Идея этой системы состоит в следующем. Пусть имеется односторонняя
функция f (то есть функция, вычислить обратную которой за приемлемое время
не представляется возможным). Эта функция известна и пользователю, и серверу
аутентификации. Пусть, далее, имеется секретный ключ K, известный только
пользователю.
На этапе
начального администрирования пользователя функция f применяется к ключу K n
раз, после чего результат сохраняется на сервере. После этого процедура
проверки подлинности пользователя выглядит следующим образом:
·
сервер присылает на пользовательскую систему число (n-1);
·
пользователь применяет функцию f к секретному ключу K (n-1) раз и
отправляет результат по сети на сервер аутентификации;
·
сервер применяет функцию f к полученному от пользователя значению
и сравнивает результат с ранее сохраненной величиной. В случае совпадения
подлинность пользователя считается установленной, сервер запоминает новое
значение (присланное пользователем) и уменьшает на единицу счетчик (n).
На самом деле
реализация устроена чуть сложнее (кроме счетчика, сервер посылает затравочное
значение, используемое функцией f), но для нас сейчас это не важно. Поскольку
функция f необратима, перехват пароля, равно как и получение доступа к серверу
аутентификации, не позволяют узнать секретный ключ K и предсказать следующий
одноразовый пароль.
Система S/KEY
имеет статус Internet-стандарта (RFC 1938).
Другой
подход к
надежной аутентификации состоит в генерации нового пароля через небольшой
промежуток времени (например, каждые 60 секунд), для чего могут использоваться
программы или специальные интеллектуальные карты (с практической точки зрения
такие пароли можно считать одноразовыми). Серверу аутентификации должен быть
известен алгоритм генерации паролей и ассоциированные с ним параметры; кроме
того, часы клиента и сервера должны быть синхронизированы.
Сервер
аутентификации Kerberos
Kerberos -
это программный продукт, разработанный в середине 1980-х годов в Массачусетском
технологическом институте и претерпевший с тех пор ряд принципиальных изменений.
Клиентские компоненты Kerberos присутствуют в большинстве современных
операционных систем.
Kerberos
предназначен для решения следующей задачи. Имеется открытая (незащищенная)
сеть, в узлах которой
сосредоточены субъекты - пользователи, а также
клиентские и серверные программные системы. Каждый субъект обладает секретным
ключом. Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S
не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать
знание секретного ключа. C не может просто послать S свой секретный ключ,
во-первых, потому, что сеть открыта (доступна для пассивного и активного
прослушивания), а, во-вторых, потому, что S не знает (и не должен знать)
секретный ключ C. Требуется менее прямолинейный способ демонстрации знания
секретного
Главная / безопасность пк / методы защиты информации 