2015-06-26
1415
Основой любых системы обеспечения безопасности информации является идентификация и аутентификация, т.к. все механизмы защиты рассчитаны на работу с поименованными объектами и субъектами АС. В качестве субъектов АС могут выступать как пользователи, так и процессы. А в качестве объектов АС – информация и другие информационные ресурсы системы.
Присвоение субъектам и объектам доступа личного идентификатора и сравнения его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций обеспечения безопасности информации:
1. Установление подлинности и определение полномочий субъекта при его допуске в систему.
2. Контролирование установленных полномочий в процессе сеанса работы.
3. Регистрация действий.
Аутентификацией (установление подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке, является ли подключающийся субъект тем, за кого он себя выдает.
|
|
|
Общая процедура идентификации и аутентификации пользователя при его доступе к АС представлена на рисунке.
По контролируемому компоненту системы способы аутентификации можно разделить на аутентификацию партнеров по общению и аутентификацию источников данных.
Аутентификация партнеров по общению используется при установлении и периодической проверки соединения во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи.
Аутентификация источника данных – это подтверждение подлинности источника отдельных источников данных.
По направленности аутентификация может быть односторонней (пользователь доказывает свою подлинность системе, например, при входе в систему). и двусторонней (взаимной).
Обычно методы аутентификации классифицируют по используемым средствам. В этом случае указанные методы делят на 4 группы:
1) основанные на знании лицом, имеющим право на доступ к ресурсам системы некоторой секретной информации – пароля;
2) основанные на использовании уникального предмета (жетоны, электронные карточки и т.д.;
3) основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутов живого организма;
4) основанные на информации, ассоциированной с пользователем, например, с его координатами.
Рассмотрим эти группы.
1) Наиболее распространенными являются методы аутентификации, основанные на паролях – секретных идентификаторах субъекта. при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей система аутентификации разрешает доступ к ресурсам АС. Па рольные методы следует классифицировать по степени изменяемости паролей:
|
|
|
а) методы, использующие постоянные (многократно используемые) пароли;
б) методы, использующие одноразовые (динамично развивающиеся) пароли.
Более надежный способ это использование одноразовых паролей.
***
Известны следующие методы парольной защиты, основанные на одноразовых паролях:
- методы модификации схемы простых паролей;
- методы «запрос-ответ»;
- функциональные методы;
В первом случае пользователю выдается список паролей. При аутентификации система запрашивает у пользователя пароль номер в списке которого определен по случайному закону. Длина и порядковый номер начального сильного пароля тоже могут задаваться случайным образом.
При использовании метода «запрос-ответ» система задает пользователю вопросы общего характера, правильные ответы на которые известны только конкретному пользователю.
Функциональные методы основаны на использовании специальной функции парольного преобразования F(х). Это позволяет обеспечить возможность изменения (по некоторой формуле) паролей пользователя во времени. Указанная функция должна удовлетворять следующим требованиям:
1) Для заданного пароля х легко вычислить новый пароль у=F(х).
2) Зная х и у сложно или невозможно определить F(x).
Наиболее известными примерами функциональных методов являются метод функционального преобразования и метод «рукопожатия».
Идея метода функционального преобразования состоит в периодическом изменении самой функции. Последняя достигается наличием в функциональном выражении динамически меняющихся параметров, например, функции от некоторых дат или времени. Пользователю сообщается исходный пароль, функция и периодичность смены пароля. Паролями пользователя на заданных периодах времени будут следующими x, F(x), F(F(x)),… F(x)n-1
Метод «рукопожатия» состоит в следующем: функция парольного преобразования известна только пользователю и системе защиты. При входе в автоматизированную систему подсистема аутентификации генерирует случайную последовательность x, которая передается пользователю. Пользователь вычисляет результат функции y=f(x) и возвращает его в систему. Система сравнивает собственный вычисленный результат с полученным от пользователя. При совпадении подлинность пользователя считается доказанной. Достоинством метода является то, что передача какой-либо информации, которой может воспользоваться злоумышленник здесь сведена к минимуму.
2) Последнее время получили распространение комбинированные методы идентификации, требующие помимо знания пароля наличия карточки, специального устройства, подтверждающего подлинность субъекта. Карточки разделяют на 2 типа:
- пассивные (карточки с памятью);
- активные (интеллектуальные карточки).
Самыми распространенными являются пассивные карточки с магнитной полосой, которые считываются специальным устройством, имеющим клавиатуру и процессор.
Достоинством использования карточек является то, что обработка аутентификационной информации выполняется устройством чтения без передачи в память компьютера. Это исключает возможность электронного перехвата по каналам связи.
Недостатками карточек являются:
- они существенно дороже паролей;
- требуют специальных устройств;
- их использование подразумевает специальные процедуры безопасного учета и распределения;
- так же их необходимо оберегать от злоумышленников;
- возможны подделки пассивных карточек.
Интеллектуальные карточки кроме памяти имеют собственный микропроцессор, что позволяет реализовать различные варианты парольных методов защиты, т.к. многоразовые пароли, динамически меняющиеся пароли и запрос-ответные методы. Все карточки обеспечивают двухкомпонентную аутентификацию. Недостатком этих карточек является их высокая стоимость.
|
|
|
3) Методы аутентификации основанные на измерении биометрических параметров человека обеспечивают почти 100% идентификацию, решая проблемы утери или утраты паролей и личных идентификаторов. Однако методы нельзя использовать при идентификации процессов или данных. Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине капиллярных сосудов, по подчерку, по запаху, по тембру голоса и по ДНК.
