Методы аутентификации

Задачи аутентификации можно разделить на следующие типы:

— аутентификация субъекта;

— аутентификация принадлежности субъекта к заданной группе;

— аутентификация информации, находящейся в информационной системе. Последняя задача решается с помощью электронной цифровой подписи.

Рассмотрим подробнее первые две задачи. Чтобы исключить работу с системой незаконных пользователей, необходима процедура распознавания системой каждого законного пользователя (или групп пользователей). Для этого в защищенном месте система обязана хранить информацию, по которой можно опознать пользователя, а пользователь при входе в систему, при выполнении определенных действий, при доступе к ресурсам обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в данной системе. Получив идентификатор, система проводит его аутентификацию, т.е. проверяет его содержательность (подлинность) — принадлежность множеству идентификаторов. Если бы идентификация не дополнялась аутентификацией, то сама идентификация теряла бы всякий смысл. Обычно устанавливается ограничение на число попыток предъявления некорректного идентификатора. Аутентификация пользователя может быть основана на следующих принципах:

— на предъявлении пользователем пароля;

— на предъявлении пользователем доказательств, что он обладает секретной ключевой информацией;

— на ответах на некоторые тестовые вопросы;

— на предъявлении пользователем некоторых неизменных признаков, неразрывно связанных с ним;

— на предоставлении доказательств того, что он находится в определенном месте в определенное время;

— на установлении подлинности пользователя некоторой третьей доверенной стороной.

Процедуры аутентификации должны быть устойчивы к подлогу, подбору и подделке. После распознавания пользователя система должна выяснить, какие права предоставлены этому пользователю, какую информацию он может использовать и каким образом (читать, записывать, модифицировать или удалять), какие программы может выполнять, какие ресурсы ему доступны. Этот процесс называется авторизацией. Таким образом, вход пользователя в систему состоит из идентификации, аутентификации и авторизации (см. рисунок 12).

В процессе дальнейшей работы иногда может появиться необходимость дополнительной авторизации в отношении каких-либо действий [17].

Существуют различные механизмы реализации разграничения доступа. Например, каждому ресурсу (или компоненту) системы может быть сопоставлен список управления доступом, в котором указаны идентификаторы всех пользователей, которым разрешен доступ к данному ресурсу, а также определено, какой именно доступ разрешен. При обращении пользователя к конкретному ресурсу система проверяет наличие у данного ресурса списка управления доступом и, если он существует, проверяет, разрешено ли этому пользователю работать с данным ресурсом в запрошенном режиме.

Другим примером реализации механизма авторизации пользователя является профиль пользователя — список, ставящий в соответствие всем идентификаторам пользователей перечень объектов, к которым разрешен доступ данному пользователю с указанием типа доступа.

Может быть организована системная структура данных, так называемая матрица доступа, представляющая собой таблицу, столбцы которой соответствуют идентификаторам всех системных ресурсов, а строки — идентификаторам всех зарегистрированных пользователей. На пересечении i-го столбца и j-й строки таблицы администратор системы указывает разрешенный тип доступа владельца i-го идентификатора к j-му ресурсу.

109 — Spring. Форма аутентификации


Читать еще…

Понравилась статья? Поделиться с друзьями: