Inicio Explorar Ayuda
Iniciar sesión
u22-26kazutin
/
EASvZI
forked de ypv/EASvZI
1
0
Fork 0
Archivos
Rama: master
Ramas Etiquetas
EASvZI
/
2022-23
/
Самостоятельная_работа_3
/
Tyshkevich.md

Tyshkevich.md 19 KB
Permalink Histórico Raw

# Идентификация, аутентификация и авторизация

Каждый день мы идентифицируемся, аутентифицируемся и авторизуемся в разных системах. Но многие при этом путают значение этих слов и часто употребляют их невпопад.

Ничего ужасного в этом нет: пока идет бытовое общение, и все понимают, о чем идет речь. Но неплохо бы понимать значение употребляемых слов, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».

*Серьезные определения

Что же значит «идентификация», «аутентификация» и «авторизация»? Для начала проконсультируемся с «Википедией»:

Идентификация — это процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.

Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.

Авторизация — предоставление определенному лицу или группе лиц прав на выполнение определенных действий.

*Объясняем на пальцах

А теперь давайте упростим все эти умные слова до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:

Система запрашивает логин, пользователь его указывает, и его можно распознать его как существующий — это идентификация. После этого Google просит ввести пароль, пользователь его вводит, тут система соглашается, что пользователь, похоже, настоящий, раз пароль совпал, — это аутентификация.

Скорее всего, Google дополнительно спросит еще и одноразовый код из SMS/ приложения. Если все правильно, то система согласится с тем, что он владелец аккаунта, — это двухфакторная аутентификация.

После этого система предоставит пользователю право читать письма в его почтовом ящике и все в таком духе — это авторизация. Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

*Идентификация без аутентификации — глупость.

Кто угодно может ввести существующий логин! Системе надо удостовериться, что этот кто-то знает пароль. Но пароль могли украсть или подобрать, поэтому подстраховаться не помешает, и система спрашивает что-то, что известно только данному пользователю: например, одноразовый код для подтверждения входа.

Авторизация без идентификации и аутентификации вполне возможна. В Google Документах можно публиковать файл так, чтобы он был доступен всем. В этом случае вы как владелец увидите сверху надпись, гласящую, что его читает неопознанный енот. Хотя енот совершенно неопознанный, система его авторизовала, т. е. выдала право прочитать этот документ.

Если вы откроете документ только определенным пользователям, еноту придется 1. идентифицироваться (ввести логин), 2. аутентифицироваться (ввести пароль и одноразовый код) и только потом он 3. авторизуется, т.е. получит право на чтение документа.

Если речь идет о содержимом вашей почты, Google никогда и ни за что не авторизует неопознанного енота на чтение переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.

Важно понимать, что аутентификация — самый важный из этих процессов с точки зрения безопасности. Если вы на этапе аутентификации выбрали слабый пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:

Придумывайте для всех аккаунтов надежные и уникальные пароли.

*Подробнее на примере: вы решили зайти в свой аккаунт в социальной сети

  1. Социальная сеть запрашивает логин, вы его указываете, система распознает его как существующий — это идентификация.

  2. Теперь необходимо ввести пароль, вы его вводите, и система соглашается, что вы настоящий пользователь, так как пароль совпал, — это аутентификация.

  3. Система предоставила вам право листать ленту и загружать фото — это авторизация.

Рассмотрим небольшой пример:

*Идентификация:

Когда посетитель приходит в офис компании «Доктор Веб», он представляется охраннику на входе. Таким образом человек идентифицирует себя — сообщает, кто он такой. Охраннику неважно, зачем он пришел — работать, забрать посылку или на встречу. Он должен просто проверить, что этот человек находится в списке допущенных к проходу.

Абсолютно так же сначала вы должны представиться, если, например, хотите войти в свой аккаунт в какой-либо системе: онлайн-банкинге, электронной почте или социальной сети. Система запрашивает идентификатор (логин), вы его вводите, и она распознает его как существующий. Это и есть идентификация: проверка того, что указанный пользователь/логин/email существует.

Система знает ограниченный набор идентификаторов. Если вы ввели любую последовательность символов, и она нашла в своей базе запись о пользователе с таким логином, то идентификация завершилась. Это значит, что первый шаг для доступа к информационному ресурсу (почте, аккаунту в социальной сети и т. п.) сделан.

*Аутентификация:

Теперь вам нужно ввести пароль, чтобы доказать, что вы не выдаете себя за другого человека. Когда система удостоверится, что тот, кто знает логин, знает еще и пароль, она согласится с тем, что он — настоящий владелец аккаунта. Это аутентификация: проверка того, соответствует ли пароль пользователю.

Помните человека, который хочет попасть в наш офис? Предположим, охранник нашел его в списке (идентифицировал). Затем он должен проверить документы посетителя, чтобы его аутентифицировать.

Чтобы злоумышленники, которые подсмотрели или подобрали пароль к вашему аккаунту, не смогли в него попасть, система может подстраховаться и дополнительно спросить то, что известно только вам: например, одноразовый СМС-код для подтверждения входа. Если вы правильно введете его, система окончательно убедится, что вы — тот, за кого себя выдаете. Это двухфакторная аутентификация (2FA — 2-factor authentication).

Для серьезных сервисов двухфакторная авторизация обязательна. Обычно это некий токен (одноразовый код с ограниченным временем действия), который отправляется на мобильный телефон пользователя через СМС. Но необязательно. Бывают и другие варианты 2FA — в виде USB-флешек, bluetooth-девайсов, биометрических сканеров и т. п. Даже если злоумышленник получит ваш логин и пароль (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), без этого токена он не сможет войти в аккаунт.

*Авторизация:

После аутентификации система разрешит вам читать письма в вашем почтовом ящике. А пропущенного охранником посетителя примут секретари. Если он пришел устраиваться на работу, они пригласят эйчара, если забрать посылку — отдадут посылку, если на встречу — проводят в переговорную и т. д. Это авторизация: предоставление пользователю прав доступа к определенным ресурсам.

###Авторизация не просто дает вам возможность зайти в систему, но и разрешает совершать там определенные операции: читать документы, отправлять письма, изменять данные — под тем самым идентификатором, который вы предъявили в самом начале.

#матрица доступа типы управления доступа

Основой дискреционной политики безопасности является избирательное управление доступом, которое подразумевает, что:

  • все субъекты и объекты системы должны быть идентифицированы; - права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "доступ на чтение", "доступ на запись", "доступ на исполнение" и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.

Начальное состояние системы определяется матрицей доступа, все действия регламентированы и зафиксированы в данной матрице.

Существует три основных модели управления доступом: дискреционная, мандатная и недискреционная (также называемая ролевой). Каждая модель использует различные методы для управления доступом субъектов к объектам, каждая имеет свои преимущества и ограничения.

#Распределенная АС

Под распределёнными понимаются АС, которые не располагаются на одной контролируемой территории, на одном объекте.

В общем случае распределённаякомпьютерная система (РКС) представляет собоймножество сосредоточенных АС, связанных в единую систему с помощью коммуникационной подсистемы.

###Распределённые АС строятся по сетевым технологиямпредставляют собой вычислительные сети (ВСт). Коммуникационная подсистема включает в себя:

*коммуникационные модули (КМ);

*каналы связи;

*концентраторы;

*межсетевые шлюзы (мосты).

Основной функцией коммуникационных модулейявляетсяпередача полученного пакета к другому КМ или абонентском пунктув соответствии с маршрутом передачи.

Каналы связиобъединяют элементы сети в единую сеть, каналы могут иметь различную скорость передачи данных.

Концентраторыиспользуютсядля уплотнения информацииперед передачей её по высокоскоростным каналам.

Межсетевые шлюзы и мостыиспользуютсядля связи сети с ЛВС или для связи сегментов глобальных сетей. С помощью мостовсвязываются сегменты сетис одинаковыми сетевыми протоколами.

###В любой РКС может быть выделено три подсистемы:

*пользовательская подсистема;

*подсистема управления;

*коммуникационная подсистема.

Пользовательскаяилиабонентскаяподсистема включает в себякомпьютерные системы пользователей (абонентов) и предназначается для удовлетворения потребностей пользователей в хранении, обработке и получении информации

Наличие подсистемы управленияпозволяетобъединить все элементы РКСв единую систему. Подсистемаобеспечивает взаимодействие элементов системы путём сбора и анализа служебной информациии воздействия на элементы с целью создания оптимальных условий для функционирования всей сети.

Коммуникационная подсистемаобеспечиваетпередачу информации в сетив интересах пользователей и управления РКС.