CC BY
14АНАЛИЗ И РАЗРАБОТКА ПРОТОКОЛА АУТЕНТИФИКАЦИИ
Васенёва Валерия Андреевна, Николаенко Виктория Григорьевна Зубарева Елена Валерьевна, Рудикова Мария Николаевна
Студенты Волгоградского государственного университета, г.Волгоград
ANALYSIS AND DEVELOPMENT OF AUTHENTICATION PROTOCOL Vasenyova Valeriya, Student of Volgograd State University, Volgograd Nikolaenko Victoriya, Student of Volgograd State University, Volgograd Zubareva Elena, Student of Volgograd State University, Volgograd Rudikova Maria, Student of Volgograd State University, Volgograd
АННОТАЦИЯ
В данной статье рассмотрен один из наиболее распространенных алгоритмов проверки подлинности субъектов информационного взаимодействия - Kerberos. Произведена сравнительная оценка данного алгоритма с другими алгоритмами, проанализированы значения, которые могут принимать критерии, а также сформирован вектор критериев, на основании которого оценивается качество алгоритма Kerberos.
ABSTRACT
This article describes one of the most common authentication algorithms of information interaction - Kerberos. Comparative evaluation of the algorithm was made, and values, which could be used, had been analyzed, vector of criteria, which measures the quality of Kerberos, had been formed.
Ключевые слова: протокол аутентификации, подлинность, Kerberos.
Keywords: authentication protocol, authenticity, Kerberos.
В настоящее время деловая переписка, финансовые транзакции и обмен правительственными документами все чаще осуществляется с помощью открытых компьютерных систем связи, таких как Internet. Оперативный обмен данными используется при оплате счетов и налогов, в корпоративных сетях, при хранении и обработки секретных данных, безопасном обмене конфиденциальными документами и др.
Все это возможно, если обеспечена безопасность обмена данными через открытые сети. Для эффективного решения этой проблемы используются криптографические средства, обеспечивающие безопасность связи. Одним из таких средств является проверка подлинности субъектов информационного взаимодействия (аутентификация), который и был выбран для дальнейшего исследования.
Существует множество алгоритмов проверки подлинности субъектов, однако даже самые надежные криптографические средства имеют недостатки, которые могут привести к серьезным последствиям для безопасности
данных, а также их безвозвратной утрате или нежелательной модификации. Поэтому актуальной является задача выбора наиболее рационального алгоритма аутентификации.
Таким образом, целью данной работы является выбор наиболее рационального алгоритма проверки подлинности субъектов информационного взаимодействия, а также разработка формальной модели протокола аутентификации.
Для достижения поставленной цели решаются следующие задачи:
• Анализ информационного взаимодействия для выявления особенностей, влияющих на защищенность информации;
• Анализ злоумышленных воздействий на информационное взаимодействие;
• Разработка формальной модели протокола аутентификации.
Таблица 1
Критерии выбора наилучшего метода аутентификации.
Название протокола Нидхема 1тм КегЬегоБ
Уровень, на котором осуществляется Прикладной Сетевой Прикладной
аутентификация
Сценарий аутентификации Обмен сообщени- Обмен сообщени- Обмен сообщени-
ями между процес- ями между двумя ями между процес-
сом и главным ком- главными компью- сом и главным ком-
пьютером терами пьютером
Уязви- Винера Не уязвим Уязвим Не уязвим
мость ал- С повторной передачей сообщений Не уязвим Не уязвим Не уязвим
горитма «Человек посередине» Не уязвим Не уязвим Не уязвим
аутенти- С помощью параллельного сеанса Уязвим Не уязвим Уязвим
фикации С помощью отражения сообщений Уязвим Уязвим Не уязвим
к атаке С помощью чередования Сообщ. Не уязвим Не уязвим Не уязвим
На основе неправильной Не уязвим Не уязвим Не уязвим
интерпретации
На основе безымянных сообщений Не уязвим Не уязвим Не уязвим
На основе неправильного выполне- Не уязвим Уязвим Уязвим
ния криптографических операций
По результатам анализа информационного взаимодействия, а также злоумышленных воздействий на информационное взаимодействия введены критерии, использующиеся для выбора наилучшего метода проверки подлинности субъектов информационного взаимодействия, которые представлены в таблице 1.
Качественным значениям выделенных критериев были поставлены в соответствие числовые значения:
К1 - уровень, на котором осуществляется проверка подлинности взаимодействующих пользователей. Может принимать значения:
0, физический 0,16, канальный 0,32, сетевой К = 0,48, транспортный
0.64, сеансовый 0,8, представительский
1, прикладной
К2 - сценарий аутентификации сущности. Может принимать значения:
К, =
0, обмен сообщениями между двумя главными компьютерами 0,33, члены клуба 0,66, обмен сообщениями между субъектом и главным компьютером 1, обмен сообщениями между процессом и главным компьютером
К
КЗ - уязвимость алгоритма аутентификации к атаке Винера. Может принимать значения:
0, уязвим ,не уязвим
К4 - уязвимость алгоритма аутентификации к атаке с повторной передачей сообщений. Может принимать значения:
= ( 0 11,1
К
= (1
0, уязвим не уязвим
К
= ( 0 (1,н
0, уязвим ,не уязвим
К6 - уязвимость алгоритма аутентификации к атаке с помощью параллельного сеанса. Может принимать значения:
К
= ( 0 (1,н
0, уязвим ,не уязвим
К7 - уязвимость алгоритма аутентификации к атаке с помощью отражения сообщений. Может принимать значения:
К
= ( 0 (1,н
К
= ( 0 (1,н
К
= ( 0 (1,н
К
4:
0, уязвим 1е уязвим
К11 - уязвимость алгоритма аутентификации к атаке на основе неправильного выполнения криптографических операций. Может принимать значения:
0, уязвим ,не уязвим
К
= ( 0 (1,н
К5 - уязвимость алгоритма аутентификации к атаке «человек посередине». Может принимать значения:
0, уязвим ,не уязвим
К8 - уязвимость алгоритма аутентификации к атаке с помощью чередования сообщений. Может принимать значения:
На основании представленных значений критериев эффективности таких методов проверки подлинности субъектов информационного взаимодействия, как протоколы Нидхема, NTLM и Kerberos, обобщенная оценка была рассчитана следующим образом:
Был сформирован вектор критериев:
К = (К1, К2, К3, К4, К5, К6, К7, К8, К9, К10, К11)'
где К1, К2, К3, К4, К5, К6, К7, К8, К9, К10, К11 соответствуют качественным критериям, описанным в таблице выше. Затем было предположено, что существует наилучший вектор К*, в котором все значения критериев соответствуют максимальным значениям. Для всех критериев это значение 1.
К* = (1,1,1,1,1,1,1,1,1,1,1)
Для оценки качества алгоритмов проверки подлинности субъектов информационного взаимодействия была введена скалярная величина, равная Хеммингову расстоянию между наилучшим вектором и вектором критериев, полученным, для i-го оцениваемого алгоритма:
Ki _ /izi izi izi izi izi izi izi izi izi izi izi Л
= (К1, К2, К3, К4, К5, К6, К7, К8, К9, К10, К11)
Хеммингово расстояние вычисляется по формуле:
0, уязвим ,не уязвим
К9 - уязвимость алгоритма аутентификации к атаке на основе неправильной интерпретации. Может принимать значения:
R =
0, уязвим , не уязвим
К10 - уязвимость алгоритма аутентификации к атаке на основе безымянных сообщений. Может принимать значения:
где Ai - максимальное значение, принимаемое ным критерием. Для всех критериев Ai=1.
№ - значение иго критерия для анализируемого алгоритма.
Чем меньше значение R, тем лучше анализируемый алгоритм. Наилучшим алгоритмом может быть признан иый алгоритм, для которого выполняется:
*лучшее
: Ri = min Ri,
т.е. значение Ri которого наименьшее.
Результаты расчета оценки эффективности методов проверки подлинности субъектов информационного взаимодействия представлены в таблице 2.
N
1=1
Таблица 2
Обобщенная оценка эффективности работы основных протоколов проверки подлинности субъектов информационного взаимодействия.
Название протокола Нидхема 1тм КегЬегоБ
Уровень, на котором осуществляется проверка подлинности взаимодействующих пользователей 1 0,32 1
Сценарий аутентис >икации сущности 1 0 1
Уязвимость алгоритма аутентификации к атаке Винера 0 1 1
С повторной передачей сообщений 1 1 1
«Человек посередине» 1 1 1
С помощью параллельного сеанса 1 0
С помощью отражения сообщений 0 0 1
С помощью чередования сообщений 1 1 1
На основе неправильной интерпретации 1 1 1
На основе безымянных сообщений 1 1 1
На основе неправильного выполнения криптографических операций 0 1 0
Обобщенная оценка 2 4,68 2
На основании рассчитанных оценок эффективности можно сделать вывод о том, что наиболее устойчивыми к общеизвестным уязвимостям являются протоколы Нид-хема и КегЬе^ (чем меньше значение обобщенной оценки, рассчитанной с помощью Хеммингова расстояния, тем выше эффективность рассматриваемого алгоритма). Но в связи с тем, что протокол Нидхема с течением времени утрачивает свою актуальность, протокол
Kerberos является наиболее эффективным, а поэтому и широкоиспользуемым, протоколом проверки подлинности субъектов информационного взаимодействия.
В качестве формальной модели протокола аутентификации была разработана архитектура программного средства, реализующего проверку подлинности субъектов информационного взаимодействия (рисунок 1).
Рисунок 1 - Архитектура протокола аутентификации.
Данная архитектура была разработана на основе протокола аутентификации КегЬе^, который по результатам анализа является наиболее надежным. По итогам разработки можно выделить следующие функциональные модули протокола:
1. Пользовательский интерфейс позволяет ввести имя пользователя, пароль и домен для осуществления процесса аутентификации в системе;
2. Модуль генерации сообщений формирует все сведения о ключах;
3. Модуль формирования сведений для сообщений;
4. Модуль управления передает данные и организует работу других модулей;
5. Модуль генерации ключей создает сеансовые ключи;
6. Модуль шифрования выполняет все действия по зашифрованию и расшифрованию данных.
В настоящее время особенности протокола аутентификации продолжают анализироваться.
Список литературы
1. Венбо М. Современная криптография: теория и практика. М.: Вильямс, 2005. - 768 с.
2. Гладких А. А., Дементьев А. Е. Базовые принципы информационной безопасности вычислительных сетей. — Ульяновск: УлГТУ, 2009. — 156 с.
3. Ричард Э. Смит Аутентификация: от паролей до открытых ключей. М.: Вильямс, 2002. — 432 с.
4. Никишова А. В., Васенёва В. А., Кожевникова И. С., Николаенко В. Г. Анализ алгоритмов проверки подлинности. // В кн.: Отечественная наука в эпоху изменений: постулаты прошлого и теории нового времени, г.Екатеринбург.
