К.т.н.
Чунарьова А.В., Чунарьов
А.В.
Національний
авіаційний університет (НАУ), Україна
Метою даних досліджень являється аналіз та проведення класифікації шаблонів
систем автентифікації в сучасних інформаційно-комунікаційних системах та
мережах.
На
даний час виділяють чотири відмінні шаблони систем автентифікації: локальна
автентифікація, пряма автентифікація, непряма автентифікація, автономна
автентифікація.
На
практиці таке розділення може дотримуватись не завжди. Наприклад, існують
багаторівневі системи безпеки, які можуть використовувати не один, а два або навіть
більше шаблони систем автентифікації.
-
Локальна автентифікація, яку можна бачити в переносних або окремо розташованих
настільних системах. Вся система, включаючи механізм аутентіфікаціі та
управління доступом, розміщується всередині одного фізичного периметра безпеки.
Власник системи або користувач ведуть і оновлюють базу автентифікаційних даних
всередині цього периметру.
Рис. 1.1. Модель локальної
автентифікації
-
Пряма автентифікація, яку можна бачити в старих серверних системах, що стоять в
локальних обчислювальних мережах (ЛОМ), і в системах з розподілом часу.
Системою можуть колективно користуватися віддаленим чином багато різних
користувачів. Механізми автентифікації і контролю доступом системи як і раніше
розміщуються всередині одного фізичного периметра. Власник веде і підтримує
актуальною базу автентифікаційних даних всередині кожної системи.
Рис. 1.2 Система прямої
автентифікації
-
Непряма автентифікація, яку можна бачити в сучасних мережевих серверних
системах і яка може бути реалізована через протоколи RADIUS, Kerberos і
протокол реєстрації в домені ОС Windows. Система містить кілька точок
обслуговування, які вимагають управління доступом і можуть розміщуватися в
різних місцях. При необхідності користувачі звертаються до служб системи
віддаленим чином. Власник веде і підтримує актуальною одну базу
автентифікаційних даних для всієї системи.
-
Автономна автентифікація, яку можна бачити в системах з інфраструктурою
відкритих ключів, що містять численні автономні компоненти, які здатні приймати
точні рішення по управлінню доступом навіть у тому випадку, коли вони не можуть
зв'язуватися з іншими системами для отримання авторитетних рішень про
автентифікації . Власник погоджується з ризиком того, що такі рішення можуть
іноді прийматися з використанням застарілих даних з управління доступом або
аутентіфікації, а отже, можуть давати неправильні результати.
Ці
шаблони діляться на дві категорії: призначені для окремих автономних
комп'ютерів і для віддаленого доступу. Як очевидно, локальна модель пов'язана з
індивідуальним пристроєм. Моделі прямої та непрямої автентифікації
представляють собою різні стратегії для реалізації віддаленого доступу. Модель
автономної автентифікації забезпечує спосіб застосування деяких
адміністративних функцій віддаленої автентифікації в системах, які не завжди
можуть встановити віддалене з'єднання.
У
першому рядку показується частина системи, яка повинна бути фізично захищена
власником щоб уникнути поширених помилок автентифікації. У другому рядку
вказуються типи алгоритмів шифрування, що вимагаються для рішень відповідно до
кожного з шаблонів.У третьому рядку проводиться порівняння стійкості до відмов
різних шаблонів. Слово "низька" означає, що шаблон має точку
критичної відмови.
У
табл. 1 зведені найбільш загальні риси чотирьох шаблонів.
Порівняльна характеристика шаблонів систем автентифікації
|
Шаблон автенти- фікації Власти- вість захисту |
Локальний |
Прямий |
Непрямий |
Автономний |
|
Частини системи, потребують захисту |
Вся система |
Тільки точки обслугову-вання |
Тільки аутентіфікаційні сервери |
Тільки органи сертифікації |
|
Тип використовував-ного шифрування |
Не використовується |
Секретний або відкритий ключ |
Секретний або відкритий ключ |
Тільки
відкритий ключ |
|
Стійкість до
відмов |
Низька |
Низька |
Висока / низька |
Висока |
Практична
реалізація рішень на основі непрямої і автономної моделі як правило важче, ніж
реалізація рішень на основі локальної або прямої моделі. Що стосується
стійкості до відмов, то непряме рішення може забезпечувати високу стійкість до
відмов, якщо практична реалізація передбачає наявність резервного
автентифікаційного сервера.
Висновки. Проведені дослідження показали, що для
сучасних інформаційно-комунікаційних систем та мереж найоптимальнішим варіантом
буде використання шаблону непрямої системи автентифікації. Роль
автентифікаційного сервера, що приймає запити на автентифікацію від інших
серверів повинен відігравати сервер бази даних. На сервері бази даних
повинна підтримуватись єдина актуальна база особистих даних користувачів,
що спрощує процес адміністрування. Комплекс засобів захисту ІКСМ для
забезпечення надійного захисту повинен розміщуватися на сервері бази даних, але
при цьому за рахунок відповідних клієнтських додатків охоплювати всі комп’ютери
робочих груп, адміністраторів та керівництва, а також всі сервери, що містяться
в автоматизованій системі.
Література
1.
Теоретические основы компьютерной безопасности. Учебное
пособие для вузов / П.Н. Девянин, О.О. Михальский, Д.И. Правиков. – М.: Радио и
связь, 2010. – 192 с.
2.
Богуш В.М., Довидьков О.А. Теоретичні основи захищених
інформаційних технологій. – К.: ДУІКТ, 2009. – 414 с.
3.
Белов Е.Б. Основы информационной безопасности. Учебное
пособие для вузов / Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. – М.:
Горячая линия – Телеком, 2006. – 544 с