ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12419
Скачиваний: 24
391
В основе аутентификации с одноразовыми паролями лежит процедура
типа «запрос-ответ». Генерация одноразовых паролей может осуществляться
аппаратным
или
программным
способом.
Аппаратные
средства
аутентификации на основе одноразовых паролей часто реализуются в виде
миниатюрных устройств со встроенным микропроцессором. Внешне эти
устройства похожи на платежные пластиковые карточки. Такие карты
обычно называют ключами. У них могут быть клавиатура и небольшое
дисплейное окно. Широко известна аппаратная реализация технологии
одноразовых паролей SecuгID компании Secuгity Dynamics. Существуют и
программные реализации средств аутентификации на основе одноразовых
паролей в виде программных ключей, в частности продукт Softoken
компании Enigma Logic. Программные ключи размещаются на гибком
магнитном диске в виде обычной программы с программным генератором
одноразовых паролей.
При попытке логического входа в систему пользователь сообщает
системе свой идентификатор и затем вводит последовательность цифр,
которую сообщает ему аппаратный или программный ключ со встроенным
генератором одноразовых паролей. Ключ циклически генерирует новый
пароль в виде новой последовательности цифр через небольшие постоянные
интервалы времени. Сервер аутентификации сравнивает введенную
пользователем цифровую последовательность с выработанным собственным
значением и в зависимости от результата этого сравнения разрешает или не
разрешает пользователю осуществить логический вход в систему. В качестве
сервера аутентификации могут быть использованы выделенный компьютер
или программа, выполняемая на обычном сервере.
На практике получила также широкое распространение схема
аутентификации на основе одноразовых паролей, предложенная Лампортом.
Суть данного метода заключается в многократном использовании
партнерами по аутентификационному обмену односторонней функции для
генерации разделяемой последовательности одноразовых паролей.
2.3. Аутентификация на основе сертификатов
Когда число пользователей в сети измеряется миллионами, процедура
предварительной регистрации пользователей, связанная с назначением и
хранением паролей пользователей, становится крайне громоздкой и
практически плохо реализуемой. В таких условиях аутентификация на основе
цифровых сертификатов служит рациональной альтернативой применению
паролей.
392
При использовании цифровых сертификатов компьютерная сеть,
которая дает доступ к своим ресурсам, не хранит никакой информации о
своих пользователях. Эту информацию пользователи предоставляют сами в
своих запросах - сертификатах. Такое решение масштабируется гораздо
легче, чем вариант с использованием паролей централизованной базой
данных. При этом задача хранения секретной информации, в частности
закрытых ключей, возлагается теперь на самих пользователей.
Цифровые сертификаты, удостоверяющие личность пользователя,
выдаются по запросам пользователей специальными уполномоченными
организациями центрами сертификации СА при выполнении определенных
условий. Сама процедура получения сертификата также включает этап
проверки подлинности (то есть аутентификации) пользователя. Здесь в
качестве проверяющей стороны выступает сертифицирующая организация.
Для получения сертификата клиент должен представить в центр
сертификации СА сведения, удостоверяющие его личность, и свой открытый
ключ. Перечень необходимых данных зависит от типа получаемого
сертификата. Сертифицирующая организация после проверки доказательств
подлинности пользователя помещает свою цифровую подпись в файл,
содержащий открытый ключ и сведения о пользователе, и выдает ему
сертификат, подтверждая факт принадлежности данного открытого ключа
конкретному лицу.
Сертификат представляет собой электронную форму, в которой
содержится следующая информация:
открытый ключ владельца данного сертификата;
сведения о владельце сертификата, например имя, электронный
адрес, наименование организации, в которой работает данный сотрудник и
т.п.;
наименование сертифицирующей организации, выдавшей этот
сертификат;
электронная
подпись
сертифицирующей
организации
-
зашифрованные закрытым ключом этой организации данные, содержащиеся
в сертификате.
Сертификат является средством аутентификации пользователя при его
обращении к сетевым ресурсам. При этом роль проверяющей стороны
играют серверы аутентификации корпоративной сети. Сертификаты можно
использовать не только для аутентификации, но и для предоставления
определенных прав доступа. Для этого в сертификат вводятся
дополнительные поля, в которых указывается принадлежность его владельца
к той или иной категории пользователей.
393
Cледует отметить тесную связь открытых ключей с сертификатами.
Сертификат является не только удостоверением личности, но и
удостоверением принадлежности открытого ключа. Цифровой сертификат
устанавливает и гарантирует соответствие между открытым ключом и его
владельцем. Это предотвращает угрозу подмены открытого ключа.
Если абонент получает от партнера по информационному обмену
открытый ключ в составе сертификата, то он может проверить цифровую
подпись СА на этом сертификате с помощью открытого ключа данного СА и
убедиться, что полученный открытый ключ принадлежит именно тому
пользователю, адрес и другие сведения о котором содержатся в данном
сертификате. При использовании сертификатов исчезает необходимость
хранить на серверах корпораций списки пользователей с их паролями. На
сервере
достаточно
иметь
список
имен
и
открытых
ключей
сертифицирующих организаций.
3. Аппаратно-программные средства типа «электронный замок»
Аппаратно-программные
средства
защиты
компьютера
типа
«электронный замок» предназначена для предотвращения доступа
посторонних лиц к информации, хранящейся на ПЭВМ, и регистрации
попыток доступа к ПЭВМ.
Электронные замки
-
устройства ввода идентификационных признаков
(УВИП) и соответствующее ПО. Совместное применение УВИП и электронного
замка дает возможность воздвигнуть перед злоумышленником две линии
обороны, преодолеть которые не так
-
то просто (рис. 1). Разумеется, речь
здесь не идет о физическом взломе компьютера.
Рис. 1. Две линии обороны
-
УВИП и электронный замок
В аппаратно
-
программных средствах контроля доступа к компьютерам
идентификация и аутентификация, а также ряд других важных защитных
394
функций, которые описываются ниже, осуществляются с помощью
электронного замка и УВИП до загрузки ОС.
Устройства ввода идентификационных признаков.
В состав аппаратных средств УВИП входят идентификаторы и
считывающие устройства (иногда считыватели могут отсутствовать).
Современные УВИП принято классифицировать по виду идентификационных
признаков и по способу их считывания (рис. 2).
Рис. 2. Классификация УВИП
По способу считывания они подразделяются на контактные,
дистанционные (бесконтактные) и комбинированные.
Контактное считывание идентификационных признаков предполагает
непосредственное взаимодействие идентификатора и считывателя
-
проведение идентификатора через считыватель или их простое
соприкосновение.
Бесконтактный (дистанционный) способ считывания не требует
четкого позиционирования идентификатора и считывателя. Для чтения
данных нужно либо на определенное расстояние поднести идентификатор к
считывателю (радиочастотный метод), либо оказаться с ним в поле
сканирования считывающего устройства (инфракрасный метод).
Комбинированный способ подразумевает сочетание обоих методов
считывания.
По виду используемых идентификационных признаков УВИП могут
быть электронными, биометрическими и комбинированными.
В электронных УВИП идентификационные признаки представляются в
виде кода, записанного в электронную микросхему памяти идентификатора.
В биометрических устройствах идентификационными признаками
являются индивидуальные физические признаки человека (отпечатки
395
пальцев, геометрия ладони, рисунок сетчатки глаза, голос, динамика
подписи и т. д.).
В комбинированных УВИП для
идентификации используется несколько
идентификационных признаков одновременно.
На российском рынке компьютерной безопасности предлагаются
разнообразные УВИП. К сожалению, изделия отечественной разработки
занимают на нем незначительную часть. Рассмотрим основные, самые
распостраненные типы устройств.
iButton
Разработанное компанией Dallas Semiconductor устройство ввода
идентификационных
признаков
на
базе
идентификатора
iButton
(www.ibutton.com) относится к классу электронных контактных УВИП.
Модельный ряд идентификаторов iButton довольно широк и
разнообразен (более 20 моделей). В общем виде iButton представляет собой
микросхему, вмонтированную в герметичный стальной корпус (рис. 3).
Корпус отдаленно напоминает батарейку для наручных часов и имеет
диаметр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Он
защищает и обеспечивает высокую степень защищенности идентификатора
от воздействия агрессивных сред, пыли, влаги, внешних электромагнитных
полей, механических ударов и т. п. Идентификатор легко крепится на
носителе (карточке, брелоке).
Рис. 3. Идентификатор iButton
Обмен информацией идентификатором и компьютером происходит в
соответствии с протоколом 1
-
Wire с помощью разнообразных считывающих
устройств (адаптеров последовательного, параллельного и USB
-
портов,
контактных устройств Touch Probe). Для записи и считывания данных из
идентификатора нужно, чтобы корпус iButton соприкоснулся со
считывающим устройством. Время контакта
-
не более 5 мс,
гарантированное количество контактов составляет несколько миллионов.