Идентификация и установление личности.

Так как функционирование всех механизмов ограничения доступа, использующих аппаратные средства или средства математического обеспечения основано на предположении, что пользователь представляет собой конкретное лицо, то должен существовать некоторый механизм установление его подлинности. Этот механизм может быть основан на выявлении того, что знает только данный пользователь или имеет при себе, или на выявлении некоторых особенностей самого пользователя.

При использовании замков и электрических или механических кнопочных систем применяются комбинации наборов знаков. Такая система, используемая для регулирования доступа к ЭВМ, называется системой паролей. Недостаток этой системы состоит в том, что пароли могут быть украдены (при этом пользователь может и не заметить потери), забыты или переданы. Для уменьшения опасности связанной с кражей паролей, последние должны часто изменяться, что создает проблемы формирования и распределения паролей. Аналогичный метод, называемый “рукопожатием”, предусматривает успешное выполнение некоторого алгоритма в качестве условия доступа к системе. В процессе “рукопожатия” пользователь должен обменяться с алгоритмом последовательностью паролей (они должны быть названы правильно и в правильной последовательности), хотя сам пользователь не знает алгоритма. Установление подлинности с помощью паролей вследствие своей простоты нашло наиболее широкое применение в вычислительных системах.

Пользователь может иметь при себе стандартный ключ или специальную карточку с нанесенным на нее, например, оптическим, магнитным или другим кодом.

Разработаны знаковые системы, которые основаны на изучении образца подчерка или подписи пользователя. Существуют системы, в которых для установления личности применяют геометрические характеристики руки или спектрограммы голоса пользователя. Также существуют системы, которые используют отпечатки пальцев пользователя и сравнивают их с хранящимися образцами.

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы):

• идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;
• разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;
• регистрация и оперативное оповещение о событиях, происходящих в системе; (аудит)

• криптографическое закрытие хранимых и передаваемых по каналам связи данных;

 

Идентификация - это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам.

Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы.

После выполнения идентификации и аутентификации необходимо установить полномочия (права) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением доступа.

Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался).

 

Всёмножествоиспользующихвнастоящеевремяметодоваутентификацииможно разделить на 4 большие группы:

1. Методы, основанные на знании некоторой секретной информации. Классическим примером таких методов является парольная защита, когда в качестве средства аутентификации пользователю предлагается ввести пароль–некоторую последовательность символов. Данные методы аутентификации являются наиболее распространёнными.

2. Методы, основанные на использовании уникального предмета. В качестве такогопредмета могут быть использованы смарт-карта, токен, электронный ключ и т.д.

3. Методы, основанные на использовании биометрических характеристик человека.

 

На практике чаще всего используются одна или несколько изследующих биометрических характеристик:

· отпечатки пальцев;

· рисунок сетчатки или радужной оболочки глаза;

· тепловой рисунок кисти руки;

· фотография или тепловой рисунок лица;

· почерк(роспись);

· голос.

Наибольшеераспространениеполучилисканерыотпечатковпальцевирисунков сетчатки и радужной оболочки глаза.

4. Методы, основанные на информации, ассоциированной с пользователем. Примером такой информации могут служить координаты пользователя, определяемые при помощи GPS. Данный подход вряд ли может быть использован в качестве единственного механизма аутентификации, однако вполне допустим в качестве одного из нескольких совместно используемых механизмов.

 

Широкораспространенапрактикасовместногоиспользованиянесколькихизперечисленныхвышемеханизмов–втакихслучаяхговорято многофакторной аутентификации.

Биометрические методы характеризуется, с одной стороны, высоким уровнем достоверности опознавания пользователей, а с другой - возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога) и более высокой стоимостью реализующих их систем.

Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).