Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Методы идентификации и установления подлинности субъектов и различных объектов

⇐ ПредыдущаяСтр 26 из 70Следующая ⇒

При обмене информацией рекомендуется в любом случае предусмотреть взаимную проверку подлинности полномочий объекта или субъекта. Если обмен информацией производится по сети, то эта процедура должна выполняться обязательно. Для этого необходимо, чтобы каждому из объектов и субъектов присваивалось уникальное имя. Каждый из объектов (субъектов) должен хранить в своей памяти (недоступной для посторонних лиц) тот список, в котором находятся имена объектов (субъектов), с которыми будут производиться процессы обмена защищаемыми данными (см. рис. 2.11).

Метод «запрос-ответ». При использовании метода «запрос-ответ» в ВС заблаговременно создается и особо защищается массив вопросов, включающий в себя как вопросы общего характера, так и персональные вопросы, относящиеся к конкретному пользователю, например вопросы, касающиеся известных только пользователю случаев из его жизни.

Для подтверждения подлинности пользователя система последовательно задает ему ряд случайно выбранных вопросов, на которые

он должен дать ответ. Опознание считается положительным, если пользователь правильно ответил на все вопросы.

Основным требованием к вопросам в данном методе аутентификации является уникальность, подразумевающая, что правильные ответы на вопросы знают только пользователи, для которых эти вопросы предназначены.

Функциональные методы. Среди функциональных методов наиболее распространенными являются метод функционального преобразования пароля, а также метод «рукопожатия» [18].

Метод функционального преобразования основан на использовании некоторой функции F, которая должна удовлетворять следующим требованиям:

• для заданного числа или слова Х легко вычислить Y= F(X);

• зная Х и Y, сложно или невозможно определить функцию У=F(X).

Необходимым условием выполнения данных требований является наличие в функции F(X) динамически изменяющихся параметров, например текущих даты, времени, номера дня недели или возраста пользователя.

Пользователю сообщается:

• исходный пароль — слово или число X, например число 31;

• функция F(X), например Y=(X mod 100) • D + W, где (X mod 100) — операция взятия остатка от целочисленного деления Х на 100, D — текущий номер дня недели, a W — текущий номер недели в текущем месяце;

• периодичность смены пароля, например каждый день, каждые три дня или каждую неделю.

Паролями пользователя для последовательности установленных периодов действия одного пароля будут соответственно X, F(X), F(F(X)), F(F(F(X))) и т. д., т. е. для i-го периода действия одного пароля паролем пользователя будет F^i-1 (X). Поэтому для того чтобы вычислить очередной пароль по истечении периода действия используемого пароля, пользователю не нужно помнить начальный (исходный) пароль, важно лишь не забыть функцию парольного преобразования и пароль, используемый до настоящего момента времени.

С целью достижения высокого уровня безопасности функция преобразования пароля, задаваемая для каждого пользователя, должна периодически меняться, например каждый месяц. При замене функции целесообразно устанавливать и новый исходный пароль.

Согласно методу «рукопожатия» существует функция F, известная только пользователю и ВС. Данная функция должна удовлетворять тем же требованиям, которые определены для функции, используемой в методе функционального преобразования.

При входе пользователя в ВС системой защиты генерируется случайное число или случайная последовательность символов Х и вычисляется функция F(X), заданная для данного пользователя.

Далее Х выводится пользователю, который должен вычислить F'(X) и ввести полученное значение в систему. Значения F(X) и F'(X) сравниваются системой и если они совпадают, то пользователь получает доступ в ВС.

Например, в ВС генерируется и выдается пользователю случайное число, состоящее из семи цифр. Для заблуждения злоумышленника в любое место числа может вставляться десятиная точка. В качестве функции F принимается: Y= (<сумма 1-й, 2- и и 5-й цифр числа>)² - <сумма 3-й, 4-й, 6-й и 7-й цифр числа>+<сумма цифр текущего времени в часах>.

Для высокой безопасности функцию «рукопожатий» целесообразно циклически менять через определенные интервалы времени, например устанавливать разные функции для четных и нечетных чисел месяца.

Достоинством метода «рукопожатия» является то, что никакой конфиденциальной информации между пользователем и ВС не передается. По этой причине эффективность данного метода особенно велика при его применении в вычислительных сетях для подтверждения подлинности пользователей, пытающихся осуществить доступ к серверам или центральным ЭВМ.

В некоторых случаях может оказаться необходимым пользователю проверить подлинность той ВС, к которой он хочет осуществить доступ. Необходимость во взаимной проверке может понадобиться и когда два пользователя ВС хотят связаться друг с другом по линии связи. Методы простых паролей, а также методы модификации схем простых паролей в этом случае не подходят. Наиболее подходящим здесь является метод «рукопожатия». При его использовании ни один из участников сеанса связи не будет получать никакой секретной информации.

Идентификация и установление подлинности технических средств.Здесь широко используются пароли как для идентификации и установления подлинности терминала (с которого пользователь входит в систему), так и для обратного установления подлинности ЭВМ по отношению к пользователю.

Идентификация и установление подлинности документов. Подлинность документов необходимо рассматривать со следующих позиций:

• документ сформирован непосредственно на этой ВС? (на ее аппаратуре документирования);

• документ получен с удаленных объектов.

В первом случае подлинность документа гарантируется средствами защиты информации от НСД и применением криптографического преобразования информации. Информация закрывается кодом пароля (он известен передающему лицу и получателю).

Во втором случае также широко используются методы криптографического преобразования информации (если документы относительно долго хранились в памяти ВС или же транспортировались по неохраняемой территории).

Идентификация и установление подлинности информации на средствах ее отображения и печати. Методы определения подлинности информации на средствах ее отображения тесно связаны с методами определения подлинности документов, которые являются носителями соответствующей информации. Поэтому все соображения по отношению к методам определения подлинности документов также относятся и к методам установления подлинности информации, содержащейся на средствах ее отображения. Здесь также широко используются различные методы криптографического преобразования информации.

⇐ Предыдущая 19 20 21 22 23 24 252627 28 29 30 31 32 33 34 Следующая ⇒

Поиск по сайту: