 |
Идентификация и аутентификация с помощью ЭЦП
|
|
|
|
Аутентификаторы и системы аутентификации.
Средства аутентификации, авторизации и идентификации относятся к категории классических средств по управлению информационной безопасностью как корпоративных, так и глобальных коммуникационных сетей и включают в себя определение, создание, изменение, удаление и аудит пользовательских учетных записей. Аутентификация в них используется для проверки подлинности входящего в систему пользователя и для избежания отказа в обслуживании зарегистрированного пользователя.
Для защиты от несанкционированного доступа к персональным компьютерам, серверам и другому оборудованию применяются механизмы аутентификации, использующие различные характеристики пользователей (рис. 1).
Рис. 1. Информация, используемая для аутентификации пользователей
Простейший механизм аутентификации, встроенный почти в любую операционную систему, предлагает после введения имени подтвердить его паролем, соответствующим данному имени. В таких распространенных операционных системах, как Windows и Unix, пароли хранятся в зашифрованном виде. При этом для шифрования паролей используются стандартные криптоалгоритмы с встроенными раз и навсегда ключами. Существует множество способов перехватить открытый пароль и пройти аутентификацию от чужого имени, поэтому во всех руководствах рекомендуется как можно чаще менять пароли, а также делать их как можно менее закономерными и более длинными.
Идентификация и аутентификация в сети
На первой стадии преобладали двухсторонние отношения между продавцами и партнерами. Двухсторонние отношения требовали идентификации и аутентификации друг друга при взаимодействии через Сеть. Данный тип взаимоотношений неудобен для пользователей услуг, так как требует персональной идентификации и аутентификации у каждого продавца.
|
|
|
На втором этапе идентификация и аутентификация покупателя проводятся один раз для многих продавцов при наличии их общего согласия. На третьей стадии покупатели и продавцы полагаются на провайдера услуг идентификации и аутентификации, что полностью исключает процедуру взаимной двухсторонней аутентификации между покупателем и продавцом. Данный способ идентификации называется циклом доверия. Он позволяет включать в процедуру взаимодействия поставщика и получателя услуг третью сторону, например банк. Следующая стадия развития идентификации и аутентификации в сети связана с взаимодействием множества серверов по предоставлению услуг идентификации и аутентификации между собой. Такой способ сервиса носит название "федеральная служба сетевой аутентификации".
Все случаи сетевой аутентификации сводятся к двухсторонней аутентификации на уровне протоколов аутентификации между компонентами автоматизированных систем. Причем появление постоянного пароля в сетевом трафике резко снижает безопасность сетевой аутентификации. Поэтому в сетевой аутентификации необходимо использование одноразовых паролей или аутентификации с помощью аппаратных средств.
Аутентификация с помощью аппаратных средств
Аутентификация с помощью аппаратных средств бывает двух видов:
· по схеме запрос-ответ;
· по схеме аутентификации с синхронизацией.
Рис. З. Функции, реализуемые аппаратными средствами аутентификации (смарт-карты, USB-ключи, Touch-Memory)
В первом случае пользователь подключается к серверу аутентификации и передает ему PIN или User ID. Сервер передает пользователю случайное число, которое пересылается на подключенную к пользовательской машине интеллектуальную карту. Карта шифрует полученное число и передает результат серверу. Сервер также шифрует посланное им случайное число, используя ключ пользователя. Сравнение шифртекста, полученного от пользователя, и шифртекста, вычисленного на сервере, позволяет аутентифицировать пользователя. В схеме с синхронизацией по времени на аппаратном устройстве пользователя (интеллектуальной карте и т.д.) и на сервере работает секретный алгоритм, который синхронно вырабатывает новые пароли и заменяет старые пароли на новые. При аутентификации пользователь вводит свой PIN или User ID и устанавливает в ридере персональную интеллектуальную карту. Сравнение пароля, считанного с карты, с полученным на сервере, позволяет ли аутентифицировать пользователя.
|
|
|
Идентификация и аутентификация с помощью ЭЦП
Электронно-цифровая подпись может использоваться в качестве средства аутентификации, если она помещена на аппаратные средства типа интеллектуальной карты. Карта представляет серверу подписанный ЭЦП идентификатор или PIN пользователя, сервер проверяет электронно-цифровую подпись и тем самым проводит аутентификацию пользователя. Такая аутентификация возможна в случае ограниченного количества пользователей, что позволяет хранить на сервере информацию об электронно-цифровых подписях всех пользователей.
Технологии аутентификации
Примером системы одноразовых паролей является система S/Key (RFC 1760), которая позволяет генерировать одноразовые пароли на основе стандартов MD4, МD5.Эта система использует технологию клиент-сервер, где клиент-персональный компьютер, сервер - сервер аутентификации. Протокол аутентификации состоит в следующем:
· Клиент отправляет серверу пакеты инициализации;
· сервер отправляет клиенту порядковый номер и случайное число (seed);
· клиент вводит пароль (не менее 8 знаков).
· Пароль соединяется со случайным числом и порядковым номером;
· функция выхода переводит полученное 64-битовое число в читаемую форму, и это число используется в качестве одноразового пароля;
· пароль может вводиться следующими способами: с помощью программного обеспечения, включающего пароли в данные, с помощью специальной функции (cut and paste) или с помощью ручного ввода.
|
|
|
