до мережевих служб, що зажадалися ним або даних. Одним з основних сервісів управління доступом, що здійснює перевірку реєстраційної інформації користувача, є його аутентификація (authentication). Існує безліч механізмів її реалізації. У зв'язку з важливістю цієї служби розглянемо деякі з них.
Традиційно для визначення прав доступу до обчислювального ресурсу використовувався пароль. Однак практика показала слабість подібного захисту. Тому були розроблені більш хитромудрі і надійні механізми ідентифікації.
Взагалі кажучи, сьогодні існують три загальноприйняті технології'для аутентификація користувача.
Аутентификація за допомогою інформації, відомою користувачеві. Цей механізм базується на вищезазначеному принципі ім"я_користувача/пароль. Тут є два підходи, відомих як протокол- аутентификація за допомогою пароля (Password Authentication Protocol --)(PAP) і протокол аутентификація з попереднім узгодженням виклику (Challenge Handshake Authentication Protocol --)(CHAP) PAP просто запитує у користувача пароль, і якщо він правильний, то користувач отримує доступ до необхідного ресурсу. У відповідності з CHAP аутентифікаційний агент (звичайно сервер) посилає клієнту ключ для шифрування його імені і пароля. Це дозволяє передавати ім'я користувача і пароль в зашифрованому вигляді, захищаючись таким чином від можливості перехоплення повідомлення. У деяких реалізаціях цього механізму як ключ використовується смарт-картка.
Аутентификація за допомогою коштів, що є у користувача. Згідно з цією технікою користувач наділяється деяким маркером доступу Це може бути магнітна картка, смарт-картка з мікросхемою, що генерує зашифрований код, який передається комп'ютерній системі, що зберігає набір атрибутів користувача.
Аутентификація на основі фізичних характеристик. Тут використовуються різноманітна біометрична техніка і індивідуальні особливості, які не можуть повторюватися. Ідентифікація можлива за допомогою сканування сітчатки ока, по папілярному малюнку на пальцях рук. систем розпізнавання голосу і т. п.
Тепер спробуємо сформулювати деякі основні задачі, які повинна вирішувати служба безпеки. Власне кажучи, вони неявко вже були викладені вище: це забезпечення цілісності і конфіденційності Інформації аутентификація користувачів і управління доступом до мережевих ресурсів Одне з формалізованих визначень комп'ютерної безпеки свідчить, що вона полягає в тому Щоб зробити неможливим неавторизоеаний доступ або неавторизоване використання комп'ютерних або мережевих ресурсів
Виділяють такі десять вимог до захисту даних:
Користувачі, перш ніж розпочати роботу, повинні ідентифікувати себе.
Система повинна мати змогу контролювати дії користувачів.
Над діями користувачів потрібно вести постійний контроль - моніторинг – з метою виявлення неправомірних дій.
Дані, апаратуру та програми потрібно захищати від пожежі, крадіжки та інших форм руйнування.
Дані, апаратура та програми повинні мати замки від несанкціонованого використання.
Дані повинні бути поновлюваними.
Дані повинні передбачати можливість ревізії. Завжди можна перевірити та довести їхню правильність.
Дані, апаратуру та програми потрібно захистити від зловмисників.
Передавання даних захищають від помилок.
Передавання даних повинно бути конфіденційним. У випадку потреби їх шифрують.