Парольная документация

Парольная документация – три составляющих блока: ∙наборы паролей, фиксированные в документальном виде (первичное документирование);   ∙массив эталонных паролей, соответствующих этим наборам, в виде раздела специальной базы данных АС;   ∙пароли из набора в пользовательском виде.

 

 

Первичное документирование (представление в виде оформленного официального документа в бумажном или электронном виде) наборов паролей в АС с гарантированной стойкостью к вскрытию необходимо, так как пароли ассоциируются с правовым аспектом использования процедуры аутентификации.

 

Технология подготовки, ведения и использования парольной документации зависит от организации парольных систем.

 

Технология аутентификации на основе одноразовых паролей (OTP – One Time Password) для организации удалённого доступа пользователей к защищаемым информационным ресурсам. Суть концепции OTP состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Механизм одноразового использования пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз.  
    Таким образом, парольная система состоит: ∙ из собственно пароля; ∙ правил формирования, распространения, смены, обеспечения секретности пароля и парольной документации; ∙ процедуры отождествления. Парольная система включает в себя не только программные и технические средства аутентификации, но и решаемые в форме мер и мероприятий организационные и юридические вопросы.  
     

Метод “запрос - ответ”

Метод “запрос - ответ”.При реализации функции аутентификации также используется метод "запрос-ответ", который позволяет аутентифицировать пользователя и в то же время дает возможность пользователю осуществлять аутентификацию системы (или ресурса), с которой он работает. Это имеет принципиальное значение, так как использование «подставной» ЭВМ, ОС или программы является одним из путей несанкционированного получения сообщений или паролей законных пользователей.

 

Этот метод, как схема или протокол взаимодействия «субъект – система/ресурс системы», широко используется при реализации функции аутентификации для обеспечения удалённого доступа к информационным ресурсам в распределённых сетевых структурах построения АС. При этом выполняется процедура обмена данными между запрашивающим вход в систему субъектом и ресурсом, отвечающим за анализ и принятие решения о правильности проверки. Данный ресурс может быть размещён в любом компоненте распределённой АС.

 

По существу метод «запрос – ответ» - это технология диалога между субъектом и системой (или её компонентами) в целях осуществления аутентификации.

 

В основе реализации метода аутентификации «запрос – ответ» лежат различные механизмы.

Классический механизм аутентификации «запрос – ответ».

Классической разновидностью реализации является так называемое опознавание в диалоговом режиме, осуществляемое по следующей схеме. В файлах механизмов защиты заблаговременно создаются записи, содержащие персонифицирующие данные на зарегистрированного пользователя (дата рождения, рост, вес, имена и даты рождения родных и близких и т.п.) и достаточно большой и упорядоченный набор различных стандартизированных сведений (имеющих статус паролей). При обращении пользователя к системе программа защиты предлагает ему назвать некоторые данные из имеющейся записи. Ответы на эти вопросы сравниваются с истинными значениями. По результатам сравнения принимается решение о допуске.

 

Сценарий диалога может быть различным и зависит от организации диалога. Например, можно выделить метод смешанных вопросов и метод стандартных вопросов.

 

В первом случае осуществляется задание некоторого блока вопросов из множества персонифицирующих данных, вперемежку с ними задаются вопросы из набора стандартизированных сведений. При каждом входе модифицируется блок вопросов персонифицирующих данных.

Во втором случае осуществляется задание большого количества вопросов из упорядоченного набора стандартизированных сведений. По совокупности ответов принимается решение об отождествлении субъекта.

 

В любом случае в целях повышения надежности опознавания данные, запрашиваемые у пользователя, могут выбираться при каждом сеансе разные.

 

Такая реализация метода ориентирована на каждого конкретного авторизованного в системе субъекта и при правильной постановке может дать достаточно надежный результат аутентификации, но требует значительного объема памяти на хранение записей и операционного времени на проведение диалога.

Механизм “рукопожатие”.

Эта разновидность метода «запрос – ответ» с несколько иной постановкой задачи.

 

При обращении субъекта N к АС система формирует случайное число Xи пересылает его обратно субъекту, которым может быть как пользователь, так и активный объект АС, например, автоматизированное рабочее место (АРМ).Каждому субъекту назначается некоторое математическое преобразование (алгоритм) TN, которое он должен выполнить при получении из АС случайного числа. Результат преобразования TN(X) возвращается субъектом в систему.

 

Одновременно аналогичную процедуру над полученным случайным числом выполняет сама система, фиксируя результат преобразования TN(X)*и принимая его как истинное. Отождествление значений TN(X) и TN(X)*является процедурой проверки подлинности субъекта, обращающегося к системе, а равенство их позволяет сделать вывод о положительном результате аутентификации.

 

 

Необходимым условием возможности проведения аутентификации является знание субъектом выданного системой случайного числа и алгоритма, по которому выполняется преобразование случайного числа.

 

Достоинства данной модификации метода объясняются следующими предпосылками:

 

  - по каналам связи передаются случайное число X и результат преобразования TN(X), формула преобразования известна только системе и субъекту, следовательно, исключен перехват в телекоммуникационной среде этой ключевой информации для отождествления;   - при сложной формуле преобразования можно получить высокую эффективность реализации функции аутентификации.

 

 

Остаются проблемы, связанные с предотвращением несанкционированного доступа к программам, реализующим формулы (алгоритмы) преобразования для каждого субъекта, которые размещаются в программно-технической среде АС и играют роль своеобразного ключа. Со стороны пользователя (субъекта) также должна быть обеспечена секретность алгоритма преобразования.

 

 

При сложных формулах преобразований трудоемкость их реализации субъектом требует либо применения специального устройства-вычислителя, либо целесообразно применять данный метод для аутентификации при функциональном и информационном взаимодействии «компьютер – компьютер», «АРМ – сервер»,например в ЛВС, «АС – АС».

 

Использование криптографии. Естественной модификацией механизма «рукопожатия» стало использование для аутентификации криптографических преобразований в распределённых системах, в архитектуру которых, как правило, включается сервер аутентификации. В начале процедуры аутентификации пользователь отправляет на сервер аутентификации свой регистрационный идентификатор (login). В ответ на это сервер аутентификации генерирует некую случайную строку и посылает её обратно. Пользователь с помощью своего ключа зашифровывает эти данные и отправляет их назад. Сервер же в это время «находит» в своей памяти секретный ключ данного пользователя и кодирует с его помощью исходную строку. Далее проводится сравнение обоих результатов шифрования. При их полном совпадении (тождественности) считается, что аутентификация прошла успешно.

 

 

Позволяет – исключить необходимости делать секретнымиалгоритмы преобразований, а использовать вместо них только секретные ключи. При этом используется симметричная криптографическая система, в которой ключи шифрования и дешифрования являются закрытыми и одинаковыми.

 

Использование криптографической системы с открытым ключом. Если используется криптографическая система с открытым ключом (асимметричная криптографическая система), то этот метод модифицируется в механизм, называемый аутентификацией по цифровому сертификату. В этом случае сервер аутентификации направляет пользователю после ввода им своего цифрового сертификата последовательность символов, называемую запросом, а программное обеспечение клиентского компьютера для генерирования ответа вырабатывает с помощью закрытого ключа пользователя цифровую подпись под запросом от сервера аутентификации. Сервер аутентификации подтверждает полученную цифровую подпись с помощью открытого ключа пользователя.

 

Аутентификация с применением криптографической системы с открытым ключом используется как защищённый механизм аутентификации, при использовании которого создаётся защищённое соединение между клиентом и сервером в ЛВС, а также обеспечивается безопасная передача данных аутентификации по сети Интернет.

 

Использование криптографических средств позволяет обеспечить так называемую «строгую» аутентификацию субъекта, эффективность которой может быть оценена более сильным показателем, чем стойкость пароля к вскрытию, а именно – криптостойкостью реализации функции аутентификации.

 



12




Дата добавления: 2016-04-14; просмотров: 1138;

Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.007 сек.