Программно-аппаратные средства идентификации и аутентификации пользователей

На практике для обеспечения свойств целостности и конфиденциальности информационных ресурсов часто используется подход, основанный на разработке и применении соответствующих политик безопасности, позволяющих производить разграничение доступа субъектов к объектам компьютерной системы. Использование политики безопасности требует введения специальных процедур идентификации и аутентификации пользователей.

Классификация подсистем идентификации и аутентификации пользователей

Реализация никакой из политик безопасности не будет возможна в случае, если компьютерная система не сможет распознать (идентифицировать) субъекта, пытающегося получить доступ к объекту. Поэтому защищенная компьютерная система в обязательном порядоку включает в себя подсистему идентификации, позволяющую распознать инициирующего доступ субъекта.

Под идентификацией понимают присвоение пользователю некоторого уникального идентификатора, который он должен предъявить СЗИ при осуществлении доступа к объекту, то есть назвать себя.

Идентификаторы субъектов не являются секретной информацией и могут храниться в компьютерной системе в открытом виде.

Для нейтрализации угроз, связанных с хищением идентификаторов и подменой злоумышленником легального пользователя необходимы дополнительные проверки субъекта, заключающиеся в подтверждении им владения предъявленным идентификатором. Данные проверки проводятся на этапе аутентификации пользователя.

Под аутентификацией понимают подтверждение пользователем предъявленного идентификатора, проверка его подлинности и принадлежности именно данному пользователю. Аутентификация выполняется для устранения фальсификации на этапе идентификации.

Атаки на подсистему идентификации и аутентификации пользователя являются одними из наиболее распространенных и привлекательных для злоумышленника, так как пройдя этап И/АУ злоумышленник получает все права легального пользователя, идентификатор которого был использован. В связи с этим, обеспечение стойкости ко взлому подсистемы И/АУ пользователя является очень важной задачей для безопасного функционирования компьютерной системы.

Стойкость к взлому подсистемы идентификации и аутентификации определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор, либо украв его.

Наиболее распространенными методами идентификации и аутентификации пользователя являются:

· парольные системы;

· идентификация/аутентификация с использованием технических устройств;

· идентификация/аутентификация с использованием индивидуальных биометрических характеристик пользователя.