ЛР2 Алгоритмы и средства аутентификации (1027383), страница 2
Текст из файла (страница 2)
В методе "синхронизация по времени" аутентификационное устройство и аутентификационный сервер генерируют OTP на основе значения внутренних часов. Аутентификационный токен может использовать не стандартные интервалы времени, измеряемые в минутах, а в специальном длинном интервале времени, обычно он равняется 30 секундам. Процедура аутентификации показана на рис. 3.
Рис. 3. Метод "синхронизация по времени"
Пример прохождения пользователем процедуры аутентификация при использовании
аутентификационным токеном метода "синхронизация по времени":
1. Пользователь (Константин) активизирует свой OTP-токен, который генерирует OTP ("96823030"), зашифровывая показания часов с помощью своего секретного ключа.
2. Пользователь (Константин) вводит своё имя пользователя и этот OTP на рабочей станции.
3. Имя пользователя и OTP передаются по сети в открытом виде.
4. Аутентификационный сервер находит запись пользователя (Константина) и шифрует показание своих часов с использованием хранимого им секретного ключа пользователя, получая в результате OTP.
5. Сервер сравнивает OTP, представленный пользователем, и OTP, вычисленный им самим.
Метод "синхронизация по событию"
В методе "синхронизация по событию" аутентификационный токен и аутентификационный сервер ведут учет количества раз прохождения процедуры аутентификации данным пользователем, и на основе этого числа генерируют OTP (рис. 4).
Рис. 4. Метод "синхронизация по событию"
Пример прохождения пользователем процедуры аутентификация при использовании
аутентификационным токеном метода "синхронизация по событию":
1. Пользователь (Ольга) активизирует свой OTP-токен, который генерирует OTP ("59252459"), зашифровывая значения количества раз прохождения процедуры аутентификации данным пользователем, с помощью своего секретного ключа.
2. Пользователь (Ольга) вводит своё имя пользователя и этот OTP на рабочей станции.
3. Имя пользователя и OTP передаются по сети в открытом виде.
4. Аутентификационный сервер находит запись пользователя (Ольги) и шифрует значение
количества раз прохождения процедуры аутентификации данным пользователем с использованием хранимого им секретного ключа пользователя, получая в результате OTP.
5. Сервер сравнивает OTP, представленный пользователем, и OTP, вычисленный им самим.
Группа OATH и система HOTP
Система одноразовых паролей HOTP (HMAC-based One-Time Password System) была разработана в 2005 году в рамках инициативы группы открытой аутентификации OATH (Open AuTHentification) и описана в документе RFC 4226. Данная система основана на концепции OTP-аутентификации с синхронизацией по событию (см. п. "Метод "синхронизация по событию"). Для генерации одноразового пароля используется алгоритм HMAC (Hashed Message Authentication Code).
Этот алгоритм публичен и доступен для изучения любыми специалистами. Он обеспечивает
возможность использования с ключами широкого спектра программного обеспечения, в том числе и серверного.
Система HOTP предусматривает возможность задания "окна" попыток аутентификации и
синхронизацию сервера аутентификации с OTP-токеном после успешного прохождения
аутентификации.
Значение одноразового пароля вычисляется по формуле:
HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))
где:
K — секретный ключ;
C — счётчик числа прохождений процедуры аутентификации;
HMAC-SHA-1 — процедура генерации HMAC, основанная на функции хэширования SHA-1;
Truncate — процедура усечения 20-тибайтного значения HMAC-SHA-1 до 4-х байт.
Область применения одноразовых паролей
Одноразовые пароли широко применяются в следующих областях:
1. Аутентификация с устройств, не имеющих возможности подключения смарт-карт / USB-ключей (КПК, смартфоны и др.).
2. Аутентификация со временных рабочих мест, где нет возможности устанавливать ПО и среда не является контролируемой.
3. Аутентификация при удаленном доступе через незащищенные каналы связи (при возможном перехвате аутентификационной информации)
4. Аутентификация по голосовому каналу (например, удаленное управление банковским счетом).
6. Рекомендуемая литература
1.Б. Шнаер Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си.-М.:ТРИУМФ,2003-816с.
2.Математические и компьютерные основы криптологии: Учеб. пособие/Ю.С.Харин и др.-Минск:Новое Знание,2003-382с.
3.Ю.В. Романец и др. Защита информации в компьютерных системах и сетях Изд. 2-е., М:Радио и связь, 2001-376с
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
