Протоколы аутентификации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ  И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ФЕДЕРАЛЬНОЕ  ГОСУДАРСТВЕННОЕ  БЮДЖЕТНОЕ 

ОБРАЗОВАТЕЛЬНОЕ  УЧРЕЖДЕНИЕ

ВЫСШЕГО  ПРОФЕССИОНАЛЬНОГО  ОБРАЗОВАНИЯ

«ВОРОНЕЖСКИЙ  ГОСУДАРСТВЕННЫЙ  ТЕХНИЧЕСКИЙ  УНИВЕРСИТЕТ»

(ФГБОУ ВПО «ВГТУ», ВГТУ)

 

Информационных технологий и компьютерной безопасности

(факультет)

Кафедра систем автоматизированного проектирования и информационных систем

 

 

КУРСОВАЯ РАБОТА

 

 

по дисциплине открытые информационные системы

_______________________________________________________________

Тема Протоколы аутентификации

                                      

Расчетно-пояснительная  записка

 

 

 

Разработал студент                                                                                         

                                                           Подпись, дата              Инициалы, фамилия

Руководитель                                                                                                

                                                            Подпись, дата             Инициалы, фамилия

Члены комиссии                                 _________________________________________

                                                           Подпись, дата              Инициалы, фамилия

                                                               ______________________________________

                                                           Подпись, дата              Инициалы, фамилия

Нормоконтролер                                _________________________________________

                                                            Подпись, дата             Инициалы, фамилия

 

Защищена ____________________ Оценка __________________________________

                                 дата

 

 

 

 

 

 

2013       
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ФЕДЕРАЛЬНОЕ  ГОСУДАРСТВЕННОЕ  БЮДЖЕТНОЕ 

ОБРАЗОВАТЕЛЬНОЕ  УЧРЕЖДЕНИЕ

ВЫСШЕГО  ПРОФЕССИОНАЛЬНОГО  ОБРАЗОВАНИЯ

«ВОРОНЕЖСКИЙ  ГОСУДАРСТВЕННЫЙ  ТЕХНИЧЕСКИЙ  УНИВЕРСИТЕТ»

(ФГБОУ ВПО «ВГТУ», ВГТУ)

 

 

Кафедра систем автоматизированного проектирования и информационных систем

 

 

ЗАДАНИЕ

на курсовую работу

 

 

по дисциплине открытые информационные системы ______________________________________________________________________

Тема работы Протоколы аутентификации

______________________________________________________________________

Студент группы   ИС – 101                 

                      Фамилия, имя, отчество

Номер варианта 37________________________________________________________

Технические условия ПЭВМ класса Pentium стандартной конфигурации, цветной монитор с графическим адаптером VGA и выше, объем оперативной памяти не ниже 64 Мб, ОС Windows 98 и выше, не менее 40 Mb свободного объема на жестком диске

Содержание и объем работы (графические  работы, расчеты и прочее)

Расчетно – пояснительная записка – 24 страницы, литературных источников – 4, количество приложений – 1

Сроки выполнения этапов

 

Срок защиты курсовой работы

 

Руководитель                                                                                           

                                                                 Подпись, дата          Инициалы, фамилия

Задание принял студент                                                                              

                                                            Подпись, дата              Инициалы, фамилия

 

 

 

 

Содержание

Введение

В настоящее время  различного рода информация стала играть очень важную роль во всех сферах деятельности людей. Расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера. Вследствие этого возникла необходимость в безопасном способе передачи важной информации, который гарантировал бы, что она не будет передана постороннему лицу, выдающему себя за получателя. Чтобы во время передачи информации можно было удостоверяется в том, что ваш собеседник является именно тем, за кого он себя выдает, была придумана процедура аутентификации, то есть проверки подлинности.

В данной курсовой работе будут рассмотрены основные виды аутентификации, а также существующие протоколы и сервисы для ее осуществления.

 

1 Определение и виды  аутентификации

Термин «аутентификация» происходит от латинского слова authenticus, которое означает подлинный, достоверный, соответствующий самому себе. Аутентификация может быть применена как к людям, так и к другим объектам, в частности программам, устройствам, процессам.

В процессе процедуре  аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, другая сторона – аутентификатор – проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности применяются самые различные приемы:

• аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета (пароля или факта);
• аутентифицируемый может владеть неким уникальным предметом (физическим ключом), например магнитной картой
• аутентифицируемый может доказать свою идентичность, используя собственные био-характеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.

Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользователя применяют пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уровня угрозы раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства, служащие для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п.

Многие приложения имеют собственные средства определения, является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки. Как уже отмечалось, в качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные приложения, устройства, текстовая и другая информация. Так, пользователь, обращающийся с запросом к корпоративному веб-серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с веб-сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений.

Аутентификация данных означает доказательство целостности этих данных, а также то, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.

 

2 Протоколы аутентификации

2.1 Аутентификация с использованием многоразовых паролей

При аутентификации на основе многоразового пароля доступ ко всем ресурсам сервера разрешается при единичном введении пользователем своего пароля. В соответствии с этим принципом в современных ОС заложена централизованная программа аутентификации, исполняемая каким-либо сервером сети при помощи базы данных, в которой содержится информация в том числе и об идентификаторах (логинах) и паролях пользователей.

Простая аутентификация пользователя имеет следующий алгоритм исполнения:

• пользователь запрашивает доступ в сеть и для подтверждения подлинности своего лица вводит свой идентификатор и пароль;
• введенные данные поступают на сервер аутентификации, где сравниваются с эталоном, содержащимся в базе данных;
• при совпадении эталона с введенными данными аутентификация признается успешной, и пользователь получает доступ к запрошенным ресурсам и права, определеные его статусом в сети.

Передача пароля в  открытом виде является чрезвычайно  уязвимой для атак извне, поэтому  для защиты информации перед пересылкой по открытому каналу она шифруется  при помощи специализированных средств и шифрования и дешифровки, управляемых разделяемым секретным ключом. Исходное значение пароля хранится на сервере аутентификации, и в том случае, если введенная пользователем информация идентична содержащейся в базе данных, то пользователь приобретает легальный статус.

Еще одной уязвимостью  простой аутентификации является система  хранения паролей пользователей  на сервере аутентификации, в которой  зачастую отсутствует защита информации при помощи криптографических механизмов (шифрование, хэширование). В этом случае пароли хранятся в системных файлах, на которые ставится простейшая защита от чтения и записи – в операционных системах эта функция осуществляется путем прописывания привилегий тех или иных пользователей в списках контроля доступа ОС. Очевидно, что при такой организации для доступа к системному файлу, содержащему пароли пользователей, достаточно иметь привилегии администратора данной системы, что не является сложной задачей для человека, поставившего себе цель узнать эту информацию.

Для обеспечения наиболее надежной защиты любой информационной системы, хранение конфиденциальной информации должно быть организованно таким образом, чтобы пароль каждого конечного пользователя этой системы был известен только ему и никому другому, даже группе администраторов.

С позиции максимальной защиты информационной системы предпочтительным способом хранения паролей является применение односторонних функций. Наиболее часто для шифрования паролей  в базе данных используют одну из известных  криптографически стойких хэш-функций. Такой подход характерен тем, что в БД пользователей хранится не сам пароль, а его образ, являющийся результатом, получаемым после применения к паролю хэш-функции. Криптографически-стойкие хеш-функции отличаются своей однонаправленностью. Это означает, что по образу пароля, сгенерированного хэш-функцией восстановить сам пароль невозможно. Однако всегда образы хеш-функции от одного и того же пароля будут одинаковы. Это позволяет скрипту, производящему авторизацию, зная используемую в системе хэш-функцию, получить образ введенного пользователем пароля и сравнить его с тем образом, что хранится в БД. Если образы равны, то пароли одинаковы.

В том случае, когда  при регистрации в системе  пароль не генерируется случайно, а  предлагается к вводу пользователю, система аутентификации имеет пониженную стойкость, поскольку выбор аутентифицирующей информации происходит из относительно небольшого множества слов (как правило, присутствующих в рамках словаря). При достаточном количестве времени система может быть взломана обычным перебором. Чтобы повысить безопасность такой системы, срок действия многоразового пароля должен быть ограничен во времени, по истечении указанного периода, пароль меняется на новый.

Идентификатор и пароль пользователя могут передаваться на сервер аутентификации двумя основными способами:

• передача в открытом виде: в соответствии с протоколом парольной аутентификации PAP (Password Authentication Protocol) пароль передается по сети незашифрованным.
• передача с использованием шифрования или однонаправленной функции (хэш-функции): прохождение всех данных пользователя по сети (включая и идентификатор, и пароль, и мести времени, и случайное число) осуществляется в защищённом виде.

2.2 Аутентификация с  использованием одноразовых паролей

Традиционные схемы аутентификации, имеющие в своей основе использование многоразовых паролей, не обладают достаточным уровнем безопасности. Такие пароли могут быть подобраны при помощи специальных программ, перехвачены, подсмотрены и т.д. Иными словами, узнав пароль однажды, злоумышленник имеет постоянный доступ к взломанной учётной записи. С этой точки зрения, более надежными являются процедуры аутентификации на основе одноразовых паролей.

Основная идея принципа одноразовых паролей заключается  в том, что при каждом новом  запросе на предоставление доступа будут использоваться различные пароли. Одноразовый динамический пароль может быть использован только для одного входа в систему, после этого его действие истекает. Даже если хакер сможет перехватить его в момент аутентификации, пароль окажется бесполезен. Как показывает практика, динамический механизм генерации паролей является одним из лучших методов защиты процесса аутентификации. Наиболее широко системы аутентификации с одноразовыми паролями применяются при необходимости работы с удаленными пользователями, когда авторизация и аутентификация производятся в условиях небезопасных, общедоступных сетей, таких как Интернет и т.д.