Поэтому СДО должна проверять, находится ли за удаленным компьютером именно тот обучаемый, за которого он себя выдает, то есть произвести распознавание (идентификацию) и установить подлинность личности (аутентификацию) пользователя [1]. Каким образом сегодня решается эта проблема? Каждый поступающий на обучение в СДО получает свое входное имя и пароль для входа на сервер с учебными материалами или получения доступа к полученным материалам. При обращении обучаемого к серверу о нем можно собирать информацию, полезную для преподавателя: перечень страниц, посещаемых пользователем за один сеанс работы; время, проведенное на каждой странице; активированные гиперссылки на данной странице; перечень файлов, которые были скопированы пользователем с учебного сервера; время тестирования и др.
При необходимости администратор сервера СДО может с помощью собираемой информации восстановить любой сценарий работы отдельного обучаемого. Но вся собранная таким образом информация является косвенной. Острее стоит проблема в случае работы в режиме off-line, то есть когда обучаемому присылаются учебные материалы, а контроль осуществляется по присланному ответу. Если вход в СДО осуществил человек по имени и паролю другого лица, с целью отметиться и принять участие в тестировании, то его практически невозможно разоблачить. Другими словами, нужны прямые доказательства того, что данный сеанс обучения провел действительно тот пользователь, с чьим именем сопоставлены входное имя и пароль. Решить эту проблему можно двумя способами [2]. Первый способ основан на использовании дополнительного аппаратного обеспечения, он наиболее надежный, но связан с дополнительными затратами. Второй способ распознавания пользователей - программный, который не требует приобретения дополнительного оборудования и может быть реализован с помощью психофизических параметров пользователя: клавиатурный почерк, подпись мышью, психологический личностный профиль и др.
Существует несколько различных протоколов, описывающих процесс аутентификации субъектов в локальной сети. Например, протокол аутентификации Kerberos может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sign-On (возможность одноразовой аутентификации в нескольких приложениях). Данный протокол предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними и основан на понятии Ticket, который является зашифрованным пакетом данных, выданным доверенным центром аутентификации. Одним из преимуществ протокола Kerberos, обеспечивающим очень высокий уровень сетевой безопасности, является то, что во всех сетевых взаимодействиях не передаются ни пароли, ни хэши паролей в открытом виде.
Еще один протокол аутентификации RADIUS (Remote Authentication Dial-in User Service) рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сетевой инфраструктуры, предоставляющей централизованные услуги по проверке подлинности и учету для служб удаленного доступа. Преимуществом этого протокола является то, что он используется в межплатформенных решениях.
Для целей аутентификации в локальных сетях при удаленном и web-доступе часто применяют криптографические механизмы, основанные на асимметричных алгоритмах шифрования и сертификатах открытого ключа. Данные механизмы, как правило, применяются в сочетании с инфраструктурой открытых ключей.
Механизмы аутентификации обучаемых в СДО на основе сертификатов обычно используют протокол с запросом и ответом. Согласно этому протоколу сервер СДО направляет обучаемому последовательность символов, называемую запросом, а программное обеспечение АРМа обучаемого для генерирования ответа вырабатывает с помощью закрытого ключа пользователя цифровую подпись под запросом от сервера аутентификации (сервера СДО).
Не смотря на то, что криптография с открытым ключом может обеспечить аутентификацию обучаемого в СДО, сам по себе закрытый ключ подобен паспорту без фотографии. Так как необходимо защищать этот закрытый ключ, защита паролем не всегда является эффективной, так как достаточно уязвима. В связи с этим прибегают к помощи аппаратных устройств: смарт-карт, USB-ключей и др. Аутентификацию на основе этих устройств сложнее всего обойти, так как используется уникальный физический объект, которым должен обладать человек, чтобы войти в систему [3].
Литература 1. Чефранова А.О. Система дистанционного обучения физике // Преподавание физики в высшей школе.- 2004.- №29.- С. 81-83.
2. Чефранова А.О. Администрирование СЗИ ViPNet.- Москва: ГНО Издательство “Прометей” МПГУ, 2005. - 270 с.
3. Чефранова А.О. Использование технологий виртуальных частных сетей для создания доверенной среды, обеспечивающей безопасное функционирование инфраструктуры электронной цифровой подписи, удостоверяющих центров, бизнес-приложений//Материалы 3 Санкт-Петербургской Межрегиональной конференции ИБРР.- 2003.- Часть 1. - СПб, 2003.
⇐Применение новых технологий в информатике-стр.475 | Применение новых технологий в информатике