Не важно, что произошло. То, что вы будете делать после этого, определяет результат. © Катрин Кульман 1119 - | 876 - или читать все...
Обратная связь Пожаловаться на материал

Содержание понятий: идентификация, аутентификация, авторизация, администрирование.


⇐ ПредыдущаяСтр 6 из 40Следующая ⇒

Идентификация (Identification) — процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация (Authentication) — процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация (Authorization) — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование (Accounting) — регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры — обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

Категории процессов аутентификации в зависимости от предъявляемых субъектом сущностей.

Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории:

на основе знания чего-либо. Примером могут служить стандартные пароли, персональные идентификационные номера (PersonalIdentificationNumbers PIN), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа «запрос-ответ»;

на основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты, устройства touch- memory и персональные генераторы, которые используются для создания одноразовых паролей;

на основе каких-либо неотъемлемых характеристик. данная категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, сетчатка глаза, отпечатки пальцев). В этой категории не используются криптографические методы и средства. Аутентификация на ос- ноне биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.

Для взаимной аутентификации участников взаимодействия быть организован обмен паролями между ними. Пароль — то, что знает пользователь и что также знает другой участник взаимодействия. Персональный идентификационный номер PIN является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN - должно быть известно только держателю карты.

Динамический (одноразовый) пароль — это пароль, который после однократного применения никогда больше не используется. На практике обычно выбирают регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

Система «запрос-ответ» — одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникально, и непредсказуемого значения «запрос», а другая сторона посылат ответ, вычисленный с помощью запроса и секрета. Так как обе стороны владеют одним секретом, то первая из них может проверить правильность ответа второй.

Сертификаты и цифровые подписи — если для аутентификации используются сертификаты, то требуется применение и цифровых подписей на них. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Internet появилось несколько коммерческих инфраструктур РКI для распространения сертификатов электронных подписей. Пользователи могут получить сертификаты различных уровней.

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с данным подходом процессы аутентификации разделяются на следующие типы:

простая аутентификация (на основе использования паролей);

строгая аутентификация (на основе использования криптографических методов и средств);

• процессы (протоколы) аутентификации, обладающие Свойством доказательства с нулевым знанием.

С точки зрения безопасности каждый из перечисленных типов способствует решению определенных задач, поэтому процессы и протоколы аутентификации активно используются на практике. В то же время следует отметить, что интерес к протоколам аутентификации, обладающим свойством доказательства с нулевым знанием, носит пока скорее теоретический, нежели практический характер, но, возможно, в недалеком будущем их начнут активно использовать для защиты информационного обмена.

Дата добавления: 2018-06-01; просмотров: 1020; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345678910Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.012)