Прямая аутентификация при удаленном доступе к ресурсам компьютерных систем: сущность, достоинства и недостатки, используемые протоколы

Суть модели прямой аутентификации состоит в том, что вычислительные службы размещаются в одном физически защищенном месте, тогда как точки использования (клиенты) не обязательно защищены. Этот шаблон называется "прямым", поскольку точка обслуживания сама принимает решение об аутентификации. Механизм аутентификации, механизмы управления доступом и сами службы находятся в одном устройстве. Администраторы поддерживают базу данных авторизованных пользователей в каждой системе. Изменение в базе данных пользователей имеет мгновенный эффект, так как, если кто-то пытается войти в систему, она обращается к своей собственной базе данных пользователей. Очевидным недостатком прямой модели является недостаточная устойчивость к сбоям, поскольку все централизовано.

Так как пользователям не обязательно взаимодействовать с системой из защищенного места, то взломщики могут выбрать в качестве своей мишени удаленные пользовательские рабочие станции или их линии связи. Это делает биометрические методы нецелесообразными: взломщик может перехватить удаленные биометрические показатели авторизованного пользователя и впоследствии; воспроизвести их, выдав себя за этого пользователя. Аналогичные проблемы; свойственны и для секретных паролей многократного использования.

Из-за риска активной разведки и воспроизведения системы, построенные на основе этого шаблона, обычно требует криптозащиты. Это необязательно шифрование всего трафика; зашифрованных паролей может быть достаточно для обеспечения аутентификации соответствующего уровня. Например, отличительные знаки с одноразовым паролем используют секретный ключ для шифрования: внутреннего значения, что дает пароль, который работает только один раз. Другие отличительные знаки используют метод "запрос-ответ": шифруется запрос, в результате которого генерируется одноразовый пароль. Хотя такие системы могут использовать шифрование с открытым или секретным ключом, в большинстве продуктов этого типа используется шифрование с секретным ключом.

Самый простой протокол аутентификации — доступ по паролю (Password Authentication Protocol, PAP). Его суть состоит в том, что вся информация о субъекте (идентификатор и пароль) передается по сети в открытом виде. Это и является главным недостатком PAP, так как злоумышленник может легко получить доступ к передающимся незашифрованным данным.

Более сложные протоколы аутентификации основаны на принципе «запрос-ответ», например, протокол CHAP (Challenge-Handshake Authentication Protocol). Работа протокола типа «запрос-ответ» может состоять минимум из четырех стадий:

1. Субъект отправляет системе запрос, содержащий его персональный идентификатор
2. Система генерирует случайное число и отправляет его субъекту
3. Субъект зашифровывает полученное число на основе своего уникального ключа и результат отправляет системе
4. Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным случайным числом, аутентификация проходит успешно.

Сам уникальный ключ, на основе которого производится шифрование и с одной, и с другой стороны, не передается по сети, следовательно, злоумышленник не сможет его перехватить. Но субъект должен обладать собственным вычислительным шифрующим устройством, например, смарт-карта, мобильный телефон.

Принцип действия протоколов взаимной аутентификации отличаются от протоколов типа «запрос-ответ» незначительно:

1. Субъект отправляет системе запрос, содержащий его персональный идентификатор и случайное число N1
2. Система зашифровывает полученное число N1 на основе уникального ключа, генерирует случайное число N2, и отправляет их оба субъекту
3. Cубъект расшифровывает полученное число на основе своего уникального ключа и сравнивает результат с N1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
4. Субъект зашифровывает полученное число N2 на основе своего уникального ключа и результат отправляет системе
5. Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным числом N2, взаимная аутентификация проходит успешно.

Алгоритм, приведенный выше, часто называют рукопожатием. В обоих случаях аутентификация проходит успешно, только если субъект имеет идентичные с системой уникальные ключи.

В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.