- •Аутентификация сообщений и пользователей компьютерных систем
- •Виды аутентификации
- •Аутентификация сторон
- •При регистрации в информационной системе субъекту (пользователю или процессу) выдаётся некоторое имя. Это
- •Идентификация, identification – проверка наличия предъявленного имени в списке
- •Уровни аутентификации
- •Свою подлинность субъект может показать на основе:
- •Простая аутентификация
- •Одноразовые пароли
- •Строгая аутентификация
- •Двухфакторная аутентификация – аутентификация производится по двум факторам:
- •Магнитная карта
- •Смарт-карта – это пластиковая карта со встроенным микропроцессором. Микропроцессор позволяет проконтролировать доступ к
- •Смарт-карта
- •Микропроцессорныекарты – кроме памяти содержат стандартный процессор для выполнения сложных действий и специализированный
- •По способу считывания информации различаютконтактные карты;
- •Бесконтактная смарт-карта дополнительно содержит радио модуль с индуктивной антенной. Дальность срабатывания от 10
- •Функциональная схема считывателя и карты
- •Бесконтактная смарт-карта
- •Токены являются конструктивным продолжением смарт-карт. Поэтому структурно и функционально они идентичны.В состав USB-токена
- •Электронные ключи
- •Конструктивно USB-ключи выполняются в виде флешки. Предполагается хранение на связке с ключами. Идентификатор
- •Область применения токена.
- •Криптографические протоколы строгой аутентификации
- •Протокол идентификации, identification protocol — протокол установления подлинности (аутентификации) сторон, участвующих во взаимодействии
- •Определение. Протокол идентификации
- •Классы протоколов идентификации:
- •Протоколы идентификации, использующие пароли (слабая аутентификация)
- •Фиксированные пароли нельзя использовать при их передаче по незащищенным каналам связи, особенно по
- •Протоколы идентификации, использующие технику «запрос-ответ» (сильная аутентификация)
- •примеры протоколов
- •2. Односторонняя идентификация с использованием случайных чисел.
- •«Запрос —ответ» с использованием асимметричных алгоритмов шифрования.
- •Протоколы идентификации, не использующие цифровую подпись.
- •Протокол идентификации, использующий цифровую подпись.
- •Протоколы идентификации, использующие технику доказательства знания
- •Свойства протокола: полнота, корректность,
- •Протоколы доказательства выполняют в виде последовательности независимых циклов, каждый из которых состоит из
- •Протокол идентификации Фиата-Шамира.
- ••Можно показать, что для данного криптографического протокола с нулевым разглашением свойства полноты, корректности
- •Способы аутентификации, основанные на знании субъектом уникальной информации
- •Паролирование
- •Угрозы безопасности для паролирования
- •Хэширование паролей при хранении
- •Проблема паролирования
- •Аутентификация MS в стандарте GSM
- •Аутентификация и распределение ключей с использованием сервера аутентификации
- •Внешние объекты аутентификации
- •Биометрические признаки
- •Характерные особенности отпечатка пальцев
- •Структурная схема считывателя отпечатков пальца
- •Полупроводниковый считыватель
- •Считыватели отпечатков пальцев
- •БИОМЕТРИЧЕСКИЙ СКАНЕР
- •Биокриптофлэш
- •Радужная оболочка глаза
- •Считыватели радужной оболочки глаза
- •Сетчатка глаза
Аутентификация сообщений и пользователей компьютерных систем
1
Виды аутентификации
Различают:
аутентификация сторон (пользователей ИС, конечных хостов, терминалов, корреспондентов, ответчик свой-чужой) для взаимного гарантированного опознавания
аутентификация сообщений – для защиты от имитации, подмены, дублирования, искажения сообщений в канале связи.
2
Аутентификация сторон
Рекомендуемая литература:
Шаньгин В.Ф. Информационная безопасность и защита информации.
Черемушкин А. В. Криптографические протоколы. 3
При регистрации в информационной системе субъекту (пользователю или процессу) выдаётся некоторое имя. Это имя называют идентификатором.
Для получения доступа к ресурсам системы пользователю необходимо пройти две процедуры:
идентификацию;аутентификацию.
После успешной аутентификации ИС |
|
проводит авторизацию пользователя. |
4 |
Идентификация, identification – проверка наличия предъявленного имени в списке
зарегистрированных пользователей, процессов, хостов… Аутентификация, authentication – проверка подлинности пользователя.
Авторизация, authorization – предоставление пользователю (процессу, устройству) прав доступа к ресурсам и к программам по его индивидуальному списку прав. Список определяется при регистрации.
Администрирование, accounting – настройка прав доступа пользователя к ресурсам ИС.
5
Уровни аутентификации
гостевой, анонимный; аутентификация посетителя не производится.
слабый, по имени или по адресу;
строгий.
6
Свою подлинность субъект может показать на основе:
обладания информацией, например, пароль, PIN-код, PK, SK;
обладания материальных носителей с
информацией, например, смарт-карта, USB- ключ;
использования собственных биометрических характеристик - нечто, что является частью его самого (голос, отпечаток пальца…).
7
Простая аутентификация
В схемах простой аутентификации используются многоразовые пароли. Возможны два способа их использования:
PAP, Password Authentication Protocol – пароли передаются по линии связи в открытой незащищённой форме;идентификаторы и пароли защищаются шифрованием или цифровой подписью.
Недостаток. Стойкость схемы и её безопасность фиктивные. Уровень аутентификации слабый.
8
Одноразовые пароли
OTP, One Time Password. Один пароль действителен только при одном вхождении. Одноразовые пароли генерируются с помощью OTP-токена. Используется ключ аутентификации пользователя, хранящийся в токене и на сервере аутентификации.
Преимущество. Не требуется соединять токен с терминалом, секретный ключ тогда утечке не подвержен.
Недостатки. Срок жизни токена с хранящимся ключом равен сроку жизни источника его питания, батарейки – 2, 3 года.
Фактически паролем является ключ аутентификации, по линии связи передаётся лишь результат работы формирователя имитовставки. Вычисленная имитовставка аутентификации для посторонних имеет вид пароля.
Достоинства. Аутентификация строгая.
9
Строгая аутентификация
При проведении аутентификации стороны доказывают наличие у себя некоторой секретной информации.
Это может быть ключ аутентификации, разделяемые данные или общий ключ засекречивания канала связи, предоставленный только сторонам обмена.
В стандарте X.509 различаются
•односторонняя;
•двусторонняя;
10