15.Идентификация и аутентификация.
Обычно каждый пользователь в системе имеет уникальный идентификатор. Идентфикаторы пользователей применяются с теми же целями, что и идентификаторы любых других объектов, файлов, процессов. Идентификация заключается в сообщении пользователем своего идентификатора. Для того чтобы установить, что пользователь именно тот, за кого себя выдает, то есть что именно ему принадлежит введенный идентификатор, в информационных системах предусмотрена процедура аутентификации (authentication, опознавание, в переводе с латинского означает установление подлинности), задача которой - предотвращение доступа к системе нежелательных лиц.
Обычно аутентификация базируется на одном или более из трех пунктов:
то, чем пользователь владеет (ключ или магнитная карта),
то, что пользователь знает (пароль),
атрибуты пользователя (отпечатки пальцев, подпись, голос)
Способы аудентификации:
1.многоразовые пароли
2.одноразовые пароли.
3.слово-вызов
4.сертификаты.
5.электронные подписи.
Их классификация.
Классификация угроз паролей защиты.
16.Биометрические технологии. Виды. Достоинства и недостатки.
Биометрия — технология идентификации личности, использующая физиологические параметры субъекта.
1.Распознавание отпечатков пальцев.
Технологии снятия отпечатков:
1) полное оптическое отражение и др. оптические методы;
2) емкостное сопротивление КМОП;
3) термические сенсоры;
4) ультразвуковые сенсоры
2.Распознавание лица.
Методы получения изображения:
1) одно изображение;
2) видео;
3) трехмерное изображение;
4) инфракрасный свет.
После локализации лица применяют следующие методы:
1) внешний вид лица;
2) геометрия лица.
3.Распознавание голоcа.
Категории голосовых аутентификационных систем:
1) заданный текст;
2) зависимость от текста;
3) независимость от текста;
4) диалог.
4.Идентификация по почерку
Технологии автоматической верификации подписи:
1) оффлайновые («статистические»);
2) онлайновые («динамические»).
Преимущества:
повышение надежности и качества распознавания;
снижение уровня ошибок;
большее разнообразие идентификаторов;
ускорение идентификации.
17. Протоколы аутентификации. Типы протоколов pap, chap, двухсторонняя аутентификация. Атаки на протоколы.
Протокол аутентификации запрос-ответ Challenge-Handshake Authentication Protocol (CHAP) Протокол аутентификации, использующий классическую схему хэширования случайного запроса, является одним из наиболее распространенных. используется для реализации функций безопасности при установлении РРР-соединения. В протоколе CHAP применяется трехразовая проверка подлинности при регистрации клиента на хосте. В RFC 1994 описан алгоритм, реализуемый в протоколе CHAP. Формат пакета протокола CHAP представлен на рис. 8.6.
Рис. 8.6. Формат пакета протокола CHAP
Поле Код имеет в длину один октет и идентифицирует тип пакета CHAP. В табл. 8.4 представлены возможные значения поля Код.
Таблица 8.4. Значения поля Код протокола CHAP |
|
Код |
Описание |
1 |
Вызов |
2 |
Ответ |
3 |
Успешная аутентификация |
4 |
Отказ |
Поле Идентификатор имеет в длину один октет. С помощью этого поля происходит идентификация пакета CHAP. Затем клиент и хост по этому идентификатору могут согласовывать свои запросы и ответы на них.
Поле Длина составляет два октета. Это поле используется для задания длины пакета CHAP. Длина пакета считается с учетом полей Код, Идентификатор, Длина и Данные.
Поле Данные может быть нулевой длины или несколько октетов в длину. В него включаются данные, которые заданы в поле Код пакета CHAP.
На рис. 8.7 показан протокол, подтверждающий установление соединения, который применяется в CHAP для проверки подлинности клиента. Подтверждение установления соединения в CHAP проходит в три фазы.
Хост посылает пакет запроса CHAP-клиенту со случайным значением.
Клиент отвечает пакетом ответа CHAP, в который включено значение, вычисленное с помощью наложения на значение вызова секретного ключа. Ключ выводится с помощью односторонней функции хеширования.
Далее хост сверяет значение в ответе клиента, с полученным им самим таким же способом (наложение значения вызова на ключ). Если они совпадают, то хост высылает пакет "Success" (Успешная аутентификация), и сеанс РРР продолжается. В противном случае хост посылает клиенту пакет "Failure"(Отказ), сеанс РРР прекращается и формируется LCP-пакет типа Terminate-Request.
Рис. 8.7. Фазы подтверждения установления соединения в протоколе CHAP
В протоколе CHAP предусмотрена еще одна возможность. Она состоит в том, что хост РРР может в любой момент во время сеанса РРР попросить клиента об аутентификации. Такая возможность позволяет предотвратить несанкционированный доступ со стороны других устройств.