Раздел 5. Вопрос 6 (51). Штатные средства идентификации/аутентификации в операционных системах.
• Авторизация -- предоставление права на выполнение определенных действий
• Аутентификация -- процедура подтверждения подлинности
• Идентификация -- процедура установки соответствия субъекта идентификатору
• Методы идентификации и аутентификации:
По парольной фразе
• Есть во всех современных ОС
• По биометрическим данным
• Сканеры сетчатки, отпечатков пальцев, анализ голоса итд
• Использование предмета, принадлежащего пользователю
• Смарт-карта, телефон для получения СМС, итд
• Многофакторная идентификация
• Объединение нескольких вариантов
• Чаще всего парольная фраза + СМС
1. Аутентификация или подтверждение подлинности — процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае — с помощью имени и пароля.
Данную процедуру следует отличать от идентификации (опознавания субъекта информационного взаимодействия) и авторизации (проверки прав доступа к ресурсам системы).
Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя) и пароля — некой конфиденциальной информации, знание которой обеспечивает владение определенным ресурсом. Получив введенный пользователем логин и пароль, компьютер сравнивает их со значением, которое хранится в специальной базе данных и, в случае совпадения, пропускает пользователя в систему.
На компьютерах с ОС семейства UNIX, базой является файл /etc/master.passwd, в котором пароли пользователей храняться в виде хеш функций от открытих паролей, кроме этого в этом же файле хранится информация о правах пользователя.
На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспечер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования.
В доменах Windows Server 2000/2003 такой базой является Active Directory.
Стоит отметить, что текстовый ввод логина и пароля вовсе не является единственным методом аутентификации. Ныне все большую популярность набирает аутентификация с помощью электронных сертификатов, пластиковых карт и биометрических устройств, например, сканеров радужной оболочки глаза или отпечатков пальцев или ладони.
В последнее время все чаще применяется, так называемая, расширенная аутентификация. Она построена на использовании нескольких компонент, таких как: информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелоки или смарт-карты), и технологии идентификации личности (биометрические данные).
2. Авторизация — процесс, а также результат процесса проверки необходимых параметров и предоставление определённых полномочий лицу или группе лиц на выполнение некоторых действий в различных системах с ограниченным доступом.
В операционных системах посредством авторизации устанавливаются и реализуются права доступа к ресурсам и системам обработки данных.
Системы управление доступом:
3. Дискреционное управление доступом — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Подобное управление называют также добровольным контролем доступа. Эта схема реализуется, например, в классических юникс-системах.
Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.
Пример матрицы доступа при организации дискреционной модели управления, используемой в дополнение к мандатному механизму.
4. Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.
Мандатная модель управления доступом, помимо дискреционной, является основой реализации разграничительной политики доступа к ресурсам при защите секретной информации. При этом данная модель доступа практически не используется "в чистом виде", обычно на практике она дополняется элементами дискреционной модели доступа.
Для начала введем определение аутентификации. Это процедура проверки соответствия некоего лица и его учетной записи в компьютерной системе.
В ОС существуют учетные записи пользователей. Каждой учетной записи можно присвоить пароль. Таким образом идентификацией будет ввод имени учетной записи (логин) и ввод пароля будет аутентификацией (подтверждение того, что это именно вы). Данные процедуры предусматривают простейший вариант НСД, такой как попытка зайти в систему используя Вашу учетную запись. Этот процесс происходит локально (на Вашей рабочей станции).
При взаимодействии в сети, при подключении к какому-либо серверу, Вам может потребоваться ввести Ваши логин и пароль, для того, чтобы получить доступ к ресурсом того сервера, к которому Вы обращаетесь. Данная процедура идентификации и аутентификации происходит при помощи протокола NTLM (NT LAN Manager). Данный протокол является протоколом сетевой аутентификации , разработанной фирмой Microsoft для Windows NT.
Так же возможна идентификация и аутентификация в домене Active Directory. В сущности процедуры идентичны простой локальной идентификации и аутентификации, но в данном случае, при регистрации в домене, обмен данными между рабочей станцией и сервером происходит по протоколу Kerberos v5 rev6 (более надежный за счет обоюдной аутентификации, более быстрое соединение и др.)
Процесс регистрации пользователя состоит из таких элементов, как клиент, сервер, центр распределения ключей (KDC) и билеты Kerberos (как “документы” для аутентификации и авторизации). Весь процесс происходит следующим образом:
Пользователь делает запос регистрационных данных Local Security Authority System (LSASS - часть операционной системы отвечающей за авторизацию локальных пользователей отдельного компьютера)
LSASS получет билет длял пользователя на контроллере домена
LSASS посылает запрос на сервер (по протоколу Kerberos v5 rev6), для получения билета для рабочей станции пользователя
Kerberos Service посылает билет на рабочую станцию
LSASS формирует ключ доступа для рабочей станции пользователя
Ключ доступа прикрепляется к пользователю до окончания сеанса работы