Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
как организован (и защищен) обмен данными идентификации/ аутентификации.
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
Современные средства идентификации/ аутентификации поддерживают единый вход в сеть. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. Пока нельзя утверждать, что единый вход в сеть стал нормой.
Эволюция механизмов аутентификации
Инфраструктура безопасности для распространения открытых ключей, управления электронными сертификатами и ключами пользователей получила название инфраструктуры открытых ключей - Public Key Infrastructure (PKI). Термин "PKI" является производным от названия базовой технологии - криптографии с открытыми ключами. PKI не только предлагает комплексное решение, но и снимает остроту многих проблем, свойственных более традиционным механизмам безопасности.
Аутентификация на основе паролей
Компьютерная
система требует, чтобы в начале сеанса
работы пользователь идентифицировал
себя. Пользователю предлагается ввести
имя и пароль. Пароль - это секретная
информация (или просто секрет), разделенная
между пользователем и удаленным сервером.
Пользователь А передает по сети на сервер свое имя и пароль. Некто, наблюдающий за средой передачи, например, пользователь С, может похитить пароль пользователя А. Как только это происходит, пользователь С может выдавать себя за пользователя А до тех пор, пока пароль не будет изменен. Поэтому для безопасности вычислительной среды требуется регулярно менять пароли.
Механизмы одноразовой аутентификации
Одноразовая аутентификация позволяет противостоять атаке анализатора за счет использования во время каждой попытки аутентификации нового секрета. В этом случае, если пользователь С перехватывает данные пользователя А, то не может в дальнейшем их использовать, чтобы выдавать себя за него. Рассмотрим три разных механизма одноразовой аутентификации: аутентификацию типа "запрос-ответ", неявный запрос и аутентификацию на базе хэш-функций.