Классификация процессов аутентификации
Категория » GPS/GSM/RFID системы » Защита информации
Процессы аутентификации можно классифицировать по уровню обеспечиваемой безопасности. Процессы аутентификации разделяются по данному признаку на следующие типы:
1. простая аутентификация, использующая пароли;
2. строгая аутентификация на основе использования криптографических методов и средств;
3. процессы (протоколы) аутентификации, обладающие свойством доказательства с нулевым знанием.
С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике. В то же время следует отметить, что интерес к протоколам аутентификации, обладающим свойством доказательства с нулевым знанием, носит пока скорее теоретический, нежели практический характер, но, возможно, в недалеком будущем их начнут активно использовать для защиты информационного обмена. Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, персональный идентификатор, секретный ключ и т.п.).
Например, если рассмотреть практический пример реализации распределенной системы аутентификации, то можем привести реализованный проект для наших белорусских партнеров, предприятия www.upak.by "Синергия", которое предлагает упаковочные материалы и оборудование, в котором для простой аутентификации сотрудников в локальной системе безопасности предприятия используются пароли и индивидуальные смарт-карты доступа сотрудников. Привычные системы аутентификации не всегда удовлетворяют современным требованиям в области информационной безопасности, особенно если речь идет об ответственных приложениях (онлайновые финансовые приложения, доступ к удаленным базам данных и т.п.). В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения. Использование решений, основанных на биометрической технологии, позволяет в ряде случаев улучшить характеристики применяемых средств аутентификации.
Основными атаками на протоколы аутентификации являются:
1. маскарад (impersonation). Пользователь пытается выдать себя за другого с целью получения привилегий и возможности действий от лица другого пользователя;
2. подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационноrо обмена между двумя сторонами с целью модификации проходящего через него трафика; существует разновидность атаки подмены: после успешного прохождения аутентификации между двумя пользователями и установления соединения нарушитель исключает какого-либо пользователя из соединения и продолжает работу от его имени;
3. повторная передача (replay attack). Заключается в повторной передаче аутентификационных данных каким-либо пользователем;
4. отражение передачи (reflection attack). Один из вариантов предыдущей атаки, в ходе которой злоумышленник в рамках данной сессии протокола пересылает обратно перехваченную информацию;
5. вынужденная задержка (foгced delay). Злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;
6. атака с выборкой текста (chosen-text attack). Злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.
Для предотвращения таких атак при построении протоколов аутентификации применяются следующие приемы:
1. использование механизмов типа "запрос-ответ", меток времени, случайных чисел, идентификаторов, цифровых подписей;
2. привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей;
3. периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т.п.
Механизм "запрос-ответ" состоит в следующем: если пользователь А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент - запрос Х (например, некоторое случайное число). При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию /(Х)).
Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число Х придет в запросе. Получив правильный ответ с результатом действий В, пользователь А может быть уверен, что В - подлинный. Недостаток этого метода - возможность установления закономерности между запросом и ответом.
Механизм отметки времени подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети может определить, насколько устарело пришедшее сообщение, и решить не принимать его, поскольку оно может быть ложным. В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.
1. простая аутентификация, использующая пароли;
2. строгая аутентификация на основе использования криптографических методов и средств;
3. процессы (протоколы) аутентификации, обладающие свойством доказательства с нулевым знанием.
С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике. В то же время следует отметить, что интерес к протоколам аутентификации, обладающим свойством доказательства с нулевым знанием, носит пока скорее теоретический, нежели практический характер, но, возможно, в недалеком будущем их начнут активно использовать для защиты информационного обмена. Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, персональный идентификатор, секретный ключ и т.п.).
Например, если рассмотреть практический пример реализации распределенной системы аутентификации, то можем привести реализованный проект для наших белорусских партнеров, предприятия www.upak.by "Синергия", которое предлагает упаковочные материалы и оборудование, в котором для простой аутентификации сотрудников в локальной системе безопасности предприятия используются пароли и индивидуальные смарт-карты доступа сотрудников. Привычные системы аутентификации не всегда удовлетворяют современным требованиям в области информационной безопасности, особенно если речь идет об ответственных приложениях (онлайновые финансовые приложения, доступ к удаленным базам данных и т.п.). В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения. Использование решений, основанных на биометрической технологии, позволяет в ряде случаев улучшить характеристики применяемых средств аутентификации.
Основными атаками на протоколы аутентификации являются:
1. маскарад (impersonation). Пользователь пытается выдать себя за другого с целью получения привилегий и возможности действий от лица другого пользователя;
2. подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационноrо обмена между двумя сторонами с целью модификации проходящего через него трафика; существует разновидность атаки подмены: после успешного прохождения аутентификации между двумя пользователями и установления соединения нарушитель исключает какого-либо пользователя из соединения и продолжает работу от его имени;
3. повторная передача (replay attack). Заключается в повторной передаче аутентификационных данных каким-либо пользователем;
4. отражение передачи (reflection attack). Один из вариантов предыдущей атаки, в ходе которой злоумышленник в рамках данной сессии протокола пересылает обратно перехваченную информацию;
5. вынужденная задержка (foгced delay). Злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;
6. атака с выборкой текста (chosen-text attack). Злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.
Для предотвращения таких атак при построении протоколов аутентификации применяются следующие приемы:
1. использование механизмов типа "запрос-ответ", меток времени, случайных чисел, идентификаторов, цифровых подписей;
2. привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей;
3. периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т.п.
Механизм "запрос-ответ" состоит в следующем: если пользователь А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент - запрос Х (например, некоторое случайное число). При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию /(Х)).
Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число Х придет в запросе. Получив правильный ответ с результатом действий В, пользователь А может быть уверен, что В - подлинный. Недостаток этого метода - возможность установления закономерности между запросом и ответом.
Механизм отметки времени подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети может определить, насколько устарело пришедшее сообщение, и решить не принимать его, поскольку оно может быть ложным. В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.
Вы можете сохранить эту статью:
Просто нажмите на кнопку нужного Вам сервиса и данная статья будет сохранена.
Классификация процессов аутентификации
из категории » Защита информации » в сервисах:Просто нажмите на кнопку нужного Вам сервиса и данная статья будет сохранена.
Дополнительная информация по теме:
 |
Подтверждение подлинности пользователя в процессе аутентификации
Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как пользователь, так и информационная система. Следует отметить, что информационная система обычно располагает не самим секретным элементом, но некоторой информацией о нем, на основани ... |
 |
Одноразовые параметры протоколов аутентификации
Можно привести следующие примеры применения одноразовых параметров:1. проверка своевременности в протоколах, построенных по принципу "запрос-ответ". При такой проверке могут использоваться случайные числа, метки времени с синхронизацией часов или номера последовательностей для конкретной пары (прове ... |
 |
Типы процедур строгой аутентификации
В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов:1. односторонняя аутентификация; 2. двусторонняя аутентификация; 3. трехсторонняя аутентификация.Односторонняя аутентификация предусматривает обмен информацией только в одном направлении. Данны ... |
 |
Цифровые сертификаты открытых ключей смарт-карт и криптотранспондеров RFID
Для аутентификации пользователей начинают все шире использоваться цифровые сертификаты открытых ключей. Цифровые сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией и удостоверяются соответствующей цифровой подписью. Для расп ... |
 |
Задачи систем идентификации и аутентификации
Существует определенное различие между идентификацией объектов - товаров, изделий, предметов, контейнеров - и идентификацией субъектов - пользователей компьютерной системы или сети. Для идентификации объекта из первой группы (товары, изделия, предметы, контейнеры и т.п.) достаточно произвести считыв ... |
Для поиска по всем категориям нашего сайта рекомендуем Вам пройти авторизацию либо зарегистрироваться.
