КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Аутентификация с использованием односторонних функций
|
|
|
|
Принципы аутентификации управления доступом
Алгоритм DES
Алгоритм DES (data encryption standard) – стандарт США 1977г – ключ шифрования – 56 бит.
Сейчас используется так называемый тройной DES – последовательное шифрование 3мя разными ключами.
В 2001г также был принят стандарт AES (advanced encryption standard) – допускает ключи на 128,192 и 256 бит.
Обмен сообщений с симметричным алгоритмом шифрования происходит по следующему протоколу:
1. Алиса и Боб договариваются об использовании симметричной системы шифрования
2. Они договариваются об общем ключе
3. Алиса шифрует исходный текст ключом и пересылает Бобу
4. Боб расшифровывает сообщение.
Аутентификация по учетным записям осуществляется с помощью следующих данных:
1. Имя пользователя для входа в систему
2. идентификатор пользователя (числовое значение уникальное)
3. Информация о пароле и пароль пользователя
4. Информация об ограничениях, куда входит: срок действия учетной записи, периодичность смены пароля, часы, дни недели и т.д.
5. Информация о группах, в которых участвует пользователь.
6. Расположение домашнего каталога пользователя
7. Настройки сессии пользователя, такие как: использование команд интерпретатора, использование оболочки, используемые программные продукты.
Вся информация вместе с учетными записями храниться в базе данных учетных записей. Администратор может менять любую учетную запись. Обычно пользователь может менять, как правило, только свой пароль.
При доступе к ресурсу проверяются права не только пользователя, но и права его группы. Отказать в доступе к ресурсу можно при отсутствии прав либо у пользователя, либо у группы.
При этом сохраняется не пароль, а его односторонняя функция.
Протокол аутентификации имеет следующий вид:
1. Алиса посылает системе свое имя и пароль
2. Система вычисляет одностороннюю функцию пароля
3. Система сравнивает значение вычисленное со значением в базе данных
Достоинство: если злоумышленник получит доступ к списку паролей, он не может его восстановить (злоумышленник - Трудди).
Недостаток: аутентификация с использованием односторонних функций не защищает от словарных атак, однако злоумышленнику необходимо применять односторонние функции.
В качестве одного из способов борьбы со словарной атакой используют способ "соль" – случайная строчка, которая добавляется в пароль перед шифрованием (при односторонней функции).
Аутентификация по принципу "запрос-ответ"
Применяется в сетевой аутентификации для избежания передачи по сети незашифрованных паролей.
Для аутентификации передаются хэш-функции паролей, которые называются "дайджестами".
Дайджест – хэш-функция пароля, передаваемая по сети при аутентификации.
Протокол аутентификации по принципу "запрос-ответ":
1. система сохраняет односторонний дайджест пароле Алисы в базе данных учетных записей
2. Алиса передает системе входное имя открытым текстом и дайджест пароля
3. Система генерирует случайное число, называемое вызовом, и передает Алисе
4. Алиса применяет другую одностороннюю функцию к вызову, причем на вход этого вызова передается также и дайджест Алисы
5. Алиса передает системе открытое число, которое называется ответом
6. Система вычисляет на основании данных из базы данных учетных записей и ранее генерируемого случайного числа значение, аналогичное принятому.
7. Если ответ Алисы совпал с вычисленным значением, то аутентификация успешна.
Использование случайных значений системы при вызове позволяет защитить от атаки воспроизводства.
Атака воспроизводства – атака, во время которой Труди перехватывает информацию, переданную Алисе, для того, чтобы позже передать информацию Бобу под видом Алисы.
Надежность протокола в данном случае зависит от надежности односторонней функции.
С появлением Windows 2000 от этого протокола отказались, так как был разработан протокол Kerberos.
Одноразовые пароли – предназначены для решения задач аутентификации. Действителен только во время сессии.
Перехват одноразового пароля ничего не даст.
Протокол:
1. Алиса задает случайное значение для инициализации системы.
2. Система вычисляет односторонние функции случайного значения каскадно N+1 раз (результат вычисления предыдущей функции является входным значением следующей)
3. N значений система передает Алисе, а N+1 сохраняет у себя
4. При входе в систему Алиса задает свое имя и выбирает число, которое является N-м вычислением хэш-функции системы, и пересылает системе.
5. Система вычисляет хэш-функцию присланного числа и, если она совпадает с N+1 вычислением, закрепленным за Алисой. Аутентификация успешна. При этом N+1 значение хранимое системой заменяется на N-е
6. При следующем сеансе аутентификации Алиса вместе со своим именем посылает N-1 вычисленное значение, по которому система вычитывает хэш-функцию и сравнивает … и т.д. пока ряд одноразовых паролей не будет заполнен.
|
|
|
|
Дата добавления: 2013-12-12; Просмотров: 1057; Нарушение авторских прав?; Мы поможем в написании вашей работы!