Реферат: Обнаружение вредоносных закладок

Общая схема идентификации и установления подлинности пользо­вателя при его доступе в компьютерную систему представлена на Рис. 1.1.

Если в процессе аутентификации подлинность пользователя уста­новлена, то система защиты должна определить его полномочия по ис­пользованию ресурсов ВС для последующего контроля установленных полномочий.

Основными и наиболее часто применяемыми методами установления подлинности пользователей являются методы, основанные на ис­пользовании паролей. Под паролем при этом понимается неко­торая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к компьютерной системе. Ввод пароля, как прави­ло, выполняют с клавиатуры после соответствующего запроса системы.

Рис. 1.1. Схема идентификации и аутентификации пользователя при его доступе в ВС

Эффективность парольных методов может быть значительно повы­шена путем записи в зашифрованном виде длинных и нетривиальных па­ролей на информационные носители, например, дискеты, магнитные кар­ты, носители данных в микросхемах и т.д. В этом случае компьютерная система должна включать специальные устройства и обслуживающие их драйверы для считывания паролей с этих информационных носителей, а служба безопасности должна располагать средствами для формирования носителей с парольными данными.

Для особо надежного опознавания могут применяться и методы, ос­нованные на использовании технических средств определения сугубо ин­дивидуальных характеристик человека (голоса, отпечатков пальцев, структуры зрачка и т.д.). Однако такие средства требуют значительных затрат и поэтому используются редко.

Существующие парольные методы проверки подлинности пользователей при входе в ВС можно разделить на две группы[2] :

- методы проверки подлинности на основе простого пароля;

- методы проверки подлинности на основе динамически изменяю­щегося пароля.

Пароль подтверждения подлинности пользователя при использова­нии простого пароля не изменяется от сеанса к сеансу в течении установ­ленного администратором службы безопасности времени его существо­вания (действительности).

При использовании динамически изменяющегося пароля пароль пользователя для каждого нового сеанса работы или нового переда действия одного пароля изменяется по правилам, зависящим от исполь­зуемого метода.

1.2. Использование простого пароля

Процедура опознавания с использованием простого пароля может быть представлена в виде следующей последовательности действий[2]:

1) пользователь посылает запрос на доступ к компьютерной системе и вводит свой идентификатор;

2) система запрашивает пароль;

3) пользователь вводит пароль;

4) система сравнивает полученный пароль с паролем пользователя, хранящимся в базе эталонных данных системы защиты, и разрешает доступ, если пароли совпадают; в противном случае пользо­ватель к ресурсам компьютерной системы не допускается.

Поскольку пользователь может допустить ошибку при вводе пароля то системой должно быть предусмотрено допустимое количество повто­рений для ввода пароля.

В базе эталонных данных системы защиты пароли, как и другую ин­формацию, никогда не следует хранить в явной форме, а только зашиф­рованными. При этом можно использовать метод как обратимого, так и необратимого шифрования.

Согласно методу обратимого шифрования эталонный пароль при занесении в базу эталонных данных зашифровывается по ключу, совпа­дающему с этим эталонным паролем. А введенный после идентификации пароль пользователя для сравнения с эталонным также зашифровывает­ся, но по ключу, совпадающему с этим введенным паролем. Таким обра­зом, при сравнении эталонный и введенный пароли находятся в зашифро­ванном виде и будут совпадать только в том случае, если исходный вве­денный пароль совпадет с исходным эталонным. При несовпадении ис­ходного введенного пароля с исходным эталонным исходный введенный пароль будет зашифрован по другому, так как ключ шифрования отлича­ется от ключа, которым зашифрован эталонный пароль, и после зашифровывания не совпадет с зашифрованным эталонным паролем

Для обеспечения возможности контроля правильности ввода пароля при использовании необратимого шифрования на винчестер записывается таблица преобразованных паролей. Для их преобразования используется односторонняя криптографическая функция y=F(x), обладающая следую­щим свойством: для данного аргумента x значение F(x) вычисляется лег­ко, а по данному y вычислительно сложно найти значение аргумента х, со­ответствующего данному у. В таблице паролей хранятся значения одно­сторонних функций, для которых пароли берутся в качестве аргументов. При вводе пароля система защиты легко вычисляет значение функции от пароля текущего пользователя и сравнивает со значением, приведенным в таблице для пользователя с выбранным идентификатором. Наруши­тель, захвативший компьютер, может прочитать таблицу значений функ­ций паролей, однако вычисление пароля практически не реализуемо.

При работе с паролями должна предусматриваться и такая мера, как недопустимость их распечатки или вывода на экраны мониторов. По­этому система защиты должна обеспечивать ввод пользователями за­прошенных у них паролей без отображения этих паролей на мониторах.

Можно выделить следующие основные способы повышения стойко­сти системы защиты на этапе аутентификации: