Методы и средства аутентификации пользователей и сообщения.
Обеспечение подлинности взаимодействующих пользователей и сообщения (его целостности) состоит в том, чтобы дать возможность санкционированному терминалу-приемнику, с определенной вероятностью гарантировать:
что принятое им сообщение действительно послано конкретным терминалом - передатчиком;
что оно не является повтором уже принятого сообщения (вставкой);
что информация, содержащаяся в этом сообщении, не заменена и не искажена.
Решение этих задач для удобства рассмотрения последнего материала объединим одним термином - аутентификация.
К настоящему времени разработано множество методов аутентификации, включая различные схемы паролей, использование признаков и ключей, а также физических характеристик (например, отпечатки пальцев и образцы голоса). За исключением использования ключей шифрования для целей аутентификации все эти методы в условиях телекоммуникационной системы связи в конечном счете сводятся к передаче идентификационных признаков приемнику, выполняющему аутентификацию. Поэтому механизм аутентификации зависит от методов защиты информации, предотвращающих раскрытие информации для аутентификации и обеспечивающих подлинность, целостность и упорядоченность сообщений.
Существует несколько возможных подходов к решению задачи аутентификации, которые в зависимости от используемой при этом системы шифрования могут быть разделены на две группы:
аутентификация с одноключевой системой шифрования;
аутентификация с двухключевой системой шифрования.
В условиях использования одноключевой системы шифрованияприемник, передатчик и служба формирования и распределения ключей должны доверять друг другу, так как в данном случае приемник и передатчик владеют одними и теми же ключами шифрования и расшифрования и, следовательно, каждый будет иметь возможность делать все, что может делать другой.
Одним из перспективных направлений развития средств защиты информации считается использование способов защиты, базирующихся на двухключевой системе шифрования. Основным доводом "за" использование указанной системы является то, что секретные ключи шифрования в этой системе формируются и хранятся лично пользователем, что, во-первых, органично соответствует пользовательскому восприятию своих собственных требований к формированию ключа шифрования и снимает проблему организации оперативной смены ключа шифрования вплоть до оптимальной: каждому сообщению новый ключ.
Разделение (на основе формирования ключей) процедур шифрования дает возможность абонентам системы связи записывать свои открытые ключи в периодически издаваемый (как один из возможных вариантов распределения открытых ключей) службой безопасности системы справочник. В результате вышеуказанные проблемы могут быть решены при помощи следующих простых протоколов:
один абонент может послать секретное сообщение другому абоненту, шифруя сообщение с помощью выбранного в справочнике открытого ключа абонента получателя. Тогда только обладатель соответствующего секретного ключа сможет правильно расшифровать полученное зашифрованное сообщение;
передающий абонент (передатчик) может зашифровать сообщение на своем секретном ключе. Тогда любой приемный абонент, имеющий доступ к открытому ключу передающего абонента (передатчика), может расшифровать полученное зашифрованное сообщение и убедиться, что это сообщение действительно было зашифровано тем передающим абонентом, который указан в идентификаторе адреса передатчика.
В качестве примера рассмотрим аутентификацию пользователей на основе сертификатов. Сертификат представляет собой электронную форму, в которой имеются такие поля, как имя владельца, наименование организации, выдавшей сертификат, открытый ключ владельца. Кроме того, сертификат содержит электронную подпись выдавшей организации - все поля сертификата зашифрованы закрытым ключом этой организации. Когда нужно удостоверить личность пользователя, он предъявляет свой сертификат в двух формах - открытой, т.е. такой, в которой он получил его в сертифицирующей организации, и закрытой, зашифрованной с применением собственного закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и с его помощью расшифровывает закрытый сертификат. Совпадение результата с данными открытого сертификата подтверждает тот факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым. Затем с помощью известного открытого ключа выдавшей сертификат организацией производится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат – значит, пользователь действительно прошел регистрацию в этой сертифицирующей организации, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.
В заключение заметим, что как в одноключевой, так и двухключевой системах шифрования могут быть использованы алгоритмы избыточного кодирования с последующим обнаружением или исправлением ошибок при декодировании. Это позволяет ослабить последствия воздействия злоумышленником на передаваемое сообщение. Так, применение алгоритмов декодирования с обнаружением ошибок позволяет эффектно обнаруживать факты преднамеренного или случайного искажения, а алгоритмов декодирования с исправлением ошибок с достаточно большой вероятностью ликвидировать без перекосов последствия воздействия. Эти меры, как и нумерация передаваемых сообщений, направлены на обеспечение целостности сообщения.
- Информационные сети
- 23. Некоторые типы современных сетей 156
- 1. Основные понятия информационных сетей
- Сообщения
- Пользователь
- Открытая система
- Классификация сетей
- 3. Модели и структуры информационных сетей Локальная сеть (лвс)
- Территориальная сеть
- Классификация территориальных сетей
- Глобальная сеть
- Виртуальная сеть
- 4. Топология и виды информационных сетей Топология сетей
- 5. Информационные ресурсы сетей
- Информационное хранилище
- Информационно-поисковая система
- Базы знаний
- Электронная библиотека
- 6. Теоретические основы современных информационных сетей. Теория очередей.
- Пуассоновский процесс
- Система обслуживания м/м/1
- 7. Базовая эталонная модель взаимодействия открытых систем (бэмвос)
- Передача данных между уровнями мвос
- Соединения.
- Физические средства соединений
- 8. Компоненты информационной сети
- Абонентская система
- Ретрансляционная система
- Ретрансляционные системы, осуществляющие коммутацию имаршрутизацию: Узел коммутации каналов
- Узел коммутации пакетов
- Узел смешанной коммутации
- Узел интегральной коммутации
- Коммутатор
- Ретрансляционные системы, преобразующие протоколы Шлюз
- Маршрутизатор
- Объединение сетей
- Административные системы
- Управление конфигурацией сети и именованием
- Обработка ошибок
- Анализ производительности и надежности
- Управление безопасностью
- Учет работы сети
- 9. Коммуникационная сеть
- Универсальный интерфейс коммуникационной сети
- 10. Моноканальные подсети и моноканал
- Моноканальная сеть
- Множественный доступ
- Множественный доступ с разделением времени (Time Division Multiple Access (tdma))
- Множественный доступ с передачей полномочия (Token Passing Multiple Access (tpma))
- Множественный доступ с контролем передачи и обнаружением столкновений (csma/cd)
- Множественный доступ с разделением частоты (Frequency Division Multiple Access (fdma))
- Множественным доступом с разделением волны (wdma)
- 11. Циклические подсети. Циклическое кольцо
- Типы локальных сетей по методам передачи информации Метод доступа Ethernet
- Метод доступа Token Ring
- Метод доступа ArcNet
- 12. Узловые подсети Сеть с маршрутизацией данных
- 13. Методы маршрутизации информационных потоков
- Rip(Метод рельефов)
- Метод ospf
- 14. Методы коммутации информации Коммутация
- Коммутация Каналов (кк)
- Коммутация Пакетов (кп)
- Коммутация сообщений
- Смешанная коммутация
- Ретрансляция кадров и ячеек
- Ретрансляция кадров
- Ретрансляция ячеек
- Баньяновая сеть
- Матричный коммутатор
- 15. Протокольные реализации Протокол
- Стандарты протоколов физического уровня.
- Стандарты протоколов канального уровня.
- Стандарты протоколов сетевого уровня.
- Протоколы транспортного уровня.
- Протоколы верхних уровней.
- Протокол ipx/spx
- Протокол управления передачей/межсетевой протокол
- 16. Сетевые службы
- Сетевая служба ds*
- Сетевая служба edi
- Сетевая служба ftam
- Сетевая служба jtm
- Сетевая служба mhs/motis
- Сетевая служба nms
- Сетевая служба oda
- Сетевая служба vt
- 17. Модель распределённой обработки информации
- Технологии распределенных вычислений.
- Распределенная среда обработки данных
- 18. Безопасность информации
- Технические аспекты информационной безопасности Криптографические методы и средства защиты.
- Методы и средства аутентификации пользователей и сообщения.
- Методы и средства управления доступом к информационным и вычислительным ресурсам
- 19. Базовые функциональные профили Функциональный профиль
- Базовый функциональный профиль
- Коллапсный функциональный профиль
- 20. Полные функциональные профили
- Открытая сетевая архитектура
- 21. Методы оценки эффективности информационных сетей Эффективность информационной сети
- Показатели целевой эффективности информационной сети.
- Показатели технической эффективности информационной сети.
- Показатели экономической эффективности информационной сети.
- Методы оценки эффективности информационных сетей.
- 22. Сетевые программные и технические средства информационных сетей Сетевые операционные системы
- Требования к сетевым операционным системам.
- Сети с централизованным управлением
- Сети с децентрализованным управлением или одноранговые сети
- Прикладные программы сети
- Специализированные программные средства
- Техническое обеспечение
- 1. Средства коммуникаций
- 2. Сетевые адаптеры
- 3. Концентратор (Hub)
- 4. Приемопередатчики (transceiver) и повторители (repeater)
- 5. Коммутаторы (switch), мосты (bridge) и шлюзы (gateway)
- 6. Маршрутизаторы
- 7. Коммутаторы верхних уровней
- 8. Модемы и факс-модемы (fax-modem)
- 9. Анализаторы лвс
- 10. Сетевые тестеры
- Терминальное оборудование
- 23. Некоторые типы современных сетей
- 1. Сети X.25
- 2. Сети Frame Relay
- 3. Сети, основанные на технологии atm