Идентификация, аутентификация и авторизация субъектов доступа. Основные определения.
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
(Заметим в скобках, что происхождение русскоязычного термина "аутентификация" не совсем понятно. Английское "authentication" скорее можно прочитать как "аутентикация"; трудно сказать, откуда в середине взялось еще "фи" - может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) идвусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
-
что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
-
как организован (и защищен) обмен данными идентификации/аутентификации.
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
-
нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
-
нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
-
нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведенияданных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколыаутентификации.
Надежная идентификация и затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.
Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.
Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.
- Операционные системы. Назначение и функции операционных систем (ос).
- Функции ос
- Наиболее важные
- Классификация операционных систем.
- Основные принципы построения ос.
- Мультипрограммирование (многозадачность). Мультипрограммирование в системах с пакетной обработкой, системах с разделением времени и реального времени. Многопроцессорный режим работы.
- Мультипрограммирование в системах с пакетной обработкой
- Мультипрограммирование в системах разделения времени
- Мультипрограммирование в системах реального времени
- Функции подсистемы управления процессами. Разновидности задач: процессы и потоки (нити).
- Понятия «процесс» и «поток»
- Кооперативная (невытесняющая) и вытесняющая многозадачность. Достоинства и недостатки.
- Основные алгоритмы планирования задач: алгоритмы, основанные на квантовании, смешанные алгоритмы. Размер кванта.
- Обеспечение корректности совместного доступа к объектам. Предотвращение тупиковых ситуаций.
- Синхронизация параллельных задач. Обеспечение корректности совместного доступа к объектам ос.
- Моменты перепланировки. Механизм прерывания. Основные виды прерываний. Обработка прерываний. Векторы прерываний.
- Моменты перепланировки
- Назначение и типы прерываний
- Механизм прерываний
- Типы адресов
- Методы распределения памяти с использованием дискового пространства. Страничное распределение. Сегментное распределение. Странично-сегментное распределение.
- Страничное распределение
- 1 Здесь не учитывается возможность кэширования записей из таблицы страниц, которая рассматривается несколько позже.
- 1 Процессор Pentium позволяет использовать также страницы размером до 4 Мбайт одно- ' временно со страницами объемом 4 Кбайт.
- Сегментное распределение
- Сегментно-страничное распределение
- Имена файлов
- Монтирование
- 1 На практике чаще используется относительная форма именования, которая не включает имя диска и цепочку имей каталогов верхнего уровня, заданных по умолчанию.
- Атрибуты файлов
- Этапы подготовки диска к записи
- Структура каталогов dos
- Структура каталогов os unix
- Файловая система ntfs. Структура логического диска под управлением Windows nt.
- Структура тома ntfs
- 1 В Windows nt логический раздел принято называть томом.
- Структура файлов ntfs
- Каталоги ntfs
- Классификация угроз безопасности ос.
- Типичные атаки на ос
- Понятие защищенной ос. Подходы к построению защищенных ос.
- Подходы к построению защищенных ос
- Административные меры защиты (ос)
- Адекватная политика безопасности
- Разграничение доступа к объектам ос. Основные определения.
- Идентификация, аутентификация и авторизация субъектов доступа. Основные определения.
- Идентификация и аутентификация с помощью внешних носителей ключевой информации.
- Идентификация и аутентификация с помощью биометрических характеристик пользователей.