Методы идентификации и аутентификации пользователей.

Идентификация - присвоение пользователям идентификаторов (уникальных имен или меток), под которыми система " знает" пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией.

Аутентификация - установление подлинности - проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).

Обычно выделяют 3 группы методов аутентификации.

1) Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски " I have" (" у меня есть" ).

Такими объектами могут быть:

-смарт-карты представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и ОС, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.

-электронные USB-ключи (токен, USB-брелок) – это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных. Проще говоря токен — это подобие USB-флешки с защищенной памятью, где может храниться ценная информация: пароли, цифровые сертификаты, ключи шифрования и электронно-цифровые подписи.

2) Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация - " I know" (" я знаю" ). Например, аутентификация по паролю.

3) Аутентификация пользователя по его собственным уникальным характеристикам - " I am" (" я есть" ). Эти методы также называются биометрическими.

Основные компоненты межсетевых экранов. Фильтрующие маршрутизаторы

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

• фильтрующие маршрутизаторы;
• шлюзы сетевого уровня;
• шлюзы прикладного уровня.

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов.

Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

• IP- адрес отправителя (адрес системы, которая послала пакет);
• IP-адрес получателя (адрес системы которая принимает пакет);
• Порт отправителя (порт соединения в системе отправителя );
• Порт получателя (порт соединения в системе получателя );
  
  К положительным качествам фильтрующих маршрутизаторов следует отнести:

• сравнительно невысокую стоимость;
• гибкость в определении правил фильтрации;
• небольшую задержку при прохождении пакетов.

Недостатками фильтрующих маршрутизаторов являются:

• внутренняя сеть видна (маршрутизируется) из сети Internet;
• правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
• отсутствует аутентификация на пользовательском уровне.

 

Билет №13 задача

3. Используя шифр Эмаль-Гамаля передать сообщение м=15 от абонента А абоненту В, р=23, G=7

Передадим сообщение m = 15 от А к В. Возьмем р = 23, g = 7. Пусть абонент В выбрал для себя секретное число с_в = 9 и вычислил:

d_B =g^Cbmod p =7⁹ mod 23 =15.

Абонент А выбирает случайно число k, например k = 5, и вычисляет:

г = g^k mod p = 7⁵ mod 23 =17

е = m d_B^k mod p = 15 15⁵ mod 23 = 13.

Теперь A посылает к В зашифрованное сообщение в виде пары чисел (r, е).

В, получив (r, е), вычисляет

m' = е r^p-1-c_Bmod р = 13 17^23-1-9 mod 23= 15.

Мы видим, что В смог расшифровать переданное сообщение

 

Билет №14

⇐ Предыдущая12345678910Следующая ⇒

Поделиться:

Популярное:

1. Взаимная проверка подлинности пользователей. Механизм запроса-ответа.
2. Все объекты, используемые в процессе идентификации, в зависимости от их роли подразделяются на идентифицируемые и идентифицирующие.
3. Классификация методов идентификации
4. Материнство как стадия половозрастной и личностной идентификации
5. Операции по проведению идентификации с использованием баз данных
6. Осуществления идентификации и учета животных
7. Понятие криминалистической идентификации, идентификационный признак.
8. Понятийный аппарат и научные основы теории криминалистической идентификации
9. Проблема самоидентификации русской правовой культуры
10. Процессы идентификации в коллективе как феномены его сплоченности
11. Статистическое значение биологических родственников для идентификации станков