- •ЛЕКЦИЯ 5. АУТЕНТИФИКАЦИЯ
- •Содержание лекции
- •Программно-аппаратная защита от локального НСД
- •Порядок активизации
- •Невозможность надежной
- •Программно-аппаратная защита от локального НСД
- •Модель (возможности)
- •Программно-аппаратная защита
- •Электронный замок для
- •Установка системы защиты
- •Установка системы
- •Вход пользователя в КС
- •Программно-аппаратная защита от локального НСД
- •Анализ эффективности
- •Анализ эффективности
- •биометрической
- •Биометрические
- •Аутентификация по
- •Аутентификация по
- •Система распознавания по радужной оболочке глаза
- •Портативный сканер сетчатки
- •3D-сканер лица
- •биометрические
- •Термограмма лица, шеи и
- •Динамические
- •Графический планшет для
- •Создание биометрического
- •Проверка биометрической
- •биометрической
- •биометрической
- •Равная интенсивность
- •биометрической
- •Аутентификация при
- •Прямая аутентификация
- •Протокол S/Key
- •инициализации
- •Процедура аутентификации
- •Процедура
- •Протокол S/Key
- •Парольная инициализация в
- •Протокол CHAP
- •Протокол CHAP
- •Протокол CHAP
- •Используемое в протоколе
- •Используемое в протоколе
- •Используемое в протоколе
- •Недостатки прямой аутентификации
Протокол CHAP
Challenge Handshake Authentication Protocol
Идеей протокола CHAP является вычисление клиентом отклика на основе пароля и полученного от сервера случайного числа.
Протокол CHAP
1.Сервер аутентификации AS: генерация случайного числа N.
2.AS->Клиент C: идентификатор сервера IDS, N и его длина в байтах (вызов).
3.Пользователь U->C: пароль P.
4.C: вычисление хеш-значения R=H(IDS, N, P).
5.C->AS: IDU, R (отклик).
Протокол CHAP
6.AS: извлечение из регистрационной базы данных соответствующего IDU значения P, вычисление хеш-значения H(IDS, N, P) и сравнение его с R.
7.AS->C: если хеш-значения совпадают, то авторизация U, иначе отказ в доступе и разрыв соединения.
Используемое в протоколе
CHAP значение N
Должно быть уникальным и непредсказуемым. Если N неуникально, то нарушитель сможет:
•перехватить и сохранить пакет с откликом клиента R для запроса сервера N,
•дождаться следующего запроса сервера с
N,
•повторно использовать перехваченный им пакет с откликом R для несанкционированного доступа к информации на сервере в форме «маскарада».
Используемое в протоколе
CHAP значение N
Если значение N предсказуемо, то нарушитель сможет:
•подобрать N и, сформировав пакет с вызовом N, послать его клиенту от лица сервера;
•полученный от клиента пакет с откликом R нарушитель сохраняет для последующей отправки от лица клиента, когда подлинный сервер направит клиенту пакет с аналогичным вызовом N.
Используемое в протоколе
CHAP значение N
Обычно при реализации протокола CHAP в качестве N выбирается последовательность битов, представляющая значение текущих даты и времени в секундах, к которой присоединяется случайное число, полученное от программного или аппаратного генератора псевдослучайных чисел.
Недостатки прямой аутентификации
•При увеличении числа сетевых ресурсов и пользователей основные характеристики работы сети существенно ухудшаются.
•Работоспособность единственного сервера становится обязательным условием работоспособности сети.
•Создание дополнительных серверов с копиями регистрационной базы данных приводит к усложнению администрирования сети.