ключа.
Система
Kerberos представляет собой доверенную третью сторону (то есть сторону,
которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и
помогающую им в попарной проверке подлинности.
Чтобы с помощью
Kerberos получить доступ к S (обычно это сервер), C (как правило - клиент) посылает
Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге.
В ответ Kerberos возвращает так называемый билет , зашифрованный
секретным ключом сервера, и копию части информации из билета, зашифрованную
секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и
переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может
сравнить его содержимое с дополнительной информацией, присланной клиентом.
Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные
ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно),
то есть продемонстрировал знание секретного ключа. Значит, клиент - именно тот,
за кого себя выдает. Подчеркнем, что секретные ключи в процессе проверки
подлинности не передавались по сети (даже в зашифрованном виде) - они только
использовались для шифрования. Как организован первоначальный обмен ключами
между Kerberos и субъектами и как субъекты хранят свои секретные ключи - вопрос
отдельный.
Проиллюстрируем
описанную процедуру.
Рис. 10.1. Проверка сервером
S подлинности клиента C.
Здесь c и s -
сведения (например, имя), соответственно, о клиенте и сервере, d1 и d2 - дополнительная
(по отношению к билету) информация, Tc.s - билет для клиента C на обслуживание
у сервера S, Kc и Ks - секретные ключи клиента и сервера, {info}K - информация
info, зашифрованная ключом K.
Приведенная
схема - крайне упрощенная версия реальной процедуры проверки подлинности. Более
подробное рассмотрение системы Kerberos можно найти, например, в статье В.
Галатенко "Сервер аутентификации Kerberos (Jet Info, 1996, 12-13). Нам же
важно отметить, что Kerberos не только устойчив к сетевым угрозам, но и
поддерживает концепцию единого входа в сеть.
Идентификация/аутентификация
с помощью биометрических данных
Биометрия
представляет собой совокупность автоматизированных методов идентификации и/или
аутентификации людей на основе их физиологических и поведенческих
характеристик. К числу физиологических характеристик принадлежат
особенности отпечатков
пальцев , сетчатки и роговицы глаз, геометрия руки и лица
и т.п. К поведенческим характеристикам относятся динамика подписи (ручной),
стиль работы с клавиатурой . На стыке физиологии и поведения находятся
анализ особенностей голоса и распознавание речи .
Биометрией во
всем мире занимаются очень давно, однако долгое время все, что было связано с
ней, отличалось сложностью и дороговизной. В последнее время спрос на
биометрические продукты, в первую очередь в связи с развитием электронной
коммерции,
Главная / безопасность пк / методы защиты информации 