Что такое идентификация и аутентификация пользователя. Как это исправить? В целом аутентификация по уровню информационной безопасности делится на три категории

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.

В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

1. что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
2. как организован (и защищен) обмен данными идентификации/аутентификации.

Субъект может подтвердить свою подлинность, предъявив, по крайней мере, одну из следующих сущностей:

1. нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
2. нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
3. нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

Основой любых систем защиты информационных систем являются идентификация и аутентификация, так как все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами АС. Напомним, что в качестве субъектов АС могут выступать как пользователи, так и процессы, а в качестве объектов АС - информация и другие информационные ресурсы системы.

Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:

- установление подлинности и определение полномочий субъекта при его допуске в систему,
- контролирование установленных полномочий в процессе сеанса работы;
- регистрация действий и др.

Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам.

По контролируемому компоненту системы способы аутентификации можно разделить на аутентификацию партнеров по общению и аутентификацию источника данных. Аутентификация партнеров по общению используется при установлении (и периодической проверке) соединения во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация источника данных - это подтверждение подлинности источника отдельной порции данных.

По направленности аутентификация может быть односторонней (пользователь доказывает свою подлинность системе, например при входе в систему) и двусторонней (взаимной).

Обычно методы аутентификации классифицируют по используемым средствам. В этом случае указанные методы делят на четыре группы:

1. Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации - пароля.
2. Основанные на использовании уникального предмета: жетона, электронной карточки и др.
3. Основанные на измерении биометрических параметров человека - физиологических или поведенческих атрибутах живого организма.
4. Основанные на информации, ассоциированной с пользователем, например, с его координатами.

Рассмотрим эти группы.

1. Наиболее распространенными простыми и привычными являются методы аутентификации, основанные на паролях - секретных идентификаторах субъектов. Здесь при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам АС.

Парольные методы следует классифицировать по степени изменяемости паролей:

- методы, использующие постоянные (многократно используемые) пароли,
- методы, использующие одноразовые (динамично изменяющиеся) пароли.

В большинстве АС используются многоразовые пароли. В этом случае пароль пользователя не изменяется от сеанса к сеансу в течение установленного администратором системы времени его действительности. Это упрощает процедуры администрирования, но повышает угрозу рассекречивания пароля. Известно множество способов вскрытия пароля: от подсмотра через плечо до перехвата сеанса связи. Вероятность вскрытия злоумышленником пароля повышается, если пароль несет смысловую нагрузку (год рождения, имя девушки), небольшой длины, набран на одном регистре, не имеет ограничений на период существования и т. д. Важно, разрешено ли вводить пароль только в диалоговом режиме или есть возможность обращаться из программы.

В последнем случае, возможно запустить программу по подбору паролей - «дробилку». Более надежный способ - использование одноразовых или динамически меняющихся паролей.

Известны следующие методы парольной защиты, основанные на одноразовых паролях:

- методы модификации схемы простых паролей;
- методы «запрос-ответ»;
- функциональные методы.

В первом случае пользователю выдается список паролей. При аутентификации система запрашивает у пользователя пароль, номер, в списке которого определен по случайному закону. Длина и порядковый номер начального символа пароля тоже могут задаваться случайным образом.

При использовании метода «запрос-ответ» система задает пользователю некоторые вопросы общего характера, правильные ответы на которые известны только конкретному пользователю.

Функциональные методы основаны на использовании специальной функции парольного преобразования. Это позволяет обеспечить возможность изменения (по некоторой формуле) паролей пользователя во времени. Указанная функция должна удовлетворять следующим требованиям:

- для заданного пароля x легко вычислить новый пароль;
- зная х и y, сложно или невозможно определить функцию.

Наиболее известными примерами функциональных методов являются: метод функционального преобразования и метод «рукопожатия».

Идея метода функционального преобразования состоит в периодическом изменении самой функции. Последнее достигается наличием в функциональном выражении динамически меняющихся параметров, например, функции от некоторой даты и времени. Пользователю сообщается исходный пароль, собственно функция и периодичность смены пароля. Нетрудно видеть, что паролями пользователя на заданных -периодах времени будут следующие: x, f(x), f(f(x)), ..., f(x)n-1.

Метод «рукопожатия» состоит в следующем. Функция парольного преобразования известна только пользователю и системе защиты. При входе в АС подсистема аутентификации генерирует случайную последовательность x, которая передается пользователю. Пользователь вычисляет результат функции y=f(x) и возвращает его в систему. Система сравнивает собственный вычисленный результат с полученным от пользователя. При совпадении указанных результатов подлинность пользователя считается доказанной.

Достоинством метода является то, что передача какой-либо информации, которой может воспользоваться злоумышленник, здесь сведена к минимуму.

В ряде случаев пользователю может оказаться необходимым проверить подлинность другого удаленного пользователя или некоторой АС, к которой он собирается осуществить доступ. Наиболее подходящим здесь является метод «рукопожатия», так как никто из участников информационного обмена не получит никакой конфиденциальной информации.

Отметим, что методы аутентификации, основанные на одноразовых паролях, также не обеспечивают абсолютной защиты. Например, если злоумышленник имеет возможность подключения к сети и перехватывать передаваемые пакеты, то он может посылать последние как собственные.

2. В последнее время получили распространение комбинированные методы идентификации, требующие, помимо знания пароля, наличие карточки (token) - специального устройства, подтверждающего подлинность субъекта.

Карточки разделяют на два типа:

- пассивные (карточки с памятью);
- активные (интеллектуальные карточки).

Самыми распространенными являются пассивные карточки с магнитной полосой, которые считываются специальным устройством, имеющим клавиатуру и процессор. При использовании указанной карточки пользователь вводит свой идентификационный номер. В случае его совпадения с электронным вариантом, закодированным в карточке, пользователь получает доступ в систему. Это позволяет достоверно установить лицо, получившее доступ к системе и исключить несанкционированное использование карточки злоумышленником (например, при ее утере). Такой способ часто называют двухкомпонентной аутентификацией.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

К достоинству использования карточек относят то, что обработка аутентификационной информации выполняется устройством чтения, без передачи в память компьютера. Это исключает возможность электронного перехвата по каналам связи.

Недостатки пассивных карточек следующие: они существенно дороже паролей, требуют специальных устройств чтения, их использование подразумевает специальные процедуры безопасного учета и распределения. Их также необходимо оберегать от злоумышленников, и, естественно, не оставлять в устройствах чтения. Известны случаи подделки пассивных карточек.

Интеллектуальные карточки кроме памяти имеют собственный микропроцессор. Это позволяет реализовать различные варианты парольных методов защиты: многоразовые пароли, динамически меняющиеся пароли, обычные запрос-ответные методы. Все карточки обеспечивают двухкомпонентную аутентификацию.

К указанным достоинствам интеллектуальных карточек следует добавить их многофункциональность. Их можно применять не только для целей безопасности, но и, например, для финансовых операций. Сопутствующим недостатком карточек является их высокая стоимость.

Перспективным направлением развития карточек является наделение их стандартом расширения портативных систем PCMCIA (PC Card). Такие карточки являются портативными устройствами типа PC Card, которые вставляются в разъем PC Card и не требуют специальных устройств чтения. В настоящее время они достаточно дороги.

3. Методы аутентификации, основанные на измерении биометрических параметров человека, обеспечивают почти 100 % идентификацию, решая проблемы утраты паролей и личных идентификаторов. Однако такие методы нельзя использовать при идентификации процессов или данных (объектов данных), так как они только начинают развиваться (имеются проблемы со стандартизацией и распространением), требуют пока сложного и дорогостоящего оборудования. Это обусловливает их использование пока только на особо важных объектах и системах.

Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине капиллярных сосудов, по почерку, по запаху, по тембру голоса и даже по ДНК.

Таблица 1. Примеры методов биометрии

Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.

Назовем наиболее используемые биометрические атрибуты и соответствующие системы.

· Отпечатки пальцев. Такие сканеры имеют небольшой размер, универсальны, относительно недороги. Биологическая повторяемость отпечатка пальца составляет 10-5 %. В настоящее время пропагандируются правоохранительными органами из-за крупных ассигнований в электронные архивы отпечатков пальцев.
· Геометрия руки. Соответствующие устройства используются, когда из-за грязи или травм трудно применять сканеры пальцев. Биологическая повторяемость геометрии руки около 2 %.
· Радужная оболочка глаза. Данные устройства обладают наивысшей точностью. Теоретическая вероятность совпадения двух радужных оболочек составляет 1 из 1078.
· Термический образ лица. Системы позволяют идентифицировать человека на расстоянии до десятков метров. В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.
· Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 - 5%. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу - возбужден, болен, говорит правду, не в себе и т.д.
· Ввод с клавиатуры. Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.
· Подпись. Для контроля рукописной подписи используются дигитайзеры.
4. Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System). Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что сводит на нет возможность их перехвата.

Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет ее использовать в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.

Суммируя возможности средств аутентификации, ее можно классифицировать по уровню информационной безопасности на три категории:

1. Статическая аутентификация;
2. Устойчивая аутентификация;
3. Постоянная аутентификация.

Первая категория обеспечивает защиту только от НСД в системах, где нарушитель не может во время сеанса работы прочитать аутентификационную информацию. Примером средства статической аутентификации являются традиционные постоянные пароли. Их эффективность преимущественно зависит от сложности угадывания паролей и, собственно, от того, насколько хорошо они защищены.

Для компрометации статической аутентификации нарушитель может подсмотреть, подобрать, угадать или перехватить аутентификационные данные и т.д.

Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом работы. Реализациями устойчивой аутентификации являются системы, использующие одноразовые пароли и электронные подписи. Усиленная аутентификация обеспечивает защиту от атак, где злоумышленник может перехватить аутентификационную информацию и пытаться использовать ее в следующих сеансах работы.

Однако устойчивая аутентификация не обеспечивает защиту от активных атак, в ходе которых маскирующийся злоумышленник может оперативно (в течение сеанса аутентификации) перехватить, модифицировать и вставить информацию в поток передаваемых данных.

Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки. Примером реализации указанной категории аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пересылаемой информации.

Этапы аутентификации.

Процесс аутентификации пользователя компьютером можно разделить на два этапа:

· подготовительный - выполняется при регистрации пользователя в системе. Именно тогда у пользователя запрашивается образец аутентификационной информации, например, пароль или контрольный отпечаток пальца, который будет рассматриваться системой как эталон при аутентификации;
· штатный - образец аутентификационной информации запрашивается у пользователя снова и сравнивается с хранящимся в системе эталоном. Если образец схож с эталоном с заданной точностью - пользователь считается узнанным, в противном случае пользователь будет считаться чужим, результатом чего будет, скажем, отказ в доступе на компьютер.

В наиболее простом варианте эталоном может быть просто пароль, хранящийся в открытом виде. Однако такое хранение защищает только от непривилегированных пользователей системы - администратор системы вполне сможет получить все пароли пользователей, хранящиеся в таблице, и впоследствии входить в систему от имени любого пользователя (скажем, для выполнения каких-либо злоумышленных действий, которые будут записаны на другого). Кроме того, известен факт, что подавляющее большинство пользователей используют 1-3 пароля на все случаи жизни. Поэтому узнанный злоумышленником пароль может быть применен и к другим системам или программам, в которых зарегистрирован его владелец. Наиболее часто эталон представляет собой результат какой-либо обработки аутентификационной информации, то есть:

где Ai - аутентификационная информация, а f(...) - например, функция хэширования (расчет контрольной суммы данных с использованием криптографических методов - хэша). Хэширование достаточно часто применяется в протоколах межсетевого обмена данными, а также необходимо для использования электронной цифровой подписи.

Есть и другие варианты хранения эталонов, например, такой:

Ei = f(IDi, Ai).

Этот вариант лучше предыдущего тем, что при одинаковых паролях двух пользователей их эталоны будут выглядеть по-разному. Впрочем, в данном случае вместо имен пользователей подойдет и любая случайная последовательность, ее лишь придется хранить в той же таблице для последующего вычисления эталонов в процессе аутентификации.

В любом случае функция вычисления эталона из аутентификационной информации должна быть однонаправленной, т.е. легко рассчитываться, но представлять собой вычислительную проблему при попытке вычисления в обратном направлении.

В открытой сетевой среде между сторонами идентификации / аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.

Надежная идентификация и затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.

Методы разграничения доступа

При организации доступа субъектов к объектам выполняются следующие действия:

– идентификация и аутентификация субъекта доступа;

– проверка прав доступа субъекта к объекту;

– ведение журнала учета действий субъекта.

При входе в КС, при получении доступа к программам и конфиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е., пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация) – вводит имя пользователя (login), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает.

Обычно данные, идентифицирующие пользователя, не засекречены, но для усложнения проведения атак по несанкционированному доступу желательно хранить эти данные в файле, доступ к которому возможен только администратору системы.

Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делятся на следующие категории:

– пароли;

– съемные носители информации;

– электронные жетоны;

– пластиковые карты;

– механические ключи.

Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, администратору системы безопасности. Обычно пароль вводится со штатной клавиатуры после включения питания. Возможен ввод пароля с пульта управления или специального наборного устройства. При организации парольной защиты необходимо выполнять следующие рекомендации:

1. Пароль необходимо запоминать, а не записывать.

2. Длина пароля должна быть не менее девяти символов.

3. Пароли должны периодически меняться.

4. Должны фиксироваться моменты времени успешного получения доступа и неудачного ввода пароля. Информация о попытках неверного ввода пароля должны подвергаться статистической обработке и сообщаться администратору.

5. Пароли должны храниться так, чтобы доступ к ним был затруднен. Это достигается двумя способами:

– пароли хранятся в специальном ЗУ, запись в которое осуществляется в специальном режиме;

– пароли подвергаются криптографическому преобразованию (шифрованию).

6. При вводе пароля не выдавать никаких сведений на экран, чтобы затруднить подсчет введенных символов.

7. Не использовать в качестве паролей имена и фамилии, дни рождения и географические или иные названия. Желательно менять при вводе пароля регистры, использовать специальные символы, набирать русский текст на латинском регистре, использовать парадоксальные сочетания слов.

В настоящее время компьютер поддерживает ввод пароля до начала загрузки операционной системы. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение несанкционированного доступа до загрузки любых программных средств. Этот пароль считается эффективным средством, если злоумышленник не имеет доступа к аппаратуре, так как отключение внутреннего питания сбрасывает этот пароль.

Другие способы идентификации (съемные носители, карты и. др.) предполагают наличие технических средств, хранящих идентификационную информацию. Съемный носитель, содержащий идентификационную информацию - имя пользователя и его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.

Для идентификации и аутентификации часто используется стандартный гибкий диск или флэш-память. Достоинства такого идентификатора заключаются в том, что не требуется использования дополнительных аппаратных средств и кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др.

Иногда, для повышения уровня защищенности, используются специальные переносные электронные устройства, подключаемые, например, к стандартным портам компьютера. К ним относится электронный жетон-генератор - прибор, вырабатывающий псевдослучайную символьную последовательность, которая меняется примерно раз в минуту синхронно со сменой такого же слова в компьютерной системе. Жетон используется для однократного входа в систему. Существует другой тип жетона, имеющего клавиатуру и монитор. В процессе идентификации КС выдает случайную символьную последовательность, которая набирается на клавиатуре жетона, по ней на мониторе жетона формируется новая последовательность, которая вводится в КС как пароль.

К недостатку способа идентификации и аутентификации с помощью дополнительного съемного устройства можно отнести возможность его потери или хищения.

Одним из надежных способов аутентификации является биометрический принцип, использующий некоторые стабильные биометрические показатели пользователя, например, отпечатки пальцев, рисунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунка хрусталика требуются специальные устройства, которые устанавливаются на компьютерных системах высших уровней защиты. Ритм работы при вводе информации проверяется на штатной клавиатуре компьютерной системы и, как показывают эксперименты, является вполне стабильным и надежным. Даже подглядывание за работой пользователя при наборе ключевой фразы не дает гарантии идентификации злоумышленника при его попытке повторить все действия при наборе фразы.

Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

· что служит аутентификатором;
· как организован (и защищен) обмен данными идентификации/ аутентификации.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

· нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
· нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
· нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.

Надежная идентификация и затруднена не только из-за сетевых угроз, но и по целому ряду причин.

Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.

Методы защиты информации – идентификация и аутентификация.

Аутентификация - это процесс, в ходе которого на основании пароля, ключа или какой-либо иной информации, пользователь подтверждает, что является именно тем, за кого себя выдает.
Идентификация - это процесс, в ходе которого выясняются права доступа, привилегии, свойства и характеристики пользователя на основании его имени, логина или какой-либо другой информации о нем.
При входе пользователя в систему первым делом происходит его аутентификация. Если введенные логин и пароль совпадают с хранимыми в системе на сервере, то пользователь успешно входит в систему, иначе ему отказывается в доступе. Здесь уместно контролировать количество попыток, дабы избежать подбора паролей. В зависимости от сложности и надежности системы необходимо выбрать механизм работы с паролями. В самом простом случае можно разрешить пользователю самостоятельно вводить пароль. Но достаточно большое количество пользователей в качестве пароля вводит свой: логин, имя, номер телефона и т.п. Это можно разрешить только в тех системах, где проблема защиты информации пользователя является его собственным делом и не нанесет вреда системе в целом.
Идентификация и аутентификация (ИдиА) - это процесс распознавания и проверки подлинности заявлений о себе пользователей и процессов. ИдиА обычно используется при принятии решения, можно ли разрешить доступ к системным ресурсам пользователю или процессу.
Аутентификация через Интернет имеет ряд проблем. Достаточно легко можно перехватить данные идентификации и аутентификации (или вообще любые данные) и повторить их, чтобы выдать себя за пользователя. При аутентификации вообще пользователи часто выражают недовольство ею и часто совершают ошибки, что делает возможным получение данных ИдиА с помощью социальной инженерии. Наличие дополнительной ИдиА при использовании Интернета делает необходимым распространение среди пользователей данных для ИдиА, что будет лишь усложнять им работу. Другой проблемой является возможность вклиниться в сеанс пользователя после выполнения им аутентификации.
Существует три основных вида аутентификации - статическая, устойчивая и постоянная. Статическая аутентификация использует пароли и другие технологии, которые могут быть скомпрометированы с помощью повтора этой информации атакующим. Часто эти пароли называются повторно используемыми паролями. Устойчивая аутентификация использует криптографию или другие способы для создания одноразовых паролей, которые используются при проведении сеансов работы. Этот способ может быть скомпрометирован с помощью вставки сообщений атакующим в соединение. Постоянная аутентификация предохраняет от вставки сообщений атакующим.

1. Статическая аутентификация

Статическая аутентификация обеспечивает защиту только от атак, в ходе которых атакующий не может видеть, вставить или изменить информацию, передаваемую между аутентифицируемым и аутентифицирующим в ходе аутентификации и последующего сеанса. В этом случае атакующий может только попытаться определить данные для аутентификации пользователя с помощью инициации процесса аутентификации (что может сделать законный пользователь) и совершения ряда попыток угадать эти данные. Традиционные схемы с использованием паролей обеспечивают такой вид защиты, но сила аутентификации в основном зависит от сложности угадывания паролей и того, насколько хорошо они защищены.

2. Устойчивая аутентификация

Этот класс аутентификации использует динамические данные аутентификации, меняющиеся с каждым сеансом аутентификации. Атакующий, который может перехватить информацию, передаваемую между аутентифицируемым и аутентифицирующим, может попытаться инициировать новый сеанс аутентификации с аутентифицирующим, и повторить записанные им данные аутентификации в надежде замаскироваться под легального пользователя. Усиленная аутентификация 1 уровня защищает от таких атак, так как данные аутентификации, записанные в ходе предыдущего сеанса аутентификации, не смогут быть использованы для аутентификации в последующих сеансах.
Тем не менее устойчивая аутентификация не защищает от активных атак, в ходе которых атакующий может изменить данные или команды, передаваемые пользователем серверу после аутентификации. Так как сервер связывает на время сеанса данного аутентифицировавшегося пользователя с данным логическим соединением, он полагает, что именно он является источником всех принятых им команд по этому соединению.
Традиционные пароли не смогут обеспечить устойчивую аутентификацию, так как пароль пользователя можно перехватить и использовать в дальнейшем. А одноразовые пароли и электронные подписи могут обеспечить такой уровень защиты

3. Постоянная аутентификация

Этот тип аутентификации обеспечивает защиту от атакующих, которые могут перехватить, изменить и вставить информацию в поток данных, передаваемых между аутентифицирующим и аутентифицируемым даже после аутентификации. Такие атаки обычно называются активными атаками, так как подразумевается, что атакующий может активно воздействовать на соединение между пользователем и сервером.

Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности. Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенных пользователей, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект – действительно тот, за кого он себя выдает. Совокупность выполнений процедур идентификации и аутентификацию называют процедурой авторизации.

Реализация процедур авторизации пользователей является общей проблемой для любых технических систем, в которых требуется обеспечивать разграничение доступа к обрабатываемой информации. Так как функционирование всех механизмов разграничения доступа, использующих аппаратные или программные средства, основано на предположении, что любой пользователь системы представляет собой конкретное лицо, то должен существовать некоторый механизм его опознания, обеспечивающий установление подлинности данного пользователя, обращающегося к системе.

Существуют три класса опознания (рисунок 10.1, ), которые базируются:

На условных, заранее присваиваемых признаках (сведениях), известных субъекту (что знает субъект);

На физических средствах, действующих аналогично физическому ключу (что имеет субъект);

На индивидуальных характеристиках субъекта, его физических данных, позволяющих выделить его среди других лиц (что присуще субъекту).

Рисунок 10.1 – Классификация методов опознания

Опознание на основе принципа «что знает субъект»

Метод паролей

Данный метод заключается в том, что пользователь на клавиатуре компьютера или специально имеющемся наборном поле набирает только ему известную комбинацию букв и цифр, которая собственно и является паролем. Введенный пароль сравнивается с эталонным, хранящимся в системе, и при положительном результате проверки пользователь получает доступ к системе. Приведенная схема опознания является простой с точки зрения реализации, так как не требует никакой специальной аппаратуры и реализуется посредством небольшого объема программного обеспечения.

Рассмотрим алгоритм функционирования парольного средства аутентификации пользователей в операционной системе Microsoft Windows XP. Аутентификация пользователей в операционной системе Microsoft Windows XP основана на использовании паролей и реализуется следующими компонентами: Winlogon, GINA, LSASS, MSV1_0, SAM.

Winlogon – системный процесс, который отвечает за проведение операций входа и выхода пользователя в ОС.

GINA (Graphical Identification and Authentication) – файл динамической библиотеки, который предназначен для ввода имени пользователя и его пароля.

LSASS (Local Security Authentification SunSystem) – подсистема локальной аутентификации, которая управляет процессом аутентификации.

MSV1_0 – пакет аутентификации, который используется ОС при интерактивном входе пользователя. Предназначен для идентификации и аутентификации пользователя.

SAM (Security Account Manager) – объект, который ведет базу данных имен пользователей и паролей.

Схема взаимодействия компонентов ОС Microsoft Windows XP в процессе интерактивного входа пользователя представлена на рисунке 10.2.

Алгоритм функционирования средства аутентификации с использованием паролей в операционной системе Microsoft Windows XP при интерактивном входе представлен на рисунке 10.3. Процесс аутентификации включает в себя следующие этапы.

Запрос на вход в систему;

Ввод имени и пароля;

Идентификация пользователя;

Аутентификация пользователя;

Создание маркера доступа.

Запрос на вход в систему . Пользователь нажимает комбинацию клавиш Ctrl+Alt+Del. В результате этого Winlogon вызывает GINA, который выводит на экран поля, необходимые для ввода имени и пароля пользователя.

Рисунок 10.2 - Компоненты, участвующие в процессе интерактивного входа пользователя в операционную систему Microsoft Windows XP

Ввод имени и пароля. После набора пользователем имени и пароля GINA передает эти данные в Winlogon, который производит хеширование пароля, создает уникальный локальный идентификатор защиты (SID – Security IDentifer) для этого пользователя и вызывает LSASS.

Идентификация пользователя. LSASS подключает пакет аутентификации MSV1_0, который принимает от Winlogon имя пользователя и хешированную версию пароля и посылает в SAM запрос на получение из учетной записи пользователя, которая хранится в базе данных SAM, хешированного пароля. Идентификация заключается в нахождении введенного пользователем имени в базе данных SAM. Если введенное пользователем имя не содержится в базе данных SAM, то MSV1_0 возвращает в LSASS статус отказа.

Аутентификация пользователя. В случае нахождения имени пользователя в базе данных MSV1_0 сравнивает хешированный пароль пользователя с тем, который хранится в базе данных SAM и соответствует учетной записи пользователя. Если эти данные совпадают, MSV1_0 генерирует локально-уникальный идентификатор сеанса входа (LUID – Locally Unique IDentifer) и передает его вместе с SID в LSASS. Если данные не совпадают, то MSV1_0 возвращает в LSASS статус отказа.

Создание маркера доступа. Собрав необходимую информацию, LSASS вызывает исполнительную систему для создания маркера доступа. Исполнительная система создает маркер доступа для интерактивного сеанса, который включает в себя SID пользователя. После успешного создания маркера доступа LSASS дублирует его, создавая описатель, который передается Winlogon, а свой описатель закрывает. На этом этапе LSASS сообщает Winlogon об успешном входе. При наличии в LSASS статуса отказа Winlogon сообщает пользователю о неправильно введенном имени или пароле. Программа Winlogon дает пользователю несколько попыток ввода правильных идентификатора и пароля. После превышения числа допустимых попыток программа прекращает свое выполнение.

Схема с использованием простого пароля имеет два недостатка:

– большинству пользователей сложно запомнить произвольное число, используемое в качестве пароля;

– пароль может быть использован другим лицом, так как его легко подсмотреть.

Модернизацией схемы с использованием простого пароля является пароль однократного использования. В этой схеме пользователю выдается список из N паролей, такие же N паролей хранятся в системе. Данная схема обеспечивает большую степень безопасности, но она является и более сложной.

Здесь при каждом обращении к системе синхронно используется пароль с текущим номером, а все пароли с предыдущими номерами вычеркиваются. В случае если старый пароль из предыдущего сеанса стал известен другому пользователю, система его не воспринимает, так как действующим будет следующий по списку пароль.

Схема паролей однократного использования имеет следующие недостатки:

– пользователь должен помнить или иметь при себе весь список паролей и следить за текущим паролем;

– в случае если встречается ошибка в процессе передачи, трудно определить, следует ли передавать тот же самый пароль или послать следующий;

– необходимо иметь разные таблицы паролей для каждого пользователя, так как может произойти рассинхронизация работы.

Последний недостаток можно устранить, используя генератор паролей. В этом случае в ЭВМ реализуется алгоритм, осуществляющий преобразование

где x, k, y – двоичные векторы соответственно характеристического номера, ключа и пароля.

Реализация процедуры опознания пользователя сводится к двум задачам: заготовке паролей и установлению подлинности.

Рисунок 10.3. Схема алгоритма функционирования средства аутентификации с использованием паролей в операционной системе Microsoft Windows XP

При заготовке паролей с помощью преобразования получают набор чисел

где i – номер пользователя; j – номер обращения данного пользователя;

П – текущее значение пароля, сформированное на ключе k.

Сгенерированный набор чисел выдается соответствующим пользователям.

Опознание системой пользователя I происходит следующим образом: пользователь с номером i вводит парольный набор в ЭВМ. Программа опознания выделяет номер пользователя Хij, а также запоминает пароль . Для каждого i-го пользователя существует свой счетчик обращений . В случае, если , программа выдает сообщение о несанкционированном доступе (НСД). В противном случае включается генератор паролей. Преобразование на действующем ключе k выдает число y, которое сравнивается с паролем . В случае совпадения y и пользователь считается опознанным, а в случае несовпадения выдается сигнал о несанкционированном доступе.

Использование генератора паролей избавляет от необходимости хранить таблицы паролей для каждого пользователя, однако первые два недостатка при его использовании сохраняются.

Метод «запрос-ответ»

В методе «запрос-ответ» набор ответов на m стандартных и n ориентированных на пользователя вопросов хранится в ЭВМ и управляет программой опознания. Когда пользователь делает попытку включиться в работу, программа опознания случайным образом выбирает и задает ему некоторые (или все) из этих вопросов. Пользователь должен дать правильный ответ на все вопросы, чтобы получить разрешение на доступ к системе. Вопросы могут быть выбраны таким образом, чтобы пользователь запомнил ответы и не записывал их.

Модификация этого метода предполагает изменение каждый раз одного или более вопросов, на которые пользователь давал ответ до этого.

Существует два варианта использования метода «запрос-ответ», вытекающих из условий m = 0 или n = 0. Вариант с m = 0 предполагает, что вопросы составлены на основе различных фактов биографии индивидуального пользователя, представляют собой имена его друзей, дальних родственников, старые адреса и т.д. Пользователь, который сам предложил опознавательный вопрос, всегда даст на него правильный ответ, чего не сможет сделать злоумышленник. Иногда предпочтительнее вариант с n = 0, т.е. пользователям задается большее количество стандартных вопросов и от них требуются ответы на те, которые они сами выберут. Достоинство рассмотренной схемы в том, что пользователь может выбирать вопросы, а это дает весьма высокую степень безопасности в процессе включения в работу. В то же время нет необходимости хранить в системе тексты вопросов для каждого пользователя, достаточно хранить указатели на вопросы, выбранные данным пользователем, вместе с информацией, устанавливающей его подлинность. Текст каждого стандартного вопроса необходимо ввести для хранения только один раз, поэтому в системе с большим числом пользователей это может дать экономию памяти.

Наряду с достоинствами метод «запрос-ответ» все же имеет и недостатки, ограничивающие возможность его использования, а именно:

– метод требует проявления изобретательности от самих пользователей, что для них является дополнительной нагрузкой;

– большинство людей, как правило, предлагают стереотипные вопросы и ответы в качестве опознавательных, поэтому весьма вероятно, что настойчивый нарушитель может, собрав статистику, предугадать многие вопросы и ответы;

– процедура обмена множеством опознавательных запросов и соответствующих им ответов может быть сложной и утомительной для пользователей;

– метод «запрос-ответ» может использоваться только для небольших организованных групп пользователей, он неприменим для массового использования в силу некоторой громоздкости.