Лекции по защите информации - файл n5.doc

Лекции по защите информации
скачать (710.7 kb.)
Доступные файлы (10):
n1.doc50kb.16.02.2005 10:21скачать
n2.doc53kb.01.03.2005 22:31скачать
n3.doc540kb.08.03.2005 22:50скачать
n4.doc74kb.16.03.2005 13:48скачать
n5.doc128kb.22.03.2005 23:47скачать
n6.doc83kb.29.03.2005 21:54скачать
n7.doc98kb.12.04.2005 11:35скачать
n8.doc126kb.26.04.2005 22:33скачать
n9.doc55kb.03.05.2005 21:43скачать
n10.doc92kb.10.05.2005 16:12скачать

n5.doc

  1   2   3
Способы идентификации пользователя

Прежде чем получить доступ к ВС, пользователь должен идентифицировать себя, а механизмы защиты сети затем под­тверждают подлинность пользователя, т. е. проверяют, явля­ется ли пользователь действительно тем, за кого он себя вы­дает. В соответствии с логической моделью механизма защи­ты ВС размещены на рабочей ЭВМ, к которой подключен пользователь через свой терминал или каким-либо иным способом. Поэтому про­цедуры идентификации, подтверждения подлинности и наде­ления полномочиями выполняются в начале сеанса на мест­ной рабочей ЭВМ.

В дальнейшем, когда устанавливаются различные сетевые протоколы и до получения доступа к сетевым ресурсам, про­цедуры идентификации, подтверждения подлинности и наде­ления полномочиями могут быть активизированы вновь на некоторых удаленных рабочих ЭВМ с целью размещения тре­буемых ресурсов или сетевых услуг.

Когда пользователь начинает работу в вычислительной си­стеме, используя терминал, система запрашивает его имя и идентификационный номер. В соответствии с ответами пользователя вычислительная система производит его идентификацию. В сети более естественно для объектов, устанавливающих взаимную связь, идентифицировать друг друга.

Пароли - это лишь один из способов подтверждения по­длинности. Существуют другие способы:

1. Предопределенная информация, находящаяся в распоря­жении пользователя: пароль, личный идентификационный но­мер, соглашение об использовании специальных закодирован­ных фраз.

2. Элементы аппаратного обеспечения, находящиеся в рас­поряжении пользователя: ключи, магнитные карточки, микро­схемы и т.п..

3. Характерные личные особенности пользователя: отпечат­ки пальцев, рисунок сетчатки глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические свойства.

4. Характерные приемы и черты поведения пользователя в режиме реального времени: особенности динамики, стиль ра­боты на клавиатуре, скорость чтения, умение использовать манипуляторы и т.д.

5. Привычки: использование специфических компьютерных заготовок.

6. Навыки и знания пользователя, обусловленные образо­ванием, культурой, обучением, предысторией, воспитанием, привычками и т.п.

1. Подлинность объекта

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычис­лительной системы. Если процедура установления подлинно­сти является односторонней, такую процедуру называют про­цедурой одностороннего подтверждения подлинности объекта.

1.1. Модель пароля

Традиционно каждый пользователь вычислительной системы получает идентификационный номер или пароль. В начале сеанса работы на терминале пользователь указывает свой идентификационный номер или идентификатор пользователя системе, которая затем запрашивает у пользователя пароль. В пакетное задание обычно включаются идентификационный номер и пароль отправителя или владельца. Такой механизм проверки подлинности простого пароля можно представить схемой 1.

Схема1: Механизм проверки подлинности простого пароля

Шаг 1: Пользователь —> Система: идентификатор

Шаг 2: Пользователь —> Система: пароль

Шаг 3: Останов: Пользователь допущен, если идентификатор зарегистрирован, а пароль верен

Если кто-то, не имеющий полномочий для входа в систе­му, каким-либо образом узнает пароль и идентификационный номер легального пользователя, он, конечно, получит доступ в систему.

Пользователю может быть также задан список паролей. Пользователь использует первый пароль при первом вхожде­нии, второй - при втором и т.д. При каждом вхождении он проверяет, не воспользовался ли еще кто-либо его паролем. Эта модель называется моделью с изменяющимся паролем (Схема 2).

Схема 2: Механизм проверки подлинности изменяющегося пароля, основанный на списке паролей

Шаг 1: Пользователь —> Система: идентификатор

Шаг 2: Пользователь —> Система: (i+1)-и пароль

Шаг 3: Останов. Пользователь допущен, если (i+1) -и пароль верен

Эта модель обладает рядом недостатков [МЕYЕ82]:

* Пользователь должен запоминать длинный список паро­лей либо держать его все время при себе, рискуя потерять.

* В случае ошибки передачи по линии связи в процессе входа в систему пользователь не знает, должен ли он ис­пользовать тот же пароль или переходить к следующему.

Схема 3: Механизм проверки подлинности изменяющегося пароля при использовании необратимых функций

Шаг 1: Пользователь —> Система: идентификатор

Шаг 2: Пользователь —> Система: Р'(пароль)

Шаг 3: Останов. Пользователь допущен, если Р' (пароль) верен.

Если нарушается синхронизация, пользователь перейдет без каких-либо изменений к следующему неиспользуемому значению F, и получатель должен вычислить функцию F(F(...Fz(х)...)), пока не получит функцию Fw, которая име­ется в его памяти. Ограничение на такой десинхронизирован­ный процесс состоит в том, чтобы разность w-z была не слишком большой.

При передаче пароля по сетям связи он должен быть за­шифрован и для разных случаев разными способами. Может оказаться ситуация, когда пароли легко угадываются неза­висимо от времени их существования [МЕУЕ821. Поэтому пароли следует выбирать централизованно либо лицом, ответ­ственным за Обеспечение защиты, либо вычислительной сис­темой.

Пароли должны время от времени изменяться. Если кто-либо смог подобрать пароль, то он не должен иметь возмож­ности использовать его слишком долго [МЕУЕ82].

Чем длиннее пароль, тем более затруднителен его подбор и тем эффективнее защита системы [МЕУЕ821.
1.2. Другие модели механизма одностороннего подтверждения подлинности объекта сети

Конечный пользователь может проверить подлинность объек­та, задавая вопросы, которые несут частично объективную информацию и частично выдуманную, например:

. - какова девичья фамилия вашей матери?

- в каком городе вы проживали в 1962 г. ?

- когда откроется пул?

В модели рукопожатия существует процедура , известная только пользователю и вычислительной системе. При входе в систему генерируется число х и вычисляется функция f(x). Пользователь также применяет процедуру к числу х и посы­лает свой результат у в компьютер. Получив у, вычислитель­ная система сравнивает результаты (рис. 1) [МЕУЕ82, ВЕКЕ82]. Механизм реализации этой модели представлен схемой. Схема 4.



  1   2   3


Учебный материал
© nashaucheba.ru
При копировании укажите ссылку.
обратиться к администрации