Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Идентификация и аутентификация с помощью ЭЦП

Аутентификаторы и системы аутентификации.

Средства аутентификации, авторизации и идентификации относятся к категории классических средств по управлению информационной безопасностью как корпоративных, так и глобальных коммуникационных сетей и включают в себя определение, создание, изменение, удаление и аудит пользовательских учетных записей. Аутентификация в них используется для проверки подлинности входящего в систему пользователя и для избежания отказа в обслуживании зарегистрированного пользователя.

Для защиты от несанкционированного доступа к персональным компьютерам, серверам и другому оборудованию применяются механизмы аутентификации, использующие различные характеристики пользователей (рис. 1).

Рис. 1. Информация, используемая для аутентификации пользователей

Простейший механизм аутентификации, встроенный почти в любую операционную систему, предлагает после введения имени подтвердить его паролем, соответствующим данному имени. В таких распространенных операционных системах, как Windows и Unix, пароли хранятся в зашифрованном виде. При этом для шифрования паролей используются стандартные криптоалгоритмы с встроенными раз и навсегда ключами. Существует множество способов перехватить открытый пароль и пройти аутентификацию от чужого имени, поэтому во всех руководствах рекомендуется как можно чаще менять пароли, а также делать их как можно менее закономерными и более длинными.

Идентификация и аутентификация в сети

На первой стадии преобладали двухсторонние отношения между продавцами и партнерами. Двухсторонние отношения требовали идентификации и аутентификации друг друга при взаимодействии через Сеть. Данный тип взаимоотношений неудобен для пользователей услуг, так как требует персональной идентификации и аутентификации у каждого продавца.

На втором этапе идентификация и аутентификация покупателя проводятся один раз для многих продавцов при наличии их общего согласия. На третьей стадии покупатели и продавцы полагаются на провайдера услуг идентификации и аутентификации, что полностью исключает процедуру взаимной двухсторонней аутентификации между покупателем и продавцом. Данный способ идентификации называется циклом доверия. Он позволяет включать в процедуру взаимодействия поставщика и получателя услуг третью сторону, например банк. Следующая стадия развития идентификации и аутентификации в сети связана с взаимодействием множества серверов по предоставлению услуг идентификации и аутентификации между собой. Такой способ сервиса носит название "федеральная служба сетевой аутентификации".

Все случаи сетевой аутентификации сводятся к двухсторонней аутентификации на уровне протоколов аутентификации между компонентами автоматизированных систем. Причем появление постоянного пароля в сетевом трафике резко снижает безопасность сетевой аутентификации. Поэтому в сетевой аутентификации необходимо использование одноразовых паролей или аутентификации с помощью аппаратных средств.

Аутентификация с помощью аппаратных средств

Аутентификация с помощью аппаратных средств бывает двух видов:

· по схеме запрос-ответ;

· по схеме аутентификации с синхронизацией.

Рис. З. Функции, реализуемые аппаратными средствами аутентификации (смарт-карты, USB-ключи, Touch-Memory)

В первом случае пользователь подключается к серверу аутентификации и передает ему PIN или User ID. Сервер передает пользователю случайное число, которое пересылается на подключенную к пользовательской машине интеллектуальную карту. Карта шифрует полученное число и передает результат серверу. Сервер также шифрует посланное им случайное число, используя ключ пользователя. Сравнение шифртекста, полученного от пользователя, и шифртекста, вычисленного на сервере, позволяет аутентифицировать пользователя. В схеме с синхронизацией по времени на аппаратном устройстве пользователя (интеллектуальной карте и т.д.) и на сервере работает секретный алгоритм, который синхронно вырабатывает новые пароли и заменяет старые пароли на новые. При аутентификации пользователь вводит свой PIN или User ID и устанавливает в ридере персональную интеллектуальную карту. Сравнение пароля, считанного с карты, с полученным на сервере, позволяет ли аутентифицировать пользователя.

Идентификация и аутентификация с помощью ЭЦП

Электронно-цифровая подпись может использоваться в качестве средства аутентификации, если она помещена на аппаратные средства типа интеллектуальной карты. Карта представляет серверу подписанный ЭЦП идентификатор или PIN пользователя, сервер проверяет электронно-цифровую подпись и тем самым проводит аутентификацию пользователя. Такая аутентификация возможна в случае ограниченного количества пользователей, что позволяет хранить на сервере информацию об электронно-цифровых подписях всех пользователей.

Технологии аутентификации

Примером системы одноразовых паролей является система S/Key (RFC 1760), которая позволяет генерировать одноразовые пароли на основе стандартов MD4, МD5.Эта система использует технологию клиент-сервер, где клиент-персональный компьютер, сервер - сервер аутентификации. Протокол аутентификации состоит в следующем:

· Клиент отправляет серверу пакеты инициализации;

· сервер отправляет клиенту порядковый номер и случайное число (seed);

· клиент вводит пароль (не менее 8 знаков).

· Пароль соединяется со случайным числом и порядковым номером;

· функция выхода переводит полученное 64-битовое число в читаемую форму, и это число используется в качестве одноразового пароля;

· пароль может вводиться следующими способами: с помощью программного обеспечения, включающего пароли в данные, с помощью специальной функции (cut and paste) или с помощью ручного ввода.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...