- •1. Пароли
- •1.1. Противодействие раскрытию и угадыванию пароля
- •1.2. Противодействие пассивному перехвату
- •1.3. Защита при компрометации проверяющего
- •1.4. Противодействие несанкционированному воспроизведению
- •1.5. Одноразовые пароли
- •1.6. Метод «запрос-ответ»
- •2. Биометрические методы
- •3. Криптографические методы аутентификации
- •3.1. Аутентификация в режиме on-line
- •3.1.1. Протокол 1. Симметричная криптосистема
- •3.1.2. Протокол 2. Асимметричная криптосистема
- •3.2. Аутентификация при участии нескольких серверов
- •3.3. Организация серверов аутентификации
- •3.4. Аутентификация в режиме off-line
- •3.4.1. Протокол на основе симметричной криптосистемы
- •3.4.2. Протокол на основе асимметричной криптосистемы
- •3.5. Аутентификация с привлечением арбитра
- •3.5.1. Протокол 3. Симметричная криптосистема
- •3.5.2. Протокол 4. Асимметричная криптосистема
- •4. Анализ протоколов аутентификации
- •4.1. Протокол с сервером аутентификации
- •4.2. Протокол «запрос-ответ»
- •4.3. Протоколы на основе асимметричных криптосистем
- •4.4. Протокол с «двуликим Янусом»
- •4.5. Протокол стандарта х.509
- •4.6. Протокол для сетей подвижной радиосвязи
- •4.7. Анализ протоколов ssh и ака
- •5. В an-логика
- •6. Протокол Kerberos
- •6.1. Модель Kerberos
- •6.2. Этапы протокола Kerberos
- •6.3. Атрибуты
- •6.4. Сообщения Kerberos версии 5
- •6.5. Получение первоначального мандата
- •6.6. Получение мандатов прикладных серверов
- •6.7. Запрос услуги
- •6.8. Kerberos версии 4
- •6.9. Безопасность Kerberos
3.4.2. Протокол на основе асимметричной криптосистемы
Гарантия временной целостности (time integrity) сообщений необходима и в случае использования асимметричной криптосистемы. Существует два альтернативных метода.
Первый метод заключается в односторонней передаче (без «рукопожатия») следующего служебного сообщения:
А -> В: {А, I, {В}PКА}РКв. (IX.18)
Абонент А выступает в качестве отправителя. Получатель В может проконтролировать аутентичность А, дешифруя {В} А на открытом ключе А. Для получения РКa необходимо запросить сервер аутентификации (сообщения (IX.11) и (IX.12)). Одноразовое значение I используется для связи служебного сообщения с последующим потоком сообщений, содержащих зашифрованные на РКв данные абонента А. При передаче последующих сообщений используется механизм временных меток и нумерация. Для асимметричной криптосистемы одноразовое значение I выступает в той же роли, что и ключ Ks в симметричной криптосистеме.
3.5. Аутентификация с привлечением арбитра
В предыдущих параграфах рассматривались протоколы взаимной аутентификации двух равноправных сетевых объектов. Однако в ряде случаев необходимо уметь доказывать подлинность объектов третьей стороне. В бумажном мире для доказательства подлинности документа применяют факсимильную подпись. В мире электронных документов для этой цели применяется цифровая подпись. Основное требование, предъявляемое к цифровой подписи, заключается в невозможности ее фальсификации (несанкционированного изменения подписи при фиксированном сообщении или изменения сообщения при фиксированной подписи), а также отказа отправителя/получателя от ранее переданного/принятого подписанного сообщения.
3.5.1. Протокол 3. Симметричная криптосистема
Известный подход к решению задачи заключается в применении хэш-функции.
Протокол аутентификации сводится к следующей последовательности действий. Сначала А вычисляет значение хэш-функции Нa от блока данных, шифрует Hа на своем секретном ключе и передает серверу аутентификации:
A->AS: A, {ha}ka. (IX. 19)
Сервер заверяет значение хэш-функции и возвращает его А:
AS->A: {A, ha}kas. (IX.20)
Отметим, что сообщение (IX.20) зашифровано на секретном ключе сервера и может быть дешифровано только им. Затем А посылает В сообщение (IX.20) вместе с зашифрованным на ключе kb информационным блоком. Абонент В сначала дешифрует блок и вычисляет значение хэш-функции Нв, затем В передает сообщение (IX.20) серверу аутентификации:
B->AS: В, {A, ha}kas. (IX.21)
Сервер сначала дешифрует сообщение на своем секретном ключе, затем шифрует его на секретном ключе kb и возвращает В:
AS->B: {А, НА}Кв. (IX.22)
Если принятое от сервера значение на равно Нв, то подлинным отправителем блока является абонент А (его имя фигурирует в сообщении (IX.22)). Если Нв не равно Hа, то какие-то из сообщений (1Х.19)-(1Х.22) были фальсифицированы. Обнаружение попыток фальсификации возможно на более ранних этапах. Для этого необходимо использовать одноразовые значения в сообщениях (1Х.19)-(1Х.20) и (1Х.21)-(1Х.22). Для доказательства подлинности независимому арбитру достаточно предъявить принятые блок данных и сообщение (IX.20). Проверка подлинности выполняется в соответствии с шагами (IX.21) и (IX.22).
Описанный протокол может быть легко обобщен на случай нескольких серверов аутентификации.