Способы идентификации пользователя

Анализ механизмов идентификации объекта сети при доступе к встроенным функциям. Сетевые протоколы с закрытыми и открытыми ключами используемые для получения доступа к сетевым ресурсам. Взаимодействие с ЦРК при подтверждении подлинности пользователя.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык русский
Дата добавления 05.09.2013
Размер файла 434,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Реферат

на тему:

Способы идентификации пользователя

Введение

Прежде чем получить доступ к ВС, пользователь должен идентифицировать себя, а механизмы защиты сети затем подтверждают подлинность пользователя, т. е. проверяют, является ли пользователь действительно тем, за кого он себя выдает. В соответствии с логической моделью механизма защиты ВС размещены на рабочей ЭВМ, к которой подключен пользователь через свой терминал или каким-либо иным способом. Поэтому процедуры идентификации, подтверждения подлинности и наделения полномочиями выполняются в начале сеанса на местной рабочей ЭВМ.

В дальнейшем, когда устанавливаются различные сетевые протоколы и до получения доступа к сетевым ресурсам, процедуры идентификации, подтверждения подлинности и наделения полномочиями могут быть активизированы вновь на некоторых удаленных рабочих ЭВМ с целью размещения требуемых ресурсов или сетевых услуг.

Когда пользователь начинает работу в вычислительной системе, используя терминал, система запрашивает его имя и идентификационный номер.

В соответствии с ответами пользователя вычислительная система производит его идентификацию.

В сети более естественно для объектов, устанавливающих взаимную связь, идентифицировать друг друга.

Пароли - это лишь один из способов подтверждения подлинности. Существуют другие способы:

1. Предопределенная информация, находящаяся в распоряжении пользователя: пароль, личный идентификационный номер, соглашение об использовании специальных закодированных фраз.

2. Элементы аппаратного обеспечения, находящиеся в распоряжении пользователя: ключи, магнитные карточки, микросхемы и т. п.

3. Характерные личные особенности пользователя: отпечатки пальцев, рисунок сетчатки глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические свойства.

4. Характерные приемы и черты поведения пользователя в режиме реального времени: особенности динамики, стиль работы на клавиатуре, скорость чтения, умение использовать манипуляторы и т. д.

5. Привычки: использование специфических компьютерных заготовок.

6. Навыки и знания пользователя, обусловленные образованием, культурой, обучением, предысторией, воспитанием, привычками и т. п.

1. Подлинность объекта

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычислительной системы. Если процедура установления подлинности является односторонней, такую процедуру называют процедурой одностороннего подтверждения подлинности объекта.

2. Модель пароля

Традиционно каждый пользователь вычислительной системы получает идентификационный номер или пароль. В начале сеанса работы на терминале пользователь указывает свой идентификационный номер или идентификатор пользователя системе, которая затем запрашивает у пользователя пароль. В пакетное задание обычно включаются идентификационный номер и пароль отправителя или владельца.

Такой механизм проверки подлинности простого пароля можно представить схемой 1.

Схема 1. - Механизм проверки подлинности простого пароля:

Если кто-то, не имеющий полномочий для входа в систему, каким-либо образом узнает пароль и идентификационный номер легального пользователя, он, конечно, получит доступ в систему. Пользователю может быть также задан список паролей. Пользователь использует первый пароль при первом вхождении, второй - при втором и т. д. При каждом вхождении он проверяет, не воспользовался ли еще кто-либо его паролем. Эта модель называется моделью с изменяющимся паролем (Схема 2).

Схема 2. - Механизм проверки подлинности изменяющегося пароля, основанный на списке паролей:

Эта модель обладает рядом недостатков:

- Пользователь должен запоминать длинный список паролей либо держать его все время при себе, рискуя потерять;

- В случае ошибки передачи по линии связи в процессе входа в систему пользователь не знает, должен ли он использовать тот же пароль или переходить к следующему.

Схема 3. - Механизм проверки подлинности изменяющегося пароля при использовании необратимых функций:

Если нарушается синхронизация, пользователь перейдет без каких-либо изменений к следующему неиспользуемому значению F, и получатель должен вычислить функцию:

F * (F * (...Fz * (х)...))

Пока не получит функцию Fw, которая имеется в его памяти. Ограничение на такой не синхронизированный процесс состоит в том, чтобы разность w-z была не слишком большой.

При передаче пароля по сетям связи он должен быть зашифрован и для разных случаев разными способами. Может оказаться ситуация, когда пароли легко угадываются независимо от времени их существования (МЕУЕ821). Поэтому пароли следует выбирать централизованно либо лицом, ответственным за Обеспечение защиты, либо вычислительной системой.

Пароли должны время от времени изменяться. Если кто-либо смог подобрать пароль, то он не должен иметь возможности использовать его слишком долго (МЕУЕ82).

Чем длиннее пароль, тем более затруднителен его подбор и тем эффективнее защита системы (МЕУЕ821).

3. Другие модели механизма одностороннего подтверждения подлинности объекта сети

Конечный пользователь может проверить подлинность объекта, задавая вопросы, которые несут частично объективную информацию и частично выдуманную, например:

- какова девичья фамилия вашей матери?

- в каком городе вы проживали в 1962 г.?

- когда откроется пул?

В модели рукопожатия существует процедура, известная только пользователю и вычислительной системе. При входе в систему генерируется число х и вычисляется функция f(x). Пользователь также применяет процедуру к числу х и посылает свой результат у в компьютер. Получив у, вычислительная система сравнивает результаты (схема 4) (МЕУЕ82, ВЕКЕ82). Механизм реализации этой модели представлен схемой. Схема 5.

Схема 4. - Модель процедуры "рукопожатие":

При использовании модели рукопожатия никакой конфиденциальной информации между пользователем и вычислительной системой не передается даже в шифрованном виде. Что касается функции f, то она должна быть достаточно сложной, чтобы злоумышленник, зная пару чисел х, а также f(х), мог угадать функцию (МЕУЕ82).

Схема 5. - Механизм проверки подлинности "рукопожатие":

Модель рукопожатия достаточно эффективна, но если терминал пользователя не является интеллектуальным, может оказаться затруднительной и длительной по времени процедура вычисления значения очень сложной функции. Эта модель наиболее часто используется, когда вычислительная система или процедура проверяет подлинность другой вычислительной системы или процесса (МЕУЕ82).

4. Взаимная проверка подлинности

Пользователь терминала может выразить желание проверить подлинность той вычислительной системы, с которой он связан линией связи. В рамках ВС - это вообще естественно, когда два пользователя сети хотят проверить подлинность друг друга.

Наиболее простая модель взаимной проверки подлинности состоит в следующем. Как только два участника сеанса связи А и В идентифицировали друг друга, участник А посылает свой пароль В, а В - к А. Однако, когда А посылает свой пароль, он не может быть уверен, что, посылая пароль к В, он не посылает его кому-то, кто выдает себя за В. В этом случае пароль субъекта А может быть перехвачен нарушителем, который не должен знать этого пароля, а пользователь А не заметит этого. В дальнейшем нарушитель может установить связь с В, выдавая себя за А (МЕУЕ82).

Модель рукопожатия приемлема для взаимной проверки подлинности. В этом случае ни один из участников сеанса связи не будет получать никакой секретной информации во время процедуры установления подлинности (МЕУЕ821).

Взаимное установление подлинности гарантирует вызов нужного объекта с высокой степенью уверенности, что связь была установлена с требуемым адресатом и никаких попыток подмены не было. Процедура установления подлинности включает как стадию распределения ключей, так и стадию подтверждения подлинности.

Стадия распределения ключей включает взаимодействие с центром распределения ключей ЦРК с одним или обоими участниками сеанса, чтобы распределить секретные или открытые ключи для использования в последующих сеансах связи.

Следующая стадия содержит обмен удостоверяющими сообщениями, чтобы иметь возможность выявить любую подмену или повтор одного из предыдущих вызовов.

Описаны протоколы для систем как с закрытыми, так и открытыми ключами.

Вызывающий - исходный объект - обозначается через А, а вызываемый - объект назначения - через В. Оба участника сеанса А и В имеют уникальные идентификаторы Мд и 1ав соответственно.

5. Протокол 1 для криптосистем с закрытыми ключами

Каждый из участников сеанса А и В имеет мастер - ключи для объекта К1, известные только ему и ЦРК. Эти мастер - ключи генерируются в ЦРК и распределяются каждому объекту при встрече с глазу на глаз. Такой ключ используется для шифрования сеансового ключа Кs, когда последний передается по сети. Сеансовый ключ генерируется в ЦРК и используется А и В для защиты сообщений при передаче по линиям связи. Участник А инициирует фазу распределения ключей, посылая в сеть идентификаторы IdA, IdB и случайное число r1 в ЦРК:

Идентификатор IdA посылается в явном виде, так что менеджер ЦРК будет знать, какой мастер-ключ необходим для дешифрования шифрованной части сообщения.

Если сообщение правильное, менеджер ЦРК разыскивает мастер-ключ КtB, а также вычисляет сеансовый ключ Кs. Затем к А посылается ответное сообщение:

Участник А сохраняет у себя сеансовый ключ Кs и посылает часть сообщения, зашифрованного мастер-ключом объекта В, а также случайное число г2 зашифрованное сеансовым ключом К.:

Теперь стадия установления ключа завершена, и оба участника А и В владеют сеансовым ключом.

Если применяется односторонняя процедура подтверждения подлинности, то В возвращает А сообщение, зашифрованное ключом К, и содержащее некоторую функцию от случайного числа f(r2):

Протокол 1 будет обеспечивать надежное подтверждение подлинности объекта при условии, что ни один из ключей не находится под подозрением и ЦРК защищен.

6. Протокол 2 для криптосистем с открытыми ключами

Процедура взаимного подтверждения подлинности с открытыми ключами также состоит из стадии установления ключа, за которой следует стадия подтверждения подлинности. ЦРК имеет открытый ключ КРК и личный ключ КРцрк, известный только менеджеру ЦРК. Он также поддерживает таблицу открытых ключей всех объектов сети, которых он обслуживает.

Вызывающий объект А инициирует стадию установления ключа, запрашивая свой собственный открытый ключ и открытый ключ вызываемого объекта В:

Здесь так же, как и раньше, IdA, IdB - уникальные идентификаторы объектов А и В соответственно.

ЦРК формирует ответ:

Участник А получает ключи КРА и КРB, дешифруя сообщения с использованием открытого ключа ЦРК, и проверяет правильность ключа КРА.

Следующий шаг протокола включает установление связи с В:

Где:

r1 - случайное число, генерируемое А и используемое для обмена в ходе процедуры подтверждения подлинности.

Только В может дешифровать сообщение, зашифрованное его открытым ключом, потому что никто не знает личного ключа, соответствующего КРB:

Участник А восстанавливает цифровое значение, дешифруя сообщение с использованием своего личного ключа. При взаимном подтверждении подлинности требуется трехстороннее рукопожатие. Тогда сообщение 4 заменяется следующим:

Где:

r1 - случайное число, генерируемое В.

Число r1 подтверждает подлинность В и свою подлинность. А посылает в ответ сообщение:

Для взаимного подтверждения подлинности требуется 5 шагов, но так же, как и в протоколе 1, это число можно сократить до 3, используя буферную память.

7. Протокол 3

Для предотвращения фальсифицированных повторных вызовов на стадии распределения ключей в этом протоколе применяются отметки времени в отличие от протокола 1, где использовались случайные числа. В этом случае соответствующие сообщения 1 и 2 принимают следующий вид:

Участник А проверяет отметку времени в сообщении 2, чтобы убедиться, что сообщение не является повтором предшествующей процедуры распределения ключей.

После этого инициируется связь с участником В с помощью сообщения:

Участник В получает отметку времени и сеансовый ключ, зашифрованные ключом КtB.

Если отметка Т верна, то В уверен, что никто, кроме А, не может быть вызывающим объектом. Для взаимного подтверждения подлинности В посылает сообщение:

Подделка повтора здесь невозможна, даже если ключ скомпрометирован, поскольку отметка времени в сообщении о в дальнейшем будет нарушена в более позднем сеансе.

8. Протокол 4

В этом протоколе используется идея сертификатов открытых ключей (КОМР78). Сертификатом открытого ключа РКС (Public Key Certificate) называется сообщение ЦРК, удостоверяющее целостность некоторого открытого ключа объекта.

Например, сертификат открытого ключа для пользователя А, обозначаемый РКСа, содержит отметку времени Т, уникальный идентификатор IdA открытый ключ KPА, зашифрованные личным ключом ЦРК, т. е.:

Отметка времени используется для подтверждения актуальности сертификата и таким образом предотвращает повторы прежних сертификатов, которые содержат открытые ключи и для которых соответствующие личные ключи несостоятельны.

Протокол 4 начинается с участника А, запрашивающего сертификат своего открытого ключа и ключа участника В от ЦРК посылая сообщение:

Менеджер ЦРК должен ответить сообщением:

Участник А проверяет оба сертификата, а также извлекает открытый ключ КРа, использует его для шифрования случайного числа ri и посылает следующее сообщение: идентификация сеть пользователь

Здесь EKSA(T) - отметка времени, зашифрованная секретным ключом участника А. Она является сигнатурой объекта А и подтверждает подлинность А, поскольку никто не может создать такую сигнатуру. Наконец, чтобы подтвердить свою подлинность, В посылает сообщение:

По аналогии с протоколом 3 необходимы четыре шага для взаимного подтверждения подлинности и при установлении соединения требуется взаимодействие с ЦРК.

Размещено на Allbest.ru

...

Подобные документы

  • Классификация компьютерных сетей. Взаимодействие компьютеров в сети. Сетевые модели и архитектуры. Мосты и коммутаторы, сетевые протоколы. Правила назначения IP-адресов сетей и узлов. Сетевые службы, клиенты, серверы, ресурсы. Способы доступа в Интернет.

    курсовая работа [1,5 M], добавлен 11.05.2014

  • Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.

    презентация [1,1 M], добавлен 25.05.2016

  • Основные протоколы доступа к именованным ресурсам через WWW-сеть. Техника поиска и перемещения в сетях WWW. Загрузка и просмотр веб-страниц и определение местонахождения ресурсов в сети. Технология идентификации URI и система доменных имён DNS.

    контрольная работа [2,5 M], добавлен 28.02.2017

  • Общие принципы работы систем биометрической идентификации личности. Программные инструменты для разработки приложения, осуществляющего идентификацию пользователя на основе его клавиатурного почерка. Проектирование базы данных и структуры нейронной сети.

    дипломная работа [1,3 M], добавлен 20.12.2013

  • Сеть доступа как система средств связи между местной станцией и терминалом пользователя с замещением части или всей распределительной сети, типы и функциональные особенности, сферы практического применения. Операционные системы управления сети доступа.

    реферат [2,1 M], добавлен 14.02.2012

  • Основная цель и модели сети. Принцип построения ее соединений. Технология клиент-сервер. Характеристика сетевых архитектур Ethernet, Token Ring, ArcNet: метод доступа, среда передачи, топология. Способы защиты информации. Права доступа к ресурсам сети.

    презентация [269,0 K], добавлен 26.01.2015

  • Основы биометрической идентификации. Возможность использования нейросетей для построения системы распознавания речи. Разработка программного обеспечения для защиты от несанкционированного доступа на основе спектрального анализа голоса пользователя.

    дипломная работа [2,8 M], добавлен 10.11.2013

  • Выбор языка программирования. Требования к информационному и техническому обеспечению. Реализация базы данных. Разработка алгоритма работы программного обеспечения. Форма идентификации пользователя. Руководство пользователя. Типы элементов диалога.

    дипломная работа [1,3 M], добавлен 05.07.2013

  • Компьютерные сети и их классификация. Аппаратные средства компьютерных сетей и топологии локальных сетей. Технологии и протоколы вычислительных сетей. Адресация компьютеров в сети и основные сетевые протоколы. Достоинства использования сетевых технологий.

    курсовая работа [108,9 K], добавлен 22.04.2012

  • Общие понятия компьютерных сетей. Протоколы и их взаимодействие. Базовые технологии канального уровня. Сетевые устройства физического и канального уровня. Характеристика уровней модели OSI. Глобальные компьютерные сети. Использование масок в IP-адресации.

    курс лекций [177,8 K], добавлен 16.12.2010

  • Перехват передаваемой по сети информации. Подделка источника. Асимметричные алгоритмы шифрования. Механизмы безопасности. Защита от повторений. Контроль доступа. Пример последовательности обмена открытыми ключами. Фильтрация пакетов на сетевом уровне.

    презентация [81,2 K], добавлен 25.10.2013

  • Анализ предметной области. Выбор кабеля, сетевого оборудования. Разработка логической, физической и программной структур сети. Компоненты рабочих станций. Использование периферийных устройств пользователями сети. Протоколы управления передачей данных.

    курсовая работа [961,0 K], добавлен 04.01.2016

  • Установка привилегий доступа определенного пользователя, виды привилегий и ключевые слова в операторе. Лишение пользователя права назначать привилегии. Структура данных и алгоритм, описание работы программы, имя пользователя, пароль и создание прав.

    курсовая работа [207,2 K], добавлен 12.08.2011

  • Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.

    курсовая работа [604,0 K], добавлен 13.12.2012

  • Разработка аппаратно-программного комплекса для осуществления идентификации объектов управления на основе вещественного интерполяционного метода. Анализ работоспособности аппаратно-программного комплекса, пример идентификации объекта управления.

    магистерская работа [2,2 M], добавлен 11.11.2013

  • Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.

    контрольная работа [25,5 K], добавлен 12.07.2014

  • Анализ существующих методов реализации программного средства идентификации личности по голосу. Факторы, влияющие на уникальность речи. Разработка программного средства идентификации личности по голосу. Требования к программной документации приложения.

    дипломная работа [12,7 M], добавлен 17.06.2016

  • Основные характеристики и особенности использования прокси-сервера в локальной сети. Способы выхода в Интернет из локальных сетей. Методы аутентификации прокси-сервером пользователя клиента, авторизация клиента для доступа к определенному контенту.

    курсовая работа [887,9 K], добавлен 21.04.2019

  • Совокупность программных и аппаратных средств, обеспечивающих взаимодействие пользователя с компьютером. Классификация интерфейсов, текстовый режим работы видеоадаптера. Функции текстового режима. Реализация пользовательского интерфейса в BORLAND C++.

    лабораторная работа [405,1 K], добавлен 06.07.2009

  • Архитектура и назначение современного маршрутизатора, характеристика его компонентов. Протоколы, используемые при создании таблицы маршрутизации. Способы задания IP-адреса сетевого оборудования, методы аутентификации (проверки подлинности пользователей).

    статья [119,1 K], добавлен 06.04.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.