|
Парольная аутентификация. Одной из наиболее распространенных схем аутентификации является простая аутентификация, основанная на использовании традиционных множественных паролей. Пользователь в сети прост
Процедуру аутентификации можно представить следующим образом. Когда пользователь пытается использовать сеть, он вводит свой идентификатор и пароль на клавиатуре компьютера. Эта информация отправляется на сервер аутентификации для обработки. В базе данных находится ссылка для идентификатора пользователя, хранящегося на сервере аутентификации, с которого определяется пароль и сравнивается с паролем, введенным пользователем. Если они соответствуют требованиям, аутентификация считается успешной, и пользователь получает юридический статус, а также права и доступ к сетевым ресурсам, определенным для его / ее статуса через систему авторизации.
Простая схема аутентификации с использованием пароля показана на рисунке 3.1.
Очевидно, что вариант аутентификации путем передачи пароля пользователя без шифрования не гарантирует даже минимального уровня безопасности. Чтобы защитить пароль, его необходимо зашифровать перед передачей по незащищенному каналу. Для этого в схему включены средства шифрования Single и дешифрования Dk.
Эти инструменты управляются общим секретным ключом K. Аутентификация пользователя основана на сравнении начального значения PA, хранящегося на сервере аутентификации, с паролем PA, отправленным пользователем. Если значения PA и R1A совпадают, пароль PA действителен, а пользователь A действителен.
Вот несколько способов использования одноразовых паролей для аутентификации пользователей:
1. Используйте механизм отметок времени, основанный на единой системе времени.
2. Используйте список случайных паролей, общих для легального пользователя и программы проверки, и их надежный механизм синхронизации.
3. Используйте генератор псевдослучайных чисел с тем же начальным значением, которое является общим как для пользователя, так и для контроллера.
Примером первого метода является технология аутентификации SecurID. Технология была разработана Security Dynamics и внедрена на серверах ряда компаний, в том числе CiscoSystems.
Схема аутентификации с использованием временной синхронизации основана на алгоритме, который генерирует случайные числа через определенный период времени. Схема аутентификации использует следующие два параметра:
• уникальный 64-битный секретный ключ, назначаемый каждому пользователю и хранящийся на сервере аутентификации, а также в аппаратном ключе пользователя;
• Текущее значение времени.
Когда удаленный пользователь пытается использовать сеть, ему предлагается ввести свой личный идентификационный номер и PIN-код. PIN-код состоит из четырех десятичных цифр и шести цифр случайного числа, отображаемого на дисплее аппаратного ключа. Сервер выполняет алгоритм для генерации случайного числа на основе личного ключа пользователя в базе данных и текущего значения времени с использованием введенного пользователем PIN-кода. Затем сервер с сгенерированным номером
сравнивает число, введенное пользователем. Если эти числа совпадают, сервер разрешает пользователю использовать систему.
Использование этой схемы аутентификации требует строгой синхронизации аппаратного ключа и сервера по времени. Поскольку аппаратный коммутатор будет работать в течение нескольких лет, совместимость аппаратного ключа с внутренними часами сервера может постепенно ухудшаться.
Security Dynamics использует два метода для решения этой проблемы:
• Когда переключатель устройства разработан, его отклонение от частоты таймера точно измеряется. Это значение отклонения учитывается как параметр алгоритма сервера;
• Сервер отслеживает код, сгенерированный определенным аппаратным ключом, и при необходимости адаптируется к этому ключу.
Есть еще одна проблема с этой схемой аутентификации. Устройство представляет собой настоящий пароль на небольшой промежуток времени, генерируемый случайным количеством ключей. Поэтому, как правило, может возникнуть краткосрочная ситуация, когда хакер может перехватить PIN-код и использовать его для доступа к сети. Это самое слабое место в схеме аутентификации, основанной на временной синхронизации.
Другой вариант аутентификации с использованием одноразового пароля - аутентификация по схеме «запрос-ответ». Когда пользователь пытается использовать сеть, сервер отправляет ему запрос в виде случайного числа.
Второй способ использования одноразового пароля для аутентификации пользователя - это использование списка случайных паролей, общих для пользователя и проверяющего, и их надежного механизма синхронизации. Разделенный список одноразовых паролей представляет собой последовательность или набор секретных паролей, каждый из которых используется только один раз. Этот список должен быть заранее распределен между сторонами аутентификационного обмена. Одна из версий этого метода использует анкету. Эта таблица содержит запросы и ответы, используемые сторонами для аутентификации, и каждая пара должна использоваться только один раз.
Третий способ использования одноразового пароля для аутентификации пользователя основан на использовании генератора псевдослучайных чисел с одинаковым начальным значением, общим как для пользователя, так и для контроллера. Возможны следующие варианты реализации этого метода:
• Последовательность сменных одноразовых паролей. В следующем сеансе аутентификации пользователь создает и передает зашифрованный пароль в секретном ключе, полученном из пароля предыдущего сеанса для этого конкретного сеанса;
• последовательность паролей, основанная на односторонней функции. Суть этого метода - последовательное использование односторонней функции (популярная схема Лампарта). С точки зрения безопасности этот метод предпочтительнее метода последовательной смены паролей.
Do'stlaringiz bilan baham: |
