|
|
@@ -0,0 +1,129 @@
|
|
|
+# Идентификация, аутентификация и авторизация
|
|
|
+
|
|
|
+Каждый день мы идентифицируемся, аутентифицируемся и авторизуемся в разных системах. Но многие при этом путают значение этих слов и часто употребляют их невпопад.
|
|
|
+
|
|
|
+Ничего ужасного в этом нет: пока идет бытовое общение, и все понимают, о чем идет речь. Но неплохо бы понимать значение употребляемых слов, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».
|
|
|
+
|
|
|
+*Серьезные определения
|
|
|
+
|
|
|
+Что же значит «идентификация», «аутентификация» и «авторизация»? Для начала проконсультируемся с «Википедией»:
|
|
|
+
|
|
|
+Идентификация — это процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.
|
|
|
+
|
|
|
+Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
|
|
|
+
|
|
|
+Авторизация — предоставление определенному лицу или группе лиц прав на выполнение определенных действий.
|
|
|
+
|
|
|
+*Объясняем на пальцах
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+А теперь давайте упростим все эти умные слова до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:
|
|
|
+
|
|
|
+Система запрашивает логин, пользователь его указывает, и его можно распознать его как существующий — это идентификация.
|
|
|
+После этого Google просит ввести пароль, пользователь его вводит, тут система соглашается, что пользователь, похоже, настоящий, раз пароль совпал, — это аутентификация.
|
|
|
+
|
|
|
+Скорее всего, Google дополнительно спросит еще и одноразовый код из SMS/ приложения. Если все правильно, то система согласится с тем, что он владелец аккаунта, — это двухфакторная аутентификация.
|
|
|
+
|
|
|
+После этого система предоставит пользователю право читать письма в его почтовом ящике и все в таком духе — это авторизация.
|
|
|
+Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.
|
|
|
+
|
|
|
+*Идентификация без аутентификации — глупость.
|
|
|
+
|
|
|
+Кто угодно может ввести существующий логин! Системе надо удостовериться, что этот кто-то знает пароль. Но пароль могли украсть или подобрать, поэтому подстраховаться не помешает, и система спрашивает что-то, что известно только данному пользователю: например, одноразовый код для подтверждения входа.
|
|
|
+
|
|
|
+Авторизация без идентификации и аутентификации вполне возможна. В Google Документах можно публиковать файл так, чтобы он был доступен всем. В этом случае вы как владелец увидите сверху надпись, гласящую, что его читает неопознанный енот. Хотя енот совершенно неопознанный, система его авторизовала, т. е. выдала право прочитать этот документ.
|
|
|
+
|
|
|
+Если вы откроете документ только определенным пользователям, еноту придется 1. идентифицироваться (ввести логин), 2. аутентифицироваться (ввести пароль и одноразовый код) и только потом он 3. авторизуется, т.е. получит право на чтение документа.
|
|
|
+
|
|
|
+Если речь идет о содержимом вашей почты, Google никогда и ни за что не авторизует неопознанного енота на чтение переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.
|
|
|
+
|
|
|
+Важно понимать, что аутентификация — самый важный из этих процессов с точки зрения безопасности. Если вы на этапе аутентификации выбрали слабый пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:
|
|
|
+
|
|
|
+Придумывайте для всех аккаунтов надежные и уникальные пароли.
|
|
|
+
|
|
|
+*Подробнее на примере: вы решили зайти в свой аккаунт в социальной сети
|
|
|
+
|
|
|
+1. Социальная сеть запрашивает логин, вы его указываете, система распознает его как существующий — это идентификация.
|
|
|
+
|
|
|
+2. Теперь необходимо ввести пароль, вы его вводите, и система соглашается, что вы настоящий пользователь, так как пароль совпал, — это аутентификация.
|
|
|
+
|
|
|
+3. Система предоставила вам право листать ленту и загружать фото — это авторизация.
|
|
|
+
|
|
|
+### Рассмотрим небольшой пример:
|
|
|
+
|
|
|
+*Идентификация:
|
|
|
+
|
|
|
+Когда посетитель приходит в офис компании «Доктор Веб», он представляется охраннику на входе. Таким образом человек идентифицирует себя — сообщает, кто он такой. Охраннику неважно, зачем он пришел — работать, забрать посылку или на встречу. Он должен просто проверить, что этот человек находится в списке допущенных к проходу.
|
|
|
+
|
|
|
+Абсолютно так же сначала вы должны представиться, если, например, хотите войти в свой аккаунт в какой-либо системе: онлайн-банкинге, электронной почте или социальной сети. Система запрашивает идентификатор (логин), вы его вводите, и она распознает его как существующий. Это и есть идентификация: проверка того, что указанный пользователь/логин/email существует.
|
|
|
+
|
|
|
+Система знает ограниченный набор идентификаторов. Если вы ввели любую последовательность символов, и она нашла в своей базе запись о пользователе с таким логином, то идентификация завершилась. Это значит, что первый шаг для доступа к информационному ресурсу (почте, аккаунту в социальной сети и т. п.) сделан.
|
|
|
+
|
|
|
+*Аутентификация:
|
|
|
+
|
|
|
+Теперь вам нужно ввести пароль, чтобы доказать, что вы не выдаете себя за другого человека. Когда система удостоверится, что тот, кто знает логин, знает еще и пароль, она согласится с тем, что он — настоящий владелец аккаунта. Это аутентификация: проверка того, соответствует ли пароль пользователю.
|
|
|
+
|
|
|
+Помните человека, который хочет попасть в наш офис? Предположим, охранник нашел его в списке (идентифицировал). Затем он должен проверить документы посетителя, чтобы его аутентифицировать.
|
|
|
+
|
|
|
+Чтобы злоумышленники, которые подсмотрели или подобрали пароль к вашему аккаунту, не смогли в него попасть, система может подстраховаться и дополнительно спросить то, что известно только вам: например, одноразовый СМС-код для подтверждения входа. Если вы правильно введете его, система окончательно убедится, что вы — тот, за кого себя выдаете. Это двухфакторная аутентификация (2FA — 2-factor authentication).
|
|
|
+
|
|
|
+Для серьезных сервисов двухфакторная авторизация обязательна. Обычно это некий токен (одноразовый код с ограниченным временем действия), который отправляется на мобильный телефон пользователя через СМС. Но необязательно. Бывают и другие варианты 2FA — в виде USB-флешек, bluetooth-девайсов, биометрических сканеров и т. п. Даже если злоумышленник получит ваш логин и пароль (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), без этого токена он не сможет войти в аккаунт.
|
|
|
+
|
|
|
+*Авторизация:
|
|
|
+
|
|
|
+После аутентификации система разрешит вам читать письма в вашем почтовом ящике. А пропущенного охранником посетителя примут секретари. Если он пришел устраиваться на работу, они пригласят эйчара, если забрать посылку — отдадут посылку, если на встречу — проводят в переговорную и т. д. Это авторизация: предоставление пользователю прав доступа к определенным ресурсам.
|
|
|
+
|
|
|
+###Авторизация не просто дает вам возможность зайти в систему, но и разрешает совершать там определенные операции: читать документы, отправлять письма, изменять данные — под тем самым идентификатором, который вы предъявили в самом начале.
|
|
|
+
|
|
|
+#матрица доступа типы управления доступа
|
|
|
+
|
|
|
+Основой дискреционной политики безопасности является избирательное управление доступом, которое подразумевает, что:
|
|
|
+
|
|
|
+* все субъекты и объекты системы должны быть идентифицированы; - права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).
|
|
|
+
|
|
|
+Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "доступ на чтение", "доступ на запись", "доступ на исполнение" и др.
|
|
|
+
|
|
|
+Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.
|
|
|
+
|
|
|
+Начальное состояние системы определяется матрицей доступа, все действия регламентированы и зафиксированы в данной матрице.
|
|
|
+
|
|
|
+Существует три основных модели управления доступом: дискреционная, мандатная и недискреционная (также называемая ролевой). Каждая модель использует различные методы для управления доступом субъектов к объектам, каждая имеет свои преимущества и ограничения.
|
|
|
+
|
|
|
+#Распределенная АС
|
|
|
+
|
|
|
+Под распределёнными понимаются АС, которые не располагаются на одной контролируемой территории, на одном объекте.
|
|
|
+
|
|
|
+В общем случае распределённаякомпьютерная система (РКС) представляет собоймножество сосредоточенных АС, связанных в единую систему с помощью коммуникационной подсистемы.
|
|
|
+
|
|
|
+###Распределённые АС строятся по сетевым технологиямпредставляют собой вычислительные сети (ВСт). Коммуникационная подсистема включает в себя:
|
|
|
+
|
|
|
+*коммуникационные модули (КМ);
|
|
|
+
|
|
|
+*каналы связи;
|
|
|
+
|
|
|
+*концентраторы;
|
|
|
+
|
|
|
+*межсетевые шлюзы (мосты).
|
|
|
+
|
|
|
+Основной функцией коммуникационных модулейявляетсяпередача полученного пакета к другому КМ или абонентском пунктув соответствии с маршрутом передачи.
|
|
|
+
|
|
|
+Каналы связиобъединяют элементы сети в единую сеть, каналы могут иметь различную скорость передачи данных.
|
|
|
+
|
|
|
+Концентраторыиспользуютсядля уплотнения информацииперед передачей её по высокоскоростным каналам.
|
|
|
+
|
|
|
+Межсетевые шлюзы и мостыиспользуютсядля связи сети с ЛВС или для связи сегментов глобальных сетей. С помощью мостовсвязываются сегменты сетис одинаковыми сетевыми протоколами.
|
|
|
+
|
|
|
+###В любой РКС может быть выделено три подсистемы:
|
|
|
+
|
|
|
+*пользовательская подсистема;
|
|
|
+
|
|
|
+*подсистема управления;
|
|
|
+
|
|
|
+*коммуникационная подсистема.
|
|
|
+
|
|
|
+Пользовательскаяилиабонентскаяподсистема включает в себякомпьютерные системы пользователей (абонентов) и предназначается для удовлетворения потребностей пользователей в хранении, обработке и получении информации
|
|
|
+
|
|
|
+Наличие подсистемы управленияпозволяетобъединить все элементы РКСв единую систему. Подсистемаобеспечивает взаимодействие элементов системы путём сбора и анализа служебной информациии воздействия на элементы с целью создания оптимальных условий для функционирования всей сети.
|
|
|
+
|
|
|
+Коммуникационная подсистемаобеспечиваетпередачу информации в сетив интересах пользователей и управления РКС.
|
Malolio