Файловый архив студентов. Файловый архив студентов.
1295 вузов, 5021 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Нижегородский Государственный Университет им. Н.И. Лобачевского
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
inform_bezop.docx
Скачиваний:
44
Добавлен:
13.09.2019
Размер:
700.35 Кб
Скачать
►Содержание►

17. Аутентификаторы и системы аутентификации.

Средства аутентификации, авторизации и идентификации относятся к категории классических средств по управлению информационной безопасностью как корпоративных, так и глобальных коммуникационных сетей и включают в себя определение, создание, изменение, удаление и аудит пользовательских учетных записей. Аутентификация в них используется для проверки подлинности входящего в систему пользователя и для избежания отказа в обслуживании зарегистрированного пользователя.

Для защиты от несанкционированного доступа к персональным компьютерам, серверам и другому оборудованию применяются механизмы аутентификации, использующие различные характеристики пользователей (рис. 1).

Рис. 1. Информация, используемая для аутентификации пользователей

Простейший механизм аутентификации, встроенный почти в любую операционную систему, предлагает после введения имени подтвердить его паролем, соответствующим данному имени. В таких распространенных операционных системах, как Windows и Unix, пароли хранятся в зашифрованном виде. При этом для шифрования паролей используются стандартные криптоалгоритмы с встроенными раз и навсегда ключами. Существует множество способов перехватить открытый пароль и пройти аутентификацию от чужого имени, поэтому во всех руководствах рекомендуется как можно чаще менять пароли, а также делать их как можно менее закономерными и более длинными.

Идентификация и аутентификация в сети

На первой стадии преобладали двухсторонние отношения между продавцами и партнерами. Двухсторонние отношения требовали идентификации и аутентификации друг друга при взаимодействии через Сеть. Данный тип взаимоотношений неудобен для пользователей услуг, так как требует персональной идентификации и аутентификации у каждого продавца.

На втором этапе идентификация и аутентификация покупателя проводятся один раз для многих продавцов при наличии их общего согласия. На третьей стадии покупатели и продавцы полагаются на провайдера услуг идентификации и аутентификации, что полностью исключает процедуру взаимной двухсторонней аутентификации между покупателем и продавцом. Данный способ идентификации называется циклом доверия. Он позволяет включать в процедуру взаимодействия поставщика и получателя услуг третью сторону, например банк. Следующая стадия развития идентификации и аутентификации в сети связана с взаимодействием множества серверов по предоставлению услуг идентификации и аутентификации между собой. Такой способ сервиса носит название "федеральная служба сетевой аутентификации".

Все случаи сетевой аутентификации сводятся к двухсторонней аутентификации на уровне протоколов аутентификации между компонентами автоматизированных систем. Причем появление постоянного пароля в сетевом трафике резко снижает безопасность сетевой аутентификации. Поэтому в сетевой аутентификации необходимо использование одноразовых паролей или аутентификации с помощью аппаратных средств.

Аутентификация с помощью аппаратных средств

Аутентификация с помощью аппаратных средств бывает двух видов:

  • по схеме запрос-ответ;

  • по схеме аутентификации с синхронизацией.

Рис. З. Функции, реализуемые аппаратными средствами аутентификации (смарт-карты, USB-ключи, Touch-Memory)

В первом случае пользователь подключается к серверу аутентификации и передает ему PIN или User ID. Сервер передает пользователю случайное число, которое пересылается на подключенную к пользовательской машине интеллектуальную карту. Карта шифрует полученное число и передает результат серверу. Сервер также шифрует посланное им случайное число, используя ключ пользователя. Сравнение шифртекста, полученного от пользователя, и шифртекста, вычисленного на сервере, позволяет аутентифицировать пользователя. В схеме с синхронизацией по времени на аппаратном устройстве пользователя (интеллектуальной карте и т.д.) и на сервере работает секретный алгоритм, который синхронно вырабатывает новые пароли и заменяет старые пароли на новые. При аутентификации пользователь вводит свой PIN или User ID и устанавливает в ридере персональную интеллектуальную карту. Сравнение пароля, считанного с карты, с полученным на сервере, позволяет ли аутентифицировать пользователя.

Идентификация и аутентификация с помощью ЭЦП

Электронно-цифровая подпись может использоваться в качестве средства аутентификации, если она помещена на аппаратные средства типа интеллектуальной карты. Карта представляет серверу подписанный ЭЦП идентификатор или PIN пользователя, сервер проверяет электронно-цифровую подпись и тем самым проводит аутентификацию пользователя. Такая аутентификация возможна в случае ограниченного количества пользователей, что позволяет хранить на сервере информацию об электронно-цифровых подписях всех пользователей.

Технологии аутентификации

Примером системы одноразовых паролей является система S/Key (RFC 1760), которая позволяет генерировать одноразовые пароли на основе стандартов MD4, МD5.Эта система использует технологию клиент-сервер, где клиент-персональный компьютер, сервер - сервер аутентификации. Протокол аутентификации состоит в следующем:

  • Клиент отправляет серверу пакеты инициализации;

  • сервер отправляет клиенту порядковый номер и случайное число (seed);

  • клиент вводит пароль (не менее 8 знаков).

  • Пароль соединяется со случайным числом и порядковым номером;

  • функция выхода переводит полученное 64-битовое число в читаемую форму, и это число используется в качестве одноразового пароля;

  • пароль может вводиться следующими способами: с помощью программного обеспечения, включающего пароли в данные, с помощью специальной функции (cut and paste) или с помощью ручного ввода.

Протокол аутентификации RADIUS

Протокол RADIUS (RFC 2058, RFC2059)является примером построения распределенной архитектуры аутентификации и авторизации. Протокол RADIUS основан на технологии клиент-сервер. Клиентом сервера RADIUS обычно является сервер сетевого доступа. Сервер RADIUS реализован обычно с помощью "домена" на UNIX- или NT-машине. Серверы RADIUS получают запросы пользователей на подключение, проводят аутентификацию пользователей, формируют, а затем отправляют серверу сетевого доступа всю конфигурационную информацию, которая необходима клиенту для обслуживания пользователя. Двусторонняя связь клиента и сервера RADIUS идет в зашифрованном виде, что исключает компрометацию пользовательской информации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности