МИРЭА
ОП.014(Информационная безопасность)
09.02.01(Компьютерные системы и комплексы)
Лабораторная работа №19
“Сетевая аутентификация на основе многоразового пароля”
Корсаков Максим Александрович
ПКС – 41
Идентификация - процедура распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент регистрации субъекта в качестве легального пользователя системы.
Аутентификация - процедура проверки подлинности входящего в систему объекта, предъявившего свой идентификатор. В зависимости от степени доверительных отношений, структуры, особенностей сети и удаленностью объекта проверка может быть односторонней или взаимной. В большинстве случаев она состоит в процедуре обмена между входящим в систему объектом и ресурсом, отвечающим за принятие решения ("да" или "нет"). Данная проверка, как правило, производится с применением криптографических преобразований, которые нужны, с одной стороны, для того, чтобы достоверно убедиться в том, что субъект является тем, за кого себя выдает, с другой стороны - для защиты трафика обмена субъект система от злоумышленника. Таким образом, идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности пользователей.
Идентификация и аутентификация — взаимосвязанные процессы распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. Аутентификация по многоразовым паролям
Учетные записи пользователей современных операционных систем включают в себя службу аутентификации, которая может хранить простейший идентификатор (login) и пароль (password) пользователя в своей базе данных. При попытке логического входа в сеть пользователь набирает свой пароль, который поступает в службу аутентификации. По итогам сравнения пары login/password с эталонным значением из базы данных учетных записей пользователей пользователь может успешно пройти процедуру простейшей аутентификации и авторизоваться в информационной системе.
Авторизация - процедура предоставления субъекту определенных прав доступа к ресурсам системы после успешного прохождения им процедуры аутентификации. Для каждого субъекта в системе определяется набор прав, которые он может использовать при обращении к её ресурсам.
Пример простой процедуры аутентификации пользователя с использованием многоразового пароля в сети можно представить следующим образом. При попытке логического входа в сеть пользователь набирает на клавиатуре компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись; из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус и те права на ресурсы сети, которые определены для его статуса системой авторизации.
В схеме простой аутентификации с использованием многоразового пароля передача пароля и идентификатора пользователя может производиться следующими способами:
- в незашифрованном виде. Например, согласно протоколу парольной аутентификации РАР (PasswordAuthenticationProtocol) пароли передаются по линии связи в открытой незащищенной форме;
- в защищенном виде. Все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.
Схема простой аутентификации с использованием пароля(многоразового пароля) рис. 7.1.
Вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как процесс может быть подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль при пересылке по незащищенному каналу, его нужно зашифровать.
Для этого в схему включены средства шифрования Еk и дешифрования Dk, управляемые разделяемым секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля – PA и исходного значения P’A хранящегося в сервере аутентификации. Если значения PA и P’A совпадают, то пароль PA считается подлинным, а пользователь А — законным.
Схемы организации простой аутентификации различаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенный способ — хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа операционной системы). Операционная система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. В этом случае не используются криптографические механизмы, такие как шифрование или однонаправленные функции. Недостатком данного способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам, и в частности, к файлу паролей.
С точки зрения безопасности более предпочтительным методом передачи и хранения паролей является метод передачи и хранения паролей с использованием односторонних функций. Суть этого метода заключается в том, что пользователь должен пересылать на сервер аутентификаций вместо открытой формы пароля его отображение, получаемое с использованием односторонней функции H(P). Это преобразование гарантирует невозможность раскрытия пароля по его отображению, так как злоумышленнику для раскрытия пароля потребуется решить неразрешимую числовую задачу.
Пример односторонней функции H(P):
H(P) = - Ep(ID),
где Р — пароль пользователя;
ID — идентификатор пользователя;
Ер— процедура шифрования, выполняемая с использованием пароля Р в качестве ключа.
Такие функции являются эффективными, если длина пароля и ключа одинаковы. В этом случае проверка подлинности пользователя А с помощью пароля РA состоит из пересылки серверу аутентификации отображения h(РA) и сравнения его с предварительно вычисленным и хранимым в базе данных сервера аутентификации эквивалентом h’(РA). Если отображения h(РA) и h’(РA) равны, то считается, что пользователь успешно прошел аутентификацию.
Различают две формы представления объектов, аутентифицирующих пользователя:
- внешний аутентифицирующий объект, не принадлежащий системе;
- внутренний объект, принадлежащий системе, в который переносится информация из внешнего объекта.
Внешние объекты могут быть представлены на различных носителях информации — пластиковых картах, смарт-картах, гибких магнитных дисках и т.п. Внешняя и внутренняя формы представления аутентифицирующего объекта должны быть семантически тождественны.
Например, в компьютерной системе зарегистрировано n пользователей. Пусть i-й аутентифицирующий объект i-го пользователя содержит два информационных поля:
IDi — неизменный идентификатор i-го пользователя, который является аналогом имени и используется для идентификации пользователя;
Кi — аутентифицирующая информация пользователя, которая может изменяться и используется для аутентификации (например, пароль Рi = Кi).
Описанная структура соответствует практически любому ключевому носителю информации, используемому для опознания пользователя. Например, для носителей типа пластиковых карт выделяются неизменяемая информация IDi, первичной персонализации пользователя и объект в файловой структуре карты, содержащий Кi.
Совокупность информации в ключевом носителе можно назвать первичной аутентифицирующей информацией i-го пользователя. Внутренний аутентифицирующий объект не должен существовать в системе длительное время (больше времени работы конкретного пользователя). Для длительного хранения следует использовать данные в защищенной форме.
Заключение
Таким образом из всего вышеописанного можно сказать, что системы сетевой аутентификации на основе многоразовых паролей не обладают достаточной стойкостью и надежностью для применения в особо крупных системах защиты информации с высокой вероятностью атаки, но в тоже время они являются довольно эффективными для решения определенных видов прикладных задач защиты информации, доступа к информации с невысокой вероятностью атаки требующих минимальных материальных и временных затрат.
Список литературы:
http://www.studfiles.ru/preview/3619126/page:4/
http://bourabai.ru/os/lecture24.htm
