Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze
Josef Dufek
Zabezpečení a autentizace ve Wi-Fi síti BerNet Bakalářská práce
2012
Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Zabezpečení a autentizace ve WiFi síti BerNet zpracoval samostatně a veškeré zdroje, které jsem při její tvorbě použil, cituji a uvádím v seznamu použité literatury.
V Praze dne 7.5.2012
.……………………. podpis
Poděkování Na tomto místě bych chtěl především poděkovat vedoucímu mé bakalářské práce, panu Ing. Bc. Davidu Klimánkovi PhD., za odborné vedení a cenné připomínky a taktéž mým rodičům za jejich podporu při studiu.
Abstrakt Tato bakalářská práce se zabývá výběrem nejvhodnější autentizační metody pro existující bezdrátovou síť BerNet. Autentizační metody jsou hodnoceny pomocí třinácti kritérií. Pro výběr používám matematický aparát vícekriteriálního hodnocení ve dvou variantách. Autentizační metody hodnotím pomocí metody TOPSIS a metody váženého součtu. V teoretické části obecně popisuji způsoby zabezpečení dat v bezdrátových sítích a základní metody autentizace uživatelů. V praktické části pomocí matematického aparátu hodnotím tři autentizační metody dle vybraných kritérií. V závěru praktické části píši o volně dostupných aplikacích používaných pro vícekriteriální hodnocení variant.
Klíčová slova autentizace, zabezpečení dat, Wi-Fi sítě, protokol WEP, vícekriteriální rozhodování
Abstract This work deals with selecting the most appropriate authentication method for existing wireless network BerNet. The authentication methods are assessed according to thirteen criteria. I am using two versions of multicriteria evaluation of alternatives to select the best one. The authentication methods are evaluated using the TOPSIS method and the weighted sum approach method. In the theoretical part I am describing the general methods of data security in wireless networks and basic methods of user authentication. The practical part deals with the evaluation of three authentication methods according to the selected criteria. At the end I am writing about freely available applications used for multicriteria evaluation of alternatives.
Keywords authentication, data security, Wi-Fi networks, protocol WEP, multicriteria evaluation
Obsah 1
ÚVOD ........................................................................................................................ 9
2
MECHANISMY ZABEZPEČENÍ DAT .............................................................. 11 2.1
METODA ZABEZPEČENÍ ZAMEZENÍM ZOBRAZENÍ SSID ................................... 11
2.2
FILTROVÁNÍ MAC ADRES ................................................................................ 11
2.3
MECHANISMUS ZABEZPEČENÍ POMOCÍ PROTOKOLU WEP............................... 12
2.3.1 Autentizace metodou otevřeného systému ................................................... 13 2.3.2 Autentizace metodou sdíleného klíče ........................................................... 13 2.4
MECHANISMUS ZABEZPEČENÍ POMOCÍ PROTOKOLU WPA .............................. 13
2.4.1 Šifrovací mechanismus TKIP....................................................................... 14 2.4.2 Autentizační mechanismus 802.1Xi ............................................................. 14
3
2.5
MECHANISMUS ZABEZPEČENÍ POMOCÍ PROTOKOLU WPA 2 ........................... 15
2.6
POROVNÁNÍ PROTOKOLŮ WEP, WPA A WPA2 .............................................. 16
METODY AUTENTIZACE UŽIVATELŮ ......................................................... 16 3.1
VYMEZENÍ ZÁKLADNÍCH POJMŮ ...................................................................... 16
3.2
AUTENTIZACE ZNALOSTÍ TAJNÉ INFORMACE ................................................... 17
3.2.1 Kombinace jména a hesla ............................................................................ 17 3.2.2 Certifikát a klíč na lokálním počítači .......................................................... 18 3.3
AUTENTIZACE VLASTNICTVÍM PŘEDMĚTU....................................................... 18
3.3.1 ID karty........................................................................................................ 18 3.3.2 Autentizační kalkulátory .............................................................................. 19 3.4
AUTENTIZACE VLASTNOSTÍ ............................................................................. 19
3.4.1 Autentizace otiskem prstu ............................................................................ 20 3.4.2 Autentizace oční duhovkou .......................................................................... 21 3.5 4
5
6
VÍCEFAKTOROVÁ AUTENTIZACE ...................................................................... 21
OBČANSKÉ SDRUŽENÍ BERNET O.S. ............................................................ 23 4.1
POPIS SDRUŽENÍ ............................................................................................... 23
4.2
HARDWAROVÉ A SOFTWAROVÉ KOMPONENTY SÍTĚ ........................................ 25
4.3
SOUČASNÉ ZABEZPEČENÍ SÍTĚ ......................................................................... 26
METODIKA VÝBĚRU AUTENTIZAČNÍCH METOD.................................... 27 5.1
ZÁKLADNÍ POJMY VÍCEKRITERIÁLNÍHO HODNOCENÍ VARIANT ....................... 27
5.2
VOLBA KRITÉRIÍ ............................................................................................... 28
VÝBĚR AUTENTIZAČNÍCH METOD .............................................................. 30 6.1
ODHAD VAH KRITÉRIÍ POMOCÍ METODY POŘADÍ ............................................. 30
-7-
6.2
VÍCEKRITERIÁLNÍ HODNOCENÍ METODOU VÁŽENÉHO SOUČTU ....................... 32
6.2.1 Metoda váženého součtu, kriteriální matice ................................................ 34 6.2.2 Seřazení autentizačních metod .................................................................... 38
7
6.3
ODHAD VAH KRITÉRIÍ POMOCÍ SAATYHO METODY ......................................... 39
6.4
VÍCEKRITERIÁLNÍ HODNOCENÍ VARIANT METODOU TOPSIS .......................... 42
6.5
POROVNÁNÍ VÝSLEDKŮ METOD VÁŽENÉHO SOUČTU A TOPSIS ..................... 47
ONLINE APLIKACE PRO VÍCEKRITERIÁLNÍ ROZHODOVÁNÍ............. 47 7.1
PŘEHLED APLIKACÍ PRO HODNOCENÍ VARIANT ............................................... 48
7.1.1 Tabulkové procesory ................................................................................... 48 7.1.2 Doplňkový modul SANNA............................................................................ 49 7.1.3 Doplňkové moduly ORKOSA ....................................................................... 50 7.1.4 Aplikace iMCA7........................................................................................... 51 8
ZÁVĚR .................................................................................................................... 53
SEZNAM POUŽITÉ LITERATURY.......................................................................... 54 SEZNAM OBRÁZKŮ ................................................................................................... 56 SEZNAM TABULEK .................................................................................................... 57 SEZNAM VZORCŮ ...................................................................................................... 58
-8-
1 Úvod Bezdrátové Wi-Fi sítě jsou velkým trendem posledních dvou desetiletí. Především na začátku nového milénia můžeme pozorovat velký rozvoj existujících a budování mnoha nových lokálních Wi-Fi sítí. Když dnes zapneme ve velkých městech jakékoliv zařízení s bezdrátovou síťovou kartou, téměř vždy najdeme v dosahu nějaký přístupový bod. Tento rozmach bezdrátových sítí je způsoben především díky jejich vlastnostem. Bezdrátové sítě umožňují mobilitu uživatele, využívají „levné“ přenosové médium a u mnoha přenosných mini zařízení se jedná prakticky o jediné řešení. To vše a mnohé další je za rozmachem Wi-Fi sítích v posledních letech. Bohužel spolu s tímto rozmachem je spojen i růst bezpečnostních hrozeb. Z počátku byla bezpečností rizika způsobena především díky slabým možnostem zabezpečení a autentizace. Dnes již existující propracovanější technologie, ale přesto se můžeme setkat s podniky, veřejnými institucemi, ale i mnoha domácnostmi, které doslova vystavují svá data potencionálním útočníkům. Bezdrátová síť nemá pevné hranice ani pevné body. Nelze ji ohraničit zdí, ani postavit tak, aby byl signál dostupný pouze v rámci budovy nebo kanceláře. A tak se stává jedna z předností (mobilita) nedostatkem a slabým místem. Výhodou pro útočníka je, že se nemusí dostat přímo do budovy, ale stačí být v dosahu signálu, který běžně přesahuje zdi kanceláře a je ho možné zachytit na veřejných prostranstvích v okolí. Útočníkovi tak pouze stačí vzít za pomyslnou kliku dveří a zjistit, zda je otevřeno. Pokud provozujeme veřejnou bezdrátovou síť, je naším cílem, aby byla přístupná co nejvíce uživatelům, a nezajímá nás, zda daný uživatel může síť využívat nebo ne. Tento typ sítě totiž může využívat každý. Jak je tomu ale v případě, kdy provozujeme privátní síť? V tomto případě je naší snahou zamezit přístup neoprávněným uživatelům a zabezpečit naše data tak, aby z nich útočník nevyzískal žádné informace. Je tedy nutné vzájemně odlišit jednotlivé uživatele a těm, kteří nemají oprávnění, zamezit přístup do sítě. Cílem této práce je popsat základní technologie zabezpečení dat a používané metody autentizace uživatelů a ukázat tak, jaké existují možnosti ochrany bezdrátové sítě. Jelikož dnes existuje velké množství způsobů autentizací uživatelů, je důležité vybrat pro provozovanou síť tu nejvhodnější. Praktickou ukázkou, jakým způsobem je možné vybrat tu nejlepší, je druhá část práce. V této části se zabývám výběrem -9-
autentizační metody pro bezdrátovou síť BerNet. Výběr provádím prostřednictvím matematického aparátu vícekriteriálního hodnocení variant a to pomocí dvou metod. V samotném závěru práce přináším přehled některých volně dostupných aplikací, usnadňujících využití použité matematické metody.
- 10 -
Teoretická část V této části bakalářské práce popisuji základní metody zabezpečení dat, jejich výhody a nedostatky a připojuji srovnání protokolů WEP, WPA a WPA2. Dále popisuji hlavní autentizační metody a u každé metody konkrétní vybrané způsoby autentizace.
2 Mechanismy zabezpečení dat V této kapitole popisuji základní mechanismy zabezpečení dat. Jedná se především o běžně používané metody jako například filtrování MAC adres, zamezení zobrazení SSID, protokoly WEP, WPA a další. V závěru kapitoly připojuji srovnání mezi protokoly WEP, WPA a WPA2.
2.1 Metoda zabezpečení zamezením zobrazení SSID Jedná se o nejnižší stupeň zabezpečení. Tato metoda aktivně nebrání přístupu do bezdrátové sítě tím, že by vyžadovala po klientovi heslo, ale zabraňuje klientovi přístup do sítě tak, že zamezí zobrazení názvu sítě a klient se nemůže samovolně připojit. SSID je zkratka z anglického termínu Service Set Identifier, do češtiny se překládá jako název sítě, [1, s. 20], případně jako označení sítě. [6, s. 66] Každý přístupový bod v implicitním nastavení vysílá v pravidelných intervalech základní administrativní informace. Jednou z těchto informací je i SSID. Přístupový bod tak oznamuje klientům svoji přítomnost. Tato funkce je velmi užitečná v případě veřejných bezdrátových sítí. Pokud provozujeme privátní síť, dáváme tímto informaci i ostatním uživatelům, kteří nejsou členy sítě a kteří se tak mohou pokusit o připojení k síti. [1, s. 20] Zamezením vysílání SSID dosáhneme toho, že se do sítě nepřipojí běžný uživatel, nezabráníme ale tomu, aby síť lokalizoval útočník a připojil se do ní.
2.2 Filtrování MAC adres Filtrování MAC adres je vedle zamezení vysílání SSID další základní metodou používanou pro zamezení neoprávněného přístupu do bezdrátové sítě. Zkratka MAC pochází z anglického termínu Media Access Control. [1, s. 22] Každá bezdrátová karta, stejně jako ethernetová, má výrobcem stanovenou unikátní MAC adresu. Princip filtrování spočívá v tom, že v přístupových bodech je seznam MAC adres klientů bezdrátové sítě a přihlásit se může pouze klient s povolenou adresou. Nevýhodou je, že si útočník může snadno změnit svou MAC - 11 -
adresu, předpokládá se ale, že neví za jakou adresu ze seznamu. Další nevýhodou této metody je nutnost vytvářet seznam povolených MAC adres ručně administrátorem sítě. Největší nevýhodou této metody je přítomnost MAC adres klientů ve vysílaných paketech v nezašifrované podobě, a to i tehdy, pokud použijeme protokol WEP. [1, s. 22] Filtrování MAC adres patří spolu se zamezením zobrazení SSID mezi základní techniky zabezpečení bezdrátové sítě. Přestože tyto metody nezabrání útočníkovi v odhalení a připojení k síti, zabraňují náhodným pokusům o připojení běžným uživatelům.
2.3 Mechanismus zabezpečení pomocí protokolu WEP Protokol WEP je součástí standardu 802.11. Zkratka pochází z anglického Wired Equivalent Privacy. [6, s. 68] Cílem při vývoji protokolu WEP bylo nabídnout uživatelům bezdrátových sítí alespoň takovou míru zabezpečení, která je ekvivalentní zabezpečení v ethernetových sítích, jak vyplývá ze samotného názvu protokolu. Pro šifrování a dešifrování se v algoritmu používá stejný klíč. Šifrování se provádí následujícím způsobem. Nejprve se vypočítá kontrolní součet, který se připojí za přenášená data. Kontrolní součet slouží pro odhalení poškození zprávy. Pokud totiž nesouhlasí kontrolní součet odeslaný se zprávou s kontrolním součtem, který se vypočítá po dešifrování paketu, předpokládá se, že během přenosu došlo k jeho poškození. V dalším kroku se vytvoří šifrovací klíč. Protokol WEP pracuje se dvěma délkami šifrovacího klíče. Kratší je dlouhý 64 bitů a delší 128 bitů. Dále se provede operace XOR mezi textem, který chceme zašifrovat, a šifrovacím klíčem, a výsledek se přenáší. Dešifrování probíhá stejně jako šifrování akorát v opačném pořadí. [1, s. 45] Největší slabinou protokolu WEP je dle Lee Barkena [1, s. 49] opakování inicializačního vektoru. Pokud se totiž použije stejný inicializační vektor a stejný tajný klíč, je výsledkem stejný šifrovací klíč. Jelikož se inicializační vektor přenáší nezašifrovaně, je snadné pro útočníka zjistit, kdy došlo k použití stejného inicializačního vektoru. Další slabinou protokolu je velmi slabá autentizace. Autentizace probíhá pouze jednostranně, kdy se autentizuje klient vůči přístupovému bodu, ale přístupový bod se již klientovi neautentizuje. Zároveň se autentizuje pouze zařízení a ne uživatel. [6, s. 93] Autentizace v rámci protokolu WEP se provádí dvěma metodami. Metodou otevřeného systému a metodou sdíleného klíče. - 12 -
2.3.1 Autentizace metodou otevřeného systému Autentizace metodou otevřeného systému probíhá následujícím způsobem. Klient zažádá o autentizaci zasláním svých údajů a přístupový bod následně odpoví zprávou o autentizaci klienta. V rámci této metody přístupový bod vždy autentizuje klienta. Metoda je implicitně nastavena v bezdrátových sítích. [6, s. 68]
Obrázek 1 - autentizace metodou otevřeného systému (zdroj: vytvořeno autorem)
2.3.2 Autentizace metodou sdíleného klíče Autentizace metodou sdíleného klíče je založena na principu výzvy a odpovědi. Klient zašle požadavek na připojení s informacemi o sobě přístupovému bodu. Přístupový bod odpoví klientovi zasláním textu s žádostí o jeho zašifrování. Klient text zašifruje a zašle zpět. Přístupový bod přijatý zašifrovaný text porovná, a pokud přijatá hodnota souhlasí, přiřadí klienta do sítě. Velkou nevýhodou autentizace pomocí sdíleného klíče je, že se přenáší nezašifrovaný text a vzápětí stejný text zašifrovaně, což usnadňuje práci útočníkovi. [6, s. 69] Průběh autentizace metodou sdíleného klíče je názorně zobrazen na následujícím obrázku.
Obrázek 2 - model autentizace sdíleným klíčem (zdroj: vytvořeno autorem)
2.4 Mechanismus zabezpečení pomocí protokolu WPA V důsledku slabin protokolu WEP byl vyvinut protokol WPA, který má za cíl odstranit nedostatky WEPu. Protokol WPA se zabývá jak šifrováním, tak autentizací.
- 13 -
Součástí protokolu WPA jsou mechanismy TKIP a 802.1Xi (WPA je podmnožinou mechanismu 802.11i, je ale dopředu kompatibilní s tímto mechanismem). [6, s. 92] Mechanismus TKIP řeší nedostatky protokolu WEP v oblasti šifrování a 802.1Xi v oblasti autentizace. Protokol WPA řeší slabiny protokolu WEP, kterými byly například správa klíčů, podpora autentizačních metod (jednorázová hesla, biometrická autentizace, ID karty a další tokeny), útoky DoS, kolize inicializačních vektorů. [1, s. 72] Zkratka WPA pochází z anglického Wi-Fi Protected Access. Toto řešení bylo původně plánováno jako dočasné řečení. Abychom mohli nasadit protokol WPA, je třeba vlastnit přístupový bod s podporou protokolu WPA, dále bezdrátovou kartu s ovladači pro tento protokol, a v neposlední řadě musí existovat podpora v operačním systému. [6, s. 92]
2.4.1 Šifrovací mechanismus TKIP Mechanismus je součástí protokolu WPA. Zkratka pochází z anglického Temporal Key Integrity Protocol. [1, s. 71] Protokol používá funkce automatického generování dočasných klíčů, kontroly integrity a číslování paketů. Protokol používá dvojnásobnou délku inicializačního vektoru oproti protokolu WEP. Inicializační vektor má v tomto mechanismu dvě části. Jedna část slouží jako tradiční inicializační vektor a druhá část se používá pro mixování klíčů pro jednotlivé pakety. [6, s. 94] Hlavní výhodou protokolu TKIP oproti protokolu WEP je generování dynamických klíčů. Pro každý posílaný paket je automaticky vygenerován nový klíč a to tím způsobem, že se smíchá jedna část inicializačního vektoru s MAC adresou a dočasným klíčem, a takto získaný klíč se ve druhém korku smíchá s druhou částí inicializační vektoru. Znamená to, že když útočníkovi stačilo u protokolu WEP pasivně odposlouchávat provoz na síti do té doby, než se mu podařilo klíč prolomit. U protokolu TKIP nemá díky generování klíčů pro každý paket možnost odposlechnout dostatečné množství paketů se stejným klíčem, aby mohl zabezpečení prolomit. [6, s. 95]
2.4.2 Autentizační mechanismus 802.1Xi Mechanismus slouží jako nadstavba protokolu WEP, není tedy náhradou, ale pouze rozšířením a vylepšením bezpečnostních opatření. Mechanismus 802.1Xi se zabývá autentizací uživatelů, šifrováním a distribucí klíčů. Nezabývá se utajením dat. Mechanismus potřebuje pro své fungování autentizační server a spolupráci všech - 14 -
zařízení v síti, především přístupových bodů a klientů. Tento mechanismus na rozdíl od předchozích metod ověřuje nejen klienta, ale i přístupový bod. Ověřování přístupového bodu má za cíl zamezit vydávání se útočníka za falešný přístupový bod. [6, s. 79] Cílem tohoto mechanismus je zablokovat přístup do sítě neoprávněným uživatelům. Když se chce klient přihlásit do sítě, mechanismus zablokuje všechny služby s výjimkou autentizačního serveru. Klient se musí nejprve autentizovat prostřednictvím autentizačního serveru, a poté získá přístup do sítě, a jsou mu povoleny ostatní služby. [6, s. 82] Velkou výhodou mechanismu je možnost jednoznačně identifikovat klienta. Můžeme určit nejen to, že klient patří do sítě (zná tajný klíč), ale můžeme konkrétně určit, o kterého klienta se jedná. Toto je velká výhoda oproti protokolu WEP, kde všichni klienti sdíleli stejný klíč. Jedná se o podporu mechanismu AAA (autentizace, autorizace, účtování). [1, s. 83] Možnost jednoznačně určit klienta se dá využít například při řízení síťového přístupu, kdy můžeme konkrétního uživatele omezit v délce připojení do sítě. Zároveň můžeme uživatelům nastavovat různá oprávnění v síti. Přestože použití metody výrazně zvyšuje zabezpečení sítě, obsahuje metoda slabá místa, která jsou útočníkům známá a dokáží jich využít. Metoda je náchylná na útoky typu DoS (Denial of Service), kdy útočník zahltí autentizační server požadavky a dojde k jeho zablokování. Další slabinou metody je možnost krádeže identity, pokud není dostatečně chráněna. [6, s. 90]
2.5 Mechanismus zabezpečení pomocí protokolu WPA 2 Jedná se o komerční název pro bezpečnostní standard 802.11i. Tento bezpečnostní protokol se používá od konce roku 2004, kdy byla norma schválena. Protokol má zajistit autentizaci i zabezpečení přenášených dat. Autentizuje se jak uživatel, tak přístupový bod, aby došlo k zamezení vytváření falešných přístupových bodů útočníkem. Cílem zabezpečení je zajistit utajení dat a jejich integritu. Utajení je zajištěno pomocí šifrování. Protokol 802.11i obsahuje dva šifrovací protokoly. Protokol TKIP, se kterým již pracuje WPA, a protokol CCMP (šifrování se provádí pomocí šifry AES). Autentizace se stejně jako v případě WPA provádí pomocí mechanismu 802.1Xi. [6, s. 102]
- 15 -
2.6 Porovnání protokolů WEP, WPA a WPA2 V následující tabulce porovnávám protokoly WEP, WPA a WPA2, které jsem popsal v předchozích kapitolách. Protokoly srovnávám podle způsobu autentizace a šifrování a zároveň zmiňuji jejich hlavní nedostatky. Tabulka 1 - porovnání protokolů WEP, WPA a WPA2 WEP
WPA
WPA2 (802.11i)
autentizace
otevřená, nebo pomocí sdíleného klíče
RADIUS server, nebo přednastavený klíč PSK
vzájemná autentizace pomocí 802.1Xi s EAP
šifrování
statický WEP
protokol TKIP
AES, volitelně i RC4
zahlcení sítě útoky DoS, krádež identity
starší verze OS neumí pracovat s WPA2
opakování inicializačního vektoru, slabá autentizace Zdroj: vytvořeno autorem
nedostatky
3 Metody autentizace uživatelů V této kapitole popisuji základní autentizační metody a u každé metody i vybrané konkrétní způsoby autentizace. Nejprve ale vysvětluji základní pojmy, které jsou s autentizací uživatelů spojeny. V závěru kapitoly popisuji způsoby a důvody nasazení vícefaktorové autentizace.
3.1 Vymezení základních pojmů Předtím, než popíši základní autentizační metody, chci vysvětlit pojmy, které se spolu s autentizací uživatelů vyskytují.
autentizace – taktéž se používá výraz verifikace. V obecné rovině se dá říct, že se jedná o postup, při kterém se ověřuje identita. Může se jednat například o identitu uživatele, nebo přístupového bodu. V případě autentizace uživatele se jedná o proces, kdy uživatel předkládá tvrzení o své identitě, například pomocí přihlašovacího jména a hesla, nebo prostřednictvím ID karty. [7, s. 11]
autorizace – jedná se o proces, který je spojen s autentizací. Autorizace uživatele znamená, že jsou uživateli přiřazena oprávnění na základě jeho identity. Autorizace uživatele říká, jaká má daný uživatel práva, co může a nemůže v systému dělat. Autorizace slouží pro přidělení nějaké služby na základě úspěšné autentizace. [7, s. 11] - 16 -
identifikace – jedna z definic identifikace říká, že se jedná o „proces určení identity (totožnosti) uživatele.“ [7, s. 11] Existují různé procesy identifikace. Například se může identifikovat sám uživatel, nebo se snaží identitu uživatele určit identifikující systém, a to třeba tím, že prochází databázi tajných informací o uživatelích (heslo) a porovnává údaje mezi sebou.
Rozdíl mezi identifikací a autentizací spočívá v tom, že v případě autentizace se subjekt představuje sám a tvrdí „jsem to já“. Cílem je určit, zda je opravdu tím, za koho se vydává. Pokud hovoříme o identifikaci, zde naopak subjekt sám svoji identitu nepředkládá. Systém prochází všechny záznamy v databázi a snaží se najít potřebné údaje k tomu, aby uživatele identifikoval. Systém tedy zjišťuje, kdo uživatel je. Z výše uvedeného vyplývá, že identifikace je náročnější než autentizace. Pokud totiž existuje velká databáze uživatelů, kterou musí systém projít, snižuje se rychlost a přesnost identifikace. [7, s. 11-12] Autentizace se dělí na jednosměrnou a obousměrnou. V případě jednosměrné autentizace se autentizuje pouze jedna strana vůči druhé. U obousměrné autentizace se autentizují obě strany navzájem. S růstem potřeby autentizace roste i náročnost z hlediska přenosu a ukládání autentizačních informací. Proto se často využívá autentizace pomocí třetí důvěryhodné strany, která ověří identitu uživatele. [6, s. 21]
3.2 Autentizace znalostí tajné informace Jedná se o metodu autentizace, při které se uživatel autentizuje nějakou tajnou informací. Tajnou informací může být například heslo, PIN, tajný kód a podobně. Výhodou této metody je, že se nejedná o nějaký fyzický předmět, u kterých je složitý proces přenosu informace do počítače, ale o znalost, kterou lze do počítače snadno zadat. Systém využívající metodu autentizace je jednoduchý na ovládání a zároveň nenáročný na údržbu. Nevýhodou je, že tajné informace sloužící k autentizaci uživatele lze snad získat, a to i bez vědomí uživatele. Mezi metody autentizace znalostí patří například metoda kombinující jméno a heslo, nebo metoda využívající certifikát a tajný klíč. [7, s. 12]
3.2.1 Kombinace jména a hesla Jedná se o nejběžnější a nejjednodušší způsob autentizace uživatele. Tato metoda je jednoduchá jak na údržbu, tak na implementaci, navíc nevyžaduje žádný dodatečný hardware. Zároveň ale není příliš bezpečná. Uživatel se přihlašuje do systému pomocí - 17 -
tajného hesla a uživatelského jména. Systém porovná předložené údaje se záznamy, které má k danému uživateli a pokud souhlasí, povolí uživateli přístup. Velkou slabinou metody jsou samotní uživatelé, hesla, která používají, a způsoby, jakými je uchovávají. Běžně se stává, že si uživatel napíše tajné heslo na papír poblíž monitoru počítače, a výrazně tak zvýší šanci útočníka na jeho odhalení. [7, s. 18] Velmi důležitým bodem u metod autentizace pomocí hesla je politika bezpečného hesla. Heslo by mělo být netriviální řetězec dlouhý 8 až 12 znaků. Zároveň by mělo být kombinací velkých a malých písmen, číslic a symbolů, aby se tak stalo odolné vůči slovníkovému útoku. [7, s. 33] S rostoucí složitostí hesla ale roste i jeho náročnost na zapamatování uživatelem.
3.2.2 Certifikát a klíč na lokálním počítači Metoda pracuje na podobném principu jako metoda kombinace jména a hesla. Nabízí ale vyšší zabezpečení a větší funkcionalitu, jedná se například o elektronický podpis, šifrování apod. Slabým místem této metody je zabezpečení soukromého klíče. Běžně je zabezpečen pouze prostřednictvím operačního systému. [7, s. 18]
3.3 Autentizace vlastnictvím předmětu Tato metoda autentizace je založena na vlastnictví něčeho, co jednoznačně odliší daného uživatele od ostatních. Zpravidla se jedná o nějaký předmět neboli token. Tímto předmětem může být například nějaká ID karta. Výhodou metody je, že předmět používaný pro autentizaci lze jen velmi těžko okopírovat, jeho ztráta je snadno zjistitelná a pokud k ní dojde, lze token snadno zablokovat, aby nedošlo k jeho zneužití. Zároveň mohou obsahovat další informace a rozšiřující funkce. Mohou například sloužit jako průkaz zaměstnanců, mohou být součástí stravovacího systému pro výdej a objednání obědů v závodní jídelně, nebo umožňovat vstup do budov a objektů. Nevýhodou je potřeba čtecích zařízení, což zvyšuje náklady na pořízení systému a jeho zavádění do praxe. V případě ztráty tokenu je vystavení náhradního časově náročné, což není moc uživatelsky přívětivé. Nejběžnější tokenem používaným k autentizaci uživatelů jsou ID karty. [7, s. 12-13]
3.3.1 ID karty V případě autentizace pomocí ID karet je třeba doplnit k pracovním stanicím čtečky a nainstalovat ovladače pro karty. Dále je třeba nainstalovat software pro správu ID karet. [7, s. 19]
- 18 -
Existuje několik typů karet, které se od sebe liší funkcionalitou a složitostí. Nejjednodušší jsou karty s magnetickým proužkem, složitější jsou čipové karty. Čipové karty existují v několika variantách, které se od sebe liší jak ve funkcionalitě, tak ve fyzické stavbě. Nejznámější jsou klasické čipové karty typu kreditní karty. Dále existují čipové karty v podobě USB tokenu. Funkcionalita USB tokenu je omezena pouze na autentizaci, dešifrování dat a elektronický podpis. Dalším typem čipové karty je karta ve formátu SIM, která se používá spolu s USB čtečkou. Tento typ čipové karty má stejnou funkcionalitu a stejné výhody a nevýhody jako čipová karta v podobě USB tokenu. [7, s. 19]
3.3.2 Autentizační kalkulátory Jedná se o specializovaná zařízení, která požadují vlastní hardwarové vybavení. Tato zařízení mohou být založena na sdílení tajné informace, například hesla, které je uloženo v kalkulátoru a na autentizačním serveru, nebo mohou být založena na synchronizovaných hodinách. Vedle standardních způsobů komunikace s uživatelem pomocí klávesnice a monitoru existují i speciální typy rozhraní, jako například infračervený port nebo optická rozhraní umožňující snímat data přímo z obrazovky. [7, s. 37]
3.4 Autentizace vlastností Princip autentizace vlastností spočívá v tom, že se daný uživatel autentizuje něčím, čím je. Může se jednat například o biometrickou informaci. Běžně se používá nějaká část těla, která se v čase nemění a zároveň jednoznačně identifikuje člověka, tedy použitá biometrická informace musí být jedinečná. Typickou částí těla používanou pro biometrickou autentizaci je otisk prstu, nebo otisk celé dlaně, oční duhovky a další. Velkou výhodou této metody je, že na rozdíl od předchozích metod nemůže uživatel nic ztratit ani zapomenout. Nevýhodou je přesnost měření biometrických údajů, která může být ovlivněna mnoha faktory, například teplotou, vlhkostí, prachem a podobně. [7, s. 13] Přestože existuje velké množství biometrických technologií, můžeme je rozdělit do dvou velkých skupin. Jedna skupina technologií je založena na měření fyziologických vlastností člověka, například již výše zmíněný otisk prstu, dlaně, nebo oční duhovky, a druhá skupina technologií je zaměřena na chování člověka. Do této skupiny patří například dynamika podpisu, rozpoznávání hlasu a další. Obecně se dá říci, že systémy založené na měření fyziologických vlastností jsou přesnější než - 19 -
systémy zaměřené na chování člověka. Fyziologické vlastnosti člověka se totiž v čase nemění a nejsou tak ovlivnitelné nemocí nebo psychickým stavem jako systémy založené na chování člověka. [7, s. 38] Největším rozdílem mezi biometrickými systémy a předchozími autentizačními metodami, které jsou popsány v kapitolách 3.2 a 3.3, je v odpovědi na autentizační požadavek. V předchozích metodách dokázal systém říct, že zadané heslo, jméno, nebo údaje získané z ID karty jsou přesně ty samé, které jsou uloženy v databázi v systému. Biometrické systémy ale toto nedokáží, je téměř nemožné získat dvakrát stejné údaje ze čtečky. Záleží totiž na úhlu přiložení, okolních podmínkách, vlhkosti vzduchu i snímané části těla. Biometrické systémy neurčují identitu absolutně, ale s určitou pravděpodobností v závislosti na nastavené variabilitě. [7, s. 39] Variabilita určuje, z kolika procent se musí získané údaje shodovat s těmi, které jsou uloženy v systému, aby uživatel získal přístup. [7, s. 39] Čím vyšší je variabilita, tím nižší je bezpečnost systému. Pokud je variabilita nulová, znamená to, že se získané údaje musí přesně shodovat s těmi, které jsou uloženy v systému. Bezpečnost systému je tak nejvyšší, ale ani uživatelé, kteří mají právo přístupu do systému, se vzhledem k nepřesnostem, které při měření vznikají, nedokáží autentizovat. Největší nevýhodou biometrických systému je jejich chybovost. Pokud se srovnává heslo, nebo údaje získané z ID karty s údaji uloženými v databázi systému, jedná se o jednoduchou záležitost. Výsledkem může být pouze pravda nebo nepravda. Srovnání biometrických údajů již není takto jednoznačnou záležitostí. [7, s. 40] V následujících dvou podkapitolách popisuji biometrickou autentizaci pomocí otisku prstu a snímání oční duhovky.
3.4.1 Autentizace otiskem prstu Metoda identifikace na základě otisku prstu se používá již od konce 19. století. Původně se tato metoda využívala a dodnes využívá v kriminalistice. Předpoklady pro nasazení metody jsou neexistence dvou jedinců se stejným otiskem a neměnnost papilárních linií. Identifikace na základě otisku prstu je využívána ve vědním oboru, který se nazývá daktyloskopie. [5, s. 25] Otisk prstu lze získat různými způsoby. Původně se používal inkoust a papír, na který se prst otisknul. Následně se porovnávaly získané vzorky mezi sebou. S rozvojem výpočetní techniky se tento postup automatizoval a pro identifikaci se používají moderní snímací zařízení. Nejběžnější metodou získání otisku je statické snímání. - 20 -
Uživatel přiloží svůj prst na senzor, aniž by jím pohyboval a senzor sejme otisk celého prstu najednou. Další používanou metodou je takzvané šablonování. Od předchozí metody se liším tím, že uživatel přejede přes senzor ve tvaru štěrbiny prstem a výsledný otisk je sestaven z dílčích snímků získaných při přejíždění prstu přes štěrbinu. [5, s. 25] Tento způsob identifikace se dnes běžně používá u paměťových zařízení, jako jsou USB flash disky, externí disky, nebo jako způsob přihlašování do přenosného počítače místo uživatelského jména a hesla.
3.4.2 Autentizace oční duhovkou Systémy používané pro identifikaci oční duhovkou jsou relativně nové a byly vyvinuty koncem minulého století. Duhovka je část lidského oka, která na základě intenzity světla dopadajícího na oko reguluje velikost čočky. Duhovka je jedinečná pro každého člověka i v případě, že se jedná o jednovaječná dvojčata. Dokonce každý člověk má jiný vzor duhovky v levém a pravém oku. [5, s. 21] Snímání duhovky se provádí prostřednictvím digitální kamery a infračerveného osvětlení oka. Získané údaje se použijí pro vytvoření duhovkové mapy. Při autentizaci se porovnávají získané údaje ze snímače a údaje o duhovce uložené v systému pomocí metody statistické nezávislosti. [5, s. 22]
3.5 Vícefaktorová autentizace Aby se zvýšila bezpečnost při identifikaci uživatele a zabránilo neoprávněnému proniknutí do systému, kombinují se výše zmíněné autentizační metody mezi sebou s cílem dosažení vyššího stupně zabezpečení. V praxi se tak můžeme setkat s dvoufaktorovou nebo třífaktorovou autentizací.
Obrázek 3 - vícefaktorová autentizace (zdroj: [INT 3])
- 21 -
Dvoufaktorová autentizace kombinuje dvě z výše zmíněných autentizačních metod a třífaktorová tři. Typickým příkladem dvoufaktorové autentizace je kreditní karta, která kombinuje autentizaci znalostí (PIN) a autentizaci vlastností (čipová karta). V případě třífaktorové autentizace se používá jedna metoda z každé z výše uvedených skupin autentizace. Postup při třífaktorové autentizaci může být následující. Uživatel vloží token do čtecího zařízení, zadá tajné heslo a přiloží prst ke snímacímu zařízení. Pokud dojde k chybě v jakékoliv části autentizace, například vložení špatného heslo, je proces autentizace ukončen neúspěchem. [7, s. 42]
- 22 -
Praktická část Cílem praktické části práce je pomocí metod vícekriteriálního hodnocení variant vybrat vhodnou autentizační metodu pro bezdrátovou síť BerNet. V této části práce popisuji současný stav sítě, hardwarové vybavení a metody zabezpečení. Dále v krátkosti popisuji metody vícekriteriálního hodnocení variant a dělení kritérií. Pomocí kritérií, která jsem vybral, porovnávám mezi sebou tři autentizační metody a využívám při tom dvou metod vícekriteriálního hodnocení variant. Takto získané údaje porovnávám v závěru praktické části mezi sebou a zároveň s výsledky získanými pomocí online aplikace pro podporu vícekriteriálního hodnocení variant.
4 Občanské sdružení BerNet o.s. V této kapitole popisuji občanské sdružení BerNet o.s. od jeho počátku až po dnešní dny. Především se zmiňuji o technologiích, které se používaly pro připojení k internetu, popisuji jejich výhody, nevýhody a náklady na provoz. Dále se zabývám hardwarovým vybavení, které se používá v této síti a současnými způsoby zabezpečení. Cílem je přiblížit bezdrátovou síť, pro niž budu pomocí metod vícekriteriálního hodnocení variant vybírat nejvhodnější autentizační metodu.
4.1 Popis sdružení „BerNet je zkratka pro bernartickou síť (network). Tvoří ji uživatelé, kteří se připojili na vlastní náklady a celý vlastní provoz sítě je hrazen a udržován uživateli.“ [INT 1] Historie občanského sdružení BerNet o.s. sahá do roku 2003, kdy došlo k prvnímu propojení dvou počítačů pomocí bezdrátové technologie. První technologie použitá pro připojení k internetu byla GPRS. Pomocí sériového portu byl k počítači připojen mobilní telefon, který umožňoval připojení k internetu pomocí této technologie. Po zapnutí počítače došlo k automatickému připojení. Tento způsob připojení využívali tři uživatelé. Nevýhodou byla velmi nízká přenosová rychlost (kolem 60 kbps) a poměrně vysoké měsíční náklady vzhledem k nízké přenosové rychlosti (přibližně 800 Kč). Vzhledem k výše zmíněným nedostatkům došlo zhruba po půldruhém roce provozu k přechodu na tehdy nově začínající technologii CDMA, kterou spustil mobilní operátor Eurotel (dnes O2). [INT 8] Tato technologie nabízela oproti GPRS
- 23 -
mnohem vyšší přenosovou rychlost (až 1 Mbps) a zároveň příznivější měsíční náklady, které byly ve výši 1200 Kč. Bohužel v praxi rychlost málo kdy překročila 700 kbps a docházelo k častým výpadkům bezdrátového modemu, což výše zmíněné přednosti značně snižovalo. Vzhledem k nedostupnosti jiných technologií v dané lokalitě se však jednalo o jedinou možnost. Prostřednictvím této technologie bylo k síti připojeno až 16 uživatelů. S růstem bezdrátové sítě a počtem připojených uživatelů došlo k poklesu přenosové rychlosti. Tato technologie byla v bezdrátové síti používána až do roku 2006, kdy se přenosová rychlost vzhledem k množství uživatelů velmi snížila, a bylo nutné vyhledat nového poskytovatele připojení k internetu. V roce 2008 došlo k založení občanského sdružení BerNet o.s., které zaštiťuje současnou činnost uživatelů sítě. V době založení má sdružení 27 členů. Zároveň byl v témže roce valnou hromadou vybrán nový poskytovatel připojení, který má v dané lokalitě pokrytí signálem a zároveň nabízí vysokorychlostní připojení. K dnešnímu dni má sdružení 51 členů (uživatelů sítě), což v přepočtu na obytné domy znamená, že 71 % domácností je připojeno k síti BerNet. Připojení k internetu je asymetrické, jsou používány rozdílné rychlosti pro stahování (download) a nahrávání (upload). Pro stahování je přiřazena rychlost 12 Mbps a pro nahrávání 6 Mbps. Měsíční náklady na provoz sítě jsou ve výši 7500 Kč.
Obrázek 4 - Wi-Fi síť BerNet (Zdroj: vytvořeno autorem )
- 24 -
Na výše uvedeném obrázku je zobrazeno rozložení uživatelů sítě a přístupových bodů. Jako podklad je použita satelitní mapa obce Bernartice volně dostupná na serveru maps.google.cz. Popis obrázku: (1) klient je vypnutý (2) klient je zapnutý (3) přístupový bod (4) IP adresa RouterBOARDU (5) Ethernet (kroucená dvojlinka) (6) Wi-Fi 2,4 GHz, 5 GHz (v obrázku není rozlišeno, zda se jedná o pásmo 2,4 GHz nebo 5 GHz)
4.2 Hardwarové a softwarové komponenty sítě Bezdrátová síť BerNet je vybudována dle topologie s přístupovým bodem (druhý topologický režim je ad-hoc, kde klienti komunikují přímo mezi sebou). [4, s. 44] Veškerá komunikace v síti probíhá přes přístupové body. Jako server je použit starý kancelářský počítač, na kterém je nainstalován unixový operační systém Ubuntu. K serveru je připojen přepínač (switch) a k přepínači jsou připojeny jednotlivé přístupové body. Každý přístupový bod kromě všesměrové antény obsahuje i RouterBOARD od firmy MikroTik. Přesný typ RouterBOARDU, který je použit jako přístupový bod v bezdrátové síti BerNet, je zobrazen na následujícím obrázku.
Obrázek 5 - MikroTik RouterBOARD v přístupových bodech (zdroj: [INT 7])
- 25 -
Tato deska obsahuje porty pro připojení síťového kabelu, má vlastní procesor a paměť RAM, a také obsahuje miniPCI sloty. Pomocí miniPCI slotu je k desce připojena bezdrátová karta, a přímo k této kartě je pomocí konektorů připojena anténa.
Obrázek 6 - bezdrátová karta v přístupových bodech (zdroj: [INT 2])
S deskou je zároveň dodáván RouterOS, což je systém založený na bázi Linuxu, který umožňuje využít schopnosti směrovače. Bezdrátová síť BerNet vysílá na dvou frekvencích, a to na frekvenci 2,4 GHz, jedná se o standard 802.11b, a na frekvenci 5 GHz, v tomto případě se jedná o standard 802.11a. Oba standardy mohou existovat na jednom místě. Přenosová rychlost na frekvenci 2,4 GHz je omezena na 4 Mbps a to přesto, že na této frekvenci je teoreticky možné přenášet data rychlostí až 11 Mbps. [1, s. 32] Toto omezení je nastaveno z toho důvodu, že při vyšší rychlosti dochází k jejím výkyvům a přenos je méně stabilní.
4.3 Současné zabezpečení sítě Jak již bylo zmíněno v předchozí kapitole, bezdrátová síť BerNet v současnosti vysílá na dvou frekvencích. Na každé z těchto frekvencí je nastaven odlišný způsob zabezpečení přenášených dat. Na frekvenci 2,4 GHz je zabezpečení provedeno pomocí protokolu WEP, a frekvence 5 GHz je zabezpečena pomocí protokolu WPA. Kromě těchto způsobů šifrování přenášených dat je síť zabezpečena pomocí filtrování MAC adres. Do sítě se tedy může připojit pouze zařízení s povolenou MAC adresou.
- 26 -
5 Metodika výběru autentizačních metod V kapitole popisuji základní pojmy vícekriteriálního hodnocení variant a dělení kritérií. Dále popisuji konkrétní kritéria, která jsem vybral. Tato kritéria jsou následně použita pro hodnocení variant pomocí metody váženého součtu a metody TOPSIS.
5.1 Základní pojmy vícekriteriálního hodnocení variant Vícekriteriální hodnocení variant je matematickým aparátem využívaným pro ekonomické rozhodování. V reálném životě se takto rozhoduje každý člověk, aniž by to činil vědomě. Jedná se například o výběr osobního automobilu, životního partnera, koupi nového počítače a podobně. Při výběru nového počítače může těmito kritérii být například cena, velikost pevného disku, paměti RAM, frekvence procesoru atd. a podle kritérií, která pro nás mají větší váhu, se nakonec rozhodneme pro jeden konkrétní typ. Stejně tomu je i v případě této bakalářské práce, kde je však metoda použita zcela vědomě a váhy jednotlivých kritérií jsou exaktně vypočítány. Definice vícekriteriálního hodnocení variant uvádí, že ″cílem při analýze vícekriteriálních rozhodovacích úloh je řešit konflikt mezi vzájemně protikladnými kritérii, konkrétním cílem potom může být výběr jedné varianty″. [3, s. 271] Kritéria můžeme dělit dle povahy a kvantifikovatelnosti. Podle povahy se kritéria dělí: [3, s 272]
maximalizační kritéria – lépe hodnocená kritéria mají vyšší hodnoty a nižší hodnoty mají hůře hodnocená kritéria
minimalizační kritéria – opak maximalizačních kritérií, lépe hodnocená kritéria mají nižší hodnoty
Podle kvantifikovatelnosti se kritéria dělí: [INT 10]
kvantitativní kritéria – hodnoty těchto kritérií lze objektivně změřit
kvalitativní kritéria – na rozdíl od kvantitativních kritérií se nejedná o hodnoty objektivně změřitelné, ale o hodnoty, které jsou získány subjektivním ohodnocením rozhodovatele
Váhy jednotlivých kritérií lze stanovit pomocí ordinální nebo kardinální informace o preferencích kritérií. Předpokladem metod ordinálního seřazení preferencí kritérií je, že rozhodovatel je schopen přesně seřadit kritéria od nejdůležitějších po nejméně důležitá. Metody kardinálního seřazení preferencí kritérií navíc vyžadují po hodnotiteli určení poměru důležitosti mezi každou dvojici kritérií. [INT 10] - 27 -
Mezi metody ordinálního seřazení preferencí kritérií patří například metody pořadí a metoda Fullerova trojúhelníku. [INT 10] Z těchto metod pracuji v další části textu s metodou pořadí. Ke kardinálním metodám řadíme bodovací metodu a Saatyho metodu. [INT 10] Z této skupiny metod jsem využil Saatyho metodu.
5.2 Volba kritérií Při volbě kritérií je postupováno tak, aby vybraná kritéria zahrnovala nejen požadavky a přání správce sítě (náročnost na obsluhu, požadavky na hardwarové vybavení, cena…), ale i uživatelů (uživatelská přívětivost, mobilita uživatelů). Pro výběr autentizační metody jsem zvolil následující kritéria:
bezpečnost – zde hodnotím, nakolik je daná autentizační metoda bezpečná a jak obtížné je ji prolomit. Jedná se o maximalizační kritérium, cílem je co nejvyšší bezpečnost.
uživatelská přívětivost – jak snadné je používání vybrané metody pro uživatele. Kolik kroků musí uživatel udělat a kolik času mu to zabere a jaká je pravděpodobnost, že při postupu udělá chybu. Dále se hodnotí, jak snadno dokáže uživatel danou autentizační metodu sám zprovoznit a používat. Maximalizační kritérium, cílem je vybrat co nejvíce uživatelsky přívětivou metodu.
složitost implementace – při hodnocení tohoto kritéria je důležité určit, zda je zapotřebí využít služby externí firmy, nebo zda dokáže správce sám autentizační metodu nasadit a připravit pro uživatele. Minimalizační kritérium, implementace by měla být co nejjednodušší a bez nutnosti využití služeb externí společnosti.
náklady na pořízení – v rámci tohoto kritéria se především hodnotí, kolik stojí nasazení dané autentizační metody, zda je zapotřebí vynaložit peníze na nákup nového hardwaru a softwaru. Minimalizační kritérium, požadavkem jsou nízké pořizovací náklady (ideálně nulové).
náklady na provoz – podobně jako se u předchozího kritéria hodnotily náklady na nasazení dané metody, zde se hodnotí, kolik stojí podpora a správa vybrané metody a zda jsou potřeba kromě pořizovacích nákladů i další náklady na údržbu a provoz. Stejně jako u kritéria náklady na pořízení se jedná o minimalizační kritérium. Cílem jsou minimální náklady na provoz.
- 28 -
mobilita uživatele sítě – při hodnocení tohoto kritéria se především zajímám o to, do jaké míry je autentizační metoda nezávislá na hardwarovém a softwarovém vybavení, zda se může uživatel autentizovat odkudkoliv. Zde se jedná o maximalizační kritérium. Snahou je, aby uživatel nebyl ničím omezován a mohl k síti přistupovat odkudkoliv.
požadavky na hardwarové vybavení – v rámci tohoto kritéria hodnotím, zda je třeba pořizovat nové hardwarové vybavení nebo stačí využít stávající. Toto kritérium je taktéž minimalizační. Požadavkem je zachovat stávající hardwarové vybavení bez nutnosti investovat do nových komponent sítě.
náročnost na obsluhu administrátorem – kolik času zabere správci sítě údržba a provoz metody. Minimalizační kritérium, administrátor by neměl být nadměrně vytížen správou nové metody a zároveň by měl vystačit se svými stávajícími znalostmi.
časová náročnost implementace – u tohoto kritéria se hodnotí, jak dlouhý je časový interval od zahájení implementace do doby, než budou moct uživatelé metodu používat. Minimalizační kritérium, požadavkem je co nejmenší interval mezi začátkem implementace a časem, kdy bude moct uživatel metodu plně využívat.
chybně přijatá autentizace – zde se hodnotí, jaká je chybovost metody vzhledem k celkovému počtu autentizovaných uživatelů. Zajímáme se především o to, kolik uživatelů bylo chybně autentizováno a byl jim povolen přístup přesto, že přístup mít neměli. Minimalizační kritérium, metoda by měla mít co nejmenší počet chybně přijatých autentizací.
chybně odmítnutá autentizace – u tohoto kritéria se zajímáme především o to, kolik uživatelů bylo chybně odmítnuto přesto, že jim měl být přístup povolen. Stejně jako u předchozího kritéria se i v tomto případě jedná o minimalizační kritérium. Metoda by měla mít co nejmenší počet chybně odmítnutých autentizací. Toto kritérium má vliv i na uživatelskou přívětivost. Vysoký počet chybně odmítnutých autentizací snižuje uživatelskou přívětivost.
reference – jak hodnotí ostatní uživatel tuto autentizační metodu a kde je tato metoda používána. Zajímáme se, zda ostatní uživatelé doporučují
- 29 -
autentizační metodu, nebo naopak upozorňují na její nedostatky. Maximalizační kritérium, cílem je co nejvíce kladných referencí.
vhodnost metody – v rámci tohoto kritéria se hodnotí, jak je metoda vhodná pro použití v dané bezdrátové síti. Maximalizační kritérium, cílem je výběr co nejvhodnější metody.
6 Výběr autentizačních metod Cílem této kapitoly je vybrat nejvhodnější autentizační metodu pro bezdrátovou síť
BerNet.
Při
výběru
této
metody jsem
využil
matematického
aparátu
vícekriteriálního hodnocení variant a to ve dvou metodách. Metodu váženého součtu, známou též pod zkratkou WSA (Weighted Sum Approach) [3, s. 280] a metodu TOPSIS [3, s. 281]. Pro hodnocení autentizačních metod jsem vybral třináct kritérií, která hodnotím pomocí dvou metod. Nejprve kritéria ohodnotím pomocí metody pořadí, a takto ohodnocená kritéria použiji pro metodu váženého součtu, poté stejná kritéria ohodnotím pomocí Saatyho metody, a získané hodnoty použiji pro vícekriteriální hodnocení variant metodou TOPSIS. Po provedení hodnocení výsledky obou metod srovnávám a připojuji svůj komentář v závěru kapitoly. Autentizační metody, které mezi sebou porovnávám, jsou autentizace heslem, autentizace ID kartou a biometrická autentizace otiskem prstu. Tyto metody jsem vybral především proto, že se jedná o dnes běžně používané způsoby autentizace a zároveň každá z metod reprezentuje jednu ze tří autentizačních skupin. Autentizace heslem patří do skupiny autentizace znalostí, autentizace pomocí ID karty reprezentuje skupinu autentizace vlastnictvím a biometrická autentizace pomocí otisku prstu patří do skupiny autentizace vlastností.
6.1 Odhad vah kritérií pomocí metody pořadí Metoda pořadí je jednoduchý nástroj sloužící k odhadu vah kritérií. Pomocí tohoto postupu jsem seřadil všechna kritéria od nejdůležitějších po nejméně důležitá, a každému z kritérií jsem přiřadil hodnotu . Hodnota rovna počtu kritérií (v tomto případě vypočítá jako
pro nejdůležitější kritérium je
), hodnota pro kritérium o úroveň nižší se
, a hodnota pro nejméně důležité kritérium je . [3, s. 275]
- 30 -
Tabulka 2 - ohodnocení kritérií, metoda pořadí Název kritéria
Přiřazená preference
bezpečnost
10
uživatelská přívětivost
2
složitost implementace
7
náklady na pořízení
11
náklady na provoz
12
mobilita uživatele sítě
1
požadavky na HW vybavení
13
náročnost na obsluhu administrátorem
5
časová náročnost implementace
4
chybně přijatá autentizace
9
chybně odmítnutá autentizace
8
reference
3
vhodnost metody Zdroj: vytvořeno autorem
6
Odhad váhy jednotlivých kritérií se následně vypočítá pomocí následujícího vzorce: [3, s. 275] (1)
∑ kde:
…váha -tého kritéria
…hodnota -tého kritéria
V následující tabulce jsou pomocí výše uvedeného vzorce vypočítány váhy jednotlivých kritérií dle přiřazených preferencí administrátorem sítě. Váhy kritérií jsou zaokrouhleny s přesností na pět desetinných míst. Tabulka 3 - vypočítaná váha kritérií, metoda pořadí Název kritéria
Varianta
Preference
Váha kritéria
bezpečnost
max.
10
0,10989
uživatelská přívětivost
max.
2
0,02198
složitost implementace
min.
7
0,07692
náklady na pořízení
min.
11
0,12088
náklady na provoz
min.
12
0,13187
- 31 -
Název kritéria
Varianta
Preference
Váha kritéria
mobilita uživatele sítě
max.
1
0,01099
požadavky na HW vybavení
min.
13
0,14286
náročnost na obsluhu administrátorem
min.
5
0,05495
časová náročnost implementace
min.
4
0,04396
chybně přijatá autentizace
min.
9
0,09890
chybně odmítnutá autentizace
min.
8
0,08791
reference
max.
3
0,03297
vhodnost metody Zdroj: vytvořeno autorem
max.
6
0,06593
6.2 Vícekriteriální hodnocení metodou váženého součtu Metoda váženého součtu (WSA – Weighted Sum Approach) je metoda, která je ″založena na konstrukci lineární funkce užitku na stupnici od 0 do 1. Nejhorší varianta podle daného kritéria bude mít užitek nula, nejlepší varianta užitek 1 a ostatní varianty budou mít užitek mezi oběma krajními hodnotami″. [3, s. 280] Vzorec pro výpočet pomocí této metody se liší v závislosti na tom, zda se jedná o počítání s maximalizačními nebo s minimalizačními kritérii. Maximalizační kritéria se vypočítají podle vzorce: [3, s. 280] (2) kde:
…užitek varianty
…odpovídající hodnoty z výchozí kriteriální matice
…nejnižší hodnota kritéria
…nejvyšší hodnota kritéria
při hodnocení podle kritéria
Obdobně vypadá vzorec výpočtu pro minimalizační kritéria: [3, s. 280] (3) Celkový užitek námi počítané varianty následně získáme podle následujícího vzorce: [3, s. 280]
- 32 -
( )
∑
(4)
kde:
( )…celkový užitek varianty
Pro lepší pochopení průběhu metody váženého součtu, jsem pro tuto metodu vytvořil diagram aktivit, podle kterého jsem se následně řídil, abych neopomněl některé kroky, což by znamenalo chybný výsledek.
Obrázek 7 – diagram aktivit pro metodu váženého součtu (zdroj: vytvořeno autorem )
- 33 -
Pro metodu váženého součtu jsou využity váhy kritérií, které jsou vypočítány v tabulce Tabulka 3 - vypočítaná váha kritérií, metoda pořadí. Podle toho, zda se jedná o kritérium minimalizační nebo maximalizační je dosazeno do jednoho z výše uvedených vzorců. Výsledky jsou následně přehledně zobrazeny v tabulce Tabulka 5 celkový užitek variant, metoda váženého součtu. Z takto získaných hodnot však ještě není patrné, která metoda nejvíce vyhovuje preferencím administrátora. Pro získání konečného výsledku je třeba dosadit do vzorce (4) celkový užitek varianty
.
6.2.1 Metoda váženého součtu, kriteriální matice Důležitým krokem v metodách vícekriteriálního hodnocení variant je sestavení kriteriální matice. Kriteriální matice je matice, kde řádky představují kritéria, a sloupce varianty mezi kterými se rozhodujeme. Záznam v této matici reprezentuje konkrétní hodnotu pro konkrétní kritérium a variantu. Každá varianta v této matici je popsána vektorem kriteriálních hodnot. [3, s. 271] Níže sestavená kriteriální matice obsahuje mé subjektivní hodnocení na základě informací, které jsem získal při studiu literatury a internetových zdrojů. Matice tedy není všeobecně přijímaným hodnocením variant dle vybraných kritérií. Zdůvodnění, proč jsem přiřadil právě takovéto hodnoty kritérií jednotlivým variantám, následuje za tabulkou. V tabulce pracuji s celočíselnou stupnicí od 1 do 10. V případě, že se v jednom řádku vyskytují dvě jedničky, nebo dvě desítky, znamená to, že tyto metody hodnotím stejně dobře (nebo špatně, podle toho zda se jedná o minimalizační nebo maximalizační kritérium). Pokud se jedná o maximalizační kritérium, je nejvyšší hodnota nejlepší a nejnižší hodnota nejhorší. U minimalizačního kritéria je tomu přesně naopak. Nejlepší variantou je tedy nejnižší hodnota. Kritéria Y1 až Y13 zastupují názvy jednotlivých kritérií, přičemž pořadí je zachováno stejné jako v tabulce Tabulka 3 - vypočítaná váha kritérií, metoda pořadí a v přehledu kritérií. Tabulka 4 – kriteriální matice Varianta kritéria
Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
Y1
max.
3
5
8
Y2
max.
6
4
9
Y3
min.
2
6
6
Y4
min.
2
6
7
Y5
min.
1
5
4
Y6
max.
6
3
3
- 34 -
Varianta kritéria
Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
Y7
min.
1
6
6
Y8
min.
3
5
6
Y9
min.
3
6
6
Y10
min.
1
1
3
Y11
min.
1
1
4
Y12
max.
1
4
7
6
4
3
max. Y13 Zdroj: vytvořeno autorem
Z níže uvedených premis vycházím při tvorbě kriteriální matice. Cílem je vysvětlit, proč jsem jednotlivým metodám přiřadil právě takovéto hodnoty. Uvedené předpoklady nemusí být všeobecně přijímanými závěry. Jedná se pouze o mé subjektivní názory. Přesto, že se jedná o mé subjektivní názory, vycházím při sestavování kriteriální matice z literatury a volně dostupných internetových zdrojů. Bezpečnost (Y1) Nejbezpečnější z autentizačních metod je metoda založená na biometrických údajích. Jedná se o údaje, které se nedají ztratit, zapomenout, změnit ani jednoduše získat. Tyto údaje jsou s člověkem spojeny po celý jeho život. O něco méně bezpečnou je metoda autentizace ID kartou, zde může dojít v případě ztráty autentizačního tokenu k jeho zneužití. Nejméně bezpečnou je v porovnání s ostatními metodami autentizace heslem. Především tehdy, pokud necháme volbu hesla na uživateli. Existuje zde velká pravděpodobnost získání hesla jeho vyzrazením, špatnou volbou nebo prolomením. Při nedodržení základních pravidel tvorby hesla může dojít k jeho snadnému odhalení. Za nejbezpečnější autentizační metodu, vzhledem k výše uvedeným tvrzením, považuji biometrickou autentizaci otiskem prstu a za nejméně bezpečnou metodu autentizaci heslem. Uživatelská přívětivost (Y2) Každá autentizační metoda vyžaduje po uživateli činnost navíc, než by musel udělat bez nasazení těchto metod. Jako nejméně přívětivou metodu hodnotím autentizaci pomocí ID karty. V případě ztráty autentizačního tokenu totiž musí dojít k jeho zablokování, aby nemohl být zneužit, a poté musí uživatel čekat na přidělení nového. V době mezi tím se uživatel nemůže autentizovat. Podobná situace může nastat při ztrátě hesla u autentizace znalostí. Výhodou na rozdíl od autentizace pomocí - 35 -
ID karty je, že při jeho zapomenutí může uživatel požádat o zaslání nového hesla na email, který zadával při prvotní registraci. Doba, po kterou se uživatel nemůže autentizovat, se tedy výrazně zkracuje. U biometrické autentizace výše popsaná nebezpečí nehrozí. Z tohoto důvodu hodnotím biometrickou autentizaci jako nejvíce uživatelsky přívětivou metodu a autentizaci pomocí ID karty jako nejméně přívětivou metodu v porovnání s ostatními metodami. Složitost implementace (Y3) Jednoznačně nejméně nároků na implementaci klade autentizace heslem, systém pro tuto metodu autentizace lze snadno ovládat a nevyžaduje složitou údržbu. Tato metoda neklade žádné požadavky na nový hardware. Ostatní metody již potřebují specifické znalosti v oboru a asistenci firem zabývajících se touto oblastí. Zároveň vyžadují delší časový úsek na implementaci. Náklady na pořízení (Y4) Nejméně nákladnou metodou na pořízení je stejně jako u předchozího kritéria autentizace heslem. Ostatní metody vyžadují speciální zařízení, které zvyšují náklady na pořízení. Metoda autentizace pomocí ID karty vyžaduje speciální token, například v podobě čipové karty, a čtecí zařízení. Speciální čtecí zařízení potřebuje i metoda autentizace vlastností v případě biometrické autentizace. Jedná se o zařízení, které je schopné číst otisky prstů, dlaně, ale i třeba oční duhovky. Díky těmto zařízením jsou náklady na pořízení u metod autentizace ID kartou a biometrické autentizace otiskem prstu výrazně vyšší než u metody autentizace znalostí. Náklady na provoz (Y5) Pod toto kritérium se dají zahrnout náklady spojené s údržbou systému, platby externí firmě, náklady na vytvoření nového tokenu v případě jeho ztráty nebo odcizení. Nejméně nákladnou metodou je tedy vzhledem k výše uvedeným skutečnostem dle mého názoru metoda autentizace heslem. Tato metoda neklade žádné další nároky na provoz v podobě dodatečných nákladů. Autentizační metody založené na vlastnictví a vlastnostech jsou nákladnější na provoz. Mobilita uživatele sítě (Y6) V případě tohoto kritéria se jedná především o to, zda je uživatel schopen využívat služby sítě kdykoliv a odkudkoliv. U metod autentizace vlastnictvím a autentizace vlastností je uživatel omezen čtecím zařízením, které je potřebné pro tyto
- 36 -
metody autentizace. Může se tedy přihlašovat pouze tehdy, když je toto zařízení k dispozici. Vzhledem k výše zmíněnému hodnotím tyto metody jako více omezující uživatele než autentizace pomocí hesla. Požadavky na hardwarové vybavení (Y7) Autentizace heslem nevyžaduje nové hardwarové vybavení. Autentizace vlastnictvím vyžaduje nějaký předmět (token), pomocí něhož se uživatel prokazuje, a čtecí zařízení. Metoda autentizace vlastností potřebuje pro svůj provoz také čtecí zařízení. Konkrétně se jedná o zařízení na snímání biometrických údajů. Nejnižší nároky na hardware má metoda autentizace heslem, zbývající metody vyžadují nové hardwarové vybavení. Náročnost na obsluhu administrátorem (Y8) Všechny metody vyžadují po administrátorovi úkony navíc. Jako více náročné na obsluhu hodnotím metody autentizace pomocí ID karty a biometrická autentizace otiskem prstu. U těchto metod musí administrátor zajistit i obsluhu nového hardwarového vybavení, které tyto metody vyžadují, což u autentizace heslem není nutné. Časová náročnost implementace (Y9) Náročnější z časového hlediska jsou metody autentizace pomocí ID karty a biometrická autentizace otiskem prstu. V obou případech je třeba pořídit nové vybavení, u autentizace ID kartou zároveň pořídit autentizační token, a u biometrické autentizace otiskem prstu vytvořit databázi uživatelů a jejich biometrických údajů. V porovnání s ostatními metodami hodnotím autentizaci heslem jako nejméně časově náročnou metodu na implementaci. Chybně přijatá autentizace (Y10) Chybovost autentizačních metod záleží na mnoha okolnostech. U biometrické autentizace má vliv na chybovost především okolní prostředí. Jedná se například o vlhkost, světelné podmínky, teplotní podmínky a mnohé další. Naopak autentizace pomocí hesla a ID kartou těmto vlivům nepodléhají. V porovnání s ostatními metodami je nejvíce chybovou biometrická autentizace. Chybně odmítnutá autentizace (Y11) Stejné závěry jako u kritéria Chybně přijatá autentizace (Y10) platí i u tohoto kritéria. Větší chybovost u biometrické autentizace je ve smyslu chybně odmítnuté - 37 -
autentizace, což je v porovnání s chybně přijatou autentizací příjemnější. Spíše dojde k nesprávnému odmítnutí, než k nesprávnému přijetí. Díky tomu se ale snižuje uživatelská přívětivost, jelikož se musí uživatel opakovaně autentizovat. Vzhledem k těmto skutečnost hodnotím lépe autentizaci pomocí hesla a autentizaci ID kartou. Reference (Y12) Nejlepší reference má biometrická autentizace, jelikož je tato metoda považována za nejbezpečnější. Nejméně příznivé reference má naopak autentizace heslem, tato metoda poskytuje nejmenší zabezpečení v porovnání s ostatními metodami. V případě zabezpečování důležitých dat se metoda autentizace heslem používá v kombinaci s ostatními metodami s cílem dosažení vyšší bezpečnosti. Vhodnost metody (Y13) Bezpečnější autentizační metody typu autentizace vlastnictvím a autentizace prostřednictvím biometrických údajů se používají především v případě ochrany velmi citlivých a důležitých údajů. V bankovnictví se jedná například o údaje týkající se klientů a jejich bankovních kont. Dále se tyto metody používají pro ochranu dat v rámci národní bezpečnosti. Stále častěji však tyto metody pronikají i k běžným uživatelům. Dnes se již celkem běžně můžeme setkat s přenosnými počítači, které obsahují snímač otisku prstů. Uživatel se tak do operačního systému počítače nepřihlašuje svým jménem a heslem, ale přiložením prstu k tomuto snímači. Stejné postupy se využívají například u přenosných paměťových zařízení. Autentizace pomocí ID karty se v kombinaci s autentizací heslem používá v bankovnictví (platební karty). Autentizace heslem se nejčastěji využívá pro přihlašování do počítačové sítě, k uživatelským účtům na počítači, k webovým aplikacím, internetovým obchodům a k dalším službám. Je nejčastěji využívanou metodou pro počítačové sítě. Z těchto důvodů se tato metoda pro použití v bezdrátové síti BerNet jeví jako nejvhodnější.
6.2.2 Seřazení autentizačních metod V následující tabulce jsou zobrazeny výsledky jednotlivých kritérií pro každou metodu, včetně celkového užitku metody. Podle toho, zda je kritérium minimalizačního nebo maximalizačního typu, se použije pro výpočet příslušný vzorec. Poté, co jsou vypočítány hodnoty kritérií pro všechny varianty, je pomocí vzorce (4) vypočítán celkový užitek této varianty.
- 38 -
Tabulka 5 - celkový užitek variant, metoda váženého součtu Váha kritéria
Varianta kritéria
Autentizace heslem
Y1
0,10989
max.
0
0,4
1
Y2
0,02198
max.
0,4
0
1
Y3
0,07692
min.
1
0
0
Y4
0,12088
min.
1
0,2
0
Y5
0,13187
min.
1
0
0,25
Y6
0,01099
max.
1
0
0
Y7
0,14286
min.
1
0
0
Y8
0,05495
min.
1
0,33333
0
Y9
0,04396
min.
1
0
0
Y10
0,09890
min.
1
1
0
Y11
0,08791
min.
1
1
0
Y12
0,03297
max.
0
0,5
1
Y13
0,06593
max.
1
0,33333
0
0,84396
0,31172
0,19781
( )
Autentizace Biometrická ID kartou autentizace
Zdroj: vytvořeno autorem Z tabulky jasně vyplývá, že dle uvedených preferencí přiřazených jednotlivým kritériím, a následném výpočtu pomocí metody váženého součtu je nejvhodnější metodou pro autentizaci uživatelů v bezdrátové síti BerNet metoda autentizace heslem, na druhém místě autentizace ID kartou a až na třetím místě biometrická autentizace vlastností. Na základě výše provedených výpočtů doporučuji použít metodu autentizace heslem.
6.3 Odhad vah kritérií pomocí Saatyho metody Tato metoda odhadu vah kritérií je založena na porovnávání jednotlivých dvojic kritérií, přičemž každá dvojice se může při hodnocení vyskytnout pouze jednou. Preference jednoho kritéria před druhým je označena na celočíselné stupnici od 1 do 9. Pokud rozhodovatel přiřadí dvojici hodnotu 1, znamená to, že obě tato kritéria preferuje stejně (mají stejnou důležitost). Hodnota 9 označuje významnou preferenci jednoho kritéria před druhým. Pokud chce rozhodovatel označit jedno kritérium z dvojice za méně důležité, použije k tomu převrácené hodnoty celých čísel z výše uvedené stupnice. [3, s. 276]
- 39 -
Hodnoty získané pomocí výše uvedeného odhadu vah se následně použijí pro sestavení Saatyho matice. Tato matice je sestavena podle následujících pravidel: [3, s. 276]
hodnoty na hlavní diagonále jsou vždy jedničky
prvky, které jsou podle hlavní diagonály symetrické, jsou převrácenými hodnotami
Výhodou této metody je, že v případě kdy rozhodovatel nedokáže přesně zhodnotit své preference pomocí číselné stupnice, může se vyjádřit pomocí slovního hodnocení, a to je následně převedeno do číselné podoby. Pokud například rozhodovatel napíše, že kritérium Y1 je stejně důležité jako kritérium Y2, znamená to, že tato dvojice kritérií má hodnotu 1.[3, s 276] Odhad vah kritérií se provede pomocí následujících vzorců: [3, s 278]
(∏
)
⁄ (5)
Geometrický průměr se vypočítá jako součin všech hodnot v řádku matice ⁄ , kde
a následně takto získané číslo umocníme na
je počet kritérií v řádku
matice. [INT 4]
(6)
∑
V následující tabulce jsou zobrazeny preference jednotlivých dvojic kritérií a hodnoty těchto preferencí. Tabulka 6 – tabulka párového srovnávání, Saatyho metoda Y2
Y3
Y4
Y5
Y6
Y7
Y8
Y9
Y10
Y11
Y1
9
3
1/9
1/7
6
1/7
2
3
1
1
6
5
Y2
X
1/3
1/9
1/9
1
1/7
1
1/4
1/7
1/7
1
2
Y3
X
X
1/9
1/9
3
1/6
1
1
1/5
1/5
1/3
1/3
Y4
X
X
X
1
9
4
9
9
6
6
9
9
Y5
X
X
X
X
9
4
8
8
6
6
9
9
Y6
X
X
X
X
X
1/5
1
1/4
1/7
1/7
2
3
Y7
X
X
X
X
X
X
7
7
5
5
6
6
Y8
X
X
X
X
X
X
X
1
1/5
1/5
1
3
Y9
X
X
X
X
X
X
X
X
1/6
1/6
2
3
- 40 -
Y12 Y13
Y2
Y3
Y4
Y5
Y6
Y7
Y8
Y9
Y10
Y11
Y10
X
X
X
X
X
X
X
X
X
1
7
7
Y11
X
X
X
X
X
X
X
X
X
X
7
7
X X X X X Zdroj: vytvořeno autorem
X
X
X
X
X
X
1/3
Y12
Y12 Y13
Získané hodnoty se následně převedou do podoby Saatyho matice při zachování všech výše jmenovaných specifik. Všechny prvky na hlavní diagonále jsou jedničky a prvky, které jsou symetrické podle této diagonály, jsou převrácenými hodnotami. Tabulka 7 - Saatyho matice Y1
Y2
Y3
Y4
Y5
Y6
Y7
Y8
Y9
Y1
1
9
3
1/9
1/7
6
1/7
2
3
1
1
6
5
Y2
1/9
1
1/3
1/9
1/9
1
1/7
1
1/4
1/7
1/7
1
2
Y3
1/3
3
1
1/9
1/9
3
1/6
1
1
1/5
1/5
1/3
1/3
Y4
9
9
9
1
1
9
4
9
9
6
6
9
9
Y5
7
9
9
1
1
9
4
8
8
6
6
9
9
Y6
1/6
1
1/3
1/9
1/9
1
1/5
1
1/4
1/7
1/7
2
3
Y7
7
7
6
1/4
1/4
5
1
7
7
5
5
6
6
Y8
1/2
1
1
1/9
1/8
1
1/7
1
1
1/5
1/5
1
3
Y9
1/3
4
1
1/9
1/8
4
1/7
1
1
1/6
1/6
2
3
Y10
1
7
5
1/6
1/6
7
1/5
5
6
1
1
7
7
Y11
1
7
5
1/6
1/6
7
1/5
5
6
1
1
7
7
1
3
1/9
1/9
1/2
1/6
1
1/2
1/7
1/7
1
1/3
Y13 1/5 1/2 3 1/9 1/9 Zdroj: vytvořeno autorem
1/3
1/6
1/3
1/3
1/7
1/7
3
1
Y12 1/6
Y10 Y11 Y12 Y13
Nad takto vytvořenou maticí se následně provedou výpočty odhadu vah kritérií. Pomocí vzorce (5) jsem vypočítal geometrický průměr řádku Saatyho matice a pomocí vzorce (6) jsem provedl normalizace geometrického průměru. Získané váhy jednotlivých kritérií jsou přehledně zobrazeny v následující tabulce. Ve sloupci zobrazeny hodnoty geometrického průměru řádku a ve sloupci hodnoty, což jsou výsledné váhy pro každé kritérium.
- 41 -
jsou
jsou normalizované
Tabulka 8 – vypočítaná váha kritérií, Saatyho metoda matice párových porovnání Y1
1
9
3
1/9 1/7
6
1/7
2
Y2
1/9
1
Y3
1/3
3
1
Y4
9
9
9
1
Y5
7
9
9
1
Y6
1/6
1
1/3 1/9 1/9
1
1/7
1
1/9 1/9
3
1/6
1
1
1
9
4
9
9
6
6
9
9
5,6657
0,2493
1
9
4
8
8
6
6
9
9
5,4574
0,2401
1
1/5
1
2
3
0,3858
0,0169
Y7
7
7
6
1/4 1/4
5
1
7
7
6
6
3,2231
0,1418
Y8
1/2
1
1
1/9 1/8
1
1/7
1
1
1/5 1/5
1
3
0,4990
0,0219
Y9
1/3
4
1
1/9 1/8
4
1/7
1
1
1/6 1/6
2
3
1,0329
0,0454
Y10
1
7
5
1/6 1/6
7
1/5
5
6
1
1
7
7
1,7945
0,0789
Y11
1
7
5
1/6 1/6
7
1/5
5
6
1
1
7
7
1,7945
0,0789
Y12
1/6
1
3
1/9 1/9 1/2 1/6
1
1/2 1/7 1/7
1
1/3 0,3607
0,0159
Y13
1/5 ½
3
1/9 1/9 1/3 1/6 1/3 1/3 1/7 1/7
3
0,3546
0,0156
1/3 1/9 1/9
3
1
1
6
5
1,3805
0,0607
1
2
0,3349
0,0147
1/5 1/5 1/3 1/3 0,4458
0,0196
1/4 1/7 1/7
1/4 1/7 1/7 5
5
1
Zdroj: vytvořeno autorem
6.4 Vícekriteriální hodnocení variant metodou TOPSIS Definice metody TOPSIS uvádí, že ″metoda TOPSIS je založena na výběru varianty, která je nejblíže tzv. ideální variantě, tj. variantě, která je charakterizovaná vektorem nejlepších kriteriálních hodnot, a současně nejdále od tzv. bazální varianty, tj. varianty, která je reprezentována vektorem nejhorších kriteriálních hodnot.″ [3, s. 281] Stejně jako v případě vícekriteriálního hodnocení variant metodou váženého součtu, jsem i pro metodu TOPSIS vytvořil diagram aktivit, podle kterého jsem následně postupoval při výpočtech. U této metody je tento diagram ještě důležitější, jelikož metoda TOPSIS je v porovnání s metodou vícekriteriálního hodnocení variant mnohem propracovanější, a o to náročnější metoda.
- 42 -
Obrázek 8 - diagram aktivit pro metodu TOPSIS (zdroj: vytvořeno autorem)
Metoda TOPSIS pracuje s maximalizačními kritérii, a proto je třeba převést všechna minimalizační kritéria na maximalizační. Následující postup výpočtu metodou TOPSIS je volně převzat z knihy Operační výzkum od Josefa Jablonského. [3, s. 281] Výběr varianty metodou TOPSIS se provádí v pěti základních krocích. Nejprve je třeba hodnoty přiřazené kritériím za použití Saatyho metody převést pomocí následujícího vzorce pro transformaci kriteriálních hodnot:
- 43 -
(∑
)
(7)
⁄
kde:
…transformovaná hodnota kritéria
…původní kriteriální hodnoty (
V dalším kroku se vypočítají prvky vážené kriteriální matice
) jako
součin váhy kritéria a příslušné hodnoty získané výpočtem v předchozím kroku. Vzorec pro výpočet vážené kriteriální matice je následující: (8) kde:
…prvek vážené kriteriální matice
…váha -tého kritéria
…transformovaná kriteriální hodnota
Z takto získané matice se v dalším kroku určí ideální a bazální varianta, a následně se vypočítají vzdálenosti od těchto variant podle následujících vzorců:
[∑ [∑
(
) ]
(
) ]
⁄ (9)
⁄ (10)
V posledním kroku se vypočítá relativní vzdálenost od bazální varianty. Tato vzdálenost nabývá hodnot z intervalu 〈
〉. Nejlepší varianta je dle definice zmíněné
v úvodu této kapitoly ta, která je nejdále od bazální varianty, tedy ta, která ve zmíněném intervalu nabývá hodnoty nejbližší číslu 1. Číslo 1 reprezentuje ideální variantu. Vzorec pro výpočet relativní vzdálenosti od bazální varianty je následující: (11) kde:
…relativní vzdálenost varianty od bazální varianty
- 44 -
V následující tabulce jsou zobrazeny nové hodnoty pro všechna minimalizační kritéria, která jsou pro potřeby výpočtů převedena na maximalizační kritéria. U maximalizačních kritérií zůstaly hodnoty stejné. Převod na maximalizační kritérium se provede tak, že vezmeme nejhorší hodnotu (nejvyšší) a odečteme od ní aktuální hodnotu a tento rozdíl poté použijeme jako novou hodnotu. [3, s. 281] Tabulka 9 – transformovaná kriteriální matice pro metodu TOPSIS Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
Y1
3
5
8
Y2
6
4
9
Y3
4
0
0
Y4
5
1
0
Y5
4
0
1
Y6
6
3
3
Y7
5
0
0
Y8
3
1
0
Y9
3
0
0
Y10
2
2
0
Y11
3
3
0
Y12
1
4
7
4
3
6 Y13 Zdroj: vytvořeno autorem
V tabulce Tabulka 10 – normalizovaná kriteriální matice, metoda TOPSIS jsou ve sloupci Váha kritéria použity hodnoty získané z tabulky Tabulka 8 – vypočítaná váha kritérií, Saatyho metoda. Ve sloupcích Autentizace znalostí, Autentizace vlastnictvím a Autentizace vlastností jsou zobrazeny hodnoty získané výpočtem pomocí vzorce (7). Minimalizační kritéria, která jsou v tabulce Tabulka 8 – vypočítaná váha kritérií, Saatyho metoda, jsou pro potřeby výpočtu převedeny na maximalizační. Tabulka 10 – normalizovaná kriteriální matice, metoda TOPSIS Váha kritéria
Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
Y1
0,0607
0,30305
0,50508
0,80812
Y2
0,0147
0,52027
0,34684
0,78040
Y3
0,0196
1
0
0
- 45 -
Váha kritéria
Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
Y4
0,2493
0,98058
0,19612
0
Y5
0,2401
0,97014
0
0,24254
Y6
0,0169
0,81650
0,40825
0,40825
Y7
0,1418
1
0
0
Y8
0,0219
0,94868
0,31623
0
Y9
0,0454
1
0
0
Y10
0,0789
0,70711
0,70711
0
Y11
0,0789
0,70711
0,70711
0
Y12
0,0159
0,12309
0,49237
0,86164
0,0156 0,76822 Y13 Zdroj: vytvořeno autorem
0,51215
0,38411
Získané údaje z tabulky Tabulka 10 – normalizovaná kriteriální matice, metoda TOPSIS jsou použity pro výpočet vážené kriteriální matice pomocí vzorce (8). Následně je získána ideální a bazální varianta, a pomocí vzorců (9) a (10) jsou vypočítány vzdálenosti od těchto variant. Nakonec je vypočítána relativní vzdálenost každé varianty od bazální varianty pomocí vzorce (11). Výsledky jsou přehledně zobrazeny v následující tabulce. Tabulka 11 – výsledky vícekriteriálního hodnocení, metoda TOPSIS Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
Ideální varianta
Bazální varianta
Y1
0,01840
0,03067
0,04908
0,04908
0,01840
Y2
0,00766
0,00511
0,01150
0,01150
0,00511
Y3
0,01961
0
0
0,01961
0
Y4
0,24443
0,04889
0
0,24443
0
Y5
0,23293
0
0,05823
0,23293
0
Y6
0,01386
0,00693
0,00693
0,01386
0,00693
Y7
0,14180
0
0
0,14180
0
Y8
0,02083
0,00694
0
0,02083
0
Y9
0,04544
0
0
0,04544
0
Y10
0,05583
0,05583
0
0,05583
0
Y11
0,05583
0,05583
0
0,05583
0
Y12
0,00195
0,00781
0,01367
0,01367
0,00195
Y13
0,01198
0,00799
0,00599
0,01198
0,00599
- 46 -
Autentizace heslem
Autentizace ID kartou
Biometrická autentizace
0,03307
0,34018
0,34580
0,37857
0,09413
0,06716
0,91966 0,21673 Zdroj: vytvořeno autorem
0,16263
6.5 Porovnání výsledků metod váženého součtu a TOPSIS Nejlepší variantou autentizace pro bezdrátovou síť BerNet je při použití metody váženého součtu autentizace heslem a nejméně vhodnou metodou podle zadaných kritérií je biometrická autentizace pomocí otisku prstu. Stejné pořadí metod jsem získal při použití metody TOPSIS, a to přesto, že byla použita i jiná metoda odhadu vah kritérií, a to Saatyho metoda. Výsledky obou metod jsou zobrazeny v následující tabulce. Tabulka 12 - porovnání výsledků použitých metod Metoda váženého součtu
Metoda TOPSIS
Autentizace heslem
0,84396
0,91966
Autentizace ID kartou
0,31172
0,21673
Biometrická autentizace Zdroj: vytvořeno autorem
0,19781
0,16263
Díky použitým metodám vícekriteriálního hodnocení variant a výsledkům, které jsem získal, mohu jednoznačně doporučit pro použití v bezdrátové síti BerNet autentizaci uživatelů pomocí hesla, jejíž výsledky výrazně převyšují zbývající metody. Na druhém místě se shodně u obou metod umístila autentizace pomocí ID karty a na třetím místě biometrická autentizace pomocí otisku prstu. Odchylky ve výsledcích jsou způsobeny především díky tomu, že odhaduji váhy kritérií dvěma rozdílnými metodami. V případě metody váženého součtu je to pomocí metody pořadí, a u metody TOPSIS je to pomocí Saatyho metody, kde se porovnávají metody vzájemně mezi sebou, a hodnota je tak dána poměrem mezi kritérii. Přesto, že jsou mezi použitými metodami hodnocení variant menší odchylky v získaných výsledcích, pořadí variant je v obou případech stejné.
7 Online aplikace pro vícekriteriální rozhodování Vícekriteriální hodnocení variant je propracovaná metoda, která má za cíl porovnat mezi sebou rozdílné varianty pomocí vybraných kritérií, a to prostřednictvím - 47 -
matematických výpočtů. Metody se sestávají z několika kroků, a je důležité je všechny zachovat v přesně stanoveném pořadí. Zároveň je důležité dbát na přesnost dílčích výsledků, se kterými je pracováno v dalších krocích. Vzhledem k tomu, že se jedná o ne zcela jednoduché postupy, je možné, že v průběhu výpočtu uděláme chyby, které pak mohou vést k získání špatných výsledků a ovlivnění celého výběru nejlepší varianty. Pro zjednodušení celého postupu jsou dnes k dispozici na internetu různé online aplikace podporující vícekriteriální rozhodování. Výhodou těchto aplikací je především to, že výrazně zkrátí čas potřebný k výpočtu výsledku. Nevýhodou je, že ne vždy pracují s rozhodovací metodou, kterou požadujeme. Taktéž mnohé z nich pracují s omezeným počtem kritérií. V jednodušších případech, kdy využíváme při rozhodování jednoduchou metodu a zároveň pracujeme s menším množstvím kritérií, je výhodnější použít tyto aplikace. Pokud ale pracujeme s větším počtem kritérií a zároveň používáme složitější metodu hodnocení, je lepší vypracovat si celý postup samostatně. Ne všechny aplikace jsou také volně dostupné k běžnému použití, v některých případech je třeba za tyto aplikace zaplatit.
7.1 Přehled aplikací pro hodnocení variant V této podkapitole chci představit některé volně dostupné aplikace používané pro hodnocení variant, které usnadňují použití rozhodovacích metod.
7.1.1 Tabulkové procesory Za nejvíce rozšířenou aplikaci, kterou lze použít pro metody vícekriteriálního hodnocení variant považuji tabulkový procesor Microsoft Excel, který je součástí kancelářské balíku Microsoft Office. Přestože se jedná o komerční aplikaci, zahrnul jsem ji do tohoto přehledu, jelikož je běžnou součástí téměř každého osobního počítače. V tomto programu můžeme vytvořit tabulky, a pomocí matematických a statistických funkcí jednotlivé vzorce potřebné pro výpočet. Tímto můžeme zjednodušit potřebné výpočty. Nevýhodou tohoto postupu je, že všechny potřebné vzorce a tabulky musíme vytvořit samostatně. Tento program jsem využil při tvorbě tabulek a vzorců, a veškeré vytvořené tabulky a výpočty jsou elektronickou přílohou mé bakalářské práce. Ukázkou, jak může vypadat vytvořená tabulka pro metodu TOPSIS je následující obrázek. Tato tabulka obsahuje konkrétní hodnoty použité pro výběr autentizační metody v síti BerNet. - 48 -
Obrázek 9 - tabulka pro výpočet metodou TOPSIS (zdroj: vytvořeno autorem )
Na následujícím obrázku je zobrazen vzorec v tabulkovém procesoru Microsoft Excel vytvořený pro mezivýpočet v metodě TOPSIS.
Obrázek 10 - vzorec mezivýpočtu pro metodu TOPSIS (zdroj: vytvořeno autorem )
Použití tabulkového procesoru usnadňuje dílčí výpočty, ale je třeba vytvořit si vlastní vzorce. Vzorce, který je zobrazen na obrázku 10, je následující:
[∑
(
) ]
⁄
Proto byly vytvořeny různé doplňkové moduly pro Microsoft Excel, které urychlují a zjednodušují řešení úloh. Řešitel pouze vyplní vstupní údaje a po spuštění doplňkového modulu se rovnou zobrazí výsledky, aniž by bylo třeba provádět dílčí výpočty.
7.1.2 Doplňkový modul SANNA Jedná se o doplňkový modul pro Microsoft Excel vytvořený Josefem Jablonským na Vysoké škole ekonomické v Praze. Tato aplikace přidá do menu novou záložku, která sdružuje všechny ikony potřebné pro hodnocení variant. Modul umožňuje řešení
- 49 -
problému pomocí několika základních metod, jako například WSA, TOPSIS a další. Prostřednictvím modulu můžeme hodnotit až sto alternativ pomocí padesáti kritérií. [INT 5]
Obrázek 11 - doplněk SANNA v MS Excel (zdroj: vytvořeno autorem)
7.1.3 Doplňkové moduly ORKOSA Doplňkové moduly ORKOSA byly vytvořeny ve spolupráci tří vysokých škol. Vysoká škola ekonomická v Praze, Česká zemědělská univerzita v Praze a University of Udine zahájily spolupráci na tomto systému už v roce 1995. [2, s. 41] Systém se skládá z několika softwarových modulů, celkem jich je pět. Každý z modulů je koncipován jako doplněk programu Microsoft Excel. Modul, který podporuje vícekriteriální hodnocení variant, se nazývá MCAKOSA. Tento modul obsahuje metody TOPSIS, WSA, ORESTE a další. Uživatel zadá vstupní data a výstupem je pořadí variant, vzdálenosti od ideální a bazální varianty, hodnoty funkce užitku, případně další ukazatele podle použité metody. [INT 9]
Obrázek 12 - ukázka modulu MCAKOSA (zdroj: vytvořeno autorem)
- 50 -
Stejně jako rozšiřující modul SANNA je i tento modul omezen co do počtu variant a kritérií. Pomocí tohoto modulu můžeme hodnotit maximálně třicet variant podle dvaceti kritérií. Toto omezení je názorně dokumentováno na následujícím obrázku.
Obrázek 13 - omezení modelu MCAKOSA (zdroj: vytvořeno autorem)
7.1.4 Aplikace iMCA7 Jedná se online aplikaci pro multikriteriální analýzu vytvořenou Petrem Korvinym jako součást dizertační práce. Tato aplikace umožňuje odhad vah kritérií metodou Fullerova trojúhelníku a následné seřazení variant metodou váženého součtu (WSA). Počet kritérií je omezen na devět. [INT 6] Nejprve vybereme počet kritérií, poté se vyplní v připraveném formuláři názvy těchto kritérií, a v dalším kroku porovnáme jednotlivá kritéria mezi sebou a získáme jejich váhu.
Obrázek 14 – iMCA7 váha kritérií metoda Fullerova trojúhleníku (zdroj: vytvořeno autorem)
- 51 -
Pro výpočet metodou Fullerova trojúhelníku jsem použil prvních devět kritérií z tabulky Tabulka 2 - ohodnocení kritérií, metoda pořadí. Po získání těchto výsledků jsem vyplnil formulář pro metodu váženého součtu, kde jsem zadal vypočítané váhy kritérií a hodnoty variant pro jednotlivá kritéria. Výsledek získaný prostřednictvím této aplikace při hodnocení podle devíti kritérií je zobrazen na následujícím obrázku.
Obrázek 15 – iMCA7 seřazení variant (zdroj: vytvořeno autorem )
Jako nejlepší varianta byla pomocí této aplikace určena metoda autentizace heslem. Metoda autentizace pomocí ID karty se na rozdíl od výpočtu pomocí metody váženého součtu v kapitole 6.2 a výpočtu pomocí metody TOPSIS v kapitole 6.4 umístila až za biometrickou autentizací otiskem prstu. Tento rozdíl je způsoben především rozdílným počtem kritérií, díky tomu mají kritéria odlišnou váhu, a proto jsou výsledky metody rozdílné. Zároveň se na výsledku promítla i jiná metoda odhadu vah kritérií. Všechny získané výsledky jsou přehledně zobrazeny v následující tabulce. Tabulka 13 - Přehled získaných výsledků autentizace heslem
autentizace ID kartou
biometrická autentizace
metoda váženého součtu
0,84396
0,31172
0,19781
metoda TOPSIS
0,91966
0,21673
0,16263
0,7917 aplikace iMCA7 Zdroj: vytvořeno autorem
0,1102
0,2778
- 52 -
8 Závěr Tato práce se zabývá výběrem nejvhodnější autentizační metody pro existující bezdrátovou síť BerNet. Autentizační metody jsem vybíral pomocí vícekriteriálního rozhodování. Stanovil jsem třináct kritérií, která jsem následně ohodnotil, a pomocí metody TOPSIS a metody váženého součtu vybral nejvhodnější autentizační metodu. U obou použitých matematických metod je výsledkem stejné pořadí hodnocených autentizačních metod. V obou případech se jako nejlépe hodnocená varianta ukázala metoda autentizace pomocí hesla, na druhém místě autentizace pomocí ID karty, a jako třetí skončila biometrická autentizace otiskem prstu. Přesto, že je pořadí metod stejné, jsou u každé z metod získány drobné odchylky ve výsledcích. Tyto odchylky jsou způsobeny především díky tomu, že u každé z metod je použit jiný způsob odhadu vah kritérií. Uvedené odchylky jsou minimální, a proto je pořadí autentizačních metod u obou požitých metod hodnocení stejné. Na základě získaných výsledků mohu doporučit pro nasazení v bezdrátové síti BerNet autentizaci uživatelů pomocí hesla. Získané výsledky jsou v samém závěru práce porovnány s online aplikací pro podporu vícekriteriálního rozhodování. Pořadí metod, které jsem získal pomocí této aplikace, je odlišné od výsledků získaných pomocí metody TOPSIS a metody váženého součtu. Jako nejlépe hodnocená, stejně jako u předchozích matematických metod, je metoda autentizace heslem, druhá skončila metoda biometrické autentizace a třetí metoda autentizace ID kartou. Rozdíl v získaných výsledcích je způsoben především díky omezenému počtu kritérií. Tato aplikace pracuje pouze s devíti kritérii. Zároveň se na výsledku projevila i jiná metoda odhadu vah kritérií. Aplikace hodnotí váhy kritérií pomocí Fullerova trojúhelníku. I přesto je nejlépe hodnocena metoda autentizace heslem, stejně jako u metody TOPSIS a metody váženého součtu. Výsledky této práce budou použity pro nasazení nejlépe hodnocené autentizační metody v praxi.
- 53 -
Seznam použité literatury [1] BARKEN, Lee. Wi-Fi: Jak zabezpečit bezdrátovou síť. Brno: Computer Press, 2004, 174 s. ISBN 80-251-0346-3. [2] DOUBRAVOVÁ, Hana. Vícekriteriální analýza variant a její aplikace v praxi. České Budějovice, 2009. Diplomová práce (Ing.). Jihočeská univerzita v Českých Budějovicích. [3] JABLONSKÝ, Josef. Operační výzkum: Kvantitativní modely pro ekonomické rozhodování. Praha: Professional Publishing, 2002, 323 s. ISBN 80-86419-42-8. [4] KÖHRE, Thomas. Stavíme si bezdrátovou síť Wi-Fi. Brno: Computer Press, 2004, 295 s. ISBN 80-251-0391-9. [5] PETIK, Lukáš. Použití biometrické identifikace při zabezpečení objektu. Ostrava, 2008. Bakalářská práce (Bc.). Vysoká škola báňská – Technická univerzita Ostrava [6] PUŽMANOVÁ, Rita. Bezpečnost bezdrátové komunikace: Jak zabezpečit WiFi, Bluetooth, GPRS či 3G. Brno: CP Books, 2005, 179 s. ISBN 80-251-0791-4. [7] VAŠEK, Matyáš et al. Autentizace uživatelů a autorizace elektronických transakcí. Praha: Tate International, 2007, 318 s. ISBN 978-80-86813-14-1.
Elektronické zdroje [INT 1] Bernartice a Borovsko. Obec Bernartice a Borovsko [online]. 27.3.2012 [cit. 2012-03-28]. Dostupné z: http://bernartice-borovsko.cz/spolky.php?bernet [INT 2] COMPEX WLM54AG-6B23dBm. Wifi.aspa [online]. © 2001 - 2012 [cit. 2012-04-11]. Dostupné z: http://wifi.aspa.cz/compex-wlm54ag-6b23dbm-wirelesssuperag-high-power-minipci-adapter-802-11-a-b-g-108mbps-z76936/ [INT 3] ČERMÁK, Miroslav. Vícefaktorová autentizace. Clever and smart [online]. 2010 [cit. 2012-05-08]. Dostupné z: http://www.cleverandsmart.cz/vicefaktorova-autentizace/ [INT 4] HAVRLANT, Lukáš. Základy statistiky. Matematika polopatě [online]. © 2006-2011 [cit. 2012-03-31]. Dostupné z: http://www.matweb.cz/zaklady-statistiky
- 54 -
[INT 5] JABLONSKÝ, Josef. SANNA 2009 - MS Excel based system for evaluation of alternatives. SANNA [online]. 13.3.2010 [cit. 2012-04-21]. Dostupné z: http://nb.vse.cz/~jablon/sanna.htm [INT 6] KORVINY, Petr. Multikriteriální analýza, dálkově řízených prvků v distribuční síti vn. MCA7 - on-line program iMCA7 [online]. ©2006-2011 [cit. 201204-24]. Dostupné z: http://korviny.cz/mca7/online_mca7.php [INT 7] MikroTik RouterBOARD RB433. Wifi.aspa [online]. © 2001 - 2012 [cit. 2012-04-11]. Dostupné z: http://wifi.aspa.cz/mikrotik-routerboard-rb433-64-mb-ram300-mhz-3x-minipci-3x-lan-vc-l4-z87398/ [INT 8] PROCHÁZKA, Juraj. Eurotel CDMA - internetová revoluce v Česku?. Mobilmania.cz
[online].
16.4.2004
[cit.
2012-04-16].
Dostupné
z:
http://www.mobilmania.cz/clanky/eurotel-cdma---internetova-revoluce-v-cesku/sc-3-a1107023/default.aspx [INT 9] Přehled SW modulů pro podporu rozhodování. VIPOR [online]. ©2006 [cit. 2012-04-24]. Dostupné z: http://vipor.czu.cz/download.php?id_c=2 [INT 10] ZIP - Vícekriteriální rozhodování [online]. ©2003 [cit. 2012-03-27]. Dostupné z: http://etext.czu.cz/php/skripta/skriptum.php?titul_key=79
- 55 -
Seznam obrázků OBRÁZEK 1 - AUTENTIZACE METODOU OTEVŘENÉHO SYSTÉMU .......................... 13 OBRÁZEK 2 - MODEL AUTENTIZACE SDÍLENÝM KLÍČEM.......................................... 13 OBRÁZEK 3 - VÍCEFAKTOROVÁ AUTENTIZACE ............................................................ 21 OBRÁZEK 4 - WI-FI SÍŤ BERNET ........................................................................................ 24 OBRÁZEK 5 - MIKROTIK ROUTERBOARD V PŘÍSTUPOVÝCH BODECH .................. 25 OBRÁZEK 6 - BEZDRÁTOVÁ KARTA V PŘÍSTUPOVÝCH BODECH ............................ 26 OBRÁZEK 7 - DIAGRAM AKTIVIT PRO METODU VÁŽENÉHO SOUČTU .................... 33 OBRÁZEK 8 - DIAGRAM AKTIVIT PRO METODU TOPSIS ............................................. 43 OBRÁZEK 9 - TABULKA PRO VÝPOČET METODOU TOPSIS ........................................ 49 OBRÁZEK 10 - VZOREC MEZIVÝPOČTU PRO METODU TOPSIS .................................. 49 OBRÁZEK 11 - DOPLNĚK SANNA V MS EXCEL............................................................... 50 OBRÁZEK 12 - UKÁZKA MODULU MCAKOSA ................................................................ 50 OBRÁZEK 13 - OMEZENÍ MODELU MCAKOSA ............................................................... 51 OBRÁZEK 14 – IMCA7 VÁHA KRITÉRIÍ METODA FULLEROVA TROJÚHLENÍKU ... 51 OBRÁZEK 15 – IMCA7 SEŘAZENÍ VARIANT .................................................................... 52
- 56 -
Seznam tabulek TABULKA 1 – POROVNÁNÍ PROTOKOLŮ WEP, WPA A WPA2 ..................................... 16 TABULKA 2 – OHODNOCENÍ KRITÉRIÍ, METODA POŘADÍ .......................................... 31 TABULKA 3 – VYPOČÍTANÁ VÁHA KRITÉRIÍ, METODA POŘADÍ .............................. 31 TABULKA 4 – KRITERIÁLNÍ MATICE ................................................................................ 34 TABULKA 5 – CELKOVÝ UŽITEK VARIANT, METODA VÁŽENÉHO SOUČTU ......... 39 TABULKA 6 – TABULKA PÁROVÉHO SROVNÁVÁNÍ, SAATYHO METODA ............. 40 TABULKA 7 – SAATYHO MATICE ...................................................................................... 41 TABULKA 8 – VYPOČÍTANÁ VÁHA KRITÉRIÍ, SAATYHO METODA .......................... 42 TABULKA 9 – TRANSFORMOVANÁ KRITERIÁLNÍ MATICE, METODU TOPSIS ....... 45 TABULKA 10 – NORMALIZOVANÁ KRITERIÁLNÍ MATICE, METODA TOPSIS ........ 45 TABULKA 11 – VÝSLEDKY METODA TOPSIS .................................................................. 46 TABULKA 12 – POROVNÁNÍ VÝSLEDKŮ POUŽITÝCH METOD ................................... 47 TABULKA 13 – PŘEHLED ZÍSKANÝCH VÝSLEDKŮ ....................................................... 52
- 57 -
Seznam vzorců VZOREC (1) – VÁHY KRITÉRIÍ METODOU POŘADÍ........................................................ 31 VZOREC (2) – VÁŽENÝ SOUČET PRO MAXIMALIZAČNÍ KRITÉRIA ........................... 32 VZOREC (3) – VÁŽENÝ SOUČET PRO MINIMALIZAČNÍ KRITÉRIA ............................ 32 VZOREC (4) – VÁŽENÝ SOUČET PRO CELKOVÝ UŽITEK VARIANTY ....................... 33 VZOREC (5) – GEOMETRICKÝ PRŮMĚR ŘÁDKU SAATYHO MATICE ........................ 40 VZOREC (6) – NORMALIZACE GEOMETRICKÉHO PRŮMĚRU ..................................... 40 VZOREC (7) – TRANSFORMACE KRITERIÁLNÍCH HODNOT ........................................ 44 VZOREC (8) – VÝPOČET VÁŽENÉ KRITERIÁLNÍ MATICE ............................................ 44 VZOREC (9) – VZDÁLENOST OD IDEÁLNÍ VARIANTY .................................................. 44 VZOREC (10) – VZDÁLENOST OD BAZÁLNÍ VARIANTY .............................................. 44 VZOREC (11) – RELATIVNÍ VZDÁLENOSTI VARIANT OD BAZÁLNÍ VARIANTY .... 44
- 58 -
