Мельников Д. А. - Информационная безопасность открытых систем - 2013

Всхеме F сторона А локально формирует свою ВИАУ для обмена и предоставляет ее стороне В, а затем сторона В предо­ ставляет ДТС для проверки полученную от стороны А ВИАУ для обмена.

Всхеме G, которая представляет собой поточную аутенти­ фикацию, сторона А локально формирует свою ВИАУ для об­ мена и предоставляет ее ДТС, затем ДТС передает стороне В СЕРТ|АУ вместе с проверочной ВИАУ, которая необходима для проведения ею локальной проверки.

Всхеме Н , которая представляет собой интерактивную аутентификацию, сторона А локально формирует свою ВИАУ для обмена и предоставляет ее ДТС, затем ДТС передает сто­ роне В извещение о том, что подлинность стороны А была проверена.

Моделирование на основе знания исходной информации.

Претендент (сторона А ) и проверяющая сторона (сторона В) должны использовать некоторую исходную информацию до на­ чала возможного проведения процедуры аутентификационного обмена. Если используется ДТС, то из этого следует, что претен­ дент непосредственно не знает открытого ключа или секретного ключа, используемого проверяющей стороной. Далее рассма­ триваются возможные типы исходных данных.

Исходная информация, используемая совместно претенден­ том и ДТС. Существуют следующие возможные случаи:

a)секретный ключ, совместно используемый претендентом

иДТС, известен претенденту и ДТС (методы на основе использования секретного ключа);

b)закрытый ключ претендента известен только претенденту (сторона А), открытый ключ претендента известен ДТС (асимметричные методы);

c)закрытый ключ претендента известен претенденту и ДТС (некоторые методы, применяемые при отсутствии исход­ ных данных).

Исходная информация, используемая совместно прове­ ряющей стороной и ДТС. Существуют следующие возможные случаи:

154

a)секретный ключ, совместно используемый проверяющей стороной (сторона В) и ДТС, известен проверяющей сто­ роне и ДТС (методы на основе использования секретного ключа);

B) открытый ключ ДТС известен проверяющей стороне (сторона В) (асимметричные методы и методы, приме­ няемые при отсутствии исходных данных).

3.4.6.2. Взаимосвязи между привлекаемыми к процедуре аутентификации ДТС

Интерактивные ДТС. При проведении процедуры аутенти­ фикации могут быть востребованы интерактивные ДТС. По­ следние, входящие в один и тот же ССБ, могут хранить предъяв­ ляемую ВИАУ и/или проверочную ВИАУ взаимодействующих сторон, которые были ранее зарегистрированы в этом сегменте.

Для обеспечения гарантий того, что в рамках конкретного ССБ различные участники информационного взаимодействия не могут быть зарегистрированы под одним и тем же именем, необходимо наличие специализированных протоколов и/или процедур.

Доступность интерактивных ДТС является очень важной требующей своего решения проблемой, в противном случае, процедуры аутентификационного обмена с использованием интерактивных ДТС могли бы стать объектами атак типа «от­ каз в обслуживании». Дублирование ВИАУ в нескольких ДТС может минимизировать уязвимость аутентификации с исполь­ зованием интерактивных ДТС. Для дублирования ВИАУ также необходимо наличие специализированных протоколов. Когда проверочная ВИАУ должна доставляться в рамках процедуры аутентификации, то при взаимодействии между собой несколь­ ких ДТС, участвующих в этой процедуре аутентификации, не­ обходимо привлекать службы обеспечения целостности, а в не­ которых случаях и службу обеспечения конфиденциальности. Когда предъявляемая ВИАУ должна доставляться в рамках процедуры аутентификации, то при взаимодействии между со­ бой нескольких ДТС необходимо привлекать службы обеспече­ ния целостности и конфиденциальности.

155

Кроме этого, может возникнуть необходимость проведения обмена результатами аудиторских проверок, которые прово­ дились различными интерактивными ДТС, входящими в один ССБ и участвующими в процедурах аутентификации. В этом случае для передачи и приема результатов аудиторских прове­ рок необходимо наличие специализированных протоколов.

Независимые ДТС. Очень часто независимые ДТС имену­ ются УЦ, так как они могут выпускать независимые СЕРТ|АУ. Нет необходимости в специфической защите независимого СЕРТ|АУ, поскольку он имеет собственную защиту. Доступ­ ность независимых СЕРТ|АУ является очень важной, требую­ щей своего решения проблемой, в противном случае процедуры аутентификационного обмена с использованием независимых СЕРТ|АУ могли бы стать объектами атак типа «отказ в обслу­ живании». Дублирование такой информации в нескольких раз­ личных репозитариях может минимизировать эту проблему.

3.5. Взаимодействие с другими службами и способами обеспечения безопасности

3 .5 .1 . У п р ав л ен и е доступом

Многим пользователям может понадобиться прохождение процедуры аутентификации перед тем, как им будет дозволено получение информации для контроля доступа. Эта информа­ ция обеспечит доступ к ресурсам, которые являются субъектом политики управления доступом. Соответственно служба ау­ тентификации может предоставить результаты процедуры ау­ тентификации службе управления доступом для использования последней.

Аннулирование ВИАУ может привести к прекращению су­ ществующего доступа.

3 .5 .2 . Ц елостность данны х

Аутентификация может использоваться совместно с обеспе­ чением целостности данных с целью обеспечения гарантии не-

156

прерывности аутентификации и дополнительного подтвержде­ ния подлинности источника данных.

Некоторые способы аутентификации могут применяться для распределения в явной либо неявной форме ключевой ин­ формации, которая может использоваться службой обеспечения целостности. Когда такая ключевая информация определена не­ явно, должен быть известен способ получения ключевой инфор­ мации из доставляемых данных либо такой способ должен быть определен в течение аутентификационного обмена. Когда такая ключевая информация определена явно, должны быть достав­ лены дополнительные данные, причем в обоих направлениях в течение аутентификационного обмена.

3 .5 .3 . Конф иденциал ьность данны х

Некоторые способы аутентификации могут применяться для распределения в явной либо неявной форме ключевой ин­ формации, которая может использоваться службой обеспече­ ния конфиденциальности. Когда такая ключевая информация определена неявно, должен быть известен способ получения ключевой информации из доставляемых данных либо такой способ должен быть определен в течение аутентификацион­ ного обмена. Когда такая ключевая информация определена явно, должны быть доставлены дополнительные данные, при­ чем в обоих направлениях в течение аутентификационного обмена.

3 .5 .4 . Н еотказуем ость

Некоторые способы аутентификации могут применяться для распределения в явной либо неявной форме ключевой ин­ формации, которая может использоваться службой обеспечения неотказуемости. Когда такая ключевая информация определена неявно, должен быть известен способ получения такой инфор­ мации из доставляемых данных либо такой способ должен быть определен в течение аутентификационного обмена. Когда такая

157

ключевая информация определена явно, должны быть достав­ лены дополнительные данные, причем в обоих направлениях в течение аутентификационного обмена.

3 .5 .5 . А удит

Информация, которая связана с аутентификацией и может быть использована при проведении аудиторских проверок, как правило, включает:

a) результаты аутентификации (т.е. достоверной идентифи­ кации);

B) информация, связанная с аннулированием ВИАУ;

c)информация о гарантии непрерывности аутентифика­ ции;

d)иная информация, касающаяся процедуры аутентифи­ кации.

З.б. Персонификация (аутентификация пользователей)

3 .6 .1 . О б щ и е п о л ож ен ия

Корректная аутентификация пользователей (физических лиц), т.е. персонификация, может быть неотъемлемой частью обеспечения безопасности открытых систем, которые обслужи­ вают запросы людей. Диалог между пользователем и компью­ терной системой может увеличивать вероятность вторжений с использованием атак типа «маскарад». Методы персонифика­ ции должны быть приемлемы для пользователей, а также эко­ номичны и безопасны. Неудобные методы иногда провоцируют пользователей к поиску путей для уклонения от процедур, а это, в свою очередь, —к потенциальному росту вторжений.

Персонификация зависит от принципов аутентификации в одной или нескольких следующих категорий:

a)знание чего-нибудь;

b)обладание чем-нибудь;

158

c)индивидуальные характеристики пользователя;

d)признание того, что определенная ДТС установила под­ линность пользователя;

e)контекст (например адрес источника в запросе).

Вобщем процесс персонификации применяет сравнение представленных пользователем верительных документов (дан­ ных) с ВИАУ, полученной в фазе инсталляции.

3.6.1.1.Персонификация на основе знания чего-нибудь

Вэтой категории пароль является наиболее общей исполь­ зуемой ВИАУ. Когда происходит обращение к системе, пользо­ ватель предъявляет пароль, а система аутентификации сравни­ вает его с соответствующим значением из списка паролей, чтобы подтвердить подлинность пользователя. Пароли должны быть трудными для отгадывания, а также должны находиться под тщательным и непрерывным контролем. В противном случае они становятся объектами неумышленного вскрытия.

3.6.1.2.Персонификация на основе обладания

чем-нибудь

В этой категории используется физический идентификатор, например:

a) карта с магнитной полосой (magnetic stripe card); b) смарт-карта (IC card).

В случае использования карт с магнитной полосой поль­ зователь при обращении к системе предъявляет такую карту, а система аутентификации считывает ВИАУ из карты с целью ее сравнения с хранящейся ВИАУ, чтобы подтвердить подлин­ ность пользователя.

Карты с магнитной полосой обладают серьезной уязвимо­ стью, т.е. они могут быть легко скопированы. Другой существен­ ной их уязвимостью является то, что если такой картой завла­ дел нарушитель, то данный способ аутентификации потерпит неудачу.

159

В случае использования смарт-карт пользователь при обра­ щении к системе предъявляет такую карту, а система аутенти­ фикации использует хранящуюся на данной карте информацию при формировании ВИАУ для обмена, чтобы подтвердить под­ линность пользователя. Преимуществом смарт-карты является то, что ее нельзя легко скопировать.

Возможны два варианта аутентификации владельца смарткарты:

•когда смарт-карта способна аутентифицировать своего владельца, то имеет место двойная схема аутентифика­ ции, в которой пользователь аутентифицируется про­ веряющей стороной. Такой способ эквивалентен за счет транзитивности, аутентификации пользователя напря­ мую;

•когда смарт-карта не способна аутентифицировать свое­ го владельца, а картой завладел нарушитель, то данный способ аутентификации потерпит неудачу.

3.6.13. Нестационарный генератор паролей

Один из способов персонификации основан на использова­ нии портативного прибора (устройства), который функциони­ рует как нестационарный (зависящий от времени) генератор паролей. ВИАУ для обмена формируется с использованием:

•секретной информации, хранящейся внутри прибора;

•значения времени;

•PIN-кода1, который напрямую вводится пользователем в прибор.

Таким образом, сформированная ВИАУ для обмена выво­ дится на дисплее прибора. Затем она передается пользователем (в открытом виде) проверяющей системе. Этой системе может понадобиться обеспечение синхронизации с картой. Такой тип персонификации требует, чтобы сам пользователь, т.е. владелец прибора, попытался себя аутентифицировать за счет:

1Personal Identification Number —личный опознавательный номер.

160

•обладания таким прибором;

•знания PIN-кода.

3.6.1.4. Персонификация на основе индивидуальной характеристики пользователя

Пароли очень уязвимы к вскрытию (раскрытию), если поль­ зоваться ими халатно, а физические идентификаторы очень уязвимы к краже или, в случае использования карт с магнитной полосой, несанкционированному копированию. Существует метод персонификации, не имеющий таких недостатков, кото­ рый основан на использовании индивидуальных характеристик пользователей, а именно:

•собственноручная подпись;

•отпечатки пальцев;

•тембр (спектр) голоса;

•рисунок сетчатки глаза;

•динамические характеристики печати на клавиатуре.

Кдвум наиболее важным классам, основанным на методе собственноручной подписи, относятся статические и динами­ ческие системы. В таких системах в качестве признаков могут использоваться наклон символов, нажим на бумагу, время и не­ посредственная информация из текста подписи.

Анализ динамических характеристик печати на клавиатуре обеспечивает непрерывность аутентификации.

В фазе регистрации пользователь фиксирует свой уникаль­ ный параметр в системе регистрации. Пользователь выполняет необходимую специфическую процедуру, например собственно­ ручно расписывается, ставит отпечатки пальцев на электронном планшете или произносит вслух специфические слова. Такая процедура при необходимости может повторяться до тех пор, пока не будет получена достоверная эталонная информация. Система анализирует параметрическое значение действия поль­ зователя и фиксирует это значение в качестве краткой характе­ ристики пользователя.

В фазах доставки и проверки пользователь предъявляет свой уникальный параметр и снова выполняет необходимую

161

специфическую процедуру. Проверяющая система сравнивает полученную от пользователя информацию с записанной ранее краткой характеристикой пользователя.

3 .6 .2 . П роцессы , действую щ ие от и м ен и пользователя

Внекоторых случаях пользователю может потребоваться действовать без собственного участия. В таких случаях он будет иметь свое виртуальное «представительство» (representation) внутри системы, которое может иметь независимое от фактиче­ ского присутствия пользователя «время жизни».

Всвязи с тем, что виртуальное представительство действует так, как будто это был пользователь, то действия от имени поль­ зователя могут продолжаться непрерывно, причем без необхо­ димости непосредственного присутствия самого пользователя.

Например, пользователь может зарегистрироваться, а затем может использовать различные компьютеры без последующей

регистрации на них.

Более предпочтительными являются виртуальные пред­ ставительства пользователя, которые могут использовать до­ полнительные способы, обеспечивающие зависимость времени жизни представительства от присутствия самого пользователя, по сравнению с поддержкой виртуального представительства с независимым временем жизни.

3.7. Аутентификация в ЭМВОС и Интернет-архитектуре

Определены два типа услуг:

•аутентификация взаимодействующей стороны (объекта);

•аутентификация источника данных.

3 .7 .1 . А утен ти ф и кац и я объ екта

Аутентификация объекта может использоваться либо перед фазой передачи данных, либо в течение фаза передачи данных с

162

целью подтверждения подлинности одной или нескольких взаи­ модействующих сторон, которые имеют соединения с одной или несколькими другими взаимодействующими сторонами. Эта услуга доступна при использовании протоколов, с установле­ нием и без установления соединения. Аутентификация объекта может использоваться и при односторонней, и при обоюдной аутентификации.

3 .7 .2 . А утен ти ф и кац и я и с то ч н и ка данны х

Аутентификация источника данных обеспечивает подтверж­ дение источника элемента данных. Эта услуга не обеспечивает защиту от дублирования элементов данных.

3 .7 .3 . И спользование аутен ти ф и кац и и уровням и Э М В О С и И н тер н ет-ар хи тектуры

Аутентификация объекта и аутентификация источника данных имеют место только на следующих уровнях ЭМВОС и Интернет-архитектуры:

•сетевом (3);

•транспортном (4);

•прикладном (7, ЭМВОС) или 5-м уровне Интернетархитектуры.

3.73.1. Использование аутентификации на сетевом уровне

Аутентификация объекта на сетевом уровне позволяет под­ твердить подлинность сетевого объекта. Эта услуга позволяет аутентифицировать сетевые узлы, узлы подсетей или ретран­ сляционные узлы.

Аутентификация источника данных на сетевом уровне по­ зволяет подтвердить подлинность источника элемента данных. Источниками данных могут быть сетевой узел, узел подсети или ретрансляционный узел.

163