Фэндом


7 августа 2002 года на конференции USENIX Security, которая проходила в Сан-Франциско, Bell Labs, исследовательское подразделение компании Lucent Technologies, представило новый программный комплекс для обеспечения безопасности сетевого доступа, значительно облегчающий процесс доступа к ресурсам при одновременном повышении уровня защиты.

Комплекс состоит из двух дополняющих друг друга программ, — это хранилище персональной информации Secure Store и агент аутентификации Factotum. В отличие от других приложений, где данными о пользователе управляет либо сама компания, либо некая третья фирма, здесь этот процесс выполняется самим пользователем. Другим преимуществом данного комплекса является возможность аутентификации пользователя на любом сайте без необходимости применения какой-либо единой парольной системы.

«Такая модель аутентификации изначально более защищена, так как пользователь сам контролирует свои данные, персональная информация хранится в сети, а не на каком-нибудь устройстве, плюс используются новые протоколы», отмечает Аль Эхо (Al Aho), профессор computer science Колумбийского университета и бывший вице-президент научно-исследовательского центра вычислительной техники Bell Labs. «Кроме того, система чрезвычайно удобна, так как пользователю теперь не нужно по несколько раз вводить одни и те же данные и запоминать множество паролей для всех необходимых ему служб.»

Для работы с сервисами Factotum и Secure Store, пользователю нужно ввести все его имена и пароли для различных сайтов, на которых он зарегистрирован, будь-то онлайновое банковское дело, электронная почта, покупки и т.п. в Secure Store. Сервер Secure Store размещается в недоступном для пользователя сегменте сети и обеспечивает защиту переданной ему информации на базе AES (Advanced Encryption Standard).

Для входа в свою систему, пользователь должен ввести пароль в приложении Factotum, запущенном на локальном устройстве вроде лэптопа или PDA. Оно разблокирует пароли и другие конфиденциальные данные, хранящиеся в Secure Store. Всякий раз, когда приложение, web-сайт или другие ресурсы, к которым ранее выполнялось обращение, требует для аутентификации имя пользователя и пароль, Factotum предоставляет их автоматически. Factotum хранит эту информацию не на жестком диске, а в не своппируемой и защищенной от отладчика оперативной памяти, поэтому она удаляется при каждой перезагрузке или выключении машины.

Дейв Пресотто, Роб Пайк и Эрик Гросс в научно-исследовательском центре вычислительной техники Bell Labs совещаются по поводу нового инновационного комплекса обеспечения безопасности.


Подобная система хранения паролей предполагает поддержку более длинных, а следовательно, менее предсказуемых паролей, поскольку пользователь должен помнить только один пароль. Угадывание коротких паролей, так или иначе ассоциирующихся с пользователем, до сих пор остается распространенным методом незаконного проникновения.

«Обмен информацией о пароле между Factotum и Secure Store осуществляется по новому улучшенному протоколу PAK (Password Authenticated Key Exchange), разработанному в Bell Labs. Информация в Secure Store защищена математически сильной криптографией и шифрованием», говорит Дейв Пресотто (Dave Presotto). «Другие улучшенные технологии безопасности встроены в Factotum против стандартных методов взлома.»

Затруднены также и атаки на Secure Store, нацеленные на проникновение в систему и получение доступа к ее ресурсам. После введения нескольких неверных паролей происходит отключение пользователя, что делает невозможными методы грубой силы, наподобие подбора паролей.

На первый взгляд эта система похожа на другие средства поддержки единой точки входа, но техническая реализация Factotum и Secure Store исключительно индивидуальна. В других механизмах поддержки единой точки входа каждое приложение, к которому обращается пользователь, должно поддерживать данную технологию. Предлагаемые Bell Labs инструменты этого не требуют. «Пользователи могут работать со всеми унаследованными протоколами и самыми разнообразными системами — мы просто автоматизируем те процессы, которые в любом случае выполняются», — объясняет Эрик Гросс (Eric Gross), директор подразделения, занимающегося исследованиями в области сетевых технологий.

Данные программы являются последними из длинного потока приложений обеспечения безопасности сетевого доступа от Bell Labs, начавшемся еще в 70-х годах вместе с созданием операционной системы Unix Деннисом Ритчи (Dennis Ritchie) и Кеном Томпсоном (Ken Thompson). «Даже тогда мы работали над уровнем безопасности», вспоминает Гросс. «Мы с самого начала были новаторами в области сетевой безопасности.»

Программный комплекс разработан для запуска в операционной системе Plan 9. Созданная группой программистов в научно-исследовательском центре вычислительной техники, четвертая версия Plan 9 недавно стала доступна в Internet, со встроенными Factotum и Secure Store. Комплекс также может использоваться в комбинации с любой другой операционной системой, включая Linux, Windows NT, Sun Solaris и Unix, и доступен для лицензирования в форме исходного кода для промышленных поставщиков и высших учебных заведений.

Новая полностью переработанная архитектура безопасности описана в документе симпозиума USENIX Security 2002: [htmlpspdf], который, кстати, получил премию за лучший документ конференции.

Если у вас возникло желание просмотреть код всего этого, загрузите дистрибутив Plan 9 и зайдите в каталог /sys/src/cmd/auth, он содержит подкаталогиfactotum и secstore. Библиотеки /sys/src/libmp и /sys/src/libsec также могут заинтересовать вас.

Copyright © 2003 Андрей С. Кухар.

Обнаружено использование расширения AdBlock.


Викия — это свободный ресурс, который существует и развивается за счёт рекламы. Для блокирующих рекламу пользователей мы предоставляем модифицированную версию сайта.

Викия не будет доступна для последующих модификаций. Если вы желаете продолжать работать со страницей, то, пожалуйста, отключите расширение для блокировки рекламы.

Также на Фэндоме

Случайная вики