Аутентификация в информационных системах

Аутентификациейназывается процедура верификации принадлежности идентификатора пользователю.

Эта проверка позволяет убедиться, что пользователь является именно тем, кем себя объявляет. В случае успешного прохождения аутентификации идентификатор пользователя используется для предоставления этому пользователю определенного уровня прав и полномочий при пользовании информационной системой. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как пользователь, так и информационная система. Следует отметить, что информационная система обычно располагает не самим секретным элементом (паролем), но некоторой информацией о нем (хэш пароля), на основании которой принимается решение об адекватности пользователя идентификатору.

Для подтверждения своей подлинности пользователь может предъявлять системе разные сущности. В зависимости от предъявляемых пользователем сущностей процессы аутентификации могут быть разделены на следующие категории:

1) на основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный PIN-код, а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа «запрос-ответ»;

2) на основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты, парольные дискеты или флэш-накопители;

3) на основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони, подчерк и др.). Аутентификация на основе биометрических характеристик часто применяется для контроля доступа в помещения или к какой-либо технике.

Поясним введенные понятия на конкретном примере. Перед началом интерактивного сеанса работы большинство операционных систем запрашивают у пользователя его имя и пароль. Введенное пользователем имя является идентификатором пользователя, а его пароль - аутентификатором. Операционная система обычно хранит не сам пароль, а его хэш-значение, обеспечивая тем самым практическую невозможность восстановления пароля по хэш-значению. Строго говоря, в таких операционных системах как UNIX или VMS, идентификатором пользователя является число (SID), задаваемое при создании учетной записи пользователя, а имя пользователя является лишь уникальным атрибутом учетной записи.

Использование пары «имя пользователя-пароль» для пользователей является наиболее распространенным, но не единственным методом аутентификации. На самом деле существует немного принципиально разных методов аутентификации. Один класс методов аутентификации основывается на том, что аутентифицируемый субъект должен иметь некоторый секретный элемент (пароль, секретный ключ или специальный аутентификационный токен). Другой класс методов аутентификации применим только для аутентификации людей. Он основывается на использовании для верификации уникальных физических свойств самого человека (отпечатки пальцев, форма кисти руки, голос, радужная оболочка глаза). У каждого класса методов есть как достоинства, так и недостатки.

Алгоритмически процедура аутентификации представляется как поочередная передача одной или нескольких информационных посылок между пользователем и информационной системой с промежуточной их обработкой обеими сторонами. В результате этих действий обе стороны обмена должны удостовериться, что они являются теми, за кого себя выдают.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, то есть взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса в процессе установления соединения абонентов. Цель данной процедуры - обеспечить взаимную уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

Фактически идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности пользователей. Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю.

После идентификации и аутентификации пользователя выполняется авторизация - процедура предоставления этому пользователю определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. В отличии от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации имеет дело только с легальными пользователями, которые уже успешно прошли процедуру аутентификации.

Если система не способна надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в этой системе могут быть легко нарушены. Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. В частности, финансовые транзакции могут потребовать строгой аутентификации, которая включает по крайней мере двухфакторную проверку подлинности.

Авторизация определяет полномочия (привилегии), предоставляемые обслуживающей программой конкретному лицу или группе лиц, по получению доступа к сервисам или информации. В открытых системах авторизация может быть предоставлена гостю или анонимным пользователям. В хорошо защищенных системах не должна допускаться авторизация по умолчанию, а любые дополнительные полномочия базируются на минимальной привилегии и исходя из прямых обязанностей пользователя. Организации необходимо четко определить свои требования к политике безопасности, чтобы принимать решения о соответствующих границах авторизации.

Процедура авторизации базируется на отношениях доверия. Процесс предоставления доступа должен доверять процессу аутентификации лица. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования (протоколирования) действий пользователя.

Администрирование (протоколирование) – регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

В дальнейшем нами будут рассмотрены различные методы и средства идентификации и аутентификации.