Разрабатывается приложение доступа к БД. C#, WinForms, .NET 2.0, ADO.NET. Оно осуществляет подключение к MSSQL2k5. Требуется реализовать систему безопасности, которая бы обеспечивала следующие возможности:
— Обеспечивать разграничение доступа на основе ролей, причем ограничение должно быть как на стороне сервера
БД, так и не стороне клиента — для каждой роли отображается свой интерфейс.
— Обеспечивать шифрование трафика между клиентом и БД.

Мысли по этому пока следующие: раз требуется шфирование трафика между клиентом и сервером, стало быть, без SSL не обойтись. Отсюда вопросы:
1) Можно ли использовать средства SSL в толстых клиентах, а конкретно — через ADO.NET? Если можно, то как?
2) Удобно ли пользоваться смарт-картами и USB-ключами? Есть ли у кого-нибудь подобный опыт? Насколько удобно ими пользоваться в .NET?
3) Возможно, придется расширять систему безопасности, предоставляя возможность использовать ее из Java-приложений. Возможно ли это?

Заранее спасибо всем откликнувшимся.

Здравствуйте, Flegmatic, Вы писали:

F>1) Можно ли использовать средства SSL в толстых клиентах, а конкретно — через ADO.NET? Если можно, то как?

Используй Web-service через https.

Hello, "Flegmatic"

> Мысли по этому пока следующие: раз требуется шфирование трафика между
> клиентом и сервером, стало быть, без SSL не обойтись. Отсюда вопросы:

Шифорвание траффика может зависить от того, для кого предназначено данное
приложение. Например, можно использовать шифрование средствами IPSec в этом
случае, зависимости от клиента не будет никакой. Шифрование будет
осуществляться абсолютно прозрачно...

Здравствуйте, Flegmatic, Вы писали:

F>Разрабатывается приложение доступа к БД. C#, WinForms, .NET 2.0, ADO.NET. Оно осуществляет подключение к MSSQL2k5. Требуется реализовать систему безопасности, которая бы обеспечивала следующие возможности:
F>- Обеспечивать разграничение доступа на основе ролей, причем ограничение должно быть как на стороне сервера
F> БД, так и не стороне клиента — для каждой роли отображается свой интерфейс.

AzMan на клиенте + IntegratedSecurity при работе с сервером

F>- Обеспечивать шифрование трафика между клиентом и БД.

А в чем собственно проблема?

F>Мысли по этому пока следующие: раз требуется шфирование трафика между клиентом и сервером, стало быть, без SSL не обойтись. Отсюда вопросы:
F>1) Можно ли использовать средства SSL в толстых клиентах, а конкретно — через ADO.NET? Если можно, то как?

SqlConnection.ConnectionString:

Encrypt
When true, SQL Server uses SSL encryption for all data sent between the client and server if the server has a certificate installed. Recognized values are true, false, yes, and no.

Integrated Security
-or-
Trusted_Connection
When false, User ID and Password are specified in the connection. When true, the current Windows account credentials are used for authentication.
Recognized values are true, false, yes, no, and sspi (strongly recommended), which is equivalent to true.

Т.е. достаточно указать в ConnectionString "...;Integrated Security=true;Encrypt=true;..."

F>2) Удобно ли пользоваться смарт-картами и USB-ключами? Есть ли у кого-нибудь подобный опыт? Насколько удобно ими пользоваться в .NET?
F>3) Возможно, придется расширять систему безопасности, предоставляя возможность использовать ее из Java-приложений. Возможно ли это?

Здравствуйте, TK, Вы писали:

TK>Шифорвание траффика может зависить от того, для кого предназначено данное
TK>приложение. Например, можно использовать шифрование средствами IPSec в этом
TK>случае, зависимости от клиента не будет никакой. Шифрование будет
TK>осуществляться абсолютно прозрачно...

А можно чуточку поподробней? Действительно ли можно сделать прозрачное шифрование в связке ADO.NET — MSSQL? Кто будет это шифрование осуществлять и что будет являться ключом?

Здравствуйте, ie, Вы писали:

ie>Здравствуйте, Flegmatic, Вы писали:
<skip>
ie>А в чем собственно проблема?
<skip>

Мда, пожалуй. Как установить сертификат, я разберусь. Спасибо за ответ, пошел курить мануалы по SSL.

Hello, "Flegmatic"
>
> А можно чуточку поподробней? Действительно ли можно сделать прозрачное
> шифрование в связке ADO.NET — MSSQL? Кто будет это шифрование осуществлять
> и что будет являться ключом?

Конечно можно. Строка/сертификат/смарт карта. Больее детально: Start\Help
And Support\ поиск по IPSec

Здравствуйте, TK, Вы писали:

TK>Конечно можно. Строка/сертификат/смарт карта. Больее детально: Start\Help
TK>And Support\ поиск по IPSec

Чувствую себя маленьким и глупым
Спасибо всем за помощь!

Здравствуйте, Flegmatic, Вы писали:

По (3), а так же про зависисмость интерфейса от прав доступа.
Безопасности на стороне клиента не бывает в природе. Это может быть безопасноть от первоклассника, разве что. Все объекты, права доступа на которые регулируются, должны лежать на сервере. Как то: описание интерфейсов, доступные действия над документами, доступные документы. Клиент должен получать только то, на что имеет права, и о системе разграничения прав знать только что нужно ввести логин с паролем.
Тогда у вас получается одна система, и никакой необходимости портировать что-либо куда бы то нибыло

Здравствуйте, Аноним, Вы писали:

А>По (3), а так же про зависисмость интерфейса от прав доступа.
<skip>
А>Тогда у вас получается одна система, и никакой необходимости портировать что-либо куда бы то нибыло

Да, разумеется. Все права, роли и прочее, относящееся к безопасности лежит на сервере. Но одна система не получится, и вот почему: дело в том, что это информационная система одного из отделов института. У других отделов — свои системы, написанные другими разработчиками на разных платформах. Сейчас встала задача объединить все эти системы — общение предполагается через веб-сервисы, тут никаких проблем нет. Но вот создание централизованной системы безопасности поставило в тупик. Пока приходится делать "локальную", однако с планами дальнейшего расширения.