Биометрический метод аутентификации основан на распознавании характеристики, которая является неотъемлемой и уникальной частью пользователя системы: голоса, отпечатка пальца, сетчатки глаза. Основное преимущество этого метода – сложность обмана защитного механизма. Основной недостаток – в том, что требуется дорогое оборудование (например, сканеры сетчатки глаза стоят очень дорого).
Наиболее распространенный тип аутентификации - аутентификация, основанная на знании. Наиболее распространенная реализация этого метода – парольная аутентификация. Рассмотрим возможные схемы парольной аутентификации.
Фиксированные пароли – это пароли, не зависящие от времени. Рекомендуются следующие требования к механизму парольной аутентификации фиксированных паролей:
· База данных паролей должна быть защищена с помощью механизмов контроля доступа.
· При проверке целесообразно не расшифровывать пароли, а сравнивать значения хэш-функций
· Система не должна отображать вводимые пароли
· Минимальная длина пароля должна быть ограничена
· Количество попыток ввода пароля должно быть ограничено
· Система должна регистрировать все данные об использовании и смене пароля (время входа в систему, место входа).
«Подсоленные» пароли
Для уменьшения возможности побора пароля с использованием словаря каждый пароль при помещении его в базу данных может быть дополнен n-битовой случайной последовательностью, называемой «солью». Эта операция должна быть проделана перед хэшированием пароля.
Оба элемента (хэшированный «подсоленный» пароль и значение «соли») записываются в файл паролей. Когда пользователь предъявляет пароль, система находит «соль» и дополняет ею пароль, после чего происходит хэширование и сравнение паролей.
Сильная аутентификация – это процедура, которая дает возможность убедиться в подлинности участника обмена данными путем демонстрации им своего знания некоторого секрета без предъявления самого секрета. Сильная аутентификация предполагает использование специальных протоколов аутентификации, использующих цепочки запросов и ответов. Чтобы предотвратить возможности имитации одной из сторон, основная часть информации должна передаваться в шифрованном виде.
Для того, чтобы противодействовать попыткам навязывания ранее переданной информации (скопировать сообщение и потом просто воспроизвести его), применяется два подхода:
· Использование метки даты/времени. Сторона А снимает показания своих системных часов и включает метку даты/времени в свое криптографически защищенное сообщение. Сторона В снимает показание своих системных часов и сравнивает с полученной меткой. Сторона В воспринимает сообщение как новое, только если метка даты/времени укладывается в пределы определенного временного окна, выбранного из расчета времени передачи максимально длинного сообщения. При этом подходе необходима синхронизация часов обеих сторон.
· Использование уникальной метки сообщения. Сторона А, ожидающая сообщение от В, сначала посылает запрос (уникальную метку сообщения, иногда называемую оказией – некоторый сгенерированный случайный идентификатор). Сообщение от В принимается, если оно содержит зашифрованное правильное значение уникальной метки сообщения. Метки сообщений должны быть независимыми для каждого сеанса аутентификации.
В протоколах на основе традиционного шифрования необходимо, чтобы стороны, участвующие в процессе аутентификации, до начала его проведения уже имели общий секретный ключ. Рассмотрим простой протокол взаимной аутентификации на основе шифрования с секретным ключом с использованием уникальной метки сообщения:
1. 
2. 
3. 
Здесь использованы обозначения: ZA, ZB – уникальные метки сообщений А, В;
EK – алгоритм шифрования на секретном ключе K; ID(B) – идентификатор В.
В протоколах аутентификации, построенных на использовании асимметричной криптографии, доказывающий свою аутентичность может продемонстрировать владение секретным ключом, расшифровав запрос, зашифрованный на его открытом ключе. Кроме того, иногда используется простановка под запросом цифровой подписи.
Рассмотрим один из реально применяемых протоколов аутентификации на основе асимметричной криптографии. Это протокол By-Лама.
Протокол предполагает, что у каждой из двух сторон имеется открытый ключ ЦРК, который участвует в процессе обмена. Обе стороны, участвующие в обмене, должны быть зарегистрированы в ЦРК. Протокол выполняет следующие действия:
1. Сторона А сообщает ЦРК о своем намерении установить соединение с В, и передает свой идентификатор и идентификатор В.
EЦРК(A, B)
2. ЦРК возвращает А экземпляр сертификата открытого ключа стороны В, подписанный с помощью закрытого ключа ЦРК.
3. Сторона А проверяет подлинность подписи ЦРК, и посылает стороне В свою оказию Za, используя полученный открытый ключ.
:
EB(ZA)
4. Сторона В запрашивает у ЦРК сертификат открытого ключа стороны А и сеансовый ключ. Сообщение включает оказию Za, сообщая, что запрос идет по просьбе стороны А. Сообщение защищается шифрованием с использованием открытого ключа ЦРК.
EЦРК(ZA)
5. ЦРК передает стороне В сертификат открытого ключа стороны А и информацию, зашифрованную с помощью открытого ключа В: оказию Za, и новый секретный сеансовый ключ. Все это должно быть подписано секретным ключом ЦРК.
EЦРК(KA,
ZA, K)
6. Сторона В проверяет подлинность подписи ЦРК и посылает стороне А: ее собственную оказию Za, новый секретный сеансовый ключ, и свою оказию Zb. Все это зашифровано открытым ключом стороны А.
EA(ZA, K, ZB)
7. Сторона А проверяет свою оказию и извлекает секретный сеансовый ключ. Сторона А использует новый ключ, чтобы зашифровать свое сообщение и вернуть стороне В ее оказию Zb. Это убеждает сторону В в том, что А получила сеансовый ключ.
: EK(ZB, M)
Односторонняя аутентификация используется в таких приложениях, как электронная почта, в тех случаях, когда важно подтвердить, что сообщение действительно пришло из указанного источника. Отличительной чертой такой аутентификации является отсутствие диалога в процессе аутентификации, поскольку отправитель и получатель не находятся в сети одновременно (это одно из главных удобств электронной почты).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.