Методы идентификации и проверки подлинности пользователей компьютерных систем

Лекция №10 «Методы идентификации и проверки подлинности пользователей компьютерны х систем» 1 1.Определение понятий "идентификация" и "аутентификация" 2   Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным. Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает. 3   В качестве идентификаторов обычно используют: набор символов (пароль, секретный ключ, персональный идентификатор и т. п.), который пользователь запоминает или для их запоминания использует специальные средства хранения (электронные ключи); физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.). 4 Парольные методы аутентификации по степени изменяемости паролей делятся на:  методы, использующие постоянные (многократно используемые) пароли;  методы, использующие одноразовые (динамично изменяющиеся) пароли. 5 2. Механизм идентификация и аутентификация пользователей 6 Общая процедура идентификации и аутентификации пользователя при его доступе в защищенную информационную систему заключается в следующем: Пользователь предоставляет системе свой личный идентификатор (например, вводит пароль или предоставляет палец для сканирования отпечатка). Далее система сравнивает полученный идентификатор со всеми хранящимися в ее базе идентификаторами. Если результат сравнения успешный, то пользователь получает доступ к системе в рамках установленных полномочий. В случае отрицательного результата система сообщает об ошибке и предлагает повторно ввести идентификатор. В тех случаях, когда пользователь превышает лимит возможных повторов ввода информации (ограничение на количество повторов является обязательным условием для защищенных систем) система временно блокируется и выдается сообщение о несанкционированных действиях (причем, может быть, и незаметно для пользователя). 7 Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам. В целом аутентификация по уровню информационной безопасности делится на три категории: 8 Статическая аутентификация защищает от несанкционированного доступа злоумышленников, которые могут завладеть данными об идентификаторе пользователя во время его работы с информационным ресурсом или сайтом. Как правило, в основе статической аутентификации лежит парольный метод. 9 Устойчивая аутентификация служит для предотвращения перехвата идентификатора с целью использования его в следующих сеансах работы, но не защищает от активных атак, во время которых злоумышленник успевает быстро завладеть идентификатором и модифицировать его. Механизм устойчивой аутентификации основан на использовании динамических идентификаторов, которые меняются перед каждым сеансом. 10 Постоянная аутентификация защищает субъекта от несанкционированной кражи и модификации его идентификатора на любом этапе работы с информацией 11 3 Структура криптосистемы 12 Самый надежный технический метод защиты информации основан на использовании криптосистем. Криптосистема включает:  алгоритм шифрования;  набор ключей (последовательность двоичных чисел), используемых для шифрования;  систему управления ключами. 13 Общая схема работы криптосистемы показана рисунке 14 Криптосистемы решают такие проблемы информационной безопасности как обеспечение конфиденциальности, целостности данных, а также аутентификацию данных и их источников. Криптографические методы защиты являются обязательным элементом безопасных информационных систем. Особое значение криптографические методы получили с развитием распределенных открытых сетей, в которых нет возможности обеспечить физическую защиту каналов связи. 15 4 Классификация систем шифрования данных 16 Основным классификационным признаком систем шифрования данных является способ их функционирования. По способу функционирования системы шифрования данных делят на два класса:  системы "прозрачного" шифрования;  системы, специально вызываемые для осуществления шифрования. 17   В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством – встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. 18 5 Симметричные и асимметричные методы шифрования 19   Классические криптографические методы делятся на два основных типа: симметричные (шифрование секретным ключом) и асимметричные (шифрование открытым ключом). В симметричных методах для шифрования и расшифровывания используется один и тот же секретный ключ. Наиболее известным стандартом на симметричное шифрование с закрытым ключом является стандарт для обработки информации в государственных учреждениях США DES (Data Encryption Standard). 20 Общая технология использования симметричного метода шифрования представлена на рисунке 21  Асимметричные методы используют два взаимосвязанных ключа: для шифрования и расшифрования. Один ключ является закрытым и известным только получателю. Его используют для расшифрования. Второй из ключей является открытым, т. е. он может быть общедоступным по сети и опубликован вместе с адресом пользователя. Его используют для выполнения шифрования. 22 Схема функционирования данного типа криптосистемы показана на рисунке 23 6 Механизм электронной цифровой подписи 24   Для контроля целостности передаваемых по сетям данных используется электронная цифровая подпись, которая реализуется по методу шифрования с открытым ключом. Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя. 25 Распределение – самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:  с помощью прямого обмена сеансовыми ключами;  используя один или несколько центров распределения ключей. 26 Вопросы для самоконтроля                       Что понимается под идентификацией пользователя? Что понимается под аутентификацией пользователей? Применим ли механизм идентификации к процессам? Почему? Перечислите возможны е идентификаторы при реализации механизма идентификации. Перечислите возможны е идентификаторы при реализации механизма аутентификации. Какой из механизмов (аутентификация или идентификация) более надежны й? Почему? В чем особенности динамической аутентификации? Опишите механизм аутентификации пользователя. Что такое " электронны й клю ч" ? Перечислите виды аутентификации по уровню информационной безопасности. Какой из видов аутентификации (устойчивая аутентификация или постоянная аутентификация) более надежны й? Что входит в состав криптосистемы ? Какие составляющие информационной безопасности могут обеспечить криптосистемы ? Назовите классификационны е признаки методов шифрования данны х. Поясните механизм шифрования " налету" . Как реализуется симметричны й метод шифрования? Как реализуется асимметричны й метод шифрования? Что понимается под ключом криптосистемы ? Какие методы шифрования используются в вы числительны х сетях? Что такое электронная цифровая подпись? Какой метод шифрования используется в электронной цифровой подписи? Чем определяется надежность криптосистемы ? 27