Колледж приборостроения и информационных технологий

МИРЭА

ОП.014(Информационная безопасность)

09.02.01(Компьютерные системы и комплексы)

Лабораторная работа №19

“Сетевая аутентификация на основе многоразового пароля”

Корсаков Максим Александрович

ПКС – 41

Идентификация - процедура распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент регистрации субъекта в качестве легального пользователя системы.

Аутентификация - процедура проверки подлинности входящего в систему объекта, предъявившего свой идентификатор. В зависимости от степени доверительных отношений, структуры, особенностей сети и удаленностью объекта проверка может быть односторонней или взаимной. В большинстве случаев она состоит в процедуре обмена между входящим в систему объектом и ресурсом, отвечающим за принятие решения ("да" или "нет"). Данная проверка, как правило, производится с применением криптографических преобразований, которые нужны, с одной стороны, для того, чтобы достоверно убедиться в том, что субъект является тем, за кого себя выдает, с другой стороны - для защиты трафика обмена субъект система от злоумышленника. Таким образом, идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности пользователей.

Идентификация и аутентификация — взаимосвязанные процессы распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. Аутентификация по многоразовым паролям

Учетные записи пользователей современных операционных систем включают в себя службу аутентификации, которая может хранить простейший идентификатор (login) и пароль (password) пользователя в своей базе данных. При попытке логического входа в сеть пользователь набирает свой пароль, который поступает в службу аутентификации. По итогам сравнения пары login/password с эталонным значением из базы данных учетных записей пользователей пользователь может успешно пройти процедуру простейшей аутентификации и авторизоваться в информационной системе.

Авторизация - процедура предоставления субъекту определенных прав доступа к ресурсам системы после успешного прохождения им процедуры аутентификации. Для каждого субъекта в системе определяется набор прав, которые он может использовать при обращении к её ресурсам.

Пример простой процедуры аутентификации пользователя с использованием многоразового пароля в сети можно представить следующим образом. При попытке логического входа в сеть пользователь набирает на клавиатуре компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись; из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус и те права на ресурсы сети, которые определены для его статуса системой авторизации.

В схеме простой аутентификации с использованием многоразового пароля передача пароля и идентификатора пользователя может производиться следующими способами:

- в незашифрованном виде. Например, согласно протоколу парольной аутентификации РАР (PasswordAuthenticationProtocol) пароли передаются по линии связи в открытой незащищенной форме;

- в защищенном виде. Все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.

Схема простой аутентификации с использованием пароля(многоразового пароля) рис. 7.1.

Вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как процесс может быть подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль при пересылке по незащищенному каналу, его нужно зашифровать.

Для этого в схему включены средства шифрования Е_k и дешифрования D_k, управляемые разделяемым секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля – P_A и исходного значения P’_A хранящегося в сервере аутентификации. Если значения P_A и P’_A совпадают, то пароль P_A считается подлинным, а пользователь А — законным.

Схемы организации простой аутентификации различаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенный способ — хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа операционной системы). Операционная система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. В этом случае не используются криптографические механизмы, такие как шифрование или однонаправленные функции. Недостатком данного способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам, и в частности, к файлу паролей.

С точки зрения безопасности более предпочтительным методом передачи и хранения паролей является метод передачи и хранения паролей с использованием односторонних функций. Суть этого метода заключается в том, что пользователь должен пересылать на сервер аутентификаций вместо открытой формы пароля его отображение, получаемое с использованием односторонней функции H(P). Это преобразование гарантирует невозможность раскрытия пароля по его отображению, так как злоумышленнику для раскрытия пароля потребуется решить неразрешимую числовую задачу.

Пример односторонней функции H(P):

H(P) = - Ep(ID),

где Р — пароль пользователя;

ID — идентификатор пользователя;

Ер— процедура шифрования, выполняемая с использованием пароля Р в качестве ключа.

Такие функции являются эффективными, если длина пароля и ключа одинаковы. В этом случае проверка подлинности пользователя А с помощью пароля Р_A состоит из пересылки серверу аутентификации отображения h(Р_A) и сравнения его с предварительно вычисленным и хранимым в базе данных сервера аутентификации эквивалентом h’(Р_A). Если отображения h(Р_A) и h’(Р_A) равны, то считается, что пользователь успешно прошел аутентификацию.

Различают две формы представления объектов, аутентифицирующих пользователя:

- внешний аутентифицирующий объект, не принадлежащий системе;

- внутренний объект, принадлежащий системе, в который переносится информация из внешнего объекта.

Внешние объекты могут быть представлены на различных носителях информации — пластиковых картах, смарт-картах, гибких магнитных дисках и т.п. Внешняя и внутренняя формы представления аутентифицирующего объекта должны быть семантически тождественны.

Например, в компьютерной системе зарегистрировано n пользователей. Пусть i-й аутентифицирующий объект i-го пользователя содержит два информационных поля:

IDi — неизменный идентификатор i-го пользователя, который является аналогом имени и используется для идентификации пользователя;

Кi — аутентифицирующая информация пользователя, которая может изменяться и используется для аутентификации (например, пароль Рi = Кi).

Описанная структура соответствует практически любому ключевому носителю информации, используемому для опознания пользователя. Например, для носителей типа пластиковых карт выделяются неизменяемая информация IDi, первичной персонализации пользователя и объект в файловой структуре карты, содержащий Кi.

Совокупность информации в ключевом носителе можно назвать первичной аутентифицирующей информацией i-го пользователя. Внутренний аутентифицирующий объект не должен существовать в системе длительное время (больше времени работы конкретного пользователя). Для длительного хранения следует использовать данные в защищенной форме.

Заключение

Таким образом из всего вышеописанного можно сказать, что системы сетевой аутентификации на основе многоразовых паролей не обладают достаточной стойкостью и надежностью для применения в особо крупных системах защиты информации с высокой вероятностью атаки, но в тоже время они являются довольно эффективными для решения определенных видов прикладных задач защиты информации, доступа к информации с невысокой вероятностью атаки требующих минимальных материальных и временных затрат.

Список литературы:

http://www.studfiles.ru/preview/3619126/page:4/

http://bourabai.ru/os/lecture24.htm