Понятие идентификации и аутентификации пользователей

Тема 3. Идентификация и аутентификация пользователей ОС

В защищенной операционной системе любой субъект доступа, пе­ред тем как начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию.

Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о се­бе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.

Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей ин­формации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому отно­сится идентифицирующая информация. Пусть, например, пользователь, входя в систему, ввел имя и пароль. В этом случае имя пользователя яв­ляется идентифицирующей информацией, а известный только ему пароль - аутентифицирующей информацией. Вводя пароль, пользователь под­тверждает, что введенное имя принадлежит именно ему.

Авторизация субъекта доступа происходит после успешной иден­тификации и аутентификации. При авторизации субъекта операционная система выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. Например, авторизация пользователя в опера­ционной системе UNIX включает в себя порождение процесса, являюще­гося операционной оболочкой, с которой в дальнейшем будет работать пользователь. В операционной системе Windows NT авторизация пользо­вателя включает в себя создание маркера доступа пользователя, созда­ние рабочего стола и запуск на нем от имени авторизуемого пользователя процесса UserInit, инициализирующего индивидуальную программную сре­ду пользователя. Авторизация субъекта не относится напрямую к подсис­теме защиты операционной системы. В процессе авторизации решаются чисто технические задачи, связанные с организацией начала работы в сис­теме уже идентифицированного и аутентифицированного субъекта досту­па.

С точки зрения обеспечения безопасности ОС процедуры идентификации и аутентификации являются весьма ответст­венными. Действительно, если злоумышленник сумел войти в систему от имени другого пользователя, злоумышленник легко получает доступ ко всем объектам операционной системы, к которым имеет доступ этот поль­зователь. Если при этом в процессе работы злоумышленника с системой подсистема аудита генерирует сообщения о событиях, потенциально опасных для безопасности операционной системы, то в журнал аудита за­писывается не имя злоумышленника, а имя пользователя, от имени кото­рого злоумышленник работает в системе.

Хотя аутентификация может осуществляться как для физических пользователей, так и для псевдопользователей – фиктивных пользовате­лей, используемых операционной системой для запуска системных про­цессов, наибольший интерес с точки зрения обеспечения защиты инфор­мации в операционной системе представляет аутентификация физических пользователей. Если в системе принята адекватная политика безопасно­сти, физический пользователь просто не может войти в систему от имени псевдопользователя. Конечно, поскольку псевдопользователи обычно об­ладают в операционной системе весьма большими правами, вход зло­умышленника в систему от имени псевдопользователя дает злоумышлен­нику большие возможности для осуществления несанкционированного доступа, однако на практике осуществить такую атаку на операционную систему крайне трудно. Поэтому в дальнейшем мы будем рассматривать аутентификацию только обычных пользователей.

Дата добавления: 2014-01-07; Просмотров: 1379; Нарушение авторских прав?; Мы поможем в написании вашей работы!