Технологии и средства идентификации, аутентификации и авторизации
Содержание:
Основные понятия
Идентификация и аутентификация - основа программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
- односторонней (обычно клиент доказывает свою подлинность серверу)
- двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
- что служит аутентификатором;
- как организован обмен данными идентификации/аутентификации.
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
- нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
- нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
- нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута, это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.
Авторизация является функцией определения прав доступа к ресурсам и управления этим доступом. Авторизация — это не то же самое что идентификация и аутентификация: идентификация — это называние лицом себя системе; аутентификация — это установление соответствия лица названному им идентификатору; а авторизация — предоставление этому лицу возможностей в соответствие с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие. Например, авторизацией являются лицензии на осуществление определённой деятельности.
Современные средства идентификации/аутентификации
Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.
Технологии идентификации, аутентификации и авторизации
Биометрическая аутентификация пользователя - процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, персональный идентификатор, секретный ключ и т. п.). В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения.
Основные достоинства биометрических методов:
• высокая степень достоверности аутентификации по биометрическим признакам (из-за их уникальности);
• неотделимость биометрических признаков от дееспособной личности;
• трудность фальсификации биометрических признаков.
Используются следующие биометрические признаки:
• отпечатки пальцев;
• геометрическая форма кисти руки;
• форма и размеры лица;
• особенности голоса;
• узор радужной оболочки и сетчатки глаз.
Строгая аутентификация - идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем. Проверяемая (доказывающая) сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Например, этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена. Доказательство знания секрета осуществляется с помощью последовательности запросов и ответов с использованием криптографических методов и средств. Существенным является факт, что доказывающая сторона демонстрирует только знание секрета, но сам секрет в ходе аутентификационного обмена не раскрывается. Это обеспечивается посредством ответов доказывающей стороны на различные запросы проверяющей стороны. При этом результирующий запрос зависит только от пользовательского секрета и начального запроса, который обычно представляет произвольно выбранное в начале протокола большое число. В большинстве случаев строгая аутентификация заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключом. Иначе говоря, пользователь имеет возможность определить, владеет ли его партнер по связи надлежащим секретным ключом и может ли он использовать этот ключ для подтверждения того, что он действительно является подлинным партнером по информационному обмену.
Различают процедуры строгой аутентификации следующих типов:
• односторонняя аутентификация;
• двусторонняя аутентификация;
• трехсторонняя аутентификация.
Односторонняя аутентификация предусматривает обмен информацией только в одном направлении.
Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные;
Трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны проверяющей. Этот подход позволяет отказаться от использования меток времени при проведении аутентификации.
Методы идентификации пользователей
По IP-адресу компьютера посетителя — данный метод обладает максимальной погрешностью по сравнению с остальными. Эта погрешность определяется прежде всего тем, что сайт могут посетить несколько пользователей с одним и тем же IP-адресом, например, работающие через прокси-сервер.
По файлам cookies — небольшим файлам с данными, которые web-сервер при его посещении через браузер оставляет на компьютере пользователя. Таким образом, во время следующего визита сервер знает, что данный пользователь уже был его посетителем ранее. Это знание используется, например, при рекламе, когда ему не показывается баннер, который он уже видел. В более сложных системах при помощи файлов cookies возможно проводить изучение пристрастий посетителя и при каждом визите показывать ему соответствующую рекламу. Основная погрешность при применении этого метода создается из-за того, что файлы cookies идентифицируют именно браузер пользователя, а не конкретного человека.
При обязательной регистрации пользователей — в этом случае при посещении сайта или обращении к одной из служб Интернета, пользователь вводит свое имя и пароль, и система в течение всего визита может однозначно идентифицировать его. Этот способ несет в себе меньше всего погрешностей при подсчете пользователей и их повторных визитов, но, к сожалению, применим, в основном, лишь к отдельным службам Интернета, для доступа к которым требуется проведение их аутентификации. На данный момент самым распространенным является идентификация уникальных пользователей по IP-адресу, что делается либо по файлам журналов сайта, либо по показаниям различных счетчиков. Вместе с этим, растет число систем, позволяющих идентифицировать пользователей при помощи файлов cookie. Методы получения и обработки статистических данных о поведении посетителей Основными методами сбора информации о поведении посетителей на сайте являются счетчики и использование статистики, получаемой поставщиком услуг Интернета.
Список использованных источников
- Бармашова К.С. Методы идентификации пользователей [Электронный ресурс]: Образовательный сайт Бармашова К.С. // 05.02.2015 URL: http://www.barmashovks.ru/page236/page364/index.html (дата обращения: 26.03.2019).
- Кагарлицкий Д. Технологии аутентификации [Электронный ресурс]: Your Private Network// 25.11.2012 URL: http://ypn.ru/category/data-protection-technologies/authentication-technologies/ (дата обращения: 26.03.2019).
- Кагарлицкий Д. Биометрическая аутентификация пользователя [Электронный ресурс]: Your Private Network// 25.11.2012 URL: http://ypn.ru/296/biometric-authentication/ (дата обращения: 26.03.2019).
- Нотации ER-моделирования. Сравнение различных типов нотаций (Дисциплина «Основы проектирования баз данных»)
- Нотации ER-моделирования. Сравнение различных типов нотаций (Основные понятия ER-моделирования)
- Программные средства для управления проектами (Описание программных средств)
- Экономическая сущность инвестиций
- Содержание и значение Хоторнского эксперимента (Как использовать виртуальные машины дома)
- Полиграфическая база и «Новые технологические возможности» в исполнении дизайнерской продукции (Кафедра - Визуальные коммуникации)
- Исторический аспект становления и развития корпораций в России (Становление и развитие корпораций в России)
- Детско-юношеский спорт, как решение социальных проблем России
- Упрощенные процедуры банкротства (профиль Гражданско - правовой)
- Возврат денег за некачественный автомобиль (Защита прав потребителей)
- Программные средства для управления проектами (Дисциплина - Управление проектами)
- Спекуляция и её роль в экономике (экономическая теория)