Быстрая схема аутентификации и обмена ключами, устойчивая к DDoS-атаке
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемого в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.
Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.
По сравнению с использованием многоразовых паролей, одноразовые пароли предоставляют более высокую степень защиты.
Кроме двух приведенных ранее способов в последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищенность системы.
В качестве примера можно привести использование SIM-карт в мобильных телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).
Также, к примеру, в некоторых современных ноутбуках присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль.
Выбирая для системы тот или иной фактор или способ аутентификации необходимо, прежде всего, отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта. В рассматриваемой мной схеме как раз применяется много факторная аутентификация, полученная в результате комбинирования первых двух способов.
3. ПОИСК И СРАВНЕНИЕ АНАЛОГОВ
Чтобы сформировать представление о современных системах аутентификации и обмена ключами рассмотрим некоторые существующие и используемые протоколы, а также создадим сводную таблицу выделив их основные преимущества для более наглядного сравнения.
3.1 Yahalom
Первый, взятый для сравнения, протокол Yahalom [1,10] использует симметричный алгоритм шифрования и доверенный сервер.
В этом протоколе Алиса и Боб делят с Трентом секретный ключ и реализован он следующим образом:
1Алиса объединяет свое имя и случайное число, и отправляет созданное сообщение Бобу.
A, NA
2Боб объединяет имя Алисы, ее случайное число, свое случайное число, шифрует созданное сообщение общим с Трентом ключом и посылает его Тренту, добавляя свое имя:
, KВS(А, NA, NB)
3Трент создает два сообщения. Первое включает имя Боба, случайный сеансовый ключ, случайные числа Боба и Алисы и шифруется ключом, общим для Трента и Алисы. Второе состоит из имени Алисы, ел у-
чайного сеансового ключа и шифруется ключом, общим для Трента и Боба. Трент посылает оба сообщения Алисе:
KАS(В, KАB, NA, NB), KВS(А, KАB)
4Алиса расшифровывает первое сообщение, извлекает KАB и убеждается, что NA совпадает со значением, отправленным на этапе (1). Алиса посылает Бобу два сообщения. Одним является сообщение Трента, зашифрованное ключом Боба. Второе - это NB, зашифрованное сеансовым ключом.
ВS(А, KАB), KАB (NB),
5Боб расшифровывает первое сообщение, извлекает KАB и убеждается, что NB совпадает с отправленным на этапе (2).
В результате Алиса и Боб убеждены, что они общаются именно друг с другом, а не с третьей стороной.
Рисунок 3.1 Протокол Yahalom.
Отличительной чертой данного протокола является то что именно первым Боб обращается к Тренту, который генерирует общий ключ для Боба и Алисы и отправляет сообщение Алисе. Разделяемым секретом является NB .
3.2 Needham-Schroeder
Следующим рассмотрим протокол Needham-Schroeder [1,10]. Данный протокол был предложен Роджером Неедхэмом и Майклом Шредером в 1978 году он также как и Yahalom использует криптографию с открытым ключом и доверенный сервер.
1Алиса посылает Тренту сообщение, содержащее ее имя, имя Боба и случайное число.
А, В, NA
2Трент генерирует случайный сеансовый ключ. Он шифрует сообщение, содержащее случайный сеансовый ключ и имя Алисы, секретным ключом, общим для него и Боба. Затем он шифрует случайное число Алисы, имя Боба, ключ, и шифрованное сообщение секретным ключом, общим для него и Алисы. Наконец, он отправляет шифрованное сообщение Алисе:
AS (NA, В, KAB, KВS(KAB, А))
3Алиса расшифровывает сообщение и извлекает KAB. Она убеждается, что NA совпадает со значением, отправленным Тренту на этапе (1). Затем она посылает Бобу сообщение, зашифрованное Трентом ключом Боба.
KВS(KAB, А)
4Боб расшифровывает сообщение и извлекает KAB. Затем он генерирует другое случайное число, NB. Он шифрует это число ключом KAB и отправляет его Алисе.
KAB (RB)
5Алиса расшифровывает сообщение с помощью ключа KAB. Она создает число NB-1 и шифрует это число ключом KAB. Затем она посылает это сообщение обратно Бобу.
KAB (NB-1)