Аутентификация, авторизация и администрирование действий пользователей

ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ

С каждым зарегистрированным в компьютерной системе субъектом (юзером либо процессом, действующим от име­ни юзера) связана некая информация, совершенно точно идентифицирующая его. Это может быть число либо строчка сим­волов, именующие данный субъект. Эту информацию именуют идентификатором субъекта. До того как получить доступ к ре­сурсам компьютерной системы, юзер Аутентификация, авторизация и администрирование действий пользователей должен пройти процесс первичного взаимодействия с it системой, который включает идентификацию и аутентификацию.

Идентификация (Identification) — процедура определения юзера по его идентификатору (имени). Эта функция производится, когда юзер делает попытку войти в сеть. Юзер докладывает системе по ее запросу собственный идентификатор, и система инспектирует в собственной базе данных его наличие.

Аутентификация (Authentication Аутентификация, авторизация и администрирование действий пользователей) — процедура проверки подлинности заявленного юзера, процесса либо устройства, рта проверка позволяет достоверно убедиться, что юзер является конкретно тем, кем себя заявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при всем этом проверяе­мая сторона тоже интенсивно участвует в процессе обмена информа­цией. Обычно юзер подтверждает свою Аутентификация, авторизация и администрирование действий пользователей идентификацию, Вводя в систему уникальную, не известную другим юзерам Информацию о для себя (к примеру, пароль либо сертификат).

Идентификация и аутентификация являются взаимосвязан­ными процессами определения и проверки подлинности субъ­ектов (юзеров). После идентификации и аутентификации субъекта производится его авторизация.

Авторизация (Authorization) — процедура предоставления субъекту определенных возможностей Аутентификация, авторизация и администрирование действий пользователей и ресурсов в данной системе. Другими словами, авторизация устанавливает сферу его дейст­вия и доступные ему ресурсы. Если система не может накрепко отличить авторизованное лицо от неавторизованного, то конфи­денциальность и целостность инфы в этой системе могут быть нарушены.

С процедурами аутентификации и авторизации плотно сплетена процедура администрирования Аутентификация, авторизация и администрирование действий пользователей действий юзера.

Администрирование (Accounting) — регистрация действий юзера в сети, включая его пробы доступа к ресурсам. С позиций безопасности она в особенности принципиальна для обнаружения, анализа инцидентов безопасности в сети и соответственного реагирования на их.

Нужный уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Примером слабенькой формы аутентификации может служить внедрение Айпишника Аутентификация, авторизация и администрирование действий пользователей для определения юзера. Замена Айпишника может просто повредить механизм аутентификации. При защите каналов передачи данных должна производиться обоюдная аутентификация субъектов, т. е. обоюдное подтвержде­ние подлинности субъектов, связывающихся меж собой по ли­ниям связи. Процедура доказательства подлинности выполняет­ся обычно сначала сеанса установления соединения абонентов. Термин Аутентификация, авторизация и администрирование действий пользователей «соединение» показывает на логическую связь (потенци­ально двухстороннюю) меж 2-мя субъектами сети. Цель данной процедуры — обеспечить уверенность, что соединение уста­новлено с легитимным субъектом и вся информация дойдет до места предназначения.

Для доказательства собственной подлинности субъект может предъявлять системе различные сути. Зависимо от предъ­являемых субъектом сущностей процессы аутентификации могут быть Аутентификация, авторизация и администрирование действий пользователей разбиты на базе:

· познания чего-либо. Примерами могут служить пароль, пер­сональный идентификационный код PIN, также скрытые и открытые ключи, познание которых показывается в протоколах типа за­прос-ответ;

· обладания чем-либо. Как правило это магнитные карты, смарт-карты, сертификаты и устройства touch memory;

· каких-то неотъемлемых черт. Эта категория Аутентификация, авторизация и администрирование действий пользователей включает способы, базирующиеся на проверке биометриче­ских черт юзера (голоса, радужной обо­лочки и сетчатки глаза, отпечатков пальцев, геометрии ла­дони и др.). В данной категории не употребляются крипто­графические способы и средства.

Пароль — это то, что знает юзер и другой участник взаимодействия. Для обоюдной аутентификации Аутентификация, авторизация и администрирование действий пользователей участников взаи­модействия может быть организован обмен паролями меж ними.

Индивидуальный идентификационный номер PIN является испытанным методом аутенти­фикации держателя пластмассовой карты и смарт-карты. Динамический (разовый) пароль — это пароль, который после однократного внедрения никогда больше не использует­ся. На практике обычно употребляется часто меняющееся значение, которое базируется на Аутентификация, авторизация и администрирование действий пользователей неизменном пароле либо ключе­вой фразе.

Система запрос-ответ. Одна из сторон инициирует аутен­тификацию при помощи посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона отправляет ответ, вычисленный при помощи «запроса» и секрета. Потому что обе стороны обладают одним секретом, то 1-ая сторона может про­верить Аутентификация, авторизация и администрирование действий пользователей корректность ответа 2-ой стороны.

Сертификаты и цифровые подписи. Если для аутентификации употребляются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответ­ственным лицом в организации юзера, сервером серти­фикатов либо наружной доверенной организацией. В рамках Ин­тернета появились коммерческие инфраструктуры управления открытыми ключами PKI для распро­странения сертификатов Аутентификация, авторизация и администрирование действий пользователей открытых ключей.

Процессы аутентификации можно также систематизировать по уровню обеспечиваемой безопасности. В согласовании с этим процессы аутентификации делятся на последующие типы:

· аутентификация, использующая пароли и PIN-коды;

· строгая аутентификация на базе использования крипто­графических способов и средств;

· биометрическая аутентификация юзеров.

Исходя из убеждений безопасности любой из перечисленных ти Аутентификация, авторизация и администрирование действий пользователей­пов содействует решению собственных специфичных задач, потому процессы и протоколы аутентификации интенсивно употребляются на практике.

Главные атаки на протоколы аутентификации:

· маскарад (impersonation). Юзер выдает себя за дру­гого с целью получения возможностей и способности дейст­вий от лица другого юзера;

· замена стороны аутентификационного обмена. Злодей в процессе данной атаки участвует Аутентификация, авторизация и администрирование действий пользователей в процессе аутентификационного обмена меж 2-мя сто­ронами с целью модификации проходящего через него тра­фика;

· повторная передача (replay attack) заключается в повторной передаче аутентификационных данных любым пользо­вателем;

· принудительная задержка (forced delay). Злодей перехватывает некую информацию и передает ее спус­тя некое время;

· атака с подборкой Аутентификация, авторизация и администрирование действий пользователей текста (chosen-text attack). Злоумышлен­ник перехватывает аутентификационный трафик и пытает­ся получить информацию о длительных криптографи­ческих ключах.

Для предотвращения таких атак при построении протоколов аутентификации используются:

· внедрение устройств типа «запрос—ответ», «отметка времени», случайных чисел, идентификаторов, цифровых подписей;

· привязка результата аутентификации к следующим дей­ствиям юзеров в рамках системы Аутентификация, авторизация и администрирование действий пользователей. Примером подоб­ного подхода может служить воплощение в процессе аутентификации обмена скрытыми сеансовыми ключами, которые применяются при предстоящем содействии юзеров;

· периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т. п.

Недочет механизма «запрос—ответ»: возмож­ность установления закономерности меж запросом и ответом.

Механизм «отметка времени Аутентификация, авторизация и администрирование действий пользователей» предполагает регистрацию вре­мени для каждого сообщения. Каждый юзер сети определяет, как «устарело» пришедшее сообщение.

В обоих случаях для защиты механизма контроля следует использовать шифрование.

При использовании отметок времени появляется неувязка допустимого временного интервала задержки для доказательства подлинности сеанса: сообщение с «временным штемпелем» в принципе не может быть Аутентификация, авторизация и администрирование действий пользователей передано одномоментно.

При сопоставлении и выборе протоколов аутентификации необ­ходимо учесть последующие свойства:

· наличие обоюдной аутентификации. Это свойство отражает необходимость взаимной аутентификации меж сторона­ми аутентификационного обмена;

· вычислительную эффективность. Это количество операций, нужных для выполнения протокола;

· коммуникационную эффективность. Данное свойство отра­жает количество сообщений и их длину, нужную для воплощения аутентификации Аутентификация, авторизация и администрирование действий пользователей;

· наличие третьей стороны. Примером третьей стороны мо­жет служить доверенный сервер рассредотачивания симметрич­ных ключей либо сервер, реализующий дерево сертификатов для рассредотачивания открытых ключей;

· гарантии безопасности. Примером может служить примене­ние шифрования и цифровой подписи.


avstriya-saksoniya-bitva-pri-gogenfridberge.html
avstro-prusskie-otnosheniya-i-sudbi-imperii.html
avtekuchev-sistemasi-buencha-analiz.html