Архитектура механизмов аппаратной аутентификации

РефератПомощь в написанииУзнать стоимостьмоей работы

Архитектура механизмов аппаратной аутентификации (реферат, курсовая, диплом, контрольная)

В зависимости от контекста аутентификация понимается либо как результат, либо как процесс «…объективного подтверждения содержащейся в документе идентифицирующей информации об аутентифицируемом объекте». Соответственно, требование к реализации механизмов аутентификации есть обеспечение объективности подтверждения содержащейся в документе идентифицирующей информации об объекте, что, вообще говоря, может и не зависеть от собственно информации.

Например, аутентификация автора рукописного документа на основе почерка инвариантна к содержанию документа. Часто используемая в локальных сетях (например, ЛВС Novell NetWаre) система аутентификации ориентирована на подтверждение подлинности пользователей в момент запроса доступа к ресурсам файлового сервера. В качестве базовой системы принята схема с простым паролем пользователя, в то же время подлинности рабочих станций сети уделяется недостаточное внимание: единственная проверка заключается в сравнении номера сетевой карты рабочей станции, с которой идёт запрос доступа, со списком разрешённых сетевых карт для данного пользователя.

Все остальные проверки, осуществляемые при диалоге пользователя и файлового сервера, решают одну задачу — проверку подлинности пользователя.

Однако аутентификация только номера сетевой карты при запросе пользователем доступа к ресурсам файлового сервера не пресекает все возможности несанкционированного доступа. Внеся дополнительную строку в файл настройки сетевого программного обеспечения рабочей станции, пользователь может задать любой номер сетевой карты и получить доступ к ресурсам файлового сервера с любой рабочей станции ЛВС, причем для сервера данное соединение будет корректным.

Для рабочих станций, работающих под управлением каких-либо средств защиты от НСД, неконтролируемое изменение номеров сетевых карт может разрушить любой план защиты. Другим путём несанкционированного доступа к ресурсам файлового сервера является подключение посторонней станции к сети. Например, принцип работы ЛВС EtherNet таков, что злоумышленник может незаметно подключить свою ЭВМ к кабелям ЛВС и работать как легальная станция. Таким образом, отсутствуют конструктивные преграды для несанкционированного доступа к ресурсам файлового сервера с любой рабочей станции в ЛВС.

В локальной сети пользователем является вовсе не оператор, а рабочая станция, точнее — оператор вместе со станцией, тогда как существующие подсистемы аутентификации ориентированны на установление подлинности только пользователя-субъекта. Критичным с точки зрения НСД является как подмена оператора, так и подмена рабочей станции.

Следовательно, необходимо применять механизмы аутентификации, обеспечивающие проверку подлинности файловых серверов и рабочих станций после того, как пользователь признан корректным с точки зрения Novell NetWаre.

Это взаимодействие всякий раз должно содержать уникальные данные, иначе, прослушав один раз такой диалог, злоумышленник сможет полностью воспроизвести его и, в результате, получить доступ к ресурсам файлового сервера. В каждом сеансе аутентификации необходимо использовать «новые» случайные данные, которые должны при этом ещё и обеспечивать проверку подлинности обеих сторон. Решение можно обеспечить применением механизма, основанного на коде аутентификации, функционально эквивалентного электронной цифровой подписи.

Однако в этом случае возникает не менее сложная задача хранения секретных ключей станций. С учётом всего перечисленного необходима дополнительная проверка подлинности рабочих станций в момент запроса доступа к ресурсам файлового сервера. Секретный ключ станции хранится в закодированном виде, причём кодируется он на секретном ключе пользователя, который, в свою очередь, должен храниться вне ЭВМ, например, в Touсh Memory пользователя.

Тогда, даже в случае полного доступа к рабочей станции, у злоумышленника нет никакой возможности получить доступ к секретному ключу станции. Доступ к секретному ключу файлового сервера также должен быть затруднён для посторонних, ключ в максимальной степени должен быть изолирован от общедоступной вычислительной среды.

То же самое требование справедливо и для сеансовых ключей, создаваемых для каждого акта электронного взаимодействия. Поскольку любая криптография всегда базируется на случайности, то применение датчика случайных чисел (ДСЧ) в механизмах аутентификации обязательно. В свете установленных положений становится очевидным, что для аппаратной аутентификации в электронной среде минимальная конфигурация соответствующего резидентного компонента безопасности (РКБ) должна включать в свой состав следующие функциональные узлы:

— touсh-memory интерфейс — ТМИ;
— энергонезависимую память — ЭНП.
— датчик случайных чисел — ДСЧ;
— постоянное запоминающее устройство (ПЗУ) пользовательского расширения BIOS — ROM BIOS;
— интерфейс связи с ЭВМ — ИВВ.

Из ТМИ в контроллер поступает информация о пользователе и (в общем случае) контрольная сумма прикладных задач и данных. В ЭНП хранится (как минимум) эталонная информация для процедур аутентификации пользователя, ссылки на полномочия пользователя и контрольные суммы для контроля целостности системных областей и системных файлов. Датчик случайных чисел используется как генератор необходимых ключей взаимодействия. ROM BIOS должен содержать фиксированное описание преобразований, обеспечивающих: — блокировку загрузки ОС с отчуждаемых носителей; - процедуры идентификации (аутентификации); - процедуры разбора файловой системы; - процедуры расчета хэш-функции; - процедуры работы с энергонезависимой памятью и ДСЧ.

Аппаратная реализация в силу физической изолированности обеспечивает эффективную защиту от НСД наиболее важных процедур и данных, используемых при аутентификации ЭлД. Но, разумеется, не всех — в любом случае взаимодействие с вычислительной средой, окружающей РКБ, необходимо должно существовать. Соответственно, предусматривается интерфейс связи с ЭВМ — ИВВ (интерфейс ввода-вывода).

Наличие рассмотренных ресурсов минимально необходимо для аппаратной аутентификации. Реально может потребоваться включение дополнительных возможностей, обеспечивающих потребительские удобства применения РКБ для аутентификации ЭлД.

Показать весь текст

Заполнить форму текущей работой

Другие работы

Определение параметров абзаца

Параметр Междустрочный интервал используется, если необходимо изменить интервал между строками внутри абзаца. Поле параметра Междустрочный определяет расстояние по вертикали между строками текста. Междустрочный интервал Одинарный устанавливает межстрочный интервал для каждой строки в соответствии с наибольшим символом используемого шрифта. Можно установить интервалы 1,5 строки, Двойной. Выбор…

Реферат

Подробнее...

Адресация в локальных сетях

Сетевые службы, предназначенные для управления сетью, входят в состав практически всех широко распространенных операционных систем. Это позволяет построить одноранговую сеть (распределенная звезда) без сервера, в которой все компьютеры равноправны. После соединения компьютеpoв с помощью витой пары через концентратор или коммутатор и задания сетевых параметров на каждом компьютере (включая сетевые…

Реферат

Подробнее...

Перспективы. Интеллектуальные системы и технологии

Можно предположить, что дальнейшее развитие искусственного интеллекта будет происходить в рамках совершенствования логических, нейросетевых и гибридных систем в плане обеспечения возможности решения задач без программирования за счет способности к обучению по примерам и самообучению по определенным критериям. Здесь на первый план может выйти распределенная архитектура ИС, предполагающая…

Реферат

Подробнее...

Введение. Анализ и компьютерное моделирование процессов

В данном исследовании планируется изучить ряд вопросов, связанных с фондовой биржей. Рынок ценных бумаг стал неотъемлемой частью экономической реальности. Сегодня агрегированные фондовые индексы и фондовые индексы по секторам служат показателями эффективности экономики целой страны. В то же самое время значительную долю сделок на рынке составляют сделки, совершаемые роботами — компьютерными…

Реферат

Подробнее...

Описание установочных компонентов ПО RKeeper 7

Основным рабочим каталогом является каталог inwin, в котором лежат все исполняемые файлы, библиотеки, лог-файлы и файлы настройки, необходимые для запуска системы. Изначально все серверы, с которыми работают кассы, находятся именно в этой папке. Запуск и установка системы происходит из этой папки. В качестве конфигурационных файлов используются ini-файлы. Любой из серверов (сервер справочников…

Реферат

Подробнее...

Рисунок 1. Принцип работы брандмауэра

Классические HIPS — это системы, оснащенные открытой таблицей правил. На основании такой таблицы драйверы HIPS разрешают / запрещают определенные действия со стороны приложений либо спрашивают пользователя, что следует предпринять. Такие системы не пользуются популярностью у непрофессионалов, так как очень часто задают вопросы, что раздражает пользователя. Антишпион — это инструмент поиска…

Реферат

Подробнее...

Решение задачи распределения производственной программы по периодам в Excel

Для получения решения нажать кнопку Solve. Вид рабочего листа с результатами решения задачи показан на рисунке 3.2. Вид рабочего листа после ввода всех ограничений и целевой функции показан на рисунке 3.1. Таким образом, для данной задачи получено следующее решение (оно указано в ячейках B2: E3): Решим задачу, используя средства табличного процессора Excel. Пластмасса оборудование изделие excel…

Реферат

Подробнее...

Введение. Трансмедийные технологии

Гиллиан Дойл, исследователь центра культурной политики университета Глазго, в своей научной работе ставит под сомнение перспективу существования эфирного телевидения как канала коммуникации в эру мультиплатформенности, нелинейного телесмотрения и фрагментированного внимания зрителя. В то же время А. А. Новикова Новикова А. А. Телевизионная реальность — экранная интерпретация действительности. М…

Реферат

Подробнее...

Обоснование и выбор параметров и компонентов сети

Серия маршрутизаторов Cisco 3800 — это высокопроизводительная серия маршрутизаторов с интеграцией сервисов. Маршрутизаторы серии Cisco 3800 сочетают функциональность обеспечения безопасности, обработки голоса и другие интеллектуальные сервисы в единой компактной платформе, исключая необходимость использования нескольких отдельных устройств. Многие сервисные модули, например модули голосовой…

Реферат

Подробнее...

Заключение. Основы создания сайта

Говоря о правилах создания хорошего сайта, думаю, созданный мной сайт соответствует всем современным критериям. То есть сайт содержит уникальный контент, что является очень важным моментом при его проверке поисковым роботом. Дизайн достаточно привлекательный, качественное оформление, правильность и совместимость цветового баланса. Навигация простая и интуитивно понятна любому, даже тому, кто…

Реферат

Подробнее...

Описание тестовых задач

При решении этой же системы c переменным шагом число итераций возросло до 2530, при этом ошибка аппроксимации составила 0,0099. Решение систем с переменным или постоянным шагом, равным максимальному шагу способа с переменным шагом, одинаково. В Приложении 2 содержаться графики итераций для шага 0,01 и 0,001 для обычных систем и для шага 0,01 — для жестких. При шаге 0,1 на графики были в виде…

Реферат

Подробнее...

Заключение. Современные информационные технологии в системе экспозиции музея

Связь с современностью имеет место и в экспозициях, казалось бы, далеких от нее. Например, в археологических экспозициях не только освещаются новые знания о древнейших периодах истории, но и показываются современные методы раскопок, а в историко-мемориальных музеях — современный общественный интерес к меморируемому лицу или событию (издания книг, памятники, художественные произведения и др…

Реферат

Подробнее...

Алгоритм перестроения. Применение CF-алгоритма в позиционировании группы мобильных автономных роботов

При рассмотрении других шаблонов, алгоритм перестроения из базового шаблона будет отличаться количеством дополнительных лидеров. Так, например, для построения в ромб робот лидер посылает в кольцо информационный пакет, который выделяет дополнительных трех лидеров, которые в свою очередь начинают отправку информационных пакетов для формирования ребер ромба. Из рисунка видно, как идет перестроение…

Реферат

Подробнее...

Введение. Основы информатики

Человеческое общество по мере своего развития прошло этапы овладения веществом, затем энергией, и сегодня информацией. С самого начала человеческой истории возникла потребность передачи и хранения информации. Для передачи информации сначала использовался язык жестов, а затем человеческая речь. Первым способом хранения информации стали наскальные рисунки, в IV тысячелетии до н.э. появилась…

Реферат

Подробнее...