Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5135 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции по МиСЗИ.doc
Скачиваний:
1
Добавлен:
01.03.2025
Размер:
2.11 Mб
Скачать
►Содержание►

24 Октября 2012г.

Парольная аутентификация.

Главное достоинство парольной аутентификации — простота и привычность.

Пароли давно встроены в ОС и иные сервисы безопасности. При правильном использовании пароли могут обеспечить приемлемый уровень безопасности для многих организаций.

Тем не менее по совокупности характеристик их следует признать самым слабым методом проверки подлинности. Чтобы пароль был запоминающимся, их часто делают простыми. Это может быть имя, дата и т.д. Однако, простой пароль нетрудно угадать, особенно, если "знать" пользователя. Иногда пароли с самого начала не хранятся в тайне, т.к. имеют стандартное значение в документации. Далеко не всегда их меняют. Ввод пароля можно подсмотреть. Иногда для подглядывания используются оптические приборы. Пароли нередко сообщают коллегам, чтобы те помогли на некоторое время заменить владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так не поступают.

Пароль можно угадать методом "грубой силы", используя словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на ПК, и попытаться подобрать пароль запрограммировав полный перебор. Предполагается, что алгоритм шифрования известен. Тем не менее, следующие меры позволяют повысить надежность парольной защиты:

  1. Наложение технических ограничений (пароль должен быть не слишком коротким, состоять из цифр, знаков, символов, букв).

  2. Управление сроком действия паролей, их периодическая смена.

  3. Ограничение доступа к файлу паролей.

  4. Ограничение числа неудачных попыток входа в систему (затруднит перебор).

  5. Обучение пользователей.

  6. Использование программных генераторов паролей (такая программа основываясь на несложных правилах может порождать запоминающиеся пароли).

Перечисленные меры целесообразно применять всегда, если наряду с паролями используются другие методы аутентификации.

Одноразовые пароли.

Раскрытие многоразового пароля позволяет злоумышленнику действовать от имени легального пользователя. Гораздо более сильным средством, устойчивым к пассивному прослушиванию, являются одноразовые пароли.

Наиболее распространенным генератором одноразовых паролей является система S/Key. Идея этой системы в следующем: пусть имеется некоторая односторонняя функция f (то есть функция, вычислить обратную которой за приемлемое время невозможно. Эта функция известна и пользователю, и серверу аутентификации. Пусть имеется секретный ключ k, известный только пользователю. На этапе начального администрирования пользователя функция f применяется к ключу k n-раз, после чего результат сохраняется на сервере. После этого процедура проверки пользователя выглядит следующим образом:

  1. Сервер присылает на пользовательскую систему число n-1

  2. Пользователь применяет функцию f к ключу k n-1 раз.

  3. Сервер применяет функцию f к полученному от пользователя значению, и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность считается установленной. При этом сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик n.

На самом деле реализация устроена чуть сложнее. Кроме счетчика сервер присылает затравочное значение, используемое функцией f. Поскольку функция f необратима, перехват пароля и доступ к серверу аутентификации не позволяют узнать секретный ключ k, и тем самым предсказать следующий одноразовый пароль. Система s/key имеет статус интернет-стандарта RFC 1938.

Другой подход к надежной аутентификации состоит в генерации нового пароля через небольшой промежуток времени, например, через каждые 60с., для чего могут использоваться программы или интеллектуальные карты (с практической точки зрения такие пароли можно считать одноразовыми). При этом серверу аутентификации должен быть известен алгоритм генерации пароля и ассоциированные с ним параметры.

Сервер аутентификации KERBEROS.

Kerberos — программный продукт из 1980-ых, претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем. Kerberos предназначен для решения следующей задачи: имеется открытая (незащищенная) сеть, в узлах которой сосредоточены пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект C мог доказать свою подлинность субъекту S, он должен назвать не только себя, но и продемонстрировать знание секретного ключа. Субъект Клиент не может послать свой секретный ключ Серверу, потому что сеть открыта (доступна для пассивного и активного прослушивания), и потому что Сервер не знает секретный ключ Клиента. Требуется менее прямолинейный способ демонстрации знания секретного ключа. Система Kerberos представляет собой третью доверенную сторону (владеющую секретными ключами, обслуживающих клиентов, и помогающую им в попарной проверке подлинности.

Чтобы с помощью Kerberos получить доступ к Серверу, Клиент посылает запрос Kerberos, содержащий сведения о нём, Клиенте, запрашиваемой услуге. В ответ Kerberos посылает т.н. билет, зашифрованный Сервером, и копию части информации из билета, зашифрованную секретным ключом Клиента. Клиент должен расшифровать вторую порцию данных, и переслать ее вместе с билетом Серверу. Сервер расшифровав билет может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что Клиент смог расшифровать предназначенные ему данные, ведь содержимое билета никому кроме Сервера и Kerberos недоступно. Тем самым Клиент продемонстрировал знание секретного ключа. Подчеркнем, что секретные ключи в процессе проверки подлинности не передаются по сети даже в зашифрованном виде. Они используются только для шифрования. Как организован первоначальный обмен ключами между Kerberos и субъектами вопрос отдельный, и то как субъекты хранят свои ключи.

Приведенная схема взаимодействия между клиентом Kerberos и сервером крайне упрощенная версия реальной проверки пользователя. Важно отметить, что Kerberos не только устойчив к сетевым угрозам, но и поддерживает концепцию единого входа в сеть.

Идентификация с помощью биометрических характеристик.

Биометрия представляет собой совокупность автоматизированных методов идентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки/лица.

//--//--//пропущено//--//--//

Управление доступом.

С традиционной точки зрения средства управления доступом позволяют контролировать действия пользователей, которые они могут выполнять над объектами. Мы будем рассматривать логическое управление доступом, которое в отличии от физического реализуется программными средствами. Логическое управление доступом — основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов, и до некоторой степени их доступность (путем запрещения обслуживания неавторизованных пользователей). Рассмотрим формальную постановку задачи в традиционной трактовке: имеется совокупность субъектов и набор объектов. Задача логического управления доступом в том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций (зависящее от некоторых дополнительных условий) и контролировать выполнение установленного порядка. Отношение "субъекты-объекты" можно представить в виде некоторой матрицы доступа: в строках, в которой перечислены субъекты, в столбцах — объекты, а в клетках дополнительные условия и разрешенные виды доступа.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности