Методы и средства аутентификации пользователей и сообщения.
Обеспечение подлинности взаимодействующих пользователей и сообщения (его целостности) состоит в том, чтобы дать возможность санкционированному терминалу-приемнику, с определенной вероятностью гарантировать:
что принятое им сообщение действительно послано конкретным терминалом - передатчиком;
что оно не является повтором уже принятого сообщения (вставкой);
что информация, содержащаяся в этом сообщении, не заменена и не искажена.
Решение этих задач для объединим одним термином - аутентификация.
Методы и средства управления доступом к информационным и вычислительным ресурсам
Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:
установлению подлинности пользователей и устройств сети;
установлению подлинности процессов в сетевых устройствах и ЭВМ;
проверке атрибутов установления подлинности.
Аутентификация пользователей может основываться на:
дополнительных сведениях, известных полномочному пользователю (пароль, код и т.д.);
средствах, действующих аналогично физическому ключу, открывающему доступ к системе, например карточке с полоской магнитного материала, на которой записаны необходимые данные;
индивидуальных характеристиках данного лица (голос, почерк, отпечатки пальцев и т.п.).
Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.
Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:
персональный код пользователя;
секретный параметр доступа;
возможные режимы работы в сети;
категории контроля доступа к данным ресурсам сети.
Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.
Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его.
Таблица. Сравнение методов аутентификации
Параметр |
Характеристика абонента |
||||
магнитная карточка |
отпечаток пальцев |
отпечаток ладони |
голос |
подпись |
|
Удобство в пользовании |
Хорошее |
Среднее |
Среднее |
Отличное |
Хорошее |
Идентификация нарушения |
Средняя |
Отличная |
Хорошая |
Хорошая |
Отличная |
Идентификация законности абонента |
Хорошая |
Средняя |
Отличная |
Отличная |
Хорошая |
Стоимость одного устройства, дол. |
100 |
9000 |
3000 |
5000 |
1000 |
Время распознавания, с |
5 |
10 |
5 |
20 |
5 |
Надежность |
Хорошая |
Средняя |
Отличная |
Хорошая |
Хорошая |
Аутентификация обеспечивает контроль несанкционированного доступа, определяет права на использование программ и данных. Особенно это относится к местам стыка локальных сетей и территориальных сетей, в которых для обеспечения безопасности данных размещаются брандмауэры.
Брандмауэр (firewall) — устройство, обеспечивающее контроль доступа в защищаемую локальную сеть.
Брандмауэры защищают сеть от несанкционированного доступа из других сетей, с которыми первая соединена. Брандмауэры выполняют сложные функции фильтрации потоков данных в точках соединения сетей. Для этого они просматривают все проходящие через них блоки данных, прерывают подозрительные связи, проверяют полномочия на доступ к ресурсам.
В качестве брандмауэров применяются маршрутизаторы и шлюзы, которые дополняются функциями фильтрации блоков данных и другими возможностями защиты данных.