Курс лекций Защита Информации/Идентификация и аутентификация: различия между версиями
Содержимое удалено Содержимое добавлено
Нет описания правки |
Нет описания правки |
||
Строка 7:
== Процедура аутентификации ==
Рассмотрим формальную процедуру аутентификации пользователей [[../Основные понятия и определения#Автоматизированная система (АС)|АС]]. Учитывая, что пользователь [[../Основные понятия и определения#Автоматизированная система (АС)|АС]] только опосредованно работает с [[../Основные понятия и определения#Объект доступа|объектами]] [[../Основные понятия и определения#Автоматизированная система (АС)|АС]], постулируем наличие как минимум двух аутентифицирующих пользователя объекта:
* внешнего аутентифицирующего объекта, не принадлежащего [[../Основные понятия и определения#Автоматизированная система (АС)|АС]];
* внутреннего, принадлежащего [[../Основные понятия и определения#Автоматизированная система (АС)|АС]], в который переносится информация из внешнего объекта.
Будем предполагать, что внешние и внутренние аутентифицирующие объекты семантически тождественны, т.е. могут быть путем детерминированной процедуры приведены к тождественному виду в виде слов в одном языке. Кроме того, полагаем наличие субъекта переноса информации от внешнего к внутреннему объекту, например, драйвер клавиатуры.
Опираясь на допущение о тождестве внешнего и внутреннего объекта, далее будем рассматривать только внутренние, после переноса информации извне [[../Основные понятия и определения#Автоматизированная система (АС)|АС]].
Поскольку предполагается выполнение процедур как идентификации, так и аутентификации, предположим, что <math>i</math>-ый аутентифицирующий объект содержит
Строка 21:
== Типовая схема аутентификации ==
В [[../Основные понятия и определения#Автоматизированная система (АС)|АС]] выделяется объект следующей структуры — эталон для идентификации и аутентификации. Предположим, что в системе зарегистрировано <math>n</math> пользователей.
{| class="standard"
Строка 68:
# Пользователь <math>i</math> предъявляет свой идентификатор <math>ID_i</math>.
# Если <math>ID_i</math> не совпадает ни с одним <math>ID</math>, зарегистрированных в [[../Основные понятия и определения#Автоматизированная система (АС)|АС]], то идентификация отвергается — пользователь не допущен к работе (в смысле того, что он не может инициировать ни один субъект).
# Иначе существует <math>ID_i=ID</math>, устанавливается факт: <blockquote>Пользователь, назвавшийся пользователем <math>i</math>, прошел идентификацию.</blockquote>
# У пользователя с субъектом аутентификации запрашивается аутентификатор <math>K</math>.
# Субъектом аутентификации вычисляется <math>Y=F(ID_i, K)</math>.
# Субъектом аутентификации производится сравнение <math>E_i</math> и <math>Y</math>. При совпадении фиксируется событие: <blockquote>Пользователь успешно аутентифицирован в [[../Основные понятия и определения#Автоматизированная система (АС)|АС]].</blockquote>
# Информация о пользователе передается в [[../Формальная модель нарушителя#Монитор безопасности потоков (монитор обращений)|МБО]], считываются необходимые для реализации принятой политики безопасности массива данных.
# В противном случае аутентификация отвергается — пользователь не допущен к работе.
| |||