Аутент_с_исп однораз_пар (1027782), страница 2
Текст из файла (страница 2)
Пользователь (Вадим) вводит своё имя пользователя на рабочей станции.2. Имя пользователя передаётся по сети в открытом виде.3. Сервер аутентификации генерирует случайный запрос ("32415926").4. Запрос передаётся по сети в открытом виде.5. Вадим вводит запрос в свой OTP-токен.6. Аутентификационный токен шифрует запрос с помощью секретного ключа Вадима ("cft6yhnj"), врезультате получается ответ ("27182818"), и он отображается на экране.7. Вадим вводит этот ответ на рабочей станции.8.
Ответ передаётся по сети в открытом виде.9. Аутентификационный сервер находит запись пользователя (Вадима) в аутентификационной базеданных и с использованием хранимого им секретного ключа пользователя зашифровывает тотже запрос.10. Сервер сравнивает представленный ответ от пользователя ("27182818") с вычисленным имсамим ответом ("27182818"). В случае совпадения значений аутентификация считаетсяуспешной.Метод "только ответ"В методе "только ответ" аутентификационное устройство и сервер аутентификации генерируют"скрытый" запрос, используя значения предыдущего запроса.
Для начальной инициализацииданного процесса используется уникальное случайное начальное значение, генерируемое приинициализации аутентификационного токена. Схема прохождения пользователем процедурыаутентификации приведена на рис. 2.Рис. 2. Метод "только ответ"Примерпрохожденияпользователемпроцедурыаутентификационным токеном метода "только ответ":аутентификацияприиспользовании1. Пользователь (Сергей) активизирует свой OTP-токен, который вычисляет и отображает ответ на«скрытый» запрос.2. Пользователь (Сергей) вводит своё «имя пользователя» и этот ответ ("66260689") на рабочейстанции.3. Имя пользователя (Сергей) и ответ ("66260689") передаются по сети в открытом виде.4.
Сервер находит запись пользователя (Сергея), генерирует такой же скрытый запрос и шифруетего с использованием секретного ключа Сергея, получая ответ на свой запрос.5. Сервер сравнивает представленный ответ от пользователя ("66260689") с вычисленным имсамим ответом ("66260689")..Метод "синхронизация по времени"В методе "синхронизация по времени" аутентификационное устройство и аутентификационныйсервер генерируют OTP на основе значения внутренних часов. Аутентификационный токен можетиспользовать не стандартные интервалы времени, измеряемые в минутах, а в специальном длинноминтервале времени, обычно он равняется 30 секундам.
Процедура аутентификации показана нарис. 3.Рис. 3. Метод "синхронизация по времени"Примерпрохожденияпользователемпроцедурыаутентификацияаутентификационным токеном метода "синхронизация по времени":прииспользовании1. Пользователь (Константин) активизирует свой OTP-токен, который генерирует OTP ("96823030"),зашифровывая показания часов с помощью своего секретного ключа.2.
Пользователь (Константин) вводит своё имя пользователя и этот OTP на рабочей станции.3. Имя пользователя и OTP передаются по сети в открытом виде.4. Аутентификационный сервер находит запись пользователя (Константина) и шифрует показаниесвоих часов с использованием хранимого им секретного ключа пользователя, получая врезультате OTP.5. Сервер сравнивает OTP, представленный пользователем, и OTP, вычисленный им самим.Метод "синхронизация по событию"В методе "синхронизация по событию" аутентификационный токен и аутентификационный серверведут учет количества раз прохождения процедуры аутентификации данным пользователем, и наоснове этого числа генерируют OTP (рис.
4).Рис. 4. Метод "синхронизация по событию"Примерпрохожденияпользователемпроцедурыаутентификацияаутентификационным токеном метода "синхронизация по событию":прииспользовании1. Пользователь (Ольга) активизирует свой OTP-токен, который генерирует OTP ("59252459"),зашифровывая значения количества раз прохождения процедуры аутентификации даннымпользователем, с помощью своего секретного ключа.2.
Пользователь (Ольга) вводит своё имя пользователя и этот OTP на рабочей станции.3. Имя пользователя и OTP передаются по сети в открытом виде.4. Аутентификационный сервер находит запись пользователя (Ольги) и шифрует значениеколичества раз прохождения процедуры аутентификации данным пользователем сиспользованием хранимого им секретного ключа пользователя, получая в результате OTP.5. Сервер сравнивает OTP, представленный пользователем, и OTP, вычисленный им самим.Группа OATH и система HOTPСистема одноразовых паролей HOTP (HMAC-based One-Time Password System) была разработана в2005 году в рамках инициативы группы открытой аутентификации OATH (Open AuTHentification) иописана в документе RFC 4226.
Данная система основана на концепции OTP-аутентификации ссинхронизацией по событию (см. п. "Метод "синхронизация по событию"). Для генерацииодноразового пароля используется алгоритм HMAC (Hashed Message Authentication Code).Этот алгоритм публичен и доступен для изучения любыми специалистами.
Он обеспечиваетвозможность использования с ключами широкого спектра программного обеспечения, в том числе исерверного.Система HOTP предусматривает возможность задания "окна" попыток аутентификации исинхронизацию сервера аутентификации с OTP-токеном после успешного прохожденияаутентификации.Значение одноразового пароля вычисляется по формуле:HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))где:K — секретный ключ;C — счётчик числа прохождений процедуры аутентификации;HMAC-SHA-1 — процедура генерации HMAC, основанная на функции хэширования SHA-1;Truncate — процедура усечения 20-тибайтного значения HMAC-SHA-1 до 4-х байт.Подробное описание алгоритма генерации одноразового пароля приведено в Приложении 1"Описание алгоритма генерации и проверки OTP".Область применения одноразовых паролейОдноразовые пароли широко применяются в следующих областях:1.
Аутентификация с устройств, не имеющих возможности подключения смарт-карт / USB-ключей(КПК, смартфоны и др.).2. Аутентификация со временных рабочих мест, где нет возможности устанавливать ПО и среда неявляется контролируемой.3. Аутентификация при удаленном доступе через незащищенные каналы связи (при возможномперехвате аутентификационной информации)4. Аутентификация по голосовому каналу (например, удаленное управление банковским счетом)..
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
