Спосіб авторизації та аутентифікації клієнта при підключенні до сервера

1 Спосіб авторизації та аутентифікацм клієнта при підключенні до сервера, який включає встановлення SSL-з'єднання з проксі-сервером, який відрізняється тим, що після встановлення SSL-з'єднання надсилають проксі-серверу GUID унікальний номер клієнта та службову інформацію, перевіряють наявність такого клієнта по базі даних білінгової системи і у випадку позитивного результату перевірки генерують та надсилають КЛІЄНТОВІ два чи більше випадкових чисел, які СПІВВІДНОСЯТЬ з GUID - унікальним номером клієнта та заносять до бази даних в інформацію про поточне з'єднання, потім SSL-з'єднання розривають, з'єднують клієнта з broadcastсервером по відкритому TCP-каналу та надсилають одержані ним реквізити, ДІЙСНІ ТІЛЬКИ протягом поточної сесії, де перевіряють їх достовірність, та по результату перевірки здійснюють або відмовляють в з'єднанні, і в разі з'єднання передають інформацію 2 Спосіб по п 1, який відрізняється тим, що службова інформація містить, наприклад, характер інформації, що має бути отримана Винахід відноситься до галузей зв'язку та обчислювальної техніки, до засобів захисту інформації, зокрема, до технологій цифрового захисту інформаційних потоків від несанкціонованого доступу Його доцільно використовувати в системах передачі та обміну інформацією ( в тому числі і мультимедійною), які вимагають обмеження доступу до неї Поширення різноманітних технологій передачі інформації, в т ч мультимедійної, гостро ставить питання про регулювання або обмеження доступу до неї Ріст КІЛЬКОСТІ компаній, що пропонують комерційні рішення для передачі інформаційних потоків через Інтернет робить актуальним розробку технологій захисту інформації Досить поширеним є надання доступу до сервісів мовлення через проксі (proxy - англ, „довіряти") - сервери або сервери авторизації та аутентифікацм (АА - сервери) Під аутентифікацією (authentication) ми розуміємо персоніфікацію клієнта шляхом перевірки того, чи дозволено йому підключатися до сервера в цілому, а під авторизацією (authorization) - встановлення його повноважень Зараз використовуються як вбудовані в сервери засоби АА, так і окремі продукти, що забезпечують дуже широкий спектр протоколів авторизації та аутентифікацм Це поширені реалізації RADIUS протоколу (Remote'Authentication Dial In User Service), що описується документом RFC(Request for Comments) № 2058 Cistron Radius (www cistron radius nl) та FreeRadius (www freeradius orq), TAGACS+ (Terminal Access Control Access Server Plus) протокол та його реалізації, зокрема російська розробка - tacppd (provider kht ru/products/tacppd) Але ці сервери використовують UDP протокол (User Datagram Protocol), який на відміну від TCP -протоколу (Transmission Control Protocol) по-перше, не орієнтований на встановлення з'єднання, а передає інформацію порціями, тому кожна посилка містить авторизаційну інформацію, а по-друге, є т з „ненадійним", тобто не гарантує надходження інформаційної порції Якщо ж встановлюється постійне з'єднання, то відпрацьовується наступна схема клієнт відкриває TCP -сокет (за термінологією socket - англ, „гніздо", означає з'єднання) - після встановлення з'єднання клієнт обмінюється з сервером аутентифікаційною та авторизаційною со ^00 ю 58439 інформацією, після чого сервер або дає дозвіл на зв'язок, або розриває його Якщо канал передачі незахищений, то аутентифікаційна та авторизаціина інформація може бути перехоплена та стане відомою іншим Для захисту каналів на рівні з'єднання використовують шифрування переданої інформації БІЛЬШІСТЬ існуючих алгоритмів шифрування використовує криптографічні ключі, якими кодується та декодується інформація Зараз дуже поширений протокол SSL (Socket secure layer) шифрування з відкритим ключем Версія З цього протоколу дозволяє шифрувати дані 128 бітним ключем, що відповідає усім вимогам до захисту переважної більшості каналів обміну інформацією Цей відомий SSL протокол з'єднання взято за прототип Але він має недоліки, які уповільнюють обмін інформацією, що обмежує його область використання Проблема полягає в тому, що SSL є протоколом верхнього рівня щодо TCP, тому якщо встановлено з'єднання по протоколу SSL, то надалі змінити його протокол на TCP неможливо, в якому на етапі аутентифікацм та авторизації немає необхідності, але після цього дані, зокрема, мультимедійні, теж передаються по закритому SSL - каналу з цифрацією та необхідною SSL інформацією , що призводить до зайвого зростання трафіку і загального уповільнення обміну інформацією Особливо це актуально для мультимедійної інформації, адже після початку обміну інформацією необхідність в и шифруванні відпадає А перехід до відкритого каналу вимагає розриву з'єднання та повторного підключення, яке анулює попередню аугетифікаціюта авторизацію В основу винаходу покладена задача створення такого способу аутентифікацм та авторизації, який завдяки новим операціям виключав би можливість несанкціонованого доступу до інформації та сприяв би швидкості обміну інформацією, а також давав би можливість керування інформаційними потоками Поставлена задача вирішується способом авторизації та аутентифікацм клієнта при підключенні до сервера, який передбачає встановлення SSL - з'єднання з проксі - сервером, при цьому після встановлення SSL- з'єднання надсилають проксі - серверу GUID-унікальний номер клієнта та службову інформацію, яка містить, наприклад, характер інформації, що має бути отримана, перевіряють наявність такого клієнта по базі даних білінгової системи і у випадку позитивного результату перевірки генерують та надсилають КЛІЄНТОВІ два чи більше випадкових числа, які СПІВВІДНОСЯТЬ з GUID- унікальним номером клієнта та заносять до бази даних в інформацію про поточне з'єднання, потім SSL з'єднання розривають, з'єднують клієнта з broadcast - сервером по відкритому TCP - каналу та надсилають одержані ним реквізити, дійсних тільки протягом поточної сесії, де перевіряють їх достовірність, та по результату перевірки здійснюють, або відмовляють в з'єднанні, і в разі з'єднання передають інформацію Сутність запропонованого способу пояснюється кресленнями, що додаються, де зображені клієнти (будь-які електронні пристрої, що здатні одержувати інформацію через штернет або Інтранет), сервер авторизації, аутентифікацм та обліку (ААА - сервер, де ААА - Authentication, Authorization and Accounting), що складається з проксі - сервера та білінгової системи та сервер передачі будь -якої споживчої інформації або база даних На першій стадії клієнт створює SSL з'єднання з проксі - сервером Клієнт надсилає серверу свій GUID - унікальний номер, що зберігається в захищеному вигляді в ПЗП(постійному запам'ятовуючому пристрої) клієнта та іншу службову інформацію, наприклад, характер інформації, що має бути отримана, тощо Усі GUID КЛІЄНТІВ зберігаються в базі даних білінгової системи Проксі - сервер перевіряє наявність такого клієнта по базі даних і у випадку позитивного результату перевірки генерує та надсилає КЛІЄНТОВІ два чи більше випадкових числа (наприклад, ідентифікатор сесії та пароль сесії) Ці ж числа СПІВВІДНОСЯТЬСЯ з GUID клієнта та заносяться-до бази даних в інформацію про поточне з'єднання Потім SSL - з'єднання розривається і перша стадія на цьому завершується На другій стадії клієнт з'єднується вже з broadcast - сервером (сервером мовлення, або іншим інформаційним сервером) по відкритому TCP - каналу та надсилає одержані реквізити, що мають ЦІННІСТЬ ТІЛЬКИ протягом поточної сесії Broadcast - сервер перевіряє їх достовірність, звіряючи значення зі збереженими в базі даних, та дозволяє з'єднання або відмовляє КЛІЄНТОВІ В разі встановлення зв'язку починається передача інформації Таким чином, навіть якщо будуть перехоплені ідентифікатори сесії, вони не будуть мати ніякого практичного значення, бо ДІЙСНІ тільки на одну сесію А дійсно секретна інформація - GUID клієнта передається тільки по зашифрованому SSL3 каналу КІЛЬКІСТЬ тимчасових параметрів має значення тільки для підвищення рівня захисту при підключенні по відкритому каналу і може бути легко збільшена для зменшення вірогідності їх співпадшня при достатньо великій КІЛЬКОСТІ одночасних підключень Наведений спосіб авторизації та аутентифікацм при підключенні має велике значення для розвитку інформаційної індустрії, бо надає можливість надійно контролювати доступ до інформації користувачів з боку и постачальників Адже, по - перше, розвиток комерційних систем веде до підвищення якості мовлення, стимулює розвиток усієї галузі в цілому, а по - друге, з'являється можливість керування інформаційними потоками 58439 Комп'ютерна верстка О В Кураєв Підписано до друку 05 08 2003 Тираж39 прим Міністерство освіти і науки України Державний департамент інтелектуальної власності, Львівська площа, 8, м Київ, МСП, 04655, Україна ТОВ "Міжнародний науковий комітет", вул Артема, 77, м Київ, 04050, Україна