Идентификация и аутентификация субъектов. Классификация подсистем идентификации и аутентификации

Реализация никакой из политик безопасности не будет возможна в случае, если компьютерная система не сможет распознать (идентифицировать) субъекта, пытающегося получить доступ к объекту системы. Поэтому защищенная компьютерная система обязательно должна включать в себя подсистему идентификации, позволяющую идентифицировать инициирующего доступ субъекта.

Под идентификацией понимают присвоение пользователю некоторого уникального идентификатора, который он должен предъявить СЗИ при осуществлении доступа к объекту, то есть назвать себя. Используя предъявленный пользователем идентификатор, СЗИ может проверить наличие данного пользователя в списке зарегистрированных и авторизовать его (то есть наделить полномочиями) для выполнения определенных задач.

В качестве идентификаторов могут использоваться имя пользователя (логин), устройства типа iButton (Touch Memory), бесконтактные радиочастотные карты proximity, отдельные виды пластиковых карт и т.д. Идентификаторы субъектов не являются секретной информацией и могут храниться в системе в открытом виде. Для нейтрализации угроз, связанных с хищением идентификаторов и подменой злоумышленником легального пользователя, необходимы дополнительные проверки субъекта, заключающиеся в подтверждении им владения предъявленным идентификатором. Данные проверки проводятся на этапе аутентификации пользователя.

Под аутентификацией понимают подтверждение пользователем предъявленного идентификатора, проверка его подлинности и принадлежности именно данному пользователю. Аутентификация выполняется для устранения фальсификации на этапе идентификации.

В качестве аутентифицирующей информации может использоваться, например (пауза… затем вопрос студентам: как вы думаете, что может использоваться в качестве аутентификатора?), пароль, секретный код, пин-код и т.д. Информация, используемая субъектом для аутентификации, должна сохраняться им в секрете. Хищение данной информации ведет к тому, что злоумышленник сможет пройти этап идентификации и аутентификации без обнаружения фальсификации.

Этапы идентификации и аутентификации пользователя объединяются в единой подсистеме, называемой подсистемой идентификации и аутентификации (И/АУ).

Атаки на подсистему идентификации и аутентификации пользователя являются одними из наиболее распространенных и привлекательных для злоумышленника, так как, пройдя этап И/АУ, он получает все права легального пользователя, идентификатор которого был использован. В связи с этим, обеспечение стойкости ко взлому подсистемы И/АУ пользователя является очень важной задачей для безопасного функционирования компьютерной системы.

Стойкость ко взлому подсистемы идентификации и аутентификации определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.

Наиболее распространенными системами И/АУ пользователя являются:

- парольные системы И/АУ;

- технические системы И/АУ;

- биометрические системы И/АУ.