Типовые схемы идентификации и аутентификации пользователя

Рассмотрим структуры данных и протоколы идентификации и аутентификации пользователя. Допустим, что в компьютерной системе зарегистрировано n пользователей. Пусть i-й аутентифицирующий объект i-гo пользователя содержит два информационных поля:

ID_i-неизменный идентификатор i-гo пользователя, который является аналогом имени и используется для идентификации пользователя;

Ki-аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации (например, пароль Р_i=К_i).

Описанная структура соответствует практически любому ключевому носителю информации, используемому для опознания пользователя. Например,

для носителей типа пластиковых карт выделяется неизменяемая информация ID_i первичной персонализации пользователя и объект в файловой структуре карты, содержащий К_i.

Совокупную информацию в ключевом носителе можно назвать первичной аутентифицирующей информацией i-гo пользователя! Очевидно, что внутренний аутентифицирующий объект не должен существовать в системе длительное время (больше времени работы конкретного пользователя). Для длительного хранения следует использовать данные в защищенной форме.

Рассмотрим две типовые схемы идентификации и аутентификации. Схема 1. В компьютерной системе выделяется объект-эталон для

идентификации и аутентификации пользователей. Структура объекта-эталона для схемы 1 показана в табл. 5.1. Здесь E_i=F(ID_i К_i), где F-функция, которая обладает свойством "невосстановимости" значения К_i по Е_i и ID_i. ^“Невоостановимость" K_i оценивается некоторой пороговой трудоемкостью Т₀ решения задачи восстановления аутентифицирующей информации К_i по Е_i и ID_i. Кроме того, для пары K_i и Kj возможно совпадение соответствующих значений Е. В связи с этим вероятность лажной аутентификации пользователя не должна быть больше некоторого порогового значения Р₀.

На практике задают Т_о=10²⁰.„10³⁰, Р_о=10^-7...10^-9

Таблица 2.1