Подтверждение подлинности пользователей и разграничение их доступа к компьютерным ресурсам

Системой защиты по отношению к любому пользователю с целью обеспечения безопасности обработки и хранения информации должны быть предусмотрены следующие этапы допуска в вычислительную систему:

  • 1) идентификация;
  • 2) установление подлинности (аутентификация);
  • 3) определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам.

Данные этапы должны выполняться и при подключении к вычислительной системе (ВС) таких устройств, как удаленные рабочие станции и терминалы.

Идентификация необходима для указания компьютерной системе уникального идентификатора обращающегося к ней пользователя с целью последующего выполнения следующих защитных функций:

  • • установления подлинности и определения полномочий пользователя при его допуске в компьютерную систему;
  • • контроля установленных полномочий и регистрации заданных действий пользователя в процессе сеанса работы после его допуска в ВС;
  • • учета обращений к компьютерной системе. Сам идентификатор может представлять собой последовательность любых символов и должен быть заранее зарегистрирован в системе администратором службы безопасности.

Контроль доступа к аппаратуре. Внутренний монтаж аппаратуры, технологические органы и пульты управления должны быть закрыты физически и на них установлены соответствующие датчики. При вскрытии аппаратуры оповещающие сигналы должны поступать на центральный пульт сигнализации. С позиций НСД контроль вскрытия аппаратуры срабатывает тогда, когда возникает одна из следующих ситуаций.

  • • изменение внутренних схем;
  • • подключение постороннего устройства;
  • • использование технологических пультов и органов управления для изменения алгоритма функционирования системы;
  • • загрузка посторонних программ и внесения «вирусов» в систему;
  • • доступ посторонних лиц к терминалам.

В процессе регистрации администратором в базу эталонных данных системы защиты для каждого пользователя заносятся следующие элементы данных:

  • • фамилия, имя, отчество и, при необходимости, другие характеристики пользователя;
  • • уникальный идентификатор пользователя;
  • • имя процедуры установления подлинности;
  • • используемая для подтверждения подлинности эталонная информация, например пароль;
  • • ограничения на используемую эталонную информацию, например минимальное и максимальное время, в течение которого указанный пароль будет считаться действительным;

• полномочия пользователя по доступу к компьютерным ресурсам.

Процесс установления подлинности, называемый еще аутентификацией, заключается в проверке, является ли пользователь, пытающийся осуществить доступ в ВС, тем, за кого он себя выдает.

Общая схема идентификации и установления подлинности пользователя при его доступе в компьютерную систему представлена на рис. 2.8.

Если в процессе аутентификации подлинность пользователя установлена, то система защиты должна определить его полно-

Блок-схема общего алгоритма идентификации и установления подлинности пользователя мочия по использованию ресурсов ВС для последующего контроля установленных полномочий

Рис. 2.8. Блок-схема общего алгоритма идентификации и установления подлинности пользователя мочия по использованию ресурсов ВС для последующего контроля установленных полномочий.

Основными и наиболее часто применяемыми методами установления подлинности пользователей являются методы, основанные на использовании паролей. Под паролем при этом понимается некоторая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к компьютерной системе. Ввод пароля, как правило, выполняют с клавиатуры.

Эффективность парольных методов может быть значительно повышена путем записи в зашифрованном виде длинных и нетривиальных паролей на информационные носители, например дискеты, магнитные карты, носители данных в микросхемах и т. д. В этом случае компьютерная система должна включать специальные устройства и обслуживающие их драйверы для считывания паролей с этих информационных носителей, а служба безопасности должна располагать средствами для формирования носителей с парольными данными.

Для особо надежного опознавания могут применяться и методы, основанные на использовании технических средств определения сугубо индивидуальных характеристик человека (голоса, отпечатков пальцев, структуры зрачка и т. д.). Однако такие средства требуют значительных затрат и поэтому используются редко.

Существующие парольные методы проверки подлинности пользователей при входе в ВС можно разделить на две группы:

  • • методы проверки подлинности на основе простого пароля;
  • • методы проверки подлинности на основе динамически изменяющегося пароля.

Пароль подтверждения подлинности пользователя при использовании простого пароля не изменяется от сеанса к сеансу в течении установленного администратором службы безопасности времени его существования (действительности).

При использовании динамически изменяющегося пароля пароль пользователя для каждого нового сеанса работы или нового периода действия одного пароля изменяется по правилам, зависящим от используемого метода.

Использование простого пароля. Процедура опознавания с использованием простого пароля может быть представлена в виде следующей последовательности действий [18]:

• пользователь посылает запрос на доступ к компьютерной системе и вводит свой идентификатор;

  • • система запрашивает пароль;
  • • пользователь вводит пароль;
  • • система сравнивает полученный пароль с паролем пользователя, хранящимся в базе эталонных данных системы защиты, и разрешает доступ, если пароли совпадают; в противном случае пользователь к ресурсам компьютерной системы не допускается.

Поскольку пользователь может допустить ошибку при вводе пароля, то системой должно быть предусмотрено допустимое количество повторений для ввода пароля.

В базе эталонных данных пароли, как и другую информацию, никогда не следует хранить в явной форме, а только зашифрованными. При этом можно использовать метод как обратимого, так и необратимого шифрования.

Согласно методу обратимого шифрования эталонный пароль при занесении в базу эталонных данных зашифровывается по ключу, совпадающему с этим эталонным паролем, а введенный после идентификации пароль пользователя для сравнения с эталонным также зашифровывается по ключу, совпадающему с этим введенным паролем. Таким образом, при сравнении эталонный и введенный пароли находятся в зашифрованном виде и будут совпадать только в том случае, если исходный введенный пароль совпадет с исходным эталонным. При несовпадении исходного введенного пароля с исходным эталонным исходный введенный пароль будет зашифрован по-другому, так как ключ шифрования отличается от ключа, которым зашифрован эталонный пароль, и после зашифровки не совпадет с зашифрованным эталонным паролем.

Для обеспечения возможности контроля правильности ввода пароля при использовании необратимого шифрования на винчестер записывается таблица преобразованных паролей. Для их преобразования используется односторонняя криптографическая функция y=F(x), обладающая следующим свойством: для данного аргумента х значение F(x) вычисляется легко, а по данному у вычислительно сложно найти значение аргумента х, соответствующего данному у. В таблице паролей хранятся значения односторонних функций, для которых пароли берутся в качестве аргументов. При вводе пароля система защиты легко вычисляет значение функции от пароля текущего пользователя и сравнивает со значением, приведенным в таблице для пользователя с выбранным идентификатором. Нарушитель, захвативший компьютер, может прочитать таблицу значений функций паролей, однако вычисление пароля практически не реализуемо.

При работе с паролями должна предусматриваться и такая мера, как недопустимость их распечатки или вывода на экраны мониторов. Поэтому система защиты должна обеспечивать ввод пользователями запрошенных у них паролей без отображения этих паролей на мониторах.

Можно выделить следующие основные способы повышения стойкости системы защиты на этапе аутентификации:

  • • повышение степени нетривиальности пароля;
  • • увеличение длины последовательности символов пароля;
  • • увеличение времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля;
  • • повышение ограничений на минимальное и максимальное время действительности пароля.

Чем нетривиальнее пароль, тем сложнее его запомнить. Плохо запоминаемый пароль может быть записан на листе бумаги, что повышает риск его раскрытия. Выходом здесь является использование определенного числа незаписываемых на бумаге пробелов или других символов в начале, внутри, а также в конце последовательности основных символов пароля. Кроме того, отдельные символы пароля могут набираться на другом регистре (например, вместо строчных быть прописными или наоборот), что также не должно отражаться на листе бумаги. В этом случае незаконно полученный лист бумаги с основными символами пароля не будет достаточным условием раскрытия пароля целиком.

Вероятность подбора пароля уменьшается также при увеличении его длины и времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля. Ожидаемое время раскрытия пароля Тр (в днях) можно вычислить на основе следующей приближенной формулы:

где А — число символов в алфавите, используемом для набора символов пароля;

S — длина пароля в символах, включая пробелы и другие служебные символы;

tn время ввода пароля в секундах с учетом времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля.

Например, если А = 26 символов (учтены только буквы английского алфавита), /п = 2 с, а 5 = 6 символов, то ожидаемое время раскрытия Гр приблизительно равно одному году. Если в данном примере после каждой неудачной попытки ввода пароля предусмотреть временную задержку в 10 с, то ожидаемое время раскрытия увеличится в 5 раз.

Из приведенной выше формулы становится понятно, что повышения стойкости системы защиты на этапе аутентификации можно достигнуть и увеличением числа символов алфавита, используемого для набора символов пароля. Такое увеличение можно обеспечить путем использования нескольких регистров (режимов ввода) клавиатуры для набора символов пароля, например путем использования строчных и прописных латинских символов, а также строчных и прописных символов кириллицы.

Для исключения необходимости запоминания пользователями длинных и нетривиальных паролей в системе защиты может быть предусмотрена возможность записи паролей в зашифрованном виде на информационные носители, например дискеты, магнитные карты, носители данных в микросхемах и т. д., а также считывания паролей с этих информационных носителей. Такая возможность позволяет повысить безопасность за счет значительного увеличения длины паролей, записываемых на носители информации. Однако при этом администрации службы безопасности следует приложить максимум усилий для разъяснения пользователям ВС о необходимости тщательной сохранности носителей информации с их паролями.

На степень информационной безопасности при использовании простого парольного метода проверки подлинности пользователей большое влияние оказывают ограничения на минимальное и максимальное время действительности каждого пароля. Чем чаще меняется пароль, тем обеспечивается большая безопасность.

Минимальное время действительности пароля задает время, в течение которого пароль менять нельзя, а максимальное — время, по истечении которого пароль будет недействительным. Соответственно, пароль должен быть заменен в промежутке между минимальным и максимальным временем его существования. Поэтому понятно, что более частая смена пароля обеспечивается при уменьшении минимального и максимального времени его действительности.

Некоторые методы, применяемые для установления подлинности

Рис. 2.9. Некоторые методы, применяемые для установления подлинности

различных объектов

Минимальное и максимальное времена действительности пароля задаются для каждого пользователя администратором службы безопасности, который должен постоянно контролировать своевременность смены паролей пользователей.

Использование динамически изменяющегося пароля. Методы проверки подлинности на основе динамически изменяющегося пароля обеспечивают большую безопасность, так как частота смены паролей в них максимальна — пароль для каждого пользователя меняется ежедневно или через несколько дней. При этом каждый следующий пароль по отношению к предыдущему изменяется по правилам, зависящим от используемого метода проверки подлинности.

Существуют следующие методы парольной защиты, основанные на использовании динамически изменяющегося пароля:

  • • методы модификации схемы простых паролей;
  • • метод «запрос—ответ»;
  • • функциональные методы.

Наиболее эффективными из данных методов, как станет понятно далее, являются функциональные методы.

Методы модификации схемы простых паролей. К методам модификации схемы простых паролей относят случайную выборку символов пароля и одноразовое использование паролей.

При использовании первого метода каждому пользователю выделяется достаточно длинный пароль, причем каждый раз для опознавания используется не весь пароль, а только его некоторая часть. В процессе проверки подлинности система запрашивает у пользователя группу символов под заданным порядковым номерам. Количество символов и их порядковые номера для запроса определяются с помощью датчика псевдослучайных чисел.

При одноразовом использовании паролей каждому пользователю выделяется список паролей. В процессе запроса номер пароля, который необходимо ввести, выбирается последовательно по списку или по схеме случайной выборки.

Недостатком методов модификации схемы простых паролей является необходимость запоминания пользователями длинных паролей или их списков. Запись же паролей на бумагу или в записные книжки приводит к появлению риска потери или хищения носителей информации с записанными на них паролями.

Существует множество методов, применяемых для идентификации и установления подлинности различных объектов.

Методы идентификации и установления подлинности субъектов и различных объектов

При обмене информацией рекомендуется в любом случае предусмотреть взаимную проверку подлинности полномочий объекта или субъекта. Если обмен информацией производится по сети, то эта процедура должна выполняться обязательно. Для этого необходимо, чтобы каждому из объектов и субъектов присваивалось уникальное имя. Каждый из объектов (субъектов) должен хранить в своей памяти (недоступной для посторонних лиц) тот список, в котором находятся имена объектов (субъектов), с которыми будут производиться процессы обмена защищаемыми данными (рис. 2.10).

Метод «запрос—ответ». При использовании метода «запрос-ответ» в ВС заблаговременно создается и особо защищается массив вопросов, включающий в себя как вопросы общего характера, так и персональные вопросы, относящиеся к конкретному пользователю, например вопросы, касающиеся известных только пользователю случаев из его жизни.

Для подтверждения подлинности пользователя система последовательно задает ему ряд случайно выбранных вопросов, на которые он должен дать ответ. Опознание считается положительным, если пользователь правильно ответил на все вопросы.

Идентификация и установление подлинности субъекта (объекта)

Рис. 2.10. Идентификация и установление подлинности субъекта (объекта)

Основным требованием к вопросам в данном методе аутентификации является уникальность, подразумевающая, что правильные ответы на вопросы знают только пользователи, для которых эти вопросы предназначены.

Функциональные методы. Среди функциональных методов наиболее распространенными является метод функционального преобразования пароля, а также метод «рукопожатия» [18].

Метод функционального преобразования основан на использовании некоторой функции F, которая должна удовлетворять следующим требованиям:

  • • для заданного числа или слова X легко вычислить Y- F(X);
  • • зная X и Y, сложно или невозможно определить функцию Y= F(X).

Необходимым условием выполнения данных требований является наличие в функции F(X) динамически изменяющихся параметров, например текущих даты, времени, номера дня недели или возраста пользователя.

Пользователю сообщается:

  • • исходный пароль — слово или число X, например число 31;
  • • функция F(X), например Y= (Xmod 100) D+ W, где (X mod 100) — операция взятия остатка от целочисленного деления X на 100; D — текущий номер дня недели, a W — текущий номер недели в текущем месяце;
  • • периодичность смены пароля, например каждый день, каждые три дня или каждую неделю.

Паролями пользователя для последовательности установленных периодов действия одного пароля будут соответственно X, F(X), F(F(X)), F(F(F(X))) и т. д., т. е. для /-го периода действия одного пароля паролем пользователя будет F'~l (Л0- Поэтому для того чтобы вычислить очередной пароль по истечении периода действия используемого пароля, пользователю не нужно помнить начальный (исходный) пароль, важно лишь не забыть функцию парольного преобразования и пароль, используемый до настоящего момента времени.

С целью достижения высокого уровня безопасности функция преобразования пароля, задаваемая для каждого пользователя, должна периодически меняться, например каждый месяц. При замене функции целесообразно устанавливать и новый исходный пароль.

Согласно методу «рукопожатия» существует функция F, известная только пользователю и ВС. Данная функция должна удовлетворять тем же требованиям, которые определены для функции, используемой в методе функционального преобразования.

При входе пользователя в ВС системой защиты генерируется случайное число или случайная последовательность символов X и вычисляется функция F(X), заданная для данного пользователя.

Далее X выводится пользователю, который должен вычислить F'(X) и ввести полученное значение в систему. Значения F(X) и FX) сравниваются системой и если они совпадают, то пользователь получает доступ в ВС.

Например, в ВС генерируется и выдается пользователю случайное число, состоящее из семи цифр. Для дезориентации злоумышленника в любое место числа может быть вставлена десятичная точка. В качестве функции /’принимается: F= (ссумма 1-й, 2-й и 5-й цифр числа>)2 - ссумма 3-й, 4-й, 6-й и 7-й цифр числа> + ссумма цифр текущего времени в часах>.

Для высокой безопасности функцию «рукопожатий» целесообразно циклически менять через определенные интервалы времени, например устанавливать разные функции для четных и нечетных чисел месяца.

Достоинством метода «рукопожатия» является то, что никакой конфиденциальной информации между пользователем и ВС не передается. По этой причине эффективность данного метода особенно велика при его применении в вычислительных сетях для подтверждения подлинности пользователей, пытающихся осуществить доступ к серверам или центральным ЭВМ.

В некоторых случаях может оказаться необходимым пользователю проверить подлинность той ВС, к которой он хочет осуществить доступ. Необходимость во взаимной проверке может понадобиться и когда два пользователя ВС хотят связаться друг с другом по линии связи. Методы простых паролей, а также методы модификации схем простых паролей в этом случае не подходят. Наиболее подходящим здесь является метод «рукопожатия». При его использовании ни один из участников сеанса связи не будет получать никакой секретной информации.

Идентификация и установление подлинности технических средств. Здесь широко используются пароли как для идентификации и установления подлинности терминала (с которого пользователь входит в систему), так и для обратного установления подлинности ЭВМ по отношению к пользователю.

Идентификация и установление подлинности документов. Подлинность документов необходимо рассматривать со следующих позиций:

  • • документ сформирован непосредственно на этой ВС (на ее аппаратуре документирования);
  • • документ получен с удаленных объектов.

В первом случае подлинность документа гарантируется средствами защиты информации от НСД и применением криптографического преобразования информации. Информация закрывается кодом пароля (он известен передающему лицу и получателю).

Во втором случае также широко используются методы криптографического преобразования информации (если документы относительно долго хранились в памяти ВС или же транспортировались по неохраняемой территории).

Идентификация и установление подлинности информации на средствах ее отображения и печати. Методы определения подлинности информации на средствах ее отображения тесно связаны с методами определения подлинности документов, которые являются носителями соответствующей информации. Поэтому все соображения по отношению к методам определения подлинности документов также относятся и к методам установления подлинности информации, содержащейся на средствах ее отображения. Здесь также широко используются различные методы криптографического преобразования информации.

Своевременное обнаружение несанкционированных действий пользователей. Своевременное обнаружение фактов несанкционированных действий пользователей основано на выполнении следующих функций:

  • • периодический контроль целостности информации;
  • • регистрация и сигнализация;
  • • контроль правильности функционирования системы защиты.

Периодический контроль целостности конфиденциальной информации позволяет своевременно обнаружить попытки подлога и потери данных, а системной — внедрение программных закладок и компьютерных вирусов.

Регистрация для своевременного обнаружения фактов несанкционированных действий пользователей предполагает фиксацию и накопление сведений о всех запросах, содержащих обращения к защищаемым компьютерным ресурсам, включая доступ в вычислительную систему и завершение сеанса работы пользователей. Сигнализация же в этом случае состоит в своевременном уведомлении соответствующих компонентов системы защиты и администрации об обнаруженных несанкционированных действиях.

Без эффективной реализации функций контроля правильности функционирования системы защиты невозможно достигнуть высокой эффективности функционирования не только подсистемы обнаружения несанкционированных действий пользователей, но и системы защиты в целом.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >