, можно сделать лишь часть данных зашифрованными. Например, справочники открыты, с помощью справочной, а также другой открытой, информации строятся виды. Но при открытии документа пользователь видит лишь открытую инфу, если у него нет ключа. А остальная в виде кракозяблов, либо даже спрятана на уровне интерфейса. А вот, если ключ есть, то видит все. Ключ при этом должен быть записан специальным образом на флешку, чтобы его нельзя было скопировать, наверное, так можно сделать используя нестандартную файловую систему. Думаю, следует изучить HASP и рядом с ним. 0

@otyxos 0 / 0 / 0 Регистрация: 19.03.2011 Сообщений: 205
	18.09.2011, 19:38	4
	Посмотрите http://www.guardant.ru/. Делал коммерческий софт с использованием этого ключика. Правда не справился с ихнем API из под LS. Пришлось писать свою дллельку. Вариант рабочий. Защита на уровне интерфейса, дизайн закрыт. 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	18.09.2011, 20:54	5
	Сообщение от alexas Защита на уровне интерфейса Клиент заплатил зря, если не использовалось шифрование необходимых даных. 0

@otyxos 0 / 0 / 0 Регистрация: 19.03.2011 Сообщений: 205
	18.09.2011, 21:06	6
	Ставилась задача - закрыть базы от несанкционированного доступа, а не защита информации. 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	18.09.2011, 22:12	7
	Сообщение от alexas Ставилась задача - закрыть базы от несанкционированного доступа, а не защита информации Клиент платил за то, что ему не требовалось Не помимаю смысла в такой задаче, если честно, т.к. домино имеет все требуемое для этого. 0

@ToxoRot 0 / 0 / 0 Регистрация: 04.11.2007 Сообщений: 3,019
	19.09.2011, 13:37	8
	Сообщение от Akupaka Ключ при этом должен быть записан специальным образом на флешку, чтобы его нельзя было скопировать это называется етокен, и в лотусе есть его прямая поддержка ;) 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	19.09.2011, 14:05	9
	ToxaRat, eToken - это торговая марка. В нотес есть поддержка smartcard, означает ли это автоматическую поддержку электронных USB -ключей не уверен, но все может быть. 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	19.09.2011, 14:47	11
	Сообщение от alexas Нормальная поддержка, пользуюсь. т.е. драйверы нотес унифицированы для любого вида hasp? Ну, это радует. Хотя я никогда и не имел дела с ними. По поводу задачи, я так понимаю, что именно это автор и имел в виду, но что мешает реализовать подобную защиту на уровне проверки наличия ключа как такового? Т.е. использовать не функционал аутентификации на клиенте с помощью hasp, а выполнять лишь проверку наличия ключа при определенных функциях доступа, как чтение документа? Подозреваю, что некий программный интерфейс для этого должен быть. А может даже можно записать некий дополнительный ключ-дешифратор, с помощью которого можно получить доступ к зашифрованным данным? В общем, это хорошее поле для раздумий... 0

	20.09.2011, 11:39

@otyxos 0 / 0 / 0 Регистрация: 19.03.2011 Сообщений: 205
	19.09.2011, 15:18	12
	Сообщение от Akupaka т.е. драйверы нотес унифицированы для любого вида hasp? Только для аутентификации в клиенте. Сообщение от Akupaka ..... что мешает реализовать подобную защиту на уровне проверки наличия ключа как такового? ..... выполнять лишь проверку наличия ключа при определенных функциях доступа, как чтение документа....А может даже можно записать некий дополнительный ключ-дешифратор, с помощью которого можно получить доступ к зашифрованным данным? И наличие ключа проверять можно, и использовать записанную при программировании ключа информацию для доступа к данным, и шифровать и дешифровать данные - кодер-декодер может быть в ключе (на С обычно). Вендоры дают полную информацию о своих API с примерами использования. 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	19.09.2011, 15:23	13
	Ну, тогда у автора должно быть лишь желание и время разобраться ;) Похоже, что необходимый функционал может быть реализован. 0

@otyxos 0 / 0 / 0 Регистрация: 19.03.2011 Сообщений: 205
	19.09.2011, 15:35	14
	Точно. 0

@ToxoRot 0 / 0 / 0 Регистрация: 04.11.2007 Сообщений: 3,019
	19.09.2011, 17:19	15
	Сообщение от alexas Автор, вроде, имел ввиду другое: стоит нужный ключик - есть доступ к определенной базе (базам) - далее обычное доминошное разделение прав, нет ключика - нет доступа к этой базе НИКОМУ или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя. этокеном это всё и реализуется, базы шифруются, править АЦЛ не давать и без ключика фиг ты эти базы откроешь ;) 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	19.09.2011, 19:20	17
	Сообщение от alexas нет ключика - нет доступа к этой базе НИКОМУ или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя. не оговаривались такие детали, было просто - флэшка и доступ ;) т.о. шифруем базу под ID, ID - на флэшке инсталяция многоюзеровая, т.о. локальная реплика у каждого своя зачем мудрить-то? это если идёт речь о локальной реплике 0

@otyxos 0 / 0 / 0 Регистрация: 19.03.2011 Сообщений: 205
	19.09.2011, 19:42	18
	Сообщение от ToxaRat этокеном это всё и реализуется, базы шифруются, править АЦЛ не давать и без ключика фиг ты эти базы откроешь ;) Все так. Шифрованные базы под ID в токене - при отсутствии ключа доступ не получить. Сообщение от ToxaRat ......или база открывается с ограниченными правами (наложенными на доминошные) для ЛЮБОГО пользователя. А вот это с Dekart-ом никак, или есть доступ или нет. Никакой середины. А если, например, необходимо при отсутствии ключа дать ВСЕМ доступ только на чтение или запретить какие-нибудь действия, а при наличии ключа работает ACL ? 0

@okupoko 0 / 0 / 0 Регистрация: 04.10.2007 Сообщений: 2,977
	19.09.2011, 23:05	19
	Сообщение от lmike т.о. шифруем базу под ID, ID - на флэшке Что ты имеешь в виду под ID? user.ID? Если да, или, если это любой другой файл стандартной ФС, то это дает возможность скопировать содержимое флешки и получить доступ к данным. Кроме того, если это учетка пользователя, то будет необходимо переключаться на него - это уже неудобства, т.к. с остальными программами надо и дальше как-то работать, т.е. необходимо будет переключаться постоянно между учетками. Да и БД должна быть размещена на сервере, для репликации между рабочими местами, а это дает возможность сделать открытую реплику в нужное место. 0

@ToxoRot 0 / 0 / 0 Регистрация: 04.11.2007 Сообщений: 3,019
	20.09.2011, 11:39	20
	Сообщение от Akupaka Антон, ты это реализовывал, честно? честно, только одна трабла была - етокен был маленький и пароль больше 20 раз менять не удавалось - при смене пароля размер ИД увеличивался 0