Технологии аутентификации

Содержание

 

Введение 3

Идентификация и аутентификация 5

Технологии  аутентификации 6

Аутентификация  по многоразовым паролям 7

Протоколы аутентификации для удаленного доступа 7

Аутентификация  на основе одноразовых паролей 8

Пути и  методы защиты информации в локальных  вычислительных сетях 10

Пути несанкционированного доступа, классификация способов и  средств защиты информации 10

Средства  защиты информации 11

Способы защиты информации 12

Анализ  методов защиты информации в ЛВС 14

Защита информации в ПЭВМ. Каналы утечки информации

15

Организационные и организационно-технические меры защиты информации в системах обработки  данных 17

 

Заключение 19

Список литературы 20

 

Ведение

 

В обычной  жизни мы узнаем друг друга в лицо. Если знакомы. Если не знакомы - по паспорту или аналогичному документу с фотографией. "Опознать" же человека, сидящего за компьютером по ту сторону Сети, несколько сложнее - это требует достаточно специфичных методов.

Прежде  чем проверять истинность пользователя, его нужно идентифицировать, то есть из многих пользователей, зарегистрированных в системе, выбрать по некоему  уникальному идентификатору одного. Его-то система и будет проверять. Идентификатор - это имя, под которым  зарегистрирован пользователь в  проверяющей его компьютерной системе.

Другими словами, идентификация пользователя - это получение от него ответа на вопрос: "Кто ты?" Скажем, Вася. А аутентификация - это требование: "А теперь докажи, что ты именно Вася" и последующая проверка доказательств. То есть проверка, действительно  ли пользователь является тем, за кого он себя выдает.

Аутентификация  пользователей обычно выполняется  неким программным модулем, находящимся  непосредственно на компьютере, на который пользователь пытается получить прямой или удаленный доступ. Всю  работу данного модуля можно условно  разделить на два этапа.

Предварительный, на котором модуль формирует "эталонный образец", например, запрашивает пароль пользователя (это именно тогда пароль запрашивается дважды, чтобы исключить ошибку его ввода) - по нему пользователь будет опознаваться впоследствии. Пароль может и назначаться пользователю - так бывает, например, в различных системах доступа в Интернет. Обычно модуль аутентификации хранит эталонные образцы в таблице соответствий "пользователь - эталон".

И завершающий  этап, когда пользователь проходит аутентификацию и у него запрашивается  аутентификационная информация, которая сравнивается с эталоном. На основании этого сравнения он считается опознанным или нет.

На самом  деле в реальных системах эталонный  пароль может храниться в таблице  в зашифрованном виде и вместо пароля сохраняется его хэш. Это не позволит злоумышленнику, получившему доступ к хранилищу эталонов, ознакомиться с паролями всех пользователей системы.

В более  сложных случаях (прежде всего при  удаленной аутентификации) предъявляемая  пользователем аутентификационная информация и ее эталонный образец могут дополнять друг друга, участвуя в каких-либо криптографических преобразованиях. Для этого используются различные протоколы сетевой аутентификации.

Информация, по которой опознается пользователь, бывает трех видов:

• Пользователь знает нечто уникальное и демонстрирует компьютеру это знание. Такой информацией может быть, например, пароль.
• Пользователь имеет предмет с уникальным содержимым или с уникальными характеристиками.
• Аутентификационная информация является неотъемлемой частью пользователя. По этому принципу строятся системы биометрической аутентификации, использующие в качестве информации, например, отпечаток пальца.

Об актуальности той или иной проблемы можно судить по разным признакам. Например, по числу  докладов на конференциях и специализированных семинарах или публикаций по данной тематике. Однако в качестве более  надежного способа может рассматриваться  и другой подход, основанный на статистике реальных финансовых потерь от неверного  решения данной проблемы. К сожалению, наши российские предприятия до сих  пор не научились рассчитывать финансовый ущерб от различных атак. А если и научились, то тщательно скрывают такие данные.

 Идентификация  и аутентификация

 

Среди широко применяемых в последние 3-5 лет  терминов описания процесса идентификации/аутентификации введено понятие индивидуальных характеристик, доказывающих подлинность  субъектов или факторов. К факторам идентификации/аутентификации относят:

• владение скрытой для посторонних информацией (запоминаемая либо хранящаяся конфиденциальная информация). Примерами могут служить пароль, персональный идентификационный код (PIN), секретные ключи и т.п.;
• обладание материальным носителем информации (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта, дискета и т.д.);
• биометрические характеристики субъекта (отпечатки пальцев, голос, геометрия лица, особенности сетчатки и радужной оболочки глаз и т.п.).

В зависимости  от используемых в технологиях идентификации и аутентификации факторов различают однофакторную или двухфакторную аутентификацию. Понятие трехфакторной аутентификации в последнее время используется достаточно редко ввиду призрачности ее промышленного применения при современном состоянии технических средств. Рассмотрим наиболее развитые методы идентификации и аутентификации с точки зрения применяемых в них технологий .

 

Технологии аутентификации

 

Для того чтобы понять, что такое аутентификация, обратимся к простому примеру: ваш  сотовый телефон. Телефон - это устройство, куда для начала работы вы вкладываете  свою SIM-карту. Когда вы включаете телефон, на дисплее появляется надпись: "Введите PIN-код". После правильного ввода PIN-кода (как правило, это четыре легко запоминаемые цифры) и кратковременной задержки телефон начинает работать. Налицо так называемая двухфакторная аутентификация. Вам надо иметь персональный носитель (SIM-карту) и знать личный PIN-код. Они связаны между собой. Причем эта связь закладывается администратором оператора сотовой связи при предпродажной подготовке контрактов с определенным тарифом и самих SIM-карт. Сам телефонный аппарат по аналогии с корпоративными информационными системами играет роль компьютера. Аналогом SIM-карты может являться микропроцессорная смарт-карта или устройство eToken, к которому привязан личный PIN-код. Только в отличие от сотового телефона PIN-код для доступа к информационной системе предприятия содержит, как правило, не менее 5 - 7 символов различных регистров (не только цифр). Да и алгоритмы аутентификации и шифрования там намного сложнее, чем традиционные А3 (алгоритм аутентификации), А8 (алгоритм генерации криптоключа), A5/2 (собственно алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров), используемые в сотовой связи. Рассмотрим основные методы аутентификации по принципу нарастающей сложности. Начнем с самого простого и общеизвестного метода - аутентификация по паролю .

 

Аутентификация  по многоразовым паролям

 

Учетные записи пользователей современных  операционных систем включают в себя службу аутентификации, которая может  хранить простейший идентификатор (login) и пароль (password) пользователя в своей базе данных. При попытке логического входа в сеть пользователь набирает свой пароль, который поступает в службу аутентификации. По итогам сравнения пары login/password с эталонным значением из базы данных учетных записей пользователь может успешно пройти процедуру простейшей аутентификации и авторизоваться в информационной системе. В зависимости от степени защищенности в рамках эволюционного развития операционных систем Windows компанией Microsoft использовались протоколы LAN Manager (LM), NT LAN Manager (NTLM), NT LAN Manager версии 2 (NTLM v2) и Kerberos, наиболее распространенный и защищенный на сегодня протокол аутентификации в локальных сетях.

Протоколы аутентификации для удаленного доступа

 

Поддержка протокола RADIUS реализована на многих современных платформах, что позволяет  использовать его в межплатформенных решениях.

В качестве примера сервера и посредника RADIUS можно привести реализованную  в Windows Server 2003 службу проверки подлинности в Интернете (Internet Authentication Service, IAS), которая позиционируется как механизм централизованной аутентификации и авторизации пользователей, использующих различные способы подключений к сети. Служба IAS интегрирована с другими сетевыми службами Windows Server 2003, такими как служба маршрутизации и удалённого доступа и служба каталога Active Directory.

Аутентификация  на основе одноразовых паролей

 

Для организации  удаленного доступа пользователей  к защищенным информационным ресурсам были разработаны достаточно надежные схемы с применением одноразовых  паролей (OTP - One Time Password). Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Известно четыре метода аутентификации с применением технологии ОТР:

• использование механизма временных меток на основе системы единого времени;
• применение общего пароля для легального пользователя и проверяющего списка случайных паролей и надежного механизма их синхронизации;
• использование общего пароля для пользователя и проверяющего генератора псевдослучайных чисел с одним и тем же начальным значением;
• применение фиксированного числа случайных (псевдослучайных) последовательностей, скопированных на носители в виде скретч-карт.

Наиболее  распространены аппаратные реализации одноразовых паролей называют ОТР-токенами. Они имеют небольшой размер и выпускаются в виде различных форм-факторах:

• карманного калькулятора;
• брелока;
• смарт-карты;
• устройства, комбинированного с USB-ключом.

В качестве примера решений OTP можно привести линейку RSA SecurID, ActivCard Token, комбинированный USB-ключ Aladdin eToken NG-OTP. В частности, одной из распространенных аппаратных реализаций одноразовых паролей является технология SecurID, предлагаемая компанией RSA Security. Она основана на специальных калькуляторах - токенах, которые каждую минуту генерируют новый код. В токен встроена батарейка, заряда которой хватает на 3 - 5 лет, после чего токен нужно менять. Аутентификация с помощью SecurID интегрирована в сотни приложений, а недавно при поддержке Microsoft она была встроена в операционную систему Windows. Впрочем, имеются реализации "в железе" и другие алгоритмы генерации одноразовых паролей. Например, можно генерировать пароль по событию - нажатию клавиши на устройстве. Такое решение предлагает компания Secure Computing в виде продукта Safeword. Аппаратную реализацию технологии "запрос-ответ" продает корпорация CryptoCard. Имеются даже универсальные аппаратные реализации, которые позволяют перепрограммировать токены. В частности, решения, выпускаемые компанией VASCO, допускают реализацию нескольких десятков алгоритмов аутентификации с помощью одноразовых паролей. В целом технология ОТР основана на использовании двухфакторных схем аутентификации и может быть классифицирована как усиленная технология аутентификации .

 

 Пути и методы защиты информации  в локальных вычислительных сетях

 

 Пути несанкционированного доступа, классификация способов и средств защиты информации

 

Архитектура ЛВС и технология ее функционирования позволяет злоумышленнику находить или специально создавать  лазейки для скрытого доступа  к информации, причем многообразие и разнообразие даже известных фактов злоумышленных действий дает достаточные  основания предполагать, что таких  лазеек существует или может быть создано много. Пути несанкционированного получения информации приведены  на рисунке 1.1.

Несанкционированный доступ к информации, находящейся  в ЛВС бывает:

• косвенным - без физического доступа к элементам ЛВС;
• прямым - с физическим доступом к элементам ЛВС.

В настоящее  время существуют следующие пути несанкционированного получения информации (каналы утечки информации):

• применение подслушивающих устройств;
• дистанционное фотографирование;
• перехват электромагнитных излучений;
• хищение носителей информации и производственных отходов;
• считывание данных в массивах других пользователей;
• копирование носителей информации;
• несанкционированное использование терминалов;
• маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;
• использование программных ловушек;
• получение защищаемых данных с помощью серии разрешенных запросов;
• использование недостатков языков программирования и операционных систем;
• преднамеренное включение в библиотеки программ специальных блоков типа “троянских коней”;
• незаконное подключение к аппаратуре или линиям связи вычислительной системы;
• злоумышленный вывод из строя механизмов защиты.

 

Средства защиты информации

Для решения  проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

1. Технические  средства - реализуются в виде  электрических, электромеханических,  электронных устройств. Технические  средства подразделяются на: