Вопросы аутентификации в системах электронной коммерции

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

“Пензенский государственный университет”

ВОПРОСЫ АУТЕНТИФИКАЦИИ В СИСТЕМАХ ЭЛЕКТРОННОЙ КОММЕРЦИИ

Петренко О.С., Князев В.Н.

Аннотация

Рассматриваются вопросы модификации алгоритма аутентификации с использованием открытого ключа с целью повышения информационной защиты в системах электронной коммерции.

Ключевые слова: модификация, аутентификация, системы электронной коммерции, шифрование, информационная безопасность.

Annotation

QUESTIONS OF AUTHENTICATION IN E-COMMERCE SYSTEMS

Discusses the modification of the authentication algorithm using the public key for the purpose of enhancing information protection in e-commerce systems.

Keywords: modification, authentication, e-commerce systems, encryption, information security.

Основная часть

Стремительный прогресс в области компьютерных информационных систем и телекоммуникационных технологий обусловил развитие нового вида экономической деятельности - электронной коммерции, важным вопросом для эффективного использования которой является информационная безопасность как для компании, оказывающей услуги, так и для потребителей. [1] регистрация электронный коммерция аутентификация

Процесс регистрации пользователя в любой системе состоит из трех взаимосвязанных последовательно выполняемых процедур: идентификации, заключающейся в распознавании субъекта по его идентификатору, аутентификации, заключающейся в проверке подлинности субъекта, предъявившего свой идентификатор, и авторизации, заключающейся в предоставлении субъекту определенных прав доступа к ресурсам системы после прохождения им процедуры аутентификации.

Существуют различные способы аутентификации. Рассмотрим некоторые наиболее распространённые. [2-4]

Парольная аутентификация. Для проверки подлинности пользователей в информационных системах широко используется аутентификация по секретной информации, которая неизвестна непосвящённым людям. В компьютерных системах секретная информация - это пароль, вводимый с помощью клавиатуры. Чем длиннее пароль, тем он более стойкий, поскольку сложнее поддаётся подбору и другим типам атак. Плюсы такого способа аутентификации заключаются в простоте реализации, надежности, а минусы - в том, что пароль можно забыть, украсть, подсмотреть, подобрать (угадать).

Аутентификация по OpenID. Аутентификация по OpenID - это открытый стандарт децентрализованной системы аутентификации, предоставляющей пользователю возможность создать единую учётную запись для аутентификации на множестве не связанных друг с другом интернет-ресурсов, используя услуги третьих лиц. Базовой функцией OpenID является предоставление портативного, клиент-ориентированного, цифрового идентификатора для свободного и децентрализованного использования.

Аутентификация с помощью биометрических характеристик. Биометрическая характеристика - это измеримая физиологическая или поведенческая черта живого человека, которую можно использовать для установления личности или проверки декларируемых личных данных. Поскольку биометрический параметр уникален для данного человека, его можно использовать для однофакторной аутентификации пользователя. К таким параметрам относятся радужная оболочка глаза, отпечаток пальца, лицо, кисть, сетчатку и т.д. Преимущества такого способа аутентификации заключаются в том, что он является надёжным методом аутентификации, тяжело поддаётся “атакам” со стороны злоумышленников, а недостатки - в достаточно высокой стоимости такой системы.

Аутентификация с помощью одноразовых паролей. Одноразовые пароли (OTP - One-Time Passwords) - это динамическая аутентификационная информация, генерируемая для единичного использования с помощью аутентификационных устройств (программных или аппаратных). Одноразовый пароль неуязвим для атаки методом анализа сетевого трафика, что является значительным преимуществом перед запоминаемыми паролями. В качестве возможных устройств для генерации одноразовых паролей обычно используются OTP-токены. ОТР-токен - мобильное персональное устройство, которое принадлежит определённому пользователю и генерирует одноразовые пароли, используемые для аутентификации данного пользователя. Пользователь использует ОТР-токен для генерации пароля, после чего использует его для аутентификации. Плюсы такого способа аутентификации заключаются в том, что практически невозможно подобрать пароль, т.к. он всегда новый, а минусы - в том, что ОТР-токен можно украсть, потерять, сломать.

Аутентификация с помощью открытого ключа. Аутентификация сервера производится при помощи инфраструктуры открытых ключей. Клиент, который хочет установить соединение с сервером, шифрует данные известным ему открытым ключом сервера и отправляет их серверу. Сервер должен расшифровать их при помощи известного только ему секретного ключа, и отправить их назад. Так клиент может быть уверен в том, является ли хост тем, за кого себя выдает. Преимущества такого способа аутентификации заключаются в том, что не требуется вводить пароль при каждом входе, а недостатки - в том, что ключ можно перехватить.

Проведенный анализ способов аутентификации показывает, что некоторые из них чем-то похожи друг на друга, но обладают различным набором достоинств и недостатков. Идеального способа не существует, поэтому разрабатываются и изучаются всё новые алгоритмы и средства аутентификации.

В связи с тем, что упомянутые выше способы аутентификации недостаточно защищены с точки зрения использования, предлагается модифицированный способ аутентификации с помощью открытого ключа на базе одноразовых паролей.

Суть предлагаемого способа заключается в том, что пользователю не требуется вводить (и запоминать) какие-либо данные для авторизации. Доступ осуществляется через MAC-адрес, который является уникальным идентификатором, присваиваемым каждой единице активного оборудования компьютерных сетей. MAC-адрес зашифровывается по алгоритму ГОСТ 27148-89 и направляется на проверку на специально разработанный и реализованный сервис для аутентификации, доступ к которому осуществляется по API - набору готовых классов, процедур, функций, структур и констант, предоставляемых приложением для использования во внешних программных продуктах.

Данный сервис сверяет зашифрованный MAC-адрес с имеющимися в базе данных и, если такой имеется, то формируется ответ с уникальным ID пользователя и отправляется назад приложению. По данному ID приложение находит пользователя в своей базе данных и аутентифицирует его. Если такого MAC-адреса у сервиса не присутствует, то он записывает его в базу данных и отправляет обратно в приложение. После данной процедуры пользователь может спокойно пользоваться услугами сайта.

Для того, чтобы аутентифицировать пользователя на разных устройствах под одним аккаунтом будут использоваться одноразовые ключи, генерируемые сервером случайным образом.

Пользователь запрашивает с главного устройства ключ, который потом вводит в специальное поле на другом устройстве (на котором хочет аутентифицироваться) и ключ отправляется на сервис для аутентификации вместе с зашифрованным MAC-адресом. По этому уникальному ключу находится аккаунт и MAC-адрес добавляется в базу к данному аккаунту.

Преимущества данного алгоритма аутентификации заключаются в следующем:

· не нужно вводить логин/пароль;

· алгоритм обладает высокой криптостойкостью по сравнению с другими алгоритмами;

· завладеть доступом к личным данным пользователя становится весьма проблематично.

Данный алгоритм аутентификации был реализован на языке объектно-ориентированного программирования Ruby, являющимся эффективным объектно-ориентированным языком, который работает на многих платформах, включая Linux и другие реализации Unix, различные версии Windows, BeOS и MacOS, с использованием фреймворка Rails с целью повышения информационной безопасности разработанного интернет-магазина. [5]

Литература

1. Петренко, О.С. Вопросы информационной безопасности в системах электронной коммерции / О.С. Петренко, О.А. Турчак, В.Н. Князев // Сборник научных статей I ежегодной межвузовской студенческой научно?практической конференции “Информационные технологии в науке и образовании. Проблемы и перспективы”. Пенза, Издательство ПГУ, с. 123-125.

2. Афанасьев А.А., Веденьев Л.Т., Воронцов А.А. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. М.: Горячая линия. Телеком, 2009. 552 с.

3. Смит Р.Э. Аутентификация: от паролей до открытых ключей. М.: Издательский дом “Вильямс”, 2002. 432 с.

4. Комаров А.Е. Современные методы аутентификации: токен и это всё о нем - Телекоммуникации и транспорт. 2008. с. 13-16.

5. Фултон Х. Программирование на языке Ruby. М.: Издательство «ДМК Пресс», 2009. 688 с.

Размещено на Allbest.ru