Курс лекций Защита Информации/Идентификация и аутентификация

Основное назначение подсистемы идентификации и аутентификации заключается в установлении в рамках текущего сеанса соответствия между пользователем и субъектом (субъектами) в АС с последующей их активизацией.

Идентификация заключается в предъявлении признака (идентификатора) который используется для различения пользователей системы. Необходимо отметить, что одному пользователю может быть доступно более одного идентификатора, но в рамках сеанса может использоваться только один. Если пользователю по каким-то причинам необходимо сменить идентификатор, он должен закончить текущий сеанс и начать новый.

Процедура подтверждения прав на использование идентификатора называется аутентификация. В более узком смысле под аутентификацией понимается проверка принадлежности пользователя, предъявленного им идендификатора.

Процедура аутентификации

Рассмотрим формальную процедуру аутентификации пользователей АС. Учитывая, что пользователь АС только опосредованно работает с объектами АС, постулируем наличие как минимум двух аутентифицирующих пользователя объекта:

внешнего аутентифицирующего объекта, не принадлежащего АС;
внутреннего, принадлежащего АС, в который переносится информация из внешнего объекта.

Будем предполагать, что внешние и внутренние аутентифицирующие объекты семантически тождественны, т.е. могут быть путем детерминированной процедуры приведены к тождественному виду в виде слов в одном языке. Кроме того, полагаем наличие субъекта переноса информации от внешнего к внутреннему объекту, например, драйвер клавиатуры. Опираясь на допущение о тождестве внешнего и внутреннего объекта, далее будем рассматривать только внутренние, после переноса информации извне АС.

Поскольку предполагается выполнение процедур как идентификации, так и аутентификации, предположим, что $i$ -ый аутентифицирующий объект содержит два информационных поля:

$ID_{i}$ — неизменяемый идентификатор $i$ -го пользователя, который является аналогом имени и используется для идентификации пользователя;
$K_{i}$ — аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации.

Типовая схема аутентификации

В АС выделяется объект следующей структуры — эталон для идентификации и аутентификации. Предположим, что в системе зарегистрировано $n$ пользователей.

№	Информация для идентификации	Информация для аутентификации
1	$ID_{1}$	$E_{1}$
2	$ID_{2}$	$E_{2}$
...	...	...
n	$ID_{n}$	$E_{n}$

где $E_{i}=F(ID_{i},K_{i})$ , а $F$ — односторонняя функция, для которой невозможно алгоритмически эффективно восстановить $K_{i}$ по $E_{i}$ и $ID_{i}$ . Например, хеш-функция.

Односторонние свойства функции

Односторонние свойства функции $F$ , т.е. невостановимость $K_{i}$ описывается некоторой пороговой трудоемкостью $T_{0}$ решения задачи восстановления аутентифицирующей информации об $E_{i}$ и $ID_{i}$ , ниже которой не должна опускаться ни одна оценка трудоемкости нахождения $K_{i}$ для всех известных алгоритмов решения данной задачи.

Коллизии

Кроме того, для пары $K_{i}$ и $K_{j}$ теоретически возможно совпадение существующих значений $E$ , т.е. коллизии

$E=F(ID_{i},K_{i})=F(ID_{i},K_{j})$

В связи с этим вводится вероятность ложной идентификации пользователя, которая вычисляется как условная вероятность события:

Cовпадение $E_{i}=F(ID_{i},K_{i})$ и $E_{j}=F(ID_{i},K_{j})$ при условии $K_{i}\neq K_{j}$ .

Эта вероятность не должна превосходить некоторой предельной величины $P_{0}$ .

Алгоритм идентификации и аутентификации

Пользователь $i$ предъявляет свой идентификатор $ID_{i}$ .
Если $ID_{i}$ не совпадает ни с одним $ID$ , зарегистрированных в АС, то идентификация отвергается — пользователь не допущен к работе (в смысле того, что он не может инициировать ни один субъект).
Иначе существует $ID_{i}=ID$ , устанавливается факт:
Пользователь, назвавшийся пользователем $i$ , прошел идентификацию.
У пользователя с субъектом аутентификации запрашивается аутентификатор $K$ .
Субъектом аутентификации вычисляется $Y=F(ID_{i},K)$ .
Субъектом аутентификации производится сравнение $E_{i}$ и $Y$ . При совпадении фиксируется событие:
Пользователь успешно аутентифицирован в АС.
Информация о пользователе передается в МБО, считываются необходимые для реализации принятой политики безопасности массива данных.
В противном случае аутентификация отвергается — пользователь не допущен к работе.

Структура таблицы разграничения прав доступа

Под таблицей разграничения прав доступа понимают таблицу, столбцами (строками) которой является $l$ субъектов, строками (столбцами) $k$ объектов, а на их пересечении $r$ прав доступа.

Реализация перечислением

Возможная реализация ТРПД простым перечислением прав доступа. В таком случае, оценка сверху на количество операций по поиску права доступа по объекту и субъекту есть $n=l\times k\times r$ , что является достаточно трудоемким.

Реализация таблицей

Реализация таблицей имеет вид

	$O_{1}$	$O_{2}$	...	$O_{k}$
$S_{1}$
$S_{2}$		$r_{22}$
...
$S_{l}$

Оценка трудоемкости в случае наличия элемента в таблице есть ${\frac {n}{2}}$ , а в случае его отсутствия — $n$ . Недостаток такого способа организации ТРПД также состоит в трудоемкости поиска права доступа. Кроме того, оценка трудоемкости будет расти при удалении строк, так как столбцы остаются и не смещаются.

Реализация связанным списком

В случае организации ТРПД связанным списком оценка трудоемкости постоянна

$const={\frac {l+k}{2}}$

Кроме того, возможен поиск в последовательном режиме, например, сначала по $O$ , а затем по $S$ . Дисковое пространство используется более рационально.

←Субъектно-объектная модель

Целостность данных→