-
Безопасность вычислительных сетей. Проблемы безопасности при взаимодействии в сети; методы и протоколы аутентификации пользователей и узлов сети.
Безопасность вычислительных сетей
Функция и способы
обеспечения ИБ ИТС.
методы и протоколы аутентификации пользователей и узлов сети.
обмен аутентификационной информацией. Средства защиты, реализующие данный способ, могут встраиваться на n -ом уровне архитектуры ЭМВОС с целью обеспечения аутентификации взаимодействующего субъекта. Если средство аутентификации субъекта не аутентифицировало последнего, то это приводит к удалению или прерыванию соединения и может повлечь за собой оповещение администрации СОИБ об инциденте и/или дополнение исходных данных для проведения аудита СОИБ записью о произошедшем инциденте.
Этот способ обеспечения ИБ может основываться на использовании:
аутентификационной информации (например, пароли), которая передаётся отправителем и проверяется получателем;
криптографических алгоритмов;
особенностей и/или собственности субъекта;
Напомним, что под идентификацией принято понимать присвоение субъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных. В свою очередь, аутентификация понимается как проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.
Тем самым, задача идентификации ответить на вопрос кто это? , а аутентификации - а он ли это на самом деле? .
Базовая схема идентификации и аутентификации приведена на рис. 1.3.2.
Приведённая схема
учитывает возможные ошибки оператора
при проведении процедуры аутентификации:
если аутентификация не выполнена, но
допустимое число попыток не превышено,
пользователю предлагается пройти
процедуру идентификации и аутентификации
еще раз. 
Всё множество использующих в настоящее время методов аутентификации можно разделить на 4 большие группы:
-
Методы, основанные на знании некоторой секретной информации.
-
Методы, основанные на использовании уникального предмета.
-
Методы, основанные на использовании биометрических характеристик человека.
-
Методы, основанные на информации, ассоциированной с пользователем.
Примером такой информации могут служить координаты пользователя, определяемые при помощи GPS.
Широко распространена практика совместного использования нескольких из перечисленных выше механизмов в таких случаях говорят о многофакторной аутентификации.
Рассмотрим ряд протоколов удаленной аутентификации пользователей:
Протокол PAP (Password Authentication Protocol).
Его суть состоит в том, что вся информация о субъекте (идентификатор и пароль) передается по сети в открытом виде. Это и является главным недостатком PAP, так как злоумышленник может легко получить доступ к передающимся незашифрованным данным.
ПротоколCHAP (Challenge Handshaking Authentication Protocol)
Предполагается, что аутентифицируемая сторона (клиент) и аутентифицирующая (сервер) уже обладают общим секретом (например, паролем доступа к серверу). Задача состоит в безопасной удаленной аутентификации клиента, проверке его подлинности путем проверки знания общего секрета.
Протокол одноразовых ключей S/KEY
Протокол одноразовых ключей S/KEY основан на независимом формировании клиентом и сервером последовательности одноразовых паролей, основанной на общем секрете K. При этом знание злоумышленником очередного пароля, пересылаемого на фазе аутентификации, не дает ему возможности выяснить следующий пароль.