33. Методы строгой аутентификации.

Идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем. Проверяемая (доказывающая) сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Например, этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена. Доказательство знания секрета осуществляется с помощью последовательности запросов и ответов с использованием криптографических методов и средств

В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов: • односторонняя аутентификация; предусматривает обмен информацией только в одном направлении. • двусторонняя аутентификация; по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные; • трехсторонняя аутентификация. содержит дополнительную передачу данных от доказывающей стороны проверяющей. Этот подход позволяет отказаться от использования меток времени при проведении аутентификации.

34. Управление доступом. Основные понятия.

Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам по сети или на компьютере.

Прежде чем субъект сможет получить доступ к объекту, он должен идентифицировать себя в подсистеме безопасности операционной системы. Удостоверение содержится в токене доступа, который создается заново при каждом входе субъекта в систему. Прежде чем разрешить субъекту доступ к объекту, операционная система проверяет, авторизован ли токен доступа субъекта для обращения к объекту и выполнения нужной задачи. Для этого сравниваются данные токена доступа и записи управления доступом (ACE) для объекта.

В зависимости от типа объекта ACE могут разрешать или запрещать ряд различных поведений. Например, к параметрам объекта файла могут относиться «Чтение», «Запись» или «Выполнение». Доступные для принтера ACE включают «Печать», «Управление принтерами», «Управление документами».

Отдельные ACE для объекта объединены в списке управления доступом (ACL). Подсистема безопасности проверяет ACL объекта на наличие ACE, применимых к пользователям и группам, в состав которых входит пользователь. Она проходит через каждую запись ACE до тех пор, пока не будет найдена та, которая либо разрешает, либо запрещает доступ для пользователя или группы пользователей, или пока не будут проверены все записи ACE. Если по достижении конца списка ACL нужное право доступа явно ни разрешено, ни запрещено, подсистема безопасности отказывает в доступе к объекту.

Разрешения. Разрешения определяют тип доступа к объекту или его свойству, предоставленный пользователю или группе. Например, группе пользователей финансового отдела можно предоставить разрешения на чтение и запись для файла платежной ведомости Payroll.dat.

При установке разрешений определяется уровень доступа для групп и пользователей. Например, одному пользователю можно разрешить читать содержимое файла, другому - вносить изменения в файл, а всем остальным пользователям вообще запретить доступ к этому файлу.

Права и привилегии пользователей. Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям групп или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.