Файл: Идентификация и аутентификация с помощью внешних носителей ключевой информации.pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 08.07.2023

Просмотров: 92

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Виртуальные частные сети

Межсетевое экранирование

Взаимная проверка подлинности пользователей

Программы от несанкционированного доступа

CryptoExpert

Графическое оформление программы представлено в приложении

FineCrypt

DekartPrivateDisk 2.10

Введение

В этом случае информация, идентифицирующая и аутентифицирующая пользователя, хранится на внешнем носителе информации, который может представлять собой обычную дискету, электронный ключ, пластиковую карту и т.д. При входе в систему пользователь подключает к компьютеру носитель ключевой информации, и операционная система считывает с него идентификатор пользователя и соответствующий ему ключ.

Поскольку ключ, хранящийся на внешнем носителе, может быть сделан гораздо более длинным, чем пароль, подобрать такой ключ практически невозможно. Однако угроза утери или кражи ключевой информации по-прежнему остается актуальной. Если процедура аутентификации не предусматривает дополнительных мер защиты, любой обладатель носителя ключевой информации, в том числе и злоумышленник, укравший этот носитель у легального пользователя системы, может войти в систему с правами пользователя, которому принадлежит носитель.

Поэтому данный механизм аутентификации, как правило, используется в совокупности с дополнительным защитным кодом. При этом пользователь, входя в систему, должен не только "предъявить" компьютеру носитель ключевой информации, но и ввести соответствующий этому носителю пароль. Ключевая информация на носителе информации хранится зашифрованной на этом пароле, что не позволяет случайному обладателю ключа воспользоваться им.

Основной угрозой при использовании описываемого механизма аутентификации является угроза кражи носителя ключевой информации с последующим его копированием и подбором пароля на доступ к ключу. Если этот ключ выбирается случайно и не содержит проверочных полей (контрольных сумм и т.д.), подбор пароля на доступ к ключу вне атакуемой операционной системы невозможен -злоумышленник просто не сможет сформулировать критерий, позволяющий отличать правильно расшифрованный ключ от неправильно расшифрованного и, следовательно, правильный пароль от неправильного. А если злоумышленник станет опробовать этот пароль, делая попытки использовать ключевой носитель для аутентификации, от этой угрозы надежно защищают процедуры блокировки

Однако во многих случаях без проверочных полей ключа обойтись невозможно. В этой ситуации пароль на доступ к ключу может быть подобран с помощью методов подбора паролей. Для затруднения такого подбора используются следующие меры защиты:

-защита ключевого носителя от копирования;

-блокировка или уничтожение ключевой информации после определенного количества неудачных попыток ввода пароля на доступ к ключу.

Если в качестве носителя ключевой информации применяются ключевые дискеты, электронные ключи TouchMemory или пластиковые карты MemoryCard, эти меры защиты неприменимы. Хотя существующие средства защиты от копирования и позволяют несколько затруднить копирование носителя информации, любой из перечисленных носителей может быть скопирован за несколько минут, в отдельных случаях -за несколько часов. Поскольку проверку правильности пароля на доступ к ключу осуществляет операционная система, то, если злоумышленник подбирает пароль с помощью специальной программы, подсчитывать количество неудачных попыток также невозможно.

В отличие от перечисленных носителей информации интеллектуальные пластиковые карты SmartCardпомимо энергонезависимой памяти содержат микропроцессор, способный выполнять криптографические преобразования информации. Поэтому интеллектуальные карты способны самостоятельно проверять правильность пароля на доступ к ключевой информации, и при аутентификации пользователя с использованием интеллектуальной карты проверку пароля на доступ к карте производит не операционная система, а сама карта. Интеллектуальная карта может быть запрограммирована на стирание хранимой информации после превышения максимально допустимого количества неправильных попыток ввода пароля, что не позволяет подбирать пароль без частого копирования карты, а это весьма дорого.

В целом использование для аутентификации пользователей не только паролей, но еще и внешних носителей информации позволяет заметно повысить защищенность операционной системы. В наибольшей мере защищенность системы повышается при использовании интеллектуальных карт. Учитывая постоянное удешевление как самих интеллектуальных карт, так и устройств для их считывания, можно ожидать, что в ближайшие 5-10лет интеллектуальные карты станут основным средством аутентификации в операционных системах, используемых для хранения и обработки конфиденциальной информации.
Средства идентификации и аутентификации –электронные идентификаторы– являются частью аппаратно-программных систем идентификации и аутентификации (СИА), в которые входят также устройства ввода-вывода и соответствующее ПО.
Идентификация представляет собой процесс распознавания пользователя по присущему или присвоенному ему идентификационному признаку. Аутентификация– процесс проверки принадлежности пользователю предъявленного им идентификационного признака.
электронные идентификаторы предназначены для хранения уникальных идентификационных признаков, а также для хранения и обработки конфиденциальных данных. Устройства ввода-вывода и ПО осуществляют обмен данными между идентификатором и защищаемым компьютером. Идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора
По способу обмена данными между идентификатором и устройством ввода-вывода электронные СИА подразделяются на:
Контактные– при непосредственном соприкосновении идентификатора с устройством ввода-вывода;
бесконтактные– при отсутствии четкого позиционирования идентификатора и устройства ввода-вывода (чтение / запись данных происходит при поднесении идентификатора на определенное расстояние к устройству ввода-вывода).
Современные электронные СИА разрабатываются на базе следующих идентификаторов:

  • смарт-карт;
  • радиочастотных, или RFID-идентификаторов;
  • идентификаторов iButton;
  • USB-ключей, или USB-токенов.

Контактные идентификаторы подразделяются на идентификаторы iButton, смарт-карты и USB-ключи.

Идентификатор iButton представляет собой встроенную в герметичный стальной корпус микросхему, питание которой обеспечивает миниатюрная литиевая батарейка. Основу чипа составляют мультиплексор и память. Помимо этого некоторые типы идентификаторов содержат дополнительные компоненты.

Контактные смарт-карты делиться на процессорные карты и карты с памятью. Выпускаются в виде пластиковых карточек. Основу внутренней структуры современной процессорной смарт-карты составляет чип, в состав которого входят процессор (или несколько процессоров), оперативная память RAM, постоянная память ROM и энергонезависимая программируемая постоянная память PROM.

USB-ключи предназначаются для работы с USB-портом компьютера. Конструктивно изготавливаются в виде брелоков, выпускаемых в цветных корпусах и имеющих световые индикаторы работы. Каждый идентификатор имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

Бесконтактные идентификаторы разделяются на идентификаторы Proximity и смарт-карты. Конструктивно они изготавливаются в виде пластиковых карточек, брелоков, жетонов, дисков, меток и т. п. Основными компонентами идентификаторов являются чип и антенна. Каждый идентификатор имеет уникальный 32/64-разрядный серийный номер.

Достоинством радиочастотных идентификаторов, смарт-карт и USB-ключей являются защищенная энергонезависимая память и криптографический процессор, позволяющие повысить уровень защиты устройств, входящие в их состав.

Прежде чем получить доступ к ресурсам, пользователь должен пройти процесс представления компьютерной системе, который включает две стадии:

идентификацию - пользователь сообщает системе по ее запросу свое имя (идентификатор);

аутентификацию - пользователь подтверждает идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль).

Для проведения процедур идентификации и аутентификации пользователя необходимо наличие:

  • программы аутентификации;
  • уникальная информация о пользователе.

Различают две формы хранения информации о пользователе: внешняя (например, пластиковая карта) и внутренняя (например, запись в базе данных).

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация, позволяющая уверенно идентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения.

Основные достоинства биометрических методов идентификации и аутентификации:

высокая степень достоверности идентификации по биометрических признакам из-за их уникальности;

неотделимость биометрических признаков от дееспособной личности;

трудность фальсификации биометрических признаков.

В качестве биометрических признаков, которые могут быть использованы для идентификации потенциального пользователя, используются:

  • узор радужной оболочки и сетчатки глаз;
  • отпечатки пальцев;
  • геометрическая форма руки;
  • форма и размеры лица;
  • термограмма лица;
  • форма ушей;
  • особенности голоса;
  • ДНК;

биомеханические характеристики рукописной подписи;

биомеханические характеристики "клавиатурного почерка".

При регистрации пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки (известные как подлинные) регистрируются системой как контрольный "образ" законного пользователя. Этот образ пользователя хранится в электронной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя.

Системы идентификации по узору радужной оболочки и сетчатки глаз могут быть разделены на два класса:

  • использующие рисунок радужной оболочки глаза;
  • использующие рисунок кровеносных сосудов сетчатки глаза.

Поскольку вероятность повторения данных параметров равна 10-78, эти системы являются наиболее надежными среди всех биометрических систем. Такие средства применяются, например, в США в зонах военных и оборонных объектов.

Системы идентификации по отпечаткам пальцев являются самыми распространенными. Одна из основных причин широкого распространения таких систем заключается в наличии больших банков данных по отпечаткам пальцев. Основными пользователями таких систем во всем мире являются полиция, различные государственные организации и некоторые банки.

Системы идентификации по геометрической форме руки используют сканеры формы руки, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы именно этого типа.

Системы идентификации по лицу и голосу являются наиболее доступными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса широко применяются при удаленной идентификации в телекоммуникационных сетях.

Системы идентификации по динамике рукописной подписи учитывают интенсивность каждого усилия подписывающегося, частотные характеристики написания каждого элемента подписи и начертания подписи в целом.

Системы идентификации по биомеханическим характеристикам "клавиатурного почерка" основываются на том, что моменты нажатия и отпускания клавиш при наборе текста на клавиатуре существенно различаются у разных пользователей. Этот динамический ритм набора ("клавиатурный почерк") позволяет построить достаточно надежные средства идентификации.

Следует отметить, что применение биометрических параметров при идентификации субъектов доступа автоматизированных систем пока не получило надлежащего нормативно-правового обеспечения, в частности в виде стандартов. Поэтому применение систем биометрической идентификации допускается только в системах, обрабатывающих и хранящих персональные данные, составляющие коммерческую и служебную тайну.

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – VirtualPrivateNetwork) и межсетевое экранирование. Рассмотрим их подробно.

Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.

С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

Смотрите также файлы