Архитектура механизмов аппаратной аутентификации

В зависимости от контекста аутентификация понимается либо как результат, либо как процесс «…объективного подтверждения содержащейся в документе идентифицирующей информации об аутентифицируемом объекте». Соответственно, требование к реализации механизмов аутентификации есть обеспечение объективности подтверждения содержащейся в документе идентифицирующей информации об объекте, что, вообще говоря, может и не зависеть от собственно информации.

Например, аутентификация автора рукописного документа на основе почерка инвариантна к содержанию документа. Часто используемая в локальных сетях (например, ЛВС Novell NetWаre) система аутентификации ориентирована на подтверждение подлинности пользователей в момент запроса доступа к ресурсам файлового сервера. В качестве базовой системы принята схема с простым паролем пользователя, в то же время подлинности рабочих станций сети уделяется недостаточное внимание: единственная проверка заключается в сравнении номера сетевой карты рабочей станции, с которой идёт запрос доступа, со списком разрешённых сетевых карт для данного пользователя.

Все остальные проверки, осуществляемые при диалоге пользователя и файлового сервера, решают одну задачу — проверку подлинности пользователя.

Однако аутентификация только номера сетевой карты при запросе пользователем доступа к ресурсам файлового сервера не пресекает все возможности несанкционированного доступа. Внеся дополнительную строку в файл настройки сетевого программного обеспечения рабочей станции, пользователь может задать любой номер сетевой карты и получить доступ к ресурсам файлового сервера с любой рабочей станции ЛВС, причем для сервера данное соединение будет корректным.

Для рабочих станций, работающих под управлением каких-либо средств защиты от НСД, неконтролируемое изменение номеров сетевых карт может разрушить любой план защиты. Другим путём несанкционированного доступа к ресурсам файлового сервера является подключение посторонней станции к сети. Например, принцип работы ЛВС EtherNet таков, что злоумышленник может незаметно подключить свою ЭВМ к кабелям ЛВС и работать как легальная станция. Таким образом, отсутствуют конструктивные преграды для несанкционированного доступа к ресурсам файлового сервера с любой рабочей станции в ЛВС.

В локальной сети пользователем является вовсе не оператор, а рабочая станция, точнее — оператор вместе со станцией, тогда как существующие подсистемы аутентификации ориентированны на установление подлинности только пользователя-субъекта. Критичным с точки зрения НСД является как подмена оператора, так и подмена рабочей станции.

Следовательно, необходимо применять механизмы аутентификации, обеспечивающие проверку подлинности файловых серверов и рабочих станций после того, как пользователь признан корректным с точки зрения Novell NetWаre.

Это взаимодействие всякий раз должно содержать уникальные данные, иначе, прослушав один раз такой диалог, злоумышленник сможет полностью воспроизвести его и, в результате, получить доступ к ресурсам файлового сервера. В каждом сеансе аутентификации необходимо использовать «новые» случайные данные, которые должны при этом ещё и обеспечивать проверку подлинности обеих сторон. Решение можно обеспечить применением механизма, основанного на коде аутентификации, функционально эквивалентного электронной цифровой подписи.

Однако в этом случае возникает не менее сложная задача хранения секретных ключей станций. С учётом всего перечисленного необходима дополнительная проверка подлинности рабочих станций в момент запроса доступа к ресурсам файлового сервера. Секретный ключ станции хранится в закодированном виде, причём кодируется он на секретном ключе пользователя, который, в свою очередь, должен храниться вне ЭВМ, например, в Touсh Memory пользователя.

Тогда, даже в случае полного доступа к рабочей станции, у злоумышленника нет никакой возможности получить доступ к секретному ключу станции. Доступ к секретному ключу файлового сервера также должен быть затруднён для посторонних, ключ в максимальной степени должен быть изолирован от общедоступной вычислительной среды.

То же самое требование справедливо и для сеансовых ключей, создаваемых для каждого акта электронного взаимодействия. Поскольку любая криптография всегда базируется на случайности, то применение датчика случайных чисел (ДСЧ) в механизмах аутентификации обязательно. В свете установленных положений становится очевидным, что для аппаратной аутентификации в электронной среде минимальная конфигурация соответствующего резидентного компонента безопасности (РКБ) должна включать в свой состав следующие функциональные узлы:

• — touсh-memory интерфейс — ТМИ;
• — энергонезависимую память — ЭНП.
• — датчик случайных чисел — ДСЧ;
• — постоянное запоминающее устройство (ПЗУ) пользовательского расширения BIOS — ROM BIOS;
• — интерфейс связи с ЭВМ — ИВВ.

Из ТМИ в контроллер поступает информация о пользователе и (в общем случае) контрольная сумма прикладных задач и данных. В ЭНП хранится (как минимум) эталонная информация для процедур аутентификации пользователя, ссылки на полномочия пользователя и контрольные суммы для контроля целостности системных областей и системных файлов. Датчик случайных чисел используется как генератор необходимых ключей взаимодействия. ROM BIOS должен содержать фиксированное описание преобразований, обеспечивающих: — блокировку загрузки ОС с отчуждаемых носителей; - процедуры идентификации (аутентификации); - процедуры разбора файловой системы; - процедуры расчета хэш-функции; - процедуры работы с энергонезависимой памятью и ДСЧ.

Аппаратная реализация в силу физической изолированности обеспечивает эффективную защиту от НСД наиболее важных процедур и данных, используемых при аутентификации ЭлД. Но, разумеется, не всех — в любом случае взаимодействие с вычислительной средой, окружающей РКБ, необходимо должно существовать. Соответственно, предусматривается интерфейс связи с ЭВМ — ИВВ (интерфейс ввода-вывода).

Наличие рассмотренных ресурсов минимально необходимо для аппаратной аутентификации. Реально может потребоваться включение дополнительных возможностей, обеспечивающих потребительские удобства применения РКБ для аутентификации ЭлД.