Лекции.Орг


Поиск:




Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 


Защита ключей в системах аутентификации




 

 

Защита секретного ключа является важнейшим фактором в системах аутентификации посредством сертификатов. Если атакующий получит секретный ключом сможет под видом клиента успешно пройти аутентификацию. Реализация таких систем в значительной степени помогает защитить секретный ключ, однако, в конечном счете, если ключ хранится на компьютере, он потенциально может быть раскрыт злоумышленником.

Более надежна система, предусматривающая необходимость защиты секретного ключа и его отделения от компьютера. Для достижения данной цели могут использоваться смарт-карты. Хотя существует множество типов смарт-карт, карты, используемые для аутентификации, выглядят наподобие кредитных карт, НС держат микропроцессор, используемый для хранения секретного ключа и копии сертификата, а также для обеспечения обработки. Следует внимательно выбирать соответствующие смарт-карты для приложения, которое будет их использовать. Дополнительные аппаратные маркеры доступа, например, выпускаемые Rainbow Technologies и Datakey, могут быть USB-совместимыми и служить для тех же целей. Смарт-карты требуют наличия специальных считывателей смарт-карт для соеди­нения между смарт-картами и компьютерными системами.

Использование смарт-карт для хранения секретного ключа и сертификатов ре­шает проблему защиты ключей. Однако необходимо проводить обучение пользо­вателей, чтобы они не записывали свой номер PIN на смарт-карту, или не фикси­ровали бы его каким-либо еще способом. Как в более традиционных системах аутентификации, в качестве пользователя идентифицируется человек, владеющий смарт-картой и номером PIN.[25]

Расширяемый протокол аутентификации (ЕАР) был разработан для включения в общий процесс аутентификации подключаемых модулей. Это означает, что интерфейсы аутентификации и основные процессы могут оставаться без изменений возможностью настройки приемлемых аутентификационных данных. После применения протокола ЕАР в системе можно добавлять в систему новые алгоритмы аутентификации по мере их разработки, и при этом не нужно будет вносить кардинальные изменения в операционную систему. ЕАР в настоя­щее время применяется в нескольких системах удаленного доступа, включая Microsoft-реализацию службы Remote Authentication Dial-In User Service (RADIUS) (Служба удаленной аутентификации пользователей по телефонным каналам).

Модули аутентификации, используемые с ЕАР, именуются типами ЕАР. Суще­ствует несколько типов ЕАР; имя каждого из них означает тип используемой аутен­тификации.

· EAP/TLS - использует протокол аутентификации TLS и обеспечивает возмож­ность использования смарт-карт при удаленной аутентификации.

· EAP/MD5-CHAP - позволяет использовать пароли в организациях, требующих обеспечения дополнительного уровня безопасности при удаленной беспровод­ной аутентификации 802.1х, но в которых отсутствует PKI для поддержки паро­лей.[26]

Биометрические методы аутентификации являют собой самую надежную реализацию двух факторной аутентификации - то, что вы имеете, является неотъемлемой частью вашего организма. Биометрические системы включают в себя модули рас познавания и идентификации по лицу, радужной оболочке глаза, сетчатке глаза, отпечаткам пальцев и др.

Данный процесс базируется на двух моментах. Во-первых, можно с увереннос­тью утверждать, что каждая проверяемая часть человеческого тела является уникальной, и во-вторых, система может быть настроена на требование достаточного объема информации для установления уникальной личности и избегания ошибочного отказа в доступе, в то время как фиксируемой информации не будет слишком мало для возможности ошибочного предоставления доступа. Все используемые в настоящее время биометрические средства аутентификации представляют характеристики, являющиеся уникальными для людей. Относительная точность каждой системы определяется числом ошибочных отказов и фактов ошибочного предос­тавления доступа.

 

 

Авторизация

 

 

Процессом, противоположным аутентификации, является авторизация. В процес­се аутентификации устанавливается личность пользователя, а при авторизации оп­ределяется, какие действия пользователь может выполнять. Процесс авторизации, как правило, рассматривается как метод получения доступа к ресурсам, таким как файлы и принтеры, и предусматривает наличие пакета привилегий, которыми пользователь может обладать в рамках системы или сети. При полноценном ис­пользовании, процесс авторизации даже указывает, может ли пользователь вообще иметь доступ к системе. Существует множество различных типов систем авториза­ции, включая права пользователей, авторизацию по ролям, списки контроля дос­тупа и авторизацию по правилам.[27]

Привилегии - это понятие, отличное от разрешений. Права пользователей обеспечивают авторизацию для выполнения действий, которые влияют на всю систему в целом. Возможность создавать группы, присваивать группам пользователей, входить в систему и выполнять многие другие действия может быть присвоена с помощью прав пользователей. Другие права пользователей являются подразумеваемыми и присваиваемыми группам по умолчанию, т.е. группам, создаваемым операционной системой без участия ад­министраторов. Эти права не могут быть удалены.

Каждая должность и организации подразумевает соответствие сотрудника определенной роли. Каждый сотрудник должен быть наделен привилегиями (т.е. правами на выполнение каких-либо действий) и разрешениями (предоставление доступа к ресурсам и указание того, какие действия можно выполнять относительно них), если он выполняет свои должностные обязанности. Первые разработчики компь­ютерных систем вспоминают, что нужды возможных пользователей могут быть со­вершенно разными, и что не всем пользователям следует присваивать право администрирования системы.[28]

Первыми ролями в компьютерных системах были роли пользователя и администратора. В ранних системах роли определялись для данных типов пользователей, которым посредством этого предоставлялся доступ, в зависимости от членства в одной из двух групп. Администраторы (суперпользователи, пользователи корневой учётной записи, и т.д.) наделялись специальными привилегиями и допусками к большому массиву компьютерных ресурсов, нежели рядовые пользователи.

В простейших примерах подобных ролевых систем пользователи добавляются в группы, имеющие определенные права и привилегии. В других ролевых системах используются более сложные системы контроля доступа, включая некоторые сис­темы, которые могут быть реализованы только в том случае, если операционная система их поддерживает. В модели безопасности Белла-Ла Падула, например, ин­формационные ресурсы поделены на уровни и зоны. Каждая зона представляет со­бой классификацию данных, и данные не могут переноситься из одной зоны в дру­гую без специальной авторизации; пользователю должен быть предоставлен доступ к зоне, чтобы он мог работать с соответствующими данными. В этой роли пользо­ватель не может осуществлять запись в зону, расположенную ниже в иерархичес­кой системе (например, из секретной области в конфиденциальную), а также не может считывать данные, находящиеся на более высоком уровне, чем тот, к кото­рому у пользователя имеется доступ (например, если пользователю предоставлен доступ к общей зоне, то он не может считывать данные, находящиеся в конфиден­циальной или секретной зонах).

Присутствие на некоторых общественных мероприятиях может быть ограничено только непосредственно приглашенными лицами. Чтобы обеспечить присутствие на мероприятии только приглашенных лиц, можно составить список авторизован­ных лиц и предоставить его тем, кто несет ответственность за приглашение участ­ников. Если вы придете на мероприятие в качестве его участника, то ваше имя будет сверено со списком, и после этого вам будет либо предоставлен доступ на мероприятие, либо вам будет отказано. Здесь может также применяться аутенти­фикация в виде проверки посредством фотоидентификации, и это надежный и про­стой пример использования списка контроля доступа (ACL).

В информационных системах списки контроля доступа также могут применяться для определения того, является ли авторизованной запрошенная служба или ре­сурс. Доступ к файлам на сервере часто контролируется посредством информации о каждом файле. Аналогично возможность различных видов соединений проходить через сеть может также контролироваться посредством списков контроля доступа.[29]

Авторизация по правилам требует разработки соответствующих правил. В этих правилах четко прописываются действия, которые может выполнять на системе конкретный пользователь.

 

 

Контрольные вопросы

1. В чем отличие аутентификации от авторизации?

2. Как работает Kerberos?

3. Каков механизм системы с одноразовыми паролями?

4. Как работает система аутентификации с использованием открытого и секретного ключей?

5. В чем отличие TLS от SSL?

6. Что такое «авторизация по правилам»

 

 

Библиографический список

Основная литература:

1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.92-98.

Дополнительная литература:

1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.

2. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003 / Р. Брэгг; [пер. с англ. под общ. ред. А. Е. Соловченко]. - СПб.: Питер, 2005. - 672 с.

3. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.

4. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. - СПб.: Наука и техника, 2004. – С.29-46.






Поделиться с друзьями:


Дата добавления: 2016-11-12; Мы поможем в написании ваших работ!; просмотров: 1071 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

Самообман может довести до саморазрушения. © Неизвестно
==> читать все изречения...

2515 - | 2363 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.008 с.