Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
ILBK451, 2016/2017. I. félév, ea: Kovács Zita
Az Informatikai biztonság alapjai Felhasználó hitelesítés ILBK451, 2016/2017. I. félév, ea: Kovács Zita
2
Azonosítás Személyi igazolvány, van, tehát én létezem Személyi igazolvány, az egyetlen igazolvány Mellyel hitelt érdemlően Igazolhatom, hogy azonos vagyok velem (Bródy János, Személyi igazolvány, 1980)
3
Robert Merle, Madrapur …És főképp mivel magyarázom azt a kínzó és a lelkem mélyén erős nyomot hagyó érzést, hogy az útlevelemmel együtt a személyazonosságomat is elvesztettem? Nem tudom megfejteni ezt a lelkiállapotot. Csak körülírni. És ha jól meggondolom, nem is olyan képtelenség, mert aki nem tudja igazolni a többi ember előtt, hogy ki, rögtön semmivé válik, elmerül a sokmilliós egyforma tömegben. Európa Könyvkiadó, Fordította: Somogyi Pál László old.
4
Azonosítás fontosabb alkalmazási területei
Közösséghez való tartozás bizonyítása pl. a személyi igazolvány, az útlevél, klubok, társaságok, stb. által kiadott azonosítók. Képesség bizonyítása például gépjármű vezetői engedély, érettségi bizonyítvány, diploma, nyelvvizsga bizonyítvány, stb. Szolgáltatás igénybevétele bank-, hitel- és városkártyák, bérletek, stb. Védett térbe való belépés Informatikai rendszerekhez való hozzáférés (védett ez is, csak virtuális)
5
Felhasználó hitelesítési technikák
Birtoklás alapú: kulcs, pecsét, jelvény, igazolvány, kártya, token, RFID Viselkedés: aláírás, kézírás, beszédhang, gépelési ritmus, járási mód, szóhasználat, testbeszéd, arcmimika Biometrikus: ujjlenyomat, írisz, DNS Tudás alapú: jelszó, PIN kód (personal identification number), aszimmetrikus kulcs
6
Azonosítók Egyszerű Összetett (több szintű vagy többcsatornás)
egyetlen ellenőrzésre alkalmas jegyet tartalmaz Összetett (több szintű vagy többcsatornás) több, egymástól független ellenőrzésre alkalmas jegyet tartalmaz pl. a személyi szám és születés dátuma nem független függetlenek erősítik egymást (pl banki azonosítás)
7
Felhasználók életciklusa
8
Azonosítók életciklusa
Regisztráció szolgáltatás igénybevételkor: kapcsolatfelvétel és azonosító készítése meg kell adni az előírt természetes azonosítókat ezeket a szolgáltató ellenőrzi ezután készül el az azonosító szükség esetén tárolja az azonosító másolatát tárolhatják pl az azonosító érvényességi idejét, a felhasználó szerepét, jogosultságainak listáját Egy felhasználóhoz tartozó rekord standard kereső kulcsát felhasználó névnek nevezzük.
9
Azonosítók életciklusa
Ellenőrzés szolgáltatás igénybevételekor történik az ügyfél megadja a felhasználói nevét (ez azonosítja a felhasználót) és a jelszavát (ez hitelesíti)
10
A felhasználó hitelesítés mechanizmusa 1.
Inicializálás: felhasználónév + azonosító(k) megadása és tárolása. Azonosítás: Felhasználónév megadása Ha van ilyen felhasználó, akkor tovább, különben elutasítás Azonosító megadása Ha a felhasználóhoz tartozik ilyen azonosító, akkor tovább, különben elutasítás
11
A felhasználó hitelesítés mechanizmusa 2.
Egyirányú függvény – h - használata Inicializálás: felhasználónév + h(azonosító)(k) megadása és tárolása. Azonosítás: Felhasználónév megadása Ha van ilyen felhasználó, akkor tovább, különben elutasítás Azonosító - a – megadása h(a) kiszámítása Ha a felhasználóhoz tartozik ilyen h(a), akkor tovább, különben elutasítás A mai azonosító mechanizmusok nagy része így működik.
12
Egyirányú függvény Olyan h függvény, amelynek értékét h(x)-et könnyen ki lehet számítani, de a h-t kiszámító algoritmus és h(x) ismeretében x-et nagyon nehéz meghatározni. Pl. telefonkönyv. Példa. Legyen p egy nagy prímszám, 1<g<p-1 olyan, hogy {1,g,g2 mod p,…,gp-2 mod p} = {1,2,…,p-1}, 0<x<p-2 és h(x) = gx mod p. Akkor h(x) egyirányú függvény.
13
Azonosító kódolása a szervernél
Hash függvény Csatorna összehasonlítás Azonosító+ jelszó Probléma: a jelszót a csatornán le lehet hallgatni!
14
Azonosító kódolása a kliensnél
Hash függvény Csatorna összehasonlítás Azonosító+ jelszó Szótáras támadás gyenge jelszavak ellen!
15
Szótáras támadás Éva összeállít egy bőséges szótárt a lehetséges jelszavakból. A szótári bejegyzések mindegyikére alkalmazza az egyirányú függvényt. Előállítja a kódolt jelszavak szótárát. Kriszta kódolva elküldi a jelszavát Aladárnak. Ezt Éva lehallgatja és megkeresi a megfelelő bejegyzést a kódolt szótárban. Ha talál ilyet, akkor megvan Kriszta jelszava és a nevében bejelentkezhet. Jelszavak legalább 7 karakterből álljanak és tartalmazzanak különleges karaktereket (számok, írásjelek, stb.)
16
Azonosító kódolása a kliensnél
Hash függvény Nyilvános kulcs Titkos kulcs Csatorna összehasonlítás Azonosító+ jelszó Jelentős költségei vannak.
17
Azonosítók életciklusa
Azonosítók pótlása és visszavonása a birtoklás alapú azonosítót elveszíthetjük, ellophatják, károsodhat, érvényességi idő lejárhat visszavonás és új azonosító visszavonáshoz igazolni kell, hogy a miénk volt a visszavonás végleges is lehet (haláleset, stb., ekkor is tárolni kell a másolatot) új azonosító előállítása azonos az eredeti azonosító elkészítési folyamatával
18
Azonosítók életciklusa
Azonosítók pótlása és visszavonása a tudás alapú érvényességi ideje is lejárhat, munkahelyet elhagyva nem érvényes, kompromittálódhat, elfelejthetjük, ez esetben is szükséges lehet a pótlás, csere, törlés (több szinten) jelszavak rendszeres módosítás, nem lehet azonos az előzővel
19
Azonosítók kompromittálódása
fizikailag sérülhetnek, megsemmisülhetnek, ellophatják (pl trójai) ki is lehet találni (szótáras) monitorra ragasztják
20
Összefoglaló táblázatok
A következő két táblázat összefoglalja a biztonsági osztályok és a hozzájuk tartozó azonosító, valamint jogosultságkezelővel szemben támasztott követelményeket.
21
Hozzáférési feltételek
Osztály Meghatározás Hozzáférési feltételek Nyilvános Nyilvános információ. Mindenki hozzáférhet. Személyes Védett információ, amelyeknek illetéktelenekhez jutása esetleg veszélyt okozhat. A szervezet minden dolgozója hozzáférhet. Az információ külsők számára tiltott, de partnerek hozzáférést kaphatnak. Az IBSz-ben nem kell jogosultsági szabályokat megadni. Bizalmas Jelentős üzleti értékű védett információ. Illetéktelenekhez jutása lényeges gazdasági kárt okozhat. Csak meghatározott felhasználói csoport jogosult a hozzáféréshez. A jogosultak csoportját az információ tulajdonosa (pl. az IBSz-ben) határozza meg. Titkos Nagyon jelentős üzleti értékű védett információ. Illetéktelenekhez jutása megsemmisítő gazdasági kárt okozhat. Csak egy megnevezett felhasználói csoport jogosult a hozzáféréshez.
22
Osztály Biztonsági szint Nyilvános Személyes Bizalmas Titkos
Hozzáférési szabályok Azonosítás/jogosultságkezelés Nyilvános Nincsenek követelmények Személyes Jogosultsági szabályok csak az „egyszerű” felhasználókra vonatkoznak. Vannak kivételezett felhasználók (rendszergazdák), az információ tulajdonosa nem ellenőrzi a hozzáférési szabályokat. Egyszerű azonosítási eljárások, p.l. eszköz birtoklása. Elegendő hozzáférési joggal rendelkező felhasználók meghatározhatják a jogosultságokat. Bizalmas Jogosultsági szabályok minden felhasználóra vonatkoznak. Lehetnek kivételezett felhasználók, de akcióikat korlátozottak és nyomon követhetőek. Explicit azonosítás szükséges, a digitális azonosítót hozzá kell rendelni a személyekhez, csoportokhoz, stb. Világos jogosultsági szabályrendszer. Csak az információ tulajdonosa által kinevezett csoport határozhatja meg a jogosultsági szabályokat. Titkos Nincsenek kivételezett felhasználók. Minden hozzáférési döntés nyomon követhető Explicit azonosítás szükséges, digitális azonosítót személyhez kell hozzárendelni. Csak az információ tulajdonosa határozhatja meg a jogosultsági szabályokat.
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.