В зависимости от контекста аутентификация понимается либо как результат, либо как процесс «... объективного подтверждения содержащейся в документе идентифицирующей информации об аутентифицируемом объекте». Соответственно, требование к реализации механизмов аутентификации есть обеспечение объективности подтверждения содержащейся в документе идентифицирующей информации об объекте, что, вообще говоря, может и не зависеть от собственно информации. Например, аутентификация автора рукописного документа на основе почерка инвариантна к содержанию документа.
Часто используемая в локальных сетях (например, ЛВС Novell NetWare) система аутентификации ориентирована на подтверждение подлинности пользователей в момент запроса доступа к ресурсам файлового сервера. В качестве базовой системы принята схема с простым паролем пользователя, в то же время подлинности рабочих станций сети уделяется недостаточное внимание: единственная проверка заключается в сравнении номера сетевой карты рабочей станции, с которой идёт запрос доступа, со списком разрешённых сетевых карт для данного пользователя. Все остальные проверки, осуществляемые при диалоге пользователя и файлового сервера, решают одну задачу — проверку подлинности пользователя.
Однако аутентификация только номера сетевой карты при запросе пользователем доступа к ресурсам файлового сервера не пресекает все возможности несанкционированного доступа. Внеся дополнительную строку в файл настройки сетевого программного обеспечения рабочей станции, пользователь может задать любой номер сетевой карты и получить доступ к ресурсам файлового сервера с любой рабочей станции ЛВС, причем для сервера данное соединение будет корректным. Для рабочих станций, работающих под управлением каких-либо средств защиты от НСД, неконтролируемое изменение номеров сетевых карт может разрушить любой план защиты. Другим путём несанкционированного доступа к ресурсам файлового сервера является подключение посторонней станции к сети. Например, принцип работы ЛВС EtherNet таков, что злоумышленник может незаметно подключить свою ЭВМ к кабелям ЛВС и работать как легальная станция. Таким образом, отсутствуют конструктивные преграды для несанкционированного доступа к ресурсам файлового сервера с любой рабочей станции в ЛВС. В локальной сети пользователем является вовсе не оператор, а рабочая станция, точнее — оператор вместе со станцией, тогда как существующие подсистемы аутентификации ориентированны на установление подлинности только пользователя-субъекта. Критичным с точки зрения НСД является как подмена оператора, так и подмена рабочей станции. Следовательно, необходимо применять механизмы аутентификации, обеспечивающие проверку подлинности файловых серверов и рабочих станций после того, как пользователь признан корректным с точки зрения Novell NetWare.

 


Это взаимодействие всякий раз должно содержать уникальные данные, иначе, прослушав один раз такой диалог, злоумышленник сможет полностью воспроизвести его и, в результате, получить доступ к ресурсам файлового сервера. В каждом сеансе аутентификации необходимо использовать «новые» случайные данные, которые должны при этом ещё и обеспечивать проверку подлинности обеих сторон. Решение можно обеспечить применением механизма, основанного на коде аутентификации, функционально эквивалентного электронной цифровой подписи. Однако в этом случае возникает не менее сложная задача хранения секретных ключей станций. С учётом всего перечисленного необходима дополнительная проверка подлинности рабочих станций в момент запроса доступа к ресурсам файлового сервера. Секретный ключ станции хранится в закодированном виде, причём кодируется он на секретном ключе пользователя, который, в свою очередь, должен храниться вне ЭВМ, например, в Touch Memory пользователя. Тогда, даже в случае полного доступа к рабочей станции, у злоумышленника нет никакой возможности получить доступ к секретному ключу станции. Доступ к секретному ключу файлового сервера также должен быть затруднён для посторонних, ключ в максимальной степени должен быть изолирован от общедоступной вычислительной среды. То же самое требование справедливо и для сеансовых ключей, создаваемых для каждого акта электронного взаимодействия. Поскольку любая криптография всегда базируется на случайности, то применение датчика случайных чисел (ДСЧ) в механизмах аутентификации обязательно.
В свете установленных положений становится очевидным, что для аппаратной аутентификации в электронной среде минимальная конфигурация соответствующего резидентного компонента безопасности (РКБ) должна включать в свой состав следующие функциональные узлы:
- touch-memory интерфейс — ТМИ;
- энергонезависимую память — ЭНП.
- датчик случайных чисел — ДСЧ;
- постоянное запоминающее устройство (ПЗУ) пользовательского расширения BIOS — ROM BIOS;
- интерфейс связи с ЭВМ — ИВВ.
Из ТМИ в контроллер поступает информация о пользователе и (в общем случае) контрольная сумма прикладных задач и данных. В ЭНП хранится (как минимум) эталонная информация для процедур аутентификации пользователя, ссылки на полномочия пользователя и контрольные суммы для контроля целостности системных областей и системных файлов. Датчик случайных чисел используется как генератор необходимых ключей взаимодействия. ROM BIOS должен содержать фиксированное описание преобразований, обеспечивающих:
- блокировку загрузки ОС с отчуждаемых носителей;
- процедуры идентификации (аутентификации);
- процедуры разбора файловой системы;
- процедуры расчета хэш-функции;
- процедуры работы с энергонезависимой памятью и ДСЧ.
Аппаратная реализация в силу физической изолированности обеспечивает эффективную защиту от НСД наиболее важных процедур и данных, используемых при аутентификации ЭлД. Но, разумеется, не всех — в любом случае взаимодействие с вычислительной средой, окружающей РКБ, необходимо должно существовать. Соответственно, предусматривается интерфейс связи с ЭВМ — ИВВ (интерфейс ввода-вывода). Наличие рассмотренных ресурсов минимально необходимо для аппаратной аутентификации. Реально может потребоваться включение дополнительных возможностей, обеспечивающих потребительские удобства применения РКБ для аутентификации ЭлД.