RADIUS (Remote Authentication Dial In User Service) - Протокол аутентификации удаленных пользователей с возможностью сбора статистической информации о деятельности пользователя. Протокол проверки подлинности, использующий клиента и сервер, широко применяемый поставщиками услуг Интернета (ISP) на удаленных серверах, отличных от серверов производства корпорации Майкрософт. На сегодняшний день RADIUS - наиболее популярное средство проверки подлинности и предоставления доступа для удаленных пользователей и пользователей туннелей. Аббревиатура RADIUS образована от Remote Authentication Dial-In User Service.
RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа (Network Access Server (NAS, не путать с хранилищем) с системой автоматизированного учёта услуг (биллинга)), RADIUS используется как протокол AAA:
англ. Authentication — процесс, позволяющий аутентифицировать (проверить подлинность) субъекта по его идентификационным данным, например, по логину (имя пользователя, номер телефона и т. д.) и паролю.
англ. Authorization — процесс, определяющий полномочия идентифицированного субъекта на доступ к определённым объектам или сервисам.
англ. Accounting — процесс, позволяющий вести сбор сведений (учётных данных) об использованных ресурсах. Первичными данными (то есть, традиционно передаваемых по протоколу RADIUS) являются величины входящего и исходящего трафиков: в байтах/октетах (с недавних пор в гигабайтах). Однако протокол предусматривает передачу данных любого типа, что реализуется посредством VSA (Vendor Specific Attributes).
Протокол передачи данных — набор определённых правил или соглашений интерфейса логического уровня, который определяет обмен данными между различными программами. Эти правила задают единообразный способ передачи сообщений и обработки ошибок.
Сигнальный протокол используется для управления соединением — например, установки, переадресации, разрыва связи. Примеры протоколов: RTSP, SIP. Для передачи данных используются такие протоколы как RTP.
Сетево́й протоко́л — набор правил и действий (очерёдности действий), позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть устройствами.
Разные протоколы зачастую описывают лишь разные стороны одного типа связи. Названия «протокол» и «стек протоколов» также указывают на программное обеспечение, которым реализуется протокол.
Новые протоколы для Интернета определяются IETF, а прочие протоколы — IEEE или ISO. ITU-T занимается телекоммуникационными протоколами и форматами.
Наиболее распространённой системой классификации сетевых протоколов является так называемая модель OSI, в соответствии с которой протоколы делятся на 7 уровней по своему назначению — от физического (формирование и распознавание электрических или других сигналов) до прикладного (интерфейс программирования приложений для передачи информации приложениями).
Сетевые протоколы предписывают правила работы компьютерам, которые подключены к сети. Они строятся по многоуровневому принципу. Протокол некоторого уровня определяет одно из технических правил связи. В настоящее время для сетевых протоколов используется сетевая модель OSI (Open System Interconnection — взаимодействие открытых систем, ВОС).
Модель OSI — 7-уровневая логическая модель работы сети. Реализуется группой протоколов и правил связи, организованных в несколько уровней:
· на физическом уровне определяются физические (механические, электрические, оптические) характеристики линий связи;
· на канальном уровне определяются правила использования физического уровня узлами сети;
· сетевой уровень отвечает за адресацию и доставку сообщений;
· транспортный уровень контролирует очерёдность прохождения компонентов сообщения;
· сеансовый уровень координирует связь между двумя прикладными программами, работающими на разных рабочих станциях;
· уровень представления служит для преобразования данных из внутреннего формата компьютера в формат передачи;
Уровни, интерфейсы и протоколы модели OSI
прикладной уровень является пограничным между прикладной программой и другими уровнями, обеспечивая удобный интерфейс связи для сетевых программ пользователя.
В общей классификации протоколы делятся на низкоуровневые, протоколы верхнего уровня и протоколы промежуточного уровня. К промежуточному уровню относятся коммуникационные и протоколы аутентификации. Протоколами верхнего уровня являются прикладные, сеансовые протоколы и протоколы представления. Физический, канальный, сетевой и транспортный протоколы относят к низкоуровневым протоколам.[1]
Другая модель — стек протоколов TCP/IP — содержит 4 уровня:
· канальный уровень (link layer),
· сетевой уровень (Internet layer),
· транспортный уровень (transport layer),
· прикладной уровень (application layer).
Передача по сети типового сообщения
Примеры сетевых протоколов
TCP/IP — набор протоколов передачи данных, получивший название от двух принадлежащих ему протоколов: TCP (англ. Transmission Control Protocol) и IP (англ. Internet Protocol)[2]
Наиболее известные протоколы, используемые в сети Интернет:
HTTP (Hyper Text Transfer Protocol) — это протокол передачи гипертекста. Протокол HTTP используется при пересылке Web-страниц между компьютерами, подключёнными к одной сети.
FTP (File Transfer Protocol) — это протокол передачи файлов со специального файлового сервера на компьютер пользователя. FTP даёт возможность абоненту обмениваться двоичными и текстовыми файлами с любым компьютером сети. Установив связь с удалённым компьютером, пользователь может скопировать файл с удалённого компьютера на свой или скопировать файл со своего компьютера на удалённый.
POP3 (Post Office Protocol) — это стандартный протокол почтового соединения. Серверы POP обрабатывают входящую почту, а протокол POP предназначен для обработки запросов на получение почты от клиентских почтовых программ.
SMTP (Simple Mail Transfer Protocol) — протокол, который задаёт набор правил для передачи почты. Сервер SMTP возвращает либо подтверждение о приёме, либо сообщение об ошибке, либо запрашивает дополнительную информацию.
TELNET — это протокол удалённого доступа. TELNET даёт возможность абоненту работать на любой ЭВМ находящейся с ним в одной сети, как на своей собственной, то есть запускать программы, менять режим работы и так далее. На практике возможности ограничиваются тем уровнем доступа, который задан администратором удалённой машины.
Другие протоколы:
DTN — протокол, предназначенный для сетей дальней космической связи IPN, которые используются NASA.
Удалённый доступ (англ. dial-up[1] — «набор номера, дозвон») — сервис, позволяющий компьютеру, используя модем и телефонную сеть общего пользования, подключаться к другому компьютеру (серверу доступа) для инициализации сеанса передачи данных (например, для доступа в сеть Интернет). Обычно dial-up’ом называют только доступ в Интернет на домашнем компьютере или удаленный модемный доступ в корпоративную сеть с использованием двухточечного протокола PPP (теоретически можно использовать и устаревший протокол SLIP).
Доступность
Телефонная связь через модем не требует никакой дополнительной инфраструктуры, кроме телефонной сети. Поскольку телефонные пункты доступны во всём мире, такое подключение остается полезным для путешественников. Подключение к сети с помощью модема по обычной коммутируемой телефонной линии связи — единственный выбор, доступный для большинства сельских или отдалённых районов, где получение широкополосной связи невозможно из-за низкой плотности населения и требований. Иногда подключение к сети с помощью модема предлагается бесплатно, хотя широкополосная сеть теперь всё более и более доступна по более низким ценам в большинстве стран. Однако в некоторых странах коммутируемый доступ в Интернет остается основным в связи с высокой стоимостью широкополосного доступа, а иногда и отсутствием востребованности услуги у населения. Дозвон требует времени, чтобы установилась связь (несколько секунд, в зависимости от местоположения) и было выполнено подтверждение связи прежде, чем передача данных сможет осуществиться.
Стоимость доступа в Интернет через коммутируемый доступ часто определяется по времени, проведённому пользователем в сети, а не по объёму трафика. Доступ по телефонной линии — это непостоянная или временная связь, потому что по желанию пользователя или ISP рано или поздно будет разорвана. Провайдеры услуг Интернета зачастую устанавливают ограничение на продолжительность связи и разъединяют пользователя по истечении отведённого времени, вследствие чего необходимо повторное подключение.
Производительность
У современных модемных подключений максимальная теоретическая скорость составляет 56 кбит/с (при использовании протоколов V.90 или V.92), хотя на практике скорость редко превышает 40—45 кбит/с, а в подавляющем большинстве случаев держится на уровне не более 30 кбит/с. Такие факторы, как шум в телефонной линии и качество самого модема играют большую роль в значении скоростей связи. В некоторых случаях в особенно шумной линии скорость может падать ниже15 кбит/с. У телефонного соединения через модем обычно большое время задержки, которое доходит до 400 миллисекунд или более и которое делает онлайн игры и видео конференц-связь крайне затруднительными или же полностью невозможными. Игры от первого лица являются самыми чувствительными ко времени отклика, делая игру на модеме непрактичной, однако некоторые игры, такие как Star Wars Galaxies, The Sims, Warcraft 3, Guild Wars и Unreal Tournament, Ragnarok Online, всё-таки способны функционировать на подключении в 56 кбит/с.
Использование сжатия, для превышения скорости в 56 кбит/с
Сегодняшние стандарты V.42, V.42bis и стандарт V.44 позволяют модему передавать данные быстрее, чем его тарифная ставка подразумевала бы. Например, связь на 53,3 кбит/с с V.44 может передать до 53,3 × 6 = 320 кбит/с, используя чистый текст. Проблема состоит в том, что сжатие имеет тенденцию становиться лучше или хуже со временем в связи с шумом на линии или при передаче уже сжатых файлов (т. е. не поддающихся дополнительному сжатию файлов архивов ZIP, изображений JPEG, аудио MP3, видео MPEG). В среднем модем может пересылать сжатые файлы со скоростью примерно в 50 кбит/с, несжатые файлы — 160 кбит/с, чистый текст — со скоростью 320 кбит/с. В таких ситуациях небольшое количество памяти в модеме (буфер) используется, чтобы держать данные, пока они сжимаются и посылаются через телефонную линию, но чтобы предотвратить переполнение буфера, иногда компьютеру приходится делать паузу потока передачи. Это достигается за счет управления потоками аппаратных средств, с использованием дополнительных перехватчиков на связи компьютер-модем. Компьютер сообщает модему, что готов передавать данные на высокой скорости, такой как 320 кбит/с, а модем отвечает компьютеру, когда начать или прекратить посылать данные.
Сжатие ISP
Когда основанные на телефоне модемы 56 Кбит начинали терять популярность, некоторые провайдеры услуг Интернета, такие как Netzero и Juno, начали использовать предварительное сжатие, чтобы увеличить пропускную способность и поддержать клиентскую базу. Например, Netscape ISP использует программу сжатия, которая сжимает изображения, текст и другие объекты до отправки их через телефонную линию. Сжатие со стороны сервера работает эффективнее, чем «непрерывное» сжатие, поддерживающееся V.44-модемами. Обычно текст на веб-сайтах уплотнен к 5 %, таким образом пропускная способность увеличивается приблизительно до 1000 кбит/с, и изображения сжаты с потерями к 15—20 %, что увеличивает пропускную способность до ~350 кбит/с.
Недостаток этого подхода — потеря качества: графика приобретает артефакты сжатия, однако скорость резко увеличивается, и пользователь может вручную выбирать и рассматривать несжатые изображения в любое время. Провайдеры, использующие такой подход, рекламируют это как «скорость DSL по обычным телефонным линиям» или просто «высокоскоростной dialup».
Замена широкополосной сетью
Начиная с (приблизительно) 2000 года широкополосный доступ в Интернет по технологии DSL заменил доступ через обычный модем во многих частях мира. Широкополосная связь типично предлагает скорость начиная от 64 кбит/с и выше за меньшую цену, нежели dialup. Все увеличивающийся объём контента в таких областях, как видео, развлекательные порталы, СМИ и пр., уже не позволяет сайтам работать на dialup-модемах. Однако, во множестве областей коммутируемый доступ все ещё остается востребованным, а именно там, где высокая скорость не требуется. Отчасти это происходит из-за того, что в некоторых регионах прокладка широкополосных сетей экономически невыгодна или по тем или иным причинам невозможна. Хотя существуют технологии беспроводного широкополосного доступа, но из-за высокой стоимости инвестиций, низкой доходности и плохого качества связи сложно организовать необходимую инфраструктуру. Некоторые операторы связи, предоставляющие dialup, ответили на все увеличивающуюся конкуренцию, понижая тарифы к значениям 150 рублей в месяц и делающие dialup привлекательным выбором для тех, кто просто желает читать электронную почту или просматривать новости в текстовом формате.
Список dialup скоростей
Соединение Битрейт
· Модем 110 бод 0,1 кбит/с
· Модем 300 (300 бод) (Bell 103 или V.21) 0,3 кбит/с
· Модем 1200 (600 бод) (Bell 212A или V.22) 1,2 кбит/с
· Модем 2400 (600 бод) (V.22bis) 2,4 кбит/с
· Модем 2400 (1200 бод) (V.26bis) 2,4 кбит/с
· Модем 4800 (1600 бод) (V.27ter) 4,8 кбит/с
· Модем 9600 (2400 бод) (V.32) 9,6 кбит/с
· Модем 14.4 (2400 бод) (V.32bis) 14,4 кбит/с
· Модем 28.8 (3200 бод) (V.34) 28,8 кбит/с
· Модем 33.6 (3429 бод) (V.34) 33,8 кбит/с
· Модем 56k (8000/3429 бод) (V.90) 56,0/33,6 кбит/с
· Modem 56k (8000/8000 бод) (V.92) 56,0/48,0 кбит/с
· Аппаратная компрессия (переменная) (V.90/V.42bis) 56,0-220,0 кбит/с
· Аппаратная компрессия (переменная) (V.92/V.44) 56,0-320,0 кбит/с
· Веб-компрессия на стороне сервера (переменная) 100,0-1000,0 кбит/c
· У модемов 56К скорость передачи ниже, чем скорость приема.
Биллинг в электросвязи — комплекс процессов и решений на предприятиях связи, ответственных за сбор информации об использовании телекоммуникационных услуг, их тарификацию, выставление счетов абонентам, обработку платежей. Биллинговая система — прикладное программное обеспечение поддержки бизнес-процессов биллинга.
Биллинг — важнейший компонент деятельности любого коммерческого оператора связи, вне зависимости от вида телекоммуникаций: операторы фиксированной и мобильной связи, интернет-телефонии, виртуальные операторы, интернет-провайдеры, операторы транзитного цифрового трафика, провайдеры цифрового телевидения — не могут существовать без биллинга, благодаря которому выставляются счета потребителям их услуг и обеспечивается экономическая составляющая их деятельности.
Для биллинговых систем в телекоммуникациях в русском языкетакже используется термин автоматизированная система расчётов (АСР), в частности такой термин использован в официальных документах Министерства связи России, предписывающих обязательную сертификацию биллинговых систем.
Функции биллинга
Функции биллинга на предприятии группируются в три основных блока: расчётные операции, информационное обслуживание, финансовое обслуживание.
В широком смысле, при рассмотрении биллинга в интеграции с управлением доходами (англ. Billing and revenue management) дополнительно выделяют такие функции, как гарантирование получения доходов (англ. revenue assurance), управление прибыльностью абонентов (англ. profitablity management), контроль мошенничества абонентов (англ. fraud management)[источник не указан 3915 дней].
Расчётные операции
В блоке расчётных операций выделяются такие функции, как определение потребления (например, получение с коммутаторов детальной информации о звонках, обработка данных с коммутационного оборудования о потреблении трафика, получение данных с системы медиации), оценка потребления (определение расчётных характеристик данных о потреблении), агрегация оценок и формирование начислений абонентам, расчёт налогов, скидок, дополнительных начислений, корректировок, выпуск счетов к оплате, обеспечение доставки или ознакомления абонентов со счетами к оплате, управление лицевыми счетами абонентов.
Реализация расчётного блока может существенно различаться как для разного типа коммуникаций, так и в разных моделях взаимоотношения с абонентами.
Prepaid
Prepaid (предоплата) — модель расчётов с абонентами и агентами, подразумевающая предварительное внесение средств на свой личный счёт оператора услуг связи, которые впоследствии расходуются на оплату получаемых услуг. Prepaid-системы расчётов, как правило, ведут учёт в реальном времени, непосредственно управляя процессом предоставления услуг, по достижению нижнего порога количества средств на счёте контрагента режим предоставления услуг может быть изменён (вплоть до полного прекращения). Количество средств на счёте, продолжительность сохранения положительного баланса, размер и регулярность поступлений могут служить параметром тарификации при расчёте стоимости, качества и количества предоставляемых услуг.
Функциональные возможности по поддержке ограничения доступа к услугам связи в реальном времени с предоплатной моделью расчётов иногда называют горячим биллингом.
Postpaid
Postpaid — модель расчётов, при которой оператор сначала предоставляет услуги абоненту или агенту в рамках заключённого с ним договора, а потом производит тарификацию и выставление счетов для оплаты. Процесс тарификации и выставления счетов является планово-регулярным и обычно охватывает оговоренный в договоре календарный промежуток времени (чаще всего — месяц, иногда — неделя, квартал, год). Контрагент обязан оплатить сумму выставленного счёта в течение оговоренного в контракте промежутка времени, в случае несвоевременной оплаты к нему применяются указанные в договоре методы работы с должником, в рамках процессов взыскания дебиторской задолженности.
Информационное обслуживание
Информационное обслуживание включает функции поддержки операционной информации об абонентах, о продуктах и услугах, включая их тарифы, ограничения, возможные комбинации, а также конфигурационных данных о биллинге в целом (например, расписания расчётов и выставления счетов, управление событиями уведомления абонентов, настройки аудита и устаревания информации, допустимые характеристики абонентов).
Финансовое обслуживание
Финансовое обслуживание покрывает функции обработки платежей, их квитовки по выставленным счетам и услугам, управление дебиторской задолженностью абонентов и процессом её взыскания, обработки данных по налогообложению.
Протокол AAA (AAA (информационная безопасность)):
AAA (от англ. Authentication, Authorization, Accounting) — общее название процессов, связанных с обеспечением защиты данных в информационных системах, включая обеспечение аутентификации, авторизации и аудита, но без обеспечения доступности данных (защиты от DOS-атак).
Authentication (аутентификация) — сопоставление персоны (запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т. д.
Authorization (авторизация, проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). В общем случае авторизация может быть «негативной» (пользователю А запрещён доступ к серверам компании).
Accounting (учёт) — слежение за потреблением ресурсов (преимущественно сетевых) пользователем. В accounting включается также и запись фактов получения доступа к системе (англ. access logs).
RFC
RFC, связанные с AAA:
RFC 2194 Review of Roaming Implementations
RFC 2477 Criteria for Evaluating Roaming Protocols
RFC 2881 Network Access Server Requirements Next Generation (NASREQNG) NAS Model
RFC 2903 Generic AAA Architecture
RFC 2904 AAA Authorization Framework
RFC 2905 AAA Authorization Application Examples
RFC 2906 AAA Authorization Requirements
RFC 3169 Criteria for Evaluating Network Access Server Protocols
RFC 3539 AAA Transport Profile
RFC – это рабочее предложение (англ. Request for Comments, RFC) — документ из серии пронумерованных информационных документов Интернета, содержащих технические спецификации и стандарты, широко применяемые во всемирной сети. Название «Request for Comments» ещё можно перевести как «заявка (запрос) на отзывы» или «тема для обсуждения». В настоящее время первичной публикацией документов RFC занимается IETF под эгидой открытой организации Общество Интернета (англ. Internet Society, ISOC). Правами на RFC обладает именно Общество Интернета.
Инжене́рный сове́т Интерне́та (англ. Internet Engineering Task Force, IETF) — открытое международное сообщество проектировщиков, учёных, сетевых операторов и провайдеров, созданное IAB в 1986 году и занимающееся развитием протоколов и архитектуры Интернета.
Вся техническая работа осуществляется в рабочих группах IETF, занимающихся конкретной тематикой (например, вопросами маршрутизации, транспорта данных, безопасности и т. д.). Работа в основном ведётся через почтовые рассылки, но трижды в году проводятся собрания IETF.
Результаты деятельности рабочих групп оформляются в виде рабочих проектов (англ. Internet drafts), которые затем используются ISOC для кодификации новых стандартов.
Задачи IETF (в соответствии с RFC 4677):
Идентификация проблем и предложение решений в технических аспектах организации Интернета;
Разработка спецификаций, стандартов и соглашений по общим архитектурным принципам протоколов Интернета;
Вынесение рекомендаций относительно стандартизации протоколов на рассмотрение Internet Engineering Steering Group (IESG);
Содействие широкому распространению технологий и стандартов, разрабатываемых в Internet Research Task Force (IRTF);
Организация дискуссии для обмена информации в сообществе Интернета между учёными, разработчиками, пользователями, производителями оборудования и услуг, сетевыми администраторами и т. д.
Общество Интернета (англ. Internet Society, ISOC) — международная профессиональная организация, занимающаяся развитием и обеспечением доступности сети Интернет. Организация насчитывает более 20 тысяч индивидуальных членов и более 100 организаций-членов в 180 странах мира. Общество Интернета предоставляет организационную основу для множества других консультативных и исследовательских групп, занимающихся развитием Интернета, включая IETF и IAB. (Административный центр
Рестон, Виргиния, США; Тип организации ассоциация и благотворительная организация).
Совет по архитектуре Интернета ип организации комитет
Дата основания 1979
Материнская организация
Сайт iab.org
(англ. Internet Architecture Board, англ. IAB) — группа технических советников ISOC, которая осуществляет:
· надзор за архитектурой Интернета, включая его протоколы и связанные с ними процедуры;
· надзор за созданием новых стандартов Интернета;
· редактирование и публикацию серии документов RFC;
· консультации руководства ISOC по техническим, архитектурным и процедурным вопросам, связанным с Интернетом и его технологиями.
Возвращаемся к нашей теме Сетевые пароли и адреса
В обычном варианте аутентификации (статические пароли) пользователь в ответ на запрос об идентификации (login запрос) вводит свою учетную запись и передает ее по протоколу уровня приложений. Далее система доступа сравнивает введенную информацию с имеющейся в базе системы и выдает запрос на ввод пароля. Пользователь в ответ на запрос вводит свой пароль, который передается на удаленную систему в том виде, который определен протоколом передачи для данного приложения. Часто протокол передачи не имеет средств шифрования пароля (или средства шифрозащиты недостаточно надежны) и в результате пароль передается в открытом виде по сети передачи неподконтрольной ни пользователю, ни владельцу удаленной системы (к таким протоколам, например, относятся telnet, ftp и некоторые другие). После чего пароль шифруется в соответствии с собственным алгоритмом и сравнивается с уже зашифрованным паролем, хранящимся в базе системы доступа.
У такой схемы идентификации несколько слабых мест: первое это то, что пароль может быть перехвачен еще до отправки его системе удаленного доступа с помощью средств удаленного администрирования (троянские методы) или утерян, подсмотрен, украден или просто доверен неуполномоченному лицу.
Второе слабое место это передача пароля в незащищенном виде по сети общего пользования (типичный пример - домашние сети, пока еще имеющие в большинстве своем аппаратуру не позволяющую обеспечить изоляцию абонентов друг от друга на сетевом уровне).
И, наконец, третье слабое место - это уязвимость самой системы удаленного доступа. Пароль может быть перехвачен на сервере доступа.
Технология CryptoCard позволяет исключить приведенные выше риски применения статических паролей. В любом решении на базе CryptoCard используется два компонента - программная часть (CRYPTOServer) и аппаратная (интеллектуальный генератор пароля, или токен). В частном случае, функции токена может выполнять клиентский программный модуль (версии программных токенов имеются для большинства операционных систем, а также для PalmOS(да да, она еще жива, развивается: Palm webOS, LG webOS,- особое внимание уделено интеграции с социальными сетями и Web 2.0, а также многозадачности).
Сервис, парольную защиту которого, необходимо обеспечить по технологии CryptoCard должен иметь возможность проведения аутентификации и идентификации абонентов либо через непосредственное взаимодействие с CRYPTOServer, либо через сервер протоколов (Protocol Server) являющегося частью CRYPTOServer. Типичным и наиболее широко распространенным протоколом для решения задачи взаимодействия приложения (сервиса) и CRYPTOServer является RADIUS (Remote Authentication Dial In User Service).
В структуре решения CryptoCard можно выделить две основные стадии проведения аутентификации абонента - подготовительную и непосредственно аутентификацию.
На подготовительном этапе (который производится однажды при заведении абонента в системе) происходит инициализация токена в результате чего в него заносится персональный ключ владельца генератора. Одновременно с инициализацией генератору присваивается PIN-код для доступа непосредственно к генератору (как в SIM-карте мобильного телефона) и учетное имя. Такой же ключ (соответствующий данному PIN и учетному имени), как и в токене, хранится и в базе данных ключей CRYPTOServer.
Аппаратные токены инициализируются при помощи специальных устройств - инициализаторов, которые заносят в токен ключ и пр. служебные данные, тем самым активируя токен и разрешая его работу в системе. Для активизации программных токенов используется ключевая информация, единожды передаваемая владельцу программного токена на физическом носителе (USB Flash карта, SD карта, дискета, CD-диск и т.д.).
Основная процедура идентификации и аутентификации выглядит следующим образом: (1) пользователь в ответ на запрос об идентификации вводит логин своей учетной записи, который передается удаленной системе. После получения логина защищаемый сервис обращается к ресурсам CRYPTOServer для проверки существования абонента с указанным логином, и получает либо отказ в обслуживании AUTH-REJECT (в терминах RADIUS) если пользователя не существует либо случайное число, сгенерированное CRYPTOServer, которое (2) передается удаленному пользователю в виде строки символов.
Одновременно CRYPTOServer преобразовывает случайное число в соответствии с ключом, который принадлежит владельцу данного учетного имени (результат преобразования является сессионным паролем). Аналогичная операция преобразования происходит и в токене пользователя, куда сгенерированное случайное число (challenge) заносится вручную (программные токены ST-1, CE-1), автоматически при помощи считывателя (USB или PCMCIA версии считывателей), USB интерфейса (USB токен UB-1), или псевдослучайного алгоритма, в соответствии с которым генерируется challenge на CRYPTOServer (для RB-1 и KT-1 токенов). В ответ на ввод challenge токен выдает пароль (при условии введения корректного PIN кода) на сессию, который, (3) передается на систему контроля доступа защищаемого сервиса.
После получения сессионного пароля от абонента система контроля доступа защищаемого сервиса запрашивает вторично CRYPTOServer разрешение на предоставление доступа к услуге для данного абонента, передавая полученный на этапе (3) пароль. (4) CRYPTOServer сравнивает полученный пароль от системы контроля доступа защищаемого сервиса с результатом собственного преобразования challenge ключем абонента, и, в случае совпадения, выдает положительный ответ AUTH-ACCEPT (в терминах RADIUS) приложению (сервису) на доступ к услуге.
Для тех сервисов, которые не поддерживают двухступенчатой (two-factor) схемы аутентификации (например, классический SSH) существует возможность применения сокращенной процедуры аутентификации, при которой на этапе (1) система контроля доступа сервиса получает и логин учетной записи и сессионный пароль от пользователя не передавая абоненту challenge. Это возможно т.к. в программную логику каждого токена внесен алгоритм генерации псевдослучайного числа, который используется в CRYPTOServer. В результате, токен "знает" challenge, который будет сгенерирован для данной учетной записи CRYPTOServer'ом в следующий раз. Проблема которая может возникать при использовании сокращенной процедуры связана лишь с возможной рассинхронизацией токена и CRYPTOServer'а (токен сгенерировал по запросу пользователя пароль, а соответсвтующая процедура в CRYPTOServer не произошла), однако эта проблема решается при помощи синхронизации посредством www интерфейса CRYPTODeploy, или через контакт с группой техподдержки системы.
Вывод:
· Это решение аутентификации лишено недостатков типовой схемы, т.к. ключ и PIN код вообще не передаются при сетевом взаимодействии, и скомпроментированный пароль уже не может повлиять на безопасность системы в целом и поставить под угрозу данные.
· Таким образом надежно, практично и тем более актуально для удаленной (дистанционной) работы в дали от офисов (из любой точки мира), особенно в периоды массовых пандемий или иных массовых событий.