Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности



Идентификация и аутентификация


Идентификация (именование) и аутентификация (проверка подлинности имени) являются базовыми средствами в реализации ПБ объекта, обеспечивающими для других сервисов безопасности работу с поименованными объектами. Идентификаторы пользователя, от имени которого действует субъект (процесс или пользователь), могут быть разбиты на следующие классы:

  • что он знает (пароль, криптографический ключ и т. п.);

  • чем он владеет (личную карточку);

  • что присуще ему по природе (отпечатки пальцев, голос и т. п.)
  • Аутентификация для таких классов идентификаторов усложняется сверху вниз, но при этом повышается ее надежность. Процессы, данные (например, криптоключи) или источники данных, которые также могут быть подвергнуты аутентификации, обладают только идентификаторами первого из перечисленных классов. Это обстоятельство облегчает использование криптографии при аутентификации однородных (равноранговых) процессов, в том числе с применением низкоуровневых средств (например, механизмов ядра ОС).

    Существует несколько способов -- схем реализации службы идентификации/аутентификации. К первой относится, например, традиционная для приложений под OC UNIX децентрализованная схема, предусматривающая аутентификацию каждого приложения. Отсутствие целостности и централизации в этой схеме затрудняет ее администрирование. Не обеспечивается гибкость в применении различных механизмов (способов) аутентификации, так как в этом случае требуется перекомпиляция приложения.

    Второй способ основан на библиотеке встроенных интерактивных модулей PAM (Pluggable Authentication Modules), являющейся частью OC Red Hat Linux, представляет собой целостную централизованную систему, обеспечивающую гибкое использование различных механизмов аутентификации. Здесь следует отметить, что в разработке PAM вместе с другими участниками рабочей группы Linux-PAM активное участие принимали российские специалисты [39]. Библиотека PAM уже на этапе ее разработки использовалась для создании системы обеспечения безопасности управляющего сегмента сети MSUNet МГУ им.


    Содержание    Вперед