стовуються найрізноманітніші прийоми:
§ аутентіфіціруемий може продемонструвати знання якогось загального для обох сторін секрету: слова (пароля) або факту (дати і місця події, прізвиська людини і т. п.);
§ аутентіфіціруемий може продемонструвати, що він має деяким унікальним предметом (фізичним ключем), в якості якого може виступати, наприклад, електронна магнітна карта;
§ аутентіфіціруемий може довести свою ідентичність, використовуючи власні біохарактерістікі: малюнок райдужної оболонки ока або відбитки пальців, які попередньо були занесені в базу даних аутентифікатора.
Мережеві служби аутентифікації будуються на основі всіх цих прийомів, але найчастіше для доказу ідентичності користувача використовуються паролі. Простота і логічна ясність механізмів аутентифікації на основі паролів в якійсь мірі компенсує відомі слабкості паролів. Це, по-перше, можливість розкриття і розгадування паролів, а по-друге, можливість «підслуховування» пароля шляхом аналізу мережевого трафіку. Для зниження рівня загрози від розкриття паролів адміністратори мережі, як правило, застосовують вбудовані програмні засоби для формування політики призначення і використання паролів: завдання максимального і мінімального термінів дії пароля, зберігання списку вже використаних паролів, управління поведінкою системи після декількох невдалих спроб логічного входу і т. п. Перехоплення паролів по мережі можна попередити шляхом їх шифрування перед передачею в мережу.
Легальність користувача може встановлюватися по відношенню до різних систем. Так, працюючи в мережі, користувач може проходити процедуру аутентифікації і як локальний користувач, який претендує на використання ресурсів тільки даного комп'ютера, і як користувач мережі, який хоче отримати доступ до всіх мережних ресурсів. При локальній аутентифікації користувач вводить свої ідентифікатор і пароль, які автономно обробляються операційною системою, встановленою на даному комп'ютері. При логічному вході в мережу дані про користувача (ідентифікатор і пароль) передаються на сервер, який зберігає облікові записи про всіх користувачів мережі. Багато додатків мають свої засоби визначення, чи є користувач законним. І тоді користувачеві доводиться проходити додаткові етапи перевірки.
В якості об'єктів, що вимагають аутентифікації, можуть виступати не тільки користувачі, але і різні пристрої, додатки, текстова та інша інформація. Так, наприклад, користувач, який звертається із запитом до корпоративного сервера, повинен довести йому свою легальність, але він також повинен переконатися сам, що веде діалог дійсно з сервером свого підприємства. Іншими словами, сервер і клієнт повинні пройти процедуру взаємної аутентифікації. Тут ми маємо справу з аутентифікацією на рівні додатків. При встановленні сеансу зв'язку між двома пристроями також часто передбачаються процедури взаємної аутентифікації на нижчому, канальному рівні. Прикладом такої процедури є аутентифікація по протоколах РАР і CHAP, що входять в сімейство протоколів РРР. Аутентифікація даних означає доказ цілісності цих даних, а також того, що вони надійшли саме від тієї людини, яка оголосив про це. Для цього використовується механізм електронного підпису.
У обчислювальних мережах процедури аутентифікації часто реалізуються тими ж програмними засобами, що і процедури авторизації. На відміну від аутентифікації, яка розпізнає легальних і нелегальних користувачів, система авторизації має справу тільки з легальними користувачами, які вже успішно пройшли процедуру аутентифікації. Мета підсистем авторизації полягає в тому, щоб надати кожному легальному користувачеві саме ті види доступу і до тих ресурсів, які були для нього визначені адміністратором системи.
. 2 Авторизація доступу
Засоби авторизації (authorization) контролюють доступ легальних користувачів до ресурсів системи, надаючи кожному з них саме ті права, які йому були визначені адміністратором. Крім надання прав доступу користувачам до каталогів, файлів і принтерів система авторизації може контролювати можливість виконання користувачами різних системних функцій, таких як локальний доступ до сервера, установка системного часу, створення резервних копій даних, вимикання сервера і т. П.
Система авторизації наділяє користувача мережі правами виконувати певні дії над певними ресурсами. Для цього можуть бути використані різні форми надання правил доступу, які часто ділять на два класи:
§ виборчий доступ;
§ мандатний доступ.
Виборчі права доступу реалізуються в операційних системах універсального призначення. У найбільш поширеному варіанті такого підходу певні операції над певним ресурсом дозволяються або забороняються кор...
