Непрямая аутентификация
Аутентификация на основе биометрических особенностей
Методы биометрической идентификации являются наименее распространенными, наиболее сложными и дорогими, но обеспечивающими очень высокую надежность аутентификации. При использовании данных методов аутентификация осуществляется по определенным физическим характеристикам индивидуума, например, по отпечаткам пальцев или сетчатке глаза.
Такие средства аутентификации очень удобны и надежны с точки зрения информационной безопасности и администрирования, так как пароль может быть утерян или стать легко доступным злоумышленникам, а отпечаток пальца – уникальный признак, принадлежащий данному конкретному пользователю.
В подобных системах аутентификации основная опасность заключается в возможности кражи цифрового варианта биометрической информации, что дает возможность обойти систему безопасности.
Решения на основе непрямой аутентификации применяются, когда в системе имеется несколько точек обслуживания и когда затруднительно поддерживать совместимость нескольких отдельных баз данных для аутентификации пользователей. Такие схемы предполагают наличие в системе специального сервера аутентификации. Пример использования сервера аутентификации приведен далее на рис. 10.
Рис. 10 Аутентификация удаленных и мобильных пользователей
Все другие точки обслуживания аутентифицируют принципалов непрямым образом, связываясь с сервером аутентификации всякий раз, когда кто-то пытается зарегистрироваться в системе.
Открытым стандартом для реализации непрямой аутентификации является протокол Radius. Компания Cisco разработала протокол TACACS+ для реализации схем непрямой аутентификации.
Современные корпоративные информационные системы имеют на своих границах соответствующие защитные устройства, которые используют схемы непрямой аутентификации. Например, серверы доступа (Network Access Server, NAS), маршрутизаторы, межсетевые экраны. Когда эти устройства должны устанавливать определенные правила для принципалов (например, разрешить пользователю выход в Internet по протоколам ftp, http и т.д.), необходимо выполнение аутентификации. При этом, обычно, используются серверы аутентификации, работающие по протоколам Radius или TACACS+.