ИДЕНТИФИКАЦИЯ И ПРОВЕРКА ПОДЛИННОСТИ С каждым объектом компьютерной системы (КС) связана некоторая информация, однозначно идентифицирующая его. Эта информация называется идентификатором. Если объект имеет некоторый идентификатор, зарегистрированный в сети, он называется законным (легальным) объектом. Аутентификация – процедура устанавливает, является ли данный объект таким, каким он себя объявляет. После идентификации и аутентификации устанавливается сфера действия объекта и доступные ему ресурсы, такая процедура называется предоставлением полномочий (авторизацией).
Идентификация и проверка подлинности (ААА) Передача идентификатора объекта Идентификатор Регистрация нового Идентификатора Идентификация В реестре нет зарегистрированного идентификатора: объект нелегальный Аутентификация Зарегистрированный идентификатор Подтверждающая информация Авторизация (предоставление полномочий) Авторизация (предоставление полномочий) Объект не является подлинным Передача прав доступа Матрица доступа / Правила доступа Идентификатор Права доступа Подтвержденный идентификатор Передача информации подтверждения подлинности объекта Зарегистрированный идентификатор
Идентификация и проверка подлинности Объект 1Объект 2 Взаимное установление подлинности объектов Отправитель Получатель 1. Уверенность в доставке 2. Уверенность подлинности доставленных данных 3. Уверенность в подлинности источника данных 4. Уверенность в подлинности передаваемых данных ЭЦП ЭЦП, certified mail Функция подтверждения (неоспоримости) передачи
Идентификация и проверка подлинности Идентификация Аутентификация Имя (login) Уникальная информация Модуль аутентификации Аутентифицирующий объект Внешний АО Внутренний АО АО – аутентифицирующий объект
Идентификация и проверка подлинности n – количество пользователей в системе АО ID- иденти-р K – аутентифиц. инф-я E i = F(ID i, K i ) – хранится E i = F(S i, K i )- хранится S i – случайный вектор K i = F (ID i, E i ) Большая трудоемкость (обратная з-ча) K i = F (S i, E i ) Большая трудоемкость (обратная з-ча)
Идентификация и проверка подлинности PAPA PAPA EkEk K Пользователь AКанал DkDk K P A = P A PAPA Модуль аутентификации Да Пароль подлинный PAPA PA - пользователь вводит пароль PA – пароль хранится в системе
Идентификация и проверка подлинности Пользователь AКанал Модуль аутентификации PAPA α(P A ), ID A α(P A ) = α(P A ) Пароль подлинный Да ID A Нет ID A α(P A ) Идентификационная таблица α(P A ) – односторонняя ф-ция пароля
Идентификация и проверка подлинности Биометрические признаки Узор рад. оболочки и сетчатки глаз Отпечатки пальцев Геометрическая фигура руки Геометрическая фигура руки Форма и размеры лица Форма и размеры лица Особенности голоса Особенности голоса Биомех. хар-ки рукописной подписи Биомех. хар-ки рукописной подписи Биомех. хар-ки клавиатурного подчерка Биомех. хар-ки клавиатурного подчерка
Идентификация и проверка подлинности AB x ответ, f(x) AB t1t1 t2t2 t3t3 t4t4 Δt интервал прихода сообщений Используется шифрование для защиты механизма контроля
Канал ID A B находит K AB DKDK EKEK α(.)α(.) PGEKEK α(.)α(.) E K AB [ α(S) ] E K AB ( S ) K AB α = α DKDK α(S) Да B - подлинный S Идентификация и проверка подлинности Пусть использ. симметричная система шифрования. K AB - ключ
Идентификация и проверка подлинности Канал DKDK ID A, M EKEK KK ID A = ID A Нет Да ID A М- сообщение
Электронно-цифровая подпись B A N s s s B A N s s A B N s N не посылал B N A s N получил от A s s B A N s s s
Электронно-цифровая подпись Процедура постановки подписи ЭС Процедура проверки подписи KcKc KoKo ЭСЭЦП h(M) ЭСЭЦП Канал h(M) h = h Да Текст подлинный KoKo ЭС, ЭЦП