Главная страница  История развития электросвязи 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 [ 118 ] 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215

подтверждает тот факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым.

Затем с помощью известного открытого ключа выдавшей сертификат организацией производится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат - значит пользователь действительно прошел регистрацию в этой сертифицирующей организации, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.

Сертификаты можно использовать не только для аутентификации, но и для предоставления избирательных прав доступа. Для этого в сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей. Эта категория зависит от условий, на которых сертифицирующая организация выдает сертификат. Например, организация, поставляющая информацию через Internet на коммерческой основе, может выдавать пользователям, оплатившим годовую подписку на некоторый бюллетень, сертификаты определенной категории, а Web-сервер будет предоставлять доступ к страницам этого бюллетеня только при предъявлении данного сертификата.

При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций. Может также понадобиться некоторый механизм отображения категорий владельцев сертификатов на традиционные группы пользователей, чтобы можно было использовать в неизменном виде механизмы управления избирательным доступом большинства операционных систем и приложений.

Механизм получения пользователем сертификата хорошо автоматизируется в системе клиент-сервер. Рассмотрим пример, в котором браузер выполняет роль клиента, а специальный сервер сертификатов, установленный в сертифицирующей организации, - роль сервера. Браузер вырабатывает для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того чтобы еще неподписанный сертификат нельзя было подменить при передаче по сети, браузер зашифровывает его закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его владельцу каким-либо способом. Очевидно, что все возможные случаи предусмотреть и автоматизировать нельзя - иногда бывает нужна неформальная процедура подтверждения пользователем своей личности и права на получение сертификата.

Эта процедура требует участия оператора сервера сертификатов и осуществляется, например, путем доказательства пользователем



оплаты услуги или его принадлежности к какой-либо организации. После получения сертификата браузер хранит его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают этот процесс.

В заключение заметим, что как в одноключевой, так и двухключевой системах шифрования могут быть использованы алгоритмы избыточного кодирования с последующим обнаружением или исправлением ошибок при декодировании. Это позволяет ослабить последствия воздействия злоумышленником на передаваемое сообщение. Так, применение алгоритмов декодирования с обнаружением ошибок позволяет эффектно обнаруживать факты преднамеренного или случайного искажения, а алгоритмов декодирования с исправлением ошибок с достаточно большой вероятностью ликвидировать без перекосов последствия воздействия. Эти меры, как и нумерация передаваемых сообщений, направлены на обеспечение целостности сообщения. Напомним, что с нумерацией сообщений мы уже встречались в гл. 12 при рассмотрении систем с обратной связью как методом, направленным на уменьшение вероятности появления выпадений и вставок.

Методы и средства управления доступом к информационным и вычислительным ресурсам [1]. В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.

Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:

- установлению подлинности пользователей и устройств сети;

- установлению подлинности процессов в сетевых устройствах и ЭВМ;

- проверке атрибутов установления подлинности. Аутентификация пользователей может основываться на:

- дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);

- средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;



- индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).

Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.

Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:

- персональный код пользователя;

- секретный параметр доступа;

- возможные режимы работы в сети;

- категории контроля доступа к данным ресурсам сети. Недостаток метода паролей и секретных кодов - возможность их

использования без признаков того, что безопасность нарушена.

Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в табл. 17.1. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его. Например, пользователь может предъявить

Таблица 17.1. Сравнение методов аутентификации

Характеристика абонента

Параметр

магнитная

отпечаток

отпечаток

гпппг*

подпись

карточка

пальцев

ладони

Удобство в пользовании

Хорошее

Среднее

Среднее

Отличное

Хорошее

Идентификация нарушения

Средняя

Отличная

Хорошая

Хорошая

Отличная

Идентификация законности або-

Хорошая

Средняя

Отличная

Отличная

нента

Стоимость одного устройства, дол.

9000

3000

5000

1000

Время распознавания, с

Надежность

Хорошая

Средняя

Отличная

Хорошая

Хорошая



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 [ 118 ] 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215

© 2000 - 2018 ULTRASONEX-AMFODENT.RU.
Копирование материалов разрешено исключительно при условии цититирования.