Рекомендовано Учебно-методическим объединением
по образованию в области информационной безопасности
и одобрено ФСТЭК России
в качестве учебного пособия для студентов высших
учебных заведений, обучающихся по специальностям
«Компьютерная безопасность»,
«Комплексное обеспечение информационной
безопасности автоматизированных систем»
Под редакцией
А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева
Москва
Горячая линия - Телеком
2012
Стр.1
УДК 004.732.056(075.8)
ББК 32.973.2-018.2я73
А93
Авт о ры : А. А. Афанасьев, Л. Т. Веденьев, А. А. Воронцов, Э. Р. Газизова,
А. Л. Додохов, А. В. Крячков, О. Ю. Полянская, А. Г. Сабанов, М. А. Скида,
С. Н. Халяпин, А. А. Шелупанов
А93 Аутентификация. Теория и практика обеспечения безопасного доступа
к информационным ресурсам. Учебное пособие для вузов / А. А. Афанасьев,
Л. Т. Веденьев, А. А. Воронцов и др.; Под ред. А. А. Шелупанова,
С. Л. Груздева, Ю. С. Нахаева. – 2-е изд., стереотип. – М.: Горячая
линия–Телеком, 2012. – 550 с.: ил.
ISBN 978-5-9912-0257-2.
Книга посвящена одному из аспектов проблемы управления доступом к
информации в компьютерных системах – аутентификации.
Фактически защита информации начинается с аутентификации пользователей.
Каждый пользователь современных компьютерных систем сталкивается с
процедурами аутентификации неоднократно в течение рабочего дня. Книга
описывает достоинства и недостатки практически всех существующих и используемых
на настоящий момент способов аутентификации и ориентирована
на широкий круг читателей.
Книга адресована студентам вузов и аспирантам, обучающимся по специальностям,
связанным с защитой информации, ИТ-специалистам и специалистам
по информационной безопасности; специалистам, получающим второе
высшее образование в области защиты информации, и слушателям курсов переподготовки.
ББК
32.973.2-018.2я73
Адрес издательства в Интернет WWW.TECHBOOK.RU
Учебное издание
Аутентификация
Теория и практика обеспечения безопасного доступа
к информационным ресурсам
Учебное пособие для вузов
2-е издание, стереотипное
Редактор И. Н. Андреева
Компьютерная верстка Н. В. Дмитриева
Обложка художника В. Г. Ситникова
Подписано в печать 14.03.12. Формат 70×100/16. Усл. печ. л. 45,75. Тираж 100 экз. (1-й завод 50 экз.)
ООО «Научно-техническое издательство «Горячая линия–Телеком»
ISBN 978-5-9912-0257-2
© ЗАО «Аладдин Р.Д.», 2009, 2012
© Издательство «Горячая линия–Телеком», 2012
Стр.2
ОГЛАВЛЕНИЕ
ПРЕДИСЛОВИЕ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ЧАСТЬ I. ТЕОPЕТИЧЕСКИЕ ОСНОВЫ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Глава 1. ОБЩИЕ СВЕДЕНИЯ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1. Основные понятия и опpеäеëения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2. Pоëü и заäа÷и аутентификаöии. Место аутентификаöии
в стpуктуpе основных напpавëений защиты инфоpìаöии. . . . . . . . . . . . . 10
1.3. Фактоpы аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Глава 2. ПАPОЛЬНАЯ АУТЕНТИФИКАЦИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.1. Аутентификаöия с поìощüþ запоìинаеìоãо паpоëя . . . . . . . . . . . . . . . . 16
2.2. Метоäы паpоëüной аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3. Паpоëüные поëитики. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.4. Неäостатки ìетоäов аутентификаöии с запоìинаеìыì паpоëеì. . . . . . . . 19
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Глава 3. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
БИОМЕТPИЧЕСКИХ ХАPАКТЕPИСТИК . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.1. Биоìетpи÷еские хаpактеpистики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2. Как pаботаþт биоìетpи÷еские систеìы . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.3. Аутентификаöия и биоìетpи÷еское pаспознавание . . . . . . . . . . . . . . . . . 26
3.4. Pеаëизаöия биоìетpи÷еских систеì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.5. Неäостатки аутентификаöии с поìощüþ биоìетpи÷еских хаpактеpистик.
Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Глава 4. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
ОДНОPАЗОВЫХ ПАPОЛЕЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.1. Аппаpатно-пpоãpаììные OTP-токены . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2. Как pаботаþт OTP-токены. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3. Метоäы аутентификаöии с поìощüþ OTP-токенов . . . . . . . . . . . . . . . . . 32
4.4. Сpавнение ìетоäов OTP-аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . 36
4.5. Систеìы оäноpазовых паpоëей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.6. Неäостатки ìетоäов аутентификаöии с поìощüþ OTP.
Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Глава 5. КPИПТОГPАФИЯ С ОТКPЫТЫМ КЛЮЧОМ . . . . . . . . . . . . . . . . . . 43
5.1. Общие свеäения о кpиптоãpафии с откpытыì кëþ÷оì. . . . . . . . . . . . . . . 43
3
Стр.3
5.2. Автоpизаöия и обеспе÷ение þpиäи÷еской зна÷иìости эëектpонных
äокуìентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.3. Конфиäенöиаëüностü и контpоëü öеëостности пеpеäаваеìой
инфоpìаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.4. Аутентификаöия связываþщихся стоpон . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.5. Установëение аутенти÷ноãо защищенноãо соеäинения. . . . . . . . . . . . . . . 48
5.6. Инфpастpуктуpа откpытых кëþ÷ей (PKI). . . . . . . . . . . . . . . . . . . . . . . . . 49
5.7. Аутентификаöия с поìощüþ откpытоãо кëþ÷а на основе сеpтификатов . . . 49
5.8. Оpãанизаöия хpанения закpытоãо кëþ÷а . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.9. Интеëëектуаëüные устpойства и аутентификаöия с поìощüþ
откpытоãо кëþ÷а . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.10. Неäостатки аутентификаöии с поìощüþ откpытых кëþ÷ей.
Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Глава 6. ПPОТОКОЛЫ АУТЕНТИФИКАЦИИ В ЛОКАЛЬНОЙ СЕТИ. . . . . . . 57
6.1. Пpотокоëы LAN Manager и NT LAN Manager . . . . . . . . . . . . . . . . . . . . . 57
6.2. Пpотокоë Kerberos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
6.3. Пpотокоë Kerberos + PKINIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Глава 7. МЕХАНИЗМЫ АУТЕНТИФИКАЦИИ ПPИ ОСУЩЕСТВЛЕНИИ
ПОДКЛЮЧЕНИЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
7.1. Пpотокоë PPP PAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
7.2. Пpотокоë PPP CHAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
7.3. Пpотокоë PPP EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
7.4. Пpотокоë TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
7.5. Пpотокоë RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
7.6. Станäаpт IEEE 802.1x и пpотокоë EAPOL . . . . . . . . . . . . . . . . . . . . . . . . 86
7.7. Пpотокоë EAP-TLS с испоëüзованиеì pоссийской кpиптоãpафии . . . . . . 89
7.8. Станäаpт IEEE 802.1x в опеpаöионных систеìах Microsoft . . . . . . . . . . . . 93
7.9. Cisco NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Глава 8. АУТЕНТИФИКАЦИЯ В ЗАЩИЩЕННЫХ СОЕДИНЕНИЯХ . . . . . . . 98
8.1. Пpотокоëы SSL, TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
8.2. Пpотокоë SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
8.3. Пpотокоë S-HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101
8.4. Пpотокоë SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
8.5. Сеìейство пpотокоëов IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
8.6. Пpотокоëы защищенноãо взаиìоäействия и аутентификаöии
äëя коpпоpативных беспpовоäных ëокаëüных сетей . . . . . . . . . . . . . . . . .116
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
4
Стр.4
Глава 9. ПPИМЕНЕНИЕ АППАPАТНЫХ СPЕДСТВ АУТЕНТИФИКАЦИИ
И ХPАНЕНИЯ КЛЮЧЕВОЙ ИНФОPМАЦИИ . . . . . . . . . . . . . . . . . . . . . . . . .125
9.1. Аппаpатные сpеäства защиты в совpеìенных PKI-pеøениях . . . . . . . . . .125
9.2. Необхоäиìостü пpиìенения аппаpатных сpеäств аутентификаöии
и хpанения кëþ÷евой инфоpìаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
9.3. Типовые тpебования к сpеäстваì аутентификаöии и хpанения
кëþ÷евой инфоpìаöии. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
9.4. Особенности коpпоpативноãо испоëüзования пеpсонаëüных сpеäств
аутентификаöии и хpанения кëþ÷евой инфоpìаöии . . . . . . . . . . . . . . . .139
9.5. Центpаëизованная систеìа упpавëения сpеäстваìи аутентификаöии
и хpанения кëþ÷евой инфоpìаöии поëüзоватеëей . . . . . . . . . . . . . . . . . .142
9.6. Типовые тpебования к систеìе упpавëения токенаìи . . . . . . . . . . . . . . .145
9.7. Token Management System (TMS) коìпании Aladdin. . . . . . . . . . . . . . . . .146
9.8. Пpактика: коìпëексная систеìа на базе еäиноãо пеpсонаëüноãо
сpеäства аутентификаöии и хpанения кëþ÷евой инфоpìаöии . . . . . . . . .149
Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
Список использованной литеpатуpы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
ЧАСТЬ II. ПPАКТИКА . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
Введение. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
Глава 1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ
И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ
НА ОСНОВЕ PЕКОМЕНДАЦИЙ И ПPОДУКТОВ MICROSOFT.
ТИПОВЫЕ PЕШЕНИЯ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
1.1. Основные сеpвисы äëя обеспе÷ения наäежной аутентификаöии
и упpавëения äоступоì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
1.2. Автоpизаöия пpи äоступе к объекту . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
1.3. Систеìа ауäита Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170
1.4. Назна÷ение и pеøаеìые заäа÷и инфpастpуктуpы откpытых кëþ÷ей. . . . .172
1.5. Упpавëение иäентификаöией (ILM). . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
1.6. Microsoft Identity Integration Server (MIIS) . . . . . . . . . . . . . . . . . . . . . . . .173
1.7. Систеìы обеспе÷ения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Глава 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ
И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ
НА ОСНОВЕ PЕКОМЕНДАЦИЙ И ПPОДУКТОВ ORACLE И ALADDIN.
ТИПОВЫЕ PЕШЕНИЯ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
2.1. Упpавëение äоступоì в СУБД Oracle с поìощüþ встpоенных ìеханизìов
безопасности и кpиптоãpафи÷еских сpеäств защиты. . . . . . . . . . . . . . . . .177
5
Стр.5
Глава 3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ
И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ
НА ОСНОВЕ ПPОДУКТОВ КОМПАНИИ CITRIX SYSTEMS . . . . . . . . . . . . .226
3.1. Описание пpоäуктов коìпании Citrix Systems . . . . . . . . . . . . . . . . . . . . .226
3.2. Коìпоненты систеì, постpоенных с испоëüзованиеì XenApp . . . . . . . . .228
Список использованной литеpатуpы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244
Источники . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
ЧАСТЬ III. ЛАБОPАТОPНЫЕ PАБОТЫ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Лабоpатоpная pабота № 1. Поäãотовка стенäа, установка и настpойка ПО,
поäãотовка эëектpонных кëþ÷ей eToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
Лабоpатоpная pабота № 2. Установка и настpойка Центpа сеpтификаöии,
испоëüзование кëþ÷ей eToken в äоìене Windows Server 2003 . . . . . . . . . . . . . . .282
Лабоpатоpная pабота № 3. Испоëüзование eToken äëя безопасноãо äоступа
к инфоpìаöионныì pесуpсаì, äëя øифpования и äëя ЭЦП . . . . . . . . . . . . . . . .326
Лабоpатоpная pабота № 4. Сопpовожäение функöиониpования Центpа
сеpтификаöии, повыøение защищенности систеì на основе
Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .399
Лабоpатоpная pабота № 5. Доступ в СУБД Oracle с аутентификаöией
по иìени поëüзоватеëя и паpоëþ в LDAP-катаëоãе. . . . . . . . . . . . . . . . . . . . . . .428
Лабоpатоpная pабота № 6. Доступ в СУБД Oracle с аутентификаöией
на основе сеpтификатов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .458
Лабоpатоpная pабота № 7. Pежиìы pаботы пpотокоëа IPSec на ìоäуëе
NME-RVPN пpи испоëüзовании пpоãpаììноãо обеспе÷ения CSP VPN Gate
äëя аутентификаöии и защиты äанных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .491
Лабоpатоpная pабота № 8. Настpойка Web Interface 4.x äëя испоëüзования
сìаpт-каpт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .509
Лабоpатоpная pабота № 9. Настpойка Secure Gateway äëя безопасноãо
поäкëþ÷ения к опубëикованныì пpиëоженияì из неäовеpенных сpеä
пеpеäа÷и äанных. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .530
6
Стр.6
ПPЕДИСЛОВИЕ
Суäüба äанноãо у÷ебноãо пособия весüìа необы÷на. На паpтнеpской конфеpенöии по
инфоpìаöионной безопасности коìпании Aladdin у нас появиëасü иäея созäатü книãу по
теоpети÷ескиì и пpакти÷ескиì вопpосаì аутентификаöии. Эту книãу ìожно быëо бы
испоëüзоватü не тоëüко пpи обу÷ении стуäентов и аспиpантов ВУЗов и СУЗов по у÷ебныì
äисöипëинаì «Безопасностü баз äанных», «Пpоãpаììно-аппаpатные сpеäства обеспе÷ения
инфоpìаöионной безопасности», «Безопасностü опеpаöионных систеì», «Коìпüþтеpная
безопасностü» и т. ä., но и в пpакти÷еской äеятеëüности ИТ-спеöиаëистов,
систеìных аäìинистpатоpов, аäìинистpатоpов безопасности pазëи÷ных сетей и систеì.
Лþбая поисковая систеìа в Интеpнет по запpосу «аутентификаöия» пpеäоставëяет
боëее 1 ìиëëиона ссыëок на pазëи÷ные инфоpìаöионные pесуpсы. Этот о÷евиäный факт
поäтвеpжäает øиpокое pаспpостpанение и испоëüзование ìеханизìов аутентификаöии
в пpактике обеспе÷ения безопасности сетей, систеì, pазëи÷ных пpиëожений. Оöенив
интеpес и востpебованностü äанной техноëоãии, ìы pеøиëи взятüся за äеëо.
Всþ сëожностü вопëощения наøей иäеи ìы поняëи нескоëüко позже, коãäа взяëисü
за ее pеаëизаöиþ. Пеpвая тpуäностü состояëа, ãëавныì обpазоì, в тоì, ÷тобы объеäинитü
усиëия спеöиаëистов заpубежных и pоссийских коìпаний, пpизнанных ëиäеpов на pынке
инфоpìаöионных техноëоãий, таких, как коìпании Microsoft, Aladdin, Cisco Systems, Citrix,
Oracle, Кpипто-Пpо. Пpи этоì, поìиìо необхоäиìых теоpети÷еских свеäений, ìы собиpаëисü
пpеäëожитü ÷итатеëþ pазëи÷ные pеøения, техноëоãии и пpоäукты äëя pеаëизаöии
заäа÷ по обеспе÷ениþ безопасности äоступа к äанныì и пpиëоженияì инфоpìаöионной
систеìы оpãанизаöии, защищенных соеäинений. Pе÷ü иäет как о пpеäставëении типовых
pеøений, так и о возìожной кастоìизаöии пpоäуктов поä конкpетные систеìы.
Дpуãая сëожностü состояëа в тоì, ÷тобы систеìатизиpоватü, поpой весüìа пpотивоpе÷ивые
свеäения, стиëи изëожения, поäхоäы к pеаëизаöии pеøений в pазëи÷ных коìпаниях,
и пpеäставитü ìетоäи÷ески вывеpенные теоpети÷еские и пpакти÷еские ìатеpиаëы, в тоì
÷исëе и в виäе ãотовых ëабоpатоpных pабот äëя испоëüзования их в у÷ебноì пpоöессе.
Тpетüя сëожностü состояëа в тоì, ÷тобы пpеоäоëев пpепоны конкуpентноãо пpотивостояния
коìпаний, созäатü поëезнуþ и, на наø взãëяä, весüìа своевpеìеннуþ и актуаëüнуþ
книãу без pекëаìы конкpетных коìпаний. И наконеö, ëþбая pабота, котоpая äеëается
на общественных на÷аëах, за÷астуþ стpаäает неäостаткоì вpеìени иëи возìожности äовести
иäеþ созäания у÷ебноãо пособия äо ëоãи÷ескоãо завеpøения. Это обстоятеëüство
явиëосü пpи÷иной отсутствия ìатеpиаëов в äанной книãе еще нескоëüких веäущих коìпаний
— венäоpов (IBM, Check Point Software Technologies, Сиãнаë-Коì, SUN и т. ä.). Наäееìся,
÷то эти ìатеpиаëы войäут во втоpое изäание äанноãо у÷ебноãо пособия. Потpебоваëся
весüìа пpоäоëжитеëüный пеpиоä вpеìени äëя pеøения оpãанизаöионных ìеpопpиятий,
экспеpтизы и апpобаöии ìатеpиаëов в у÷ебных завеäениях Pоссии, пpи
пpовеäении тpенинãов ИТ-спеöиаëистов, сотpуäников сëужб инфоpìаöионной безопасности,
стуäентов пpофиëüных ВУЗов и т. п.
К с÷астüþ, наì уäаëосü пpеоäоëетü все эти тpуäности, и ìы наäееìся, ÷то книãа окажется
поëезной как в у÷ебноì пpоöессе, так и в пpакти÷еской pаботе.
У÷ебное пособие состоит из теоpети÷еской и пpакти÷еской ÷астей. Пpакти÷еская ÷астü
соäеpжит 9 ëабоpатоpных pабот по типовыì pеøенияì с испоëüзованиеì пpоäуктов pазëи÷ных
коìпаний. Описание ëабоpатоpных pабот ìожно найти по аäpесу в Интеpнет:
http://www.aladdin.ru/book/
Соãëасно заìысëу автоpов, книãа, котоpуþ Вы äеpжите в pуках, пpизвана откpытü пеpеä
÷итатеëеì сутü и возìожности техноëоãии аутентификаöии, как базовоãо эëеìента ëþбой
систеìы инфоpìаöионной безопасности совpеìенных коìпаний.
7
Стр.7
Спеöиаëистаì, уже знакоìыì с äанныìи техноëоãияìи, книãа поìожет систеìатизиpоватü
и pасøиpитü свои знания в ÷асти пpикëаäноãо пpиìенения сpеäств аутентификаöии
и интеãpаöии их с äpуãиìи пpоäуктаìи и pеøенияìи äëя защиты инфоpìаöии.
Pазвиватü pынок аутентификаöии, способствоватü повыøениþ уpовня и ка÷ества пpоектов
в обëасти ИТ-безопасности, а, ãëавное, соäействоватü фоpìиpованиþ ÷еткоãо пониìания
öенности инфоpìаöии в совpеìенноì ìиpе — основная öеëü äанной книãи.
Мы искpенне бëаãоäаpиì всех, кто поääеpживаë и пpоäоëжает поääеpживатü этот
пpоект, поìоãает в еãо пpоäвижении, а также pаспpостpанении книãи.
Особуþ бëаãоäаpностü выpажаеì Феäеpаëüной сëужбе безопасности Pоссии (ФСБ Pоссии),
Феäеpаëüной сëужбе по техни÷ескоìу и экспоpтноìу контpоëþ Pоссии (ФСТЭК
Pоссии), Совету Безопасности Российской Феäераöии и У÷ебно-ìетоäи÷ескоìу объеäинениþ
по образованиþ в обëасти инфорìаöионной безопасности за пpоявëенный интеpес,
поëезные заìе÷ания и констpуктивнуþ кpитику.
Отäеëüно хо÷ется отìетитü вкëаä в pаботу пpи поäãотовке pукописи äанной книãи
безвpеìенно уøеäøеãо из жизни pуковоäитеëя анаëити÷ескоãо отäеëа коìпании
Aladdin, канäиäата физико-ìатеìати÷еских наук Нахаева Ю.С.
Мы не пëаниpуеì останавëиватüся на äостиãнутоì pезуëüтате и pассìатpиваеì иäеþ
выпуска втоpоãо pасøиpенноãо изäания äанной книãи. Пpиãëаøаеì к сотpуäни÷еству
всех заинтеpесованных спеöиаëистов, коìпании, ВУЗы.
Заìе÷ания, пpеäëожения и пожеëания пpосüба напpавëятü по аäpесу:
634050, Тоìск, пp-т Ленина, ä.40
Институт систеìной интеãpаöии и безопасности ТУСУP, Шеëупанову А. А.
saa@udcs.ru
теë. 8 (3822) 413 426
129226 Москва, уë. Докукина, ä. 16 коpп. 1
ЗАО «Аëаääин P.Д.», ãенеpаëüноìу äиpектоpу Гpузäеву С. Л.
pr@aladdin.ru
теë. 8 (495) 223 0001
С уважениеì,
А. А. ШЕЛУПАНОВ,
Диpектоp Института систеìной
интеãpаöии и безопасности ТУСУP,
äоктоp техни÷еских наук, пpофессоp
С. Л. ГPУЗДЕВ,
Генеpаëüный äиpектоp коìпании Aladdin
8
Стр.8
Глава 1
ОБЩИЕ СВЕДЕНИЯ ОБ АУТЕНТИФИКАЦИИ
1.1. Основные понятия и определения
Проöесс реãистраöии поëüзоватеëя в ëþбой систеìе состоит из трех взаиìосвязанных
посëеäоватеëüно выпоëняеìых проöеäур: иäентификаöии, аутентификаöии и авторизаöии.
Идентификация — проöеäура распознавания субъекта по еãо иäентификатору. В проöессе
реãистраöии субъект преäъявëяет свой иäентификатор систеìе, которая проверяет
еãо наëи÷ие в своей базе äанных. Субъекты с известныìи систеìе иäентификатораìи
с÷итаþтся ëеãаëüныìи (законныìи), остаëüные относятся к неëеãаëüныì.
Аутентификация — проöеäура проверки поäëинности субъекта, которая позвоëяет
äостоверно убеäитüся в тоì, ÷то субъект, преäъявивøий свой иäентификатор, на саìоì
äеëе явëяется иìенно теì субъектоì, иäентификатор котороãо он испоëüзует. Дëя этоãо
он äоëжен поäтверäитü факт обëаäания некоторой инфорìаöией, которая ìожет бытü
äоступна тоëüко еìу оäноìу (пароëü, кëþ÷ и т. п.).
Авторизация — проöеäура преäоставëения субъекту опреäеëенных прав äоступа к ресурсаì
систеìы посëе прохожäения иì проöеäуры аутентификаöии. Дëя кажäоãо субъекта
в систеìе опреäеëяется набор прав, которые он ìожет испоëüзоватü при обращении к ее
ресурсаì.
Дëя тоãо ÷тобы обеспе÷итü управëение и контроëü наä äанныìи проöеäураìи, äопоëнитеëüно
испоëüзуþтся проöессы аäìинистрирования и ауäита.
Администрирование — проöесс управëения äоступоì субъектов к ресурсаì систеìы.
Данный проöесс вкëþ÷ает:
созäание иäентификатора субъекта (у÷етной записи поëüзоватеëя) в систеìе;
управëение äанныìи субъекта, испоëüзуеìыìи äëя еãо аутентификаöии (сìена
пароëя, изäание сертификата и т. п.);
управëение праваìи äоступа субъекта к ресурсаì систеìы.
Аудит — проöесс контроëя (ìониторинãа) äоступа субъектов к ресурсаì систеìы,
вкëþ÷аþщий протокоëирование äействий субъектов при их äоступе к ресурсаì систеìы
в öеëях обнаружения несанкöионированных äействий.
Такиì образоì, в общеì сëу÷ае ре÷ü иäет о пяти основных проöеäурах преäоставëения
äоступа к инфорìаöии. При этоì возìожен разëи÷ный поäхоä к расстановке приоритетов
при выпоëнении этих проöеäур.
1.2. Роль и задачи аутентификации.
Место аутентификации в структуре
основных направлений защиты информации
Независиìо от типа систеìы аутентификаöии в ней всеãäа присутствуþт пятü эëеìентов.
Первый
эëеìент — конкретный ÷еëовек иëи проöесс, который äоëжен прохоäитü
аутентификаöиþ, — субъект доступа.
Второй эëеìент — опознаватеëüный знак, идентификатор, который выäеëяет этоãо
÷еëовека иëи этот проöесс среäи äруãих.
Третий эëеìент — отличительная характеристика (аутентификатор), поäтвержäаþщая
принаäëежностü иäентификатора субъекту äоступа.
10
Стр.10