Политика безопасности информационного объекта. Управление доступом к ресурсам
Основные понятия и концепции
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова аутентификация иногда используется словосочетание «проверка подлинности».
Совокупность процедур идентификации и аутентификации называют авторизацией.
В компьютерный системах (КС) выделяют следующие виды аутентификации:
– аутентификация пользователей. Имеется в виду опознание пользователей, которым необходим доступ к защищаемой информации или требуется подключение к информационной системе;
–аутентификацию процессов. Состоит в опознавании процессов и определении правомерности их операций;
– аутентификация хранящихся файлов данных. Направлена на установление того факта, что данные не подвергались модификации;
– аутентификация сообщений. Сводится к установлению подлинности полученного по каналам связи сообщения, в том числе решения вопроса об авторстве этого сообщения и установления факта приема сообщения.
Аутентификация бывает односторонней (клиент доказывает свою подлинность серверу, право на вход в систему) и двусторонней (взаимной).
Различают следующие формы аутентификации пользователей:
– нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
– нечто, чем он владеет (личные магнитные пластиковые карточки, карточки со встроенным микропроцессором, жетоны, радиопередатчики небольшого радиуса действия и т.п.);
– нечто, что есть часть его самого (голос, отпечатки пальцев, ладони, т.е. биометрические характеристики).
На практике используют несколько форм аутентификации сразу, и такая аутентификация называется многофакторной.
Наиболее распространенный вариант аутентификации – использование пароля [18]. Простейший метод подтверждения подлинности с использованием пароля основан на сравнении предоставляемого пользователем пароля РА с исходным значением Р′А, хранящимся в компьютерном центре.
Поскольку пароль должен храниться в тайне, он должен шифроваться перед пересылкой по незащищенному каналу или вместо пароля по линиям связи должно пересылаться отображение пароля, получаемое с использованием односторонней функции, которое должно гарантировать невозможность раскрытия пароля по его отображению. Очевидно, что значение a(Р) вычисляется заранее и хранится в идентификационной таблице у получателя. Подтверждение подлинности происходит путем сравнения двух отображений пароля a(Р) и a′(Р) и признании пароля РА, если эти отображения равны.
В последнее время все большее распространение получают биометрические идентификации и аутентификации пользователя, позволяющие идентифицировать потенциального пользователя путем измерения его физиологических характеристик, особенностей его поведения.
Основные достоинства биометрических методов идентификации и аутентификации по сравнению с традиционными:
– высокая степень достоверности идентификации по биометрическим признакам из-за их уникальности;
– неотделимость биометрических признаков от дееспособной личности;
– трудность фальсификации биометрических признаков.
Используются следующие биометрические признаки для идентификации потенциального пользователя:
– узор радужной оболочки и сетчатки глаз;
– отпечатки пальцев;
– геометрическая форма руки;
– форма и размеры лица;
– особенности голоса;
– биомеханические характеристики рукописной подписи;
– биомеханические характеристики «клавиатурного почерка».
Применение биометрических параметров для идентификации и аутентификации субъектов доступа автоматизированных систем пока не получило надлежащего нормативно-правового обеспечения, в частности в виде стандартов. Сдерживающим фактором является и стоимость оборудования биометрической идентификации.
Дата добавления: 2018-05-10; просмотров: 776;