С каждым зарегистрированным в сети субъектом (пользователем или процессом) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Такую информацию называют идентификатором субъекта. Субъекты, имеющие зарегистрированные в сети идентификаторы, считаются легальными, остальные субъекты относятся к нелегальным.
Прежде чем получить доступ к ресурсам сети, субъект должен пройти процедуры первичного взаимодействия с сетью, которые включают две стадии - идентификацию и аутентификацию.
Идентификация- это процедура распознавания субъекта по его идентификатору (имени). Эта процедура выполняется в первую очередь, когда субъект делает попытку войти в сеть. Он сообщает по запросу сети свой идентификатор и система проверяет в базе данных его наличие.
Аутентификация- процедура проверки подлинности, позволяющая достоверно убедиться, что субъект является именно тем, кем он себя объявляет.
Идентификация и аутентификация - взаимосвязанные процессы распознавания и проверки подлинности субъектов.
После того как субъект идентифицирован и аутентифицирован, выполняется его авторизация, которая устанавливает сферу действия субъекта и доступные ему ресурсы.
|
При защите каналов передачи данных выполняется взаимная аутентификация субъектов, то есть взаимное подтверждение подлинности связывающихся между собой по линии связи субъектов.
Широкое распространение интеллектуальных карт (смарт-карт) для разнообразных применений (кредитные карты, мобильные телефоны, карты социального страхования, карты доступа в охраняемое помещение и т.п.) потребовало обеспечения безопасной идентификации таких карт и их владельцев. Главная проблема заключается в том, чтобы при предъявлении смарт-карты, оперативно обнаружить обман и отказать обманщику в допуске, ответе или обслуживании.
Секретный ключ владельца карты становится неотъемлемым признаком его личности. Однако, передавать этот ключ для удостоверения своей личности по открытому каналу недопустимо, так как он может быть перехвачен злоумышленником и использован в дальнейшем.
В связи с этим были разработаны различные протоколы идентификации, в том числе и протоколы с нулевой передачей знаний. Т.е. владелец смарт-карты с помощью определенной процедуры сообщает, что он обладает секретным ключом, избегая при этом необходимости передавать его по каналам в явном виде.
Одним из таких алгоритмов является алгоритм Гиллоу-Куискуотера.
|
В результате длинное сообщение произвольной длины заменяется коротким сообщением фиксированной длины (дайджестом), которое сложным образом зависит от исходного сообщения.
Строка W является аналогом открытого ключа. Другой открытой информацией, которую используют все карты, участвующие в данном приложении, являются модуль n и показатель степени V. Модуль n является произведением двух секретных простых чисел.
Секретным ключом стороны А является величина G, выбираемая таким образом, чтобы выполнялось соотношение
.
Сторона А отправляет стороне В свои идентификационные данные W. Далее ей нужно доказать стороне В, что эти идентификационные данные принадлежат именно ей. Чтобы добиться этого, сторона А должна убедить сторону В, что ей известно значение О.
Рассмотрим протокол доказательства подлинности А без передачи стороне В значения О:
1. Сторона А выбирает случайное целое х, такое, что
1 < х n - 1 . Она вычисляет
и отправляет это значение стороне В.
2. Сторона В выбирает случайное целое d, такое, что
1 < d n - 1 , и отправляет это значение d стороне А.
3. Сторона А вычисляет
и отправляет это значение стороне В.
4. Сторона В вычисляет значение
|
Если ,то проверка подлинности успешно завершена.
Математические выкладки, использованные в этом протоколе, не очень сложны:
,
поскольку G вычислялось таким образом, чтобы выполнялось соотношение
.
8. Лабораторное задание
1. Вызов рабочего окна производится из Главного меню по пункту Идентификация.
2. Процесс идентификации представлен на схеме. Имитируется установление подлинности мобильной станции со стороны базовой станции.
3. Для удобства проведения работы размерности всех параметров взяты значительно меньшими реально допустимых значений с точки зрения защитных свойств. Например, на практике параметр n имеет длину 512 бит (2512= 4 10153).
4. В работе значения идентификационной информации W выбираются произвольно в указанных пределах. Произвольно выбирается и показатель степени V. Для определения величины модуля n необходимо выбрать два достаточно больших простых числа ри qи найти n= рq. Выбор простых чисел произвести с помощью опции «ПРОСТЫЕ ЧИСЛА» из Главного меню.
|
Общие сведения
9.1. Основные понятия и определения
С каждым объектом компьютерной системы (КС) связана некоторая информация, однозначно идентифицирующая его. Это может быть число, строка символов, алгоритм, определяющий данный объект. Эту информацию называют идентификатором объекта. Если объект имеет некоторый идентификатор, зарегистрированный в сети, он называется законным (легальным) объектом; остальные объекты относятся к незаконным (нелегальным).
Идентификация объекта – одна из функций подсистемы защиты. Эта функция выполняется в первую очередь, когда объект делает попытку войти в сеть. Если процедура идентификации завершается успешно, данный объект считается законным для данной сети.
Следующий шаг – аутентификация объекта (проверка подлинности объекта). Эта процедура устанавливает, является ли данный объект именно таким, каким он себя объявляет.
После того как объект идентифицирован и подтверждена его подлинность, можно установить сферу его действия и доступные ему ресурсы КС. Такую процедуру называют предоставлением полномочий (авторизацией).
Перечисленные три процедуры инициализации являются процедурами защиты и относятся к одному объекту КС.
|
После того как соединение установлено, необходимо обеспечить выполнение требований защиты при обмене сообщениями:
(а) получатель должен быть уверен в подлинности источника данных;
(б) получатель должен быть уверен в подлинности передаваемых данных;
(в) отправитель должен быть уверен в доставке данных получателю;
(г) отправитель должен быть уверен в подлинности доставленных данных.
Для выполнения требований (а) и (б) средством защиты является цифровая подпись. Для выполнения требований (в) и (г) отправитель должен получить уведомление о вручении с помощью удостоверяющей почты (certified mail). Средством защиты в такой процедуре является цифровая подпись подтверждающего ответного сообщения, которое в свою очередь является доказательством пересылки исходного сообщения.
Если эти четыре требования реализованы в КС, то гарантируется защита данных при их передаче по каналу связи и обеспечивается функция защиты, называемая функцией подтверждения (неоспоримости) передачи. В этом случае отправитель не может отрицать ни факта посылки сообщения, ни его содержания, а получатель не может отрицать ни факта получения сообщения, ни подлинности его содержания.
|
Дата: 2016-10-02, просмотров: 241.