Identyfikacja, uwierzytelnianie i autoryzacja
- Józef Muszyński,
- 01.05.2003
W sieciach komputerowych istotnym problemem jest bezpieczna komunikacja, odporna na zagrożenia poufności i autentyczności przesyłanych informacji. Zagrożenia poufności są związane z możliwością odczytu informacji przesyłanych w sieciach przez osoby niepowołane. Zagrożenia autentyczności i integralności przesyłanych danych są związane z możliwościami modyfikacji danych przez osoby niepowołane. Oprócz autentyczności informacji ważna jest także autentyczność nadawcy – pewność co do tożsamości osoby, z którą się komunikujemy. Jedną z metod zabezpieczania komunikacji w sieciach komputerowych są protokoły uwierzytelniania, używane w sytuacji, gdy dwie strony chcą nawiązać bezpieczną komunikację w sieci.
W sieciach komputerowych istotnym problemem jest bezpieczna komunikacja, odporna na zagrożenia poufności i autentyczności przesyłanych informacji. Zagrożenia poufności są związane z możliwością odczytu informacji przesyłanych w sieciach przez osoby niepowołane. Zagrożenia autentyczności i integralności przesyłanych danych są związane z możliwościami modyfikacji danych przez osoby niepowołane. Oprócz autentyczności informacji ważna jest także autentyczność nadawcy – pewność co do tożsamości osoby, z którą się komunikujemy. Jedną z metod zabezpieczania komunikacji w sieciach komputerowych są protokoły uwierzytelniania, używane w sytuacji, gdy dwie strony chcą nawiązać bezpieczną komunikację w sieci.
Identyfikacja to rozpoznawanie użytkownika opisanego w zautomatyzowanym systemie przetwarzania danych.
Uwierzytelnianie ma na celu upewnienie co najmniej jednej z dwóch stron biorących w nim udział o tożsamości drugiej. Jest identyfikacją w stopniu wystarczającym do przyznania odpowiednich uprawnień czy przywilejów osobie lub zidentyfikowanemu obiektowi. W uproszczeniu można powiedzieć, że jest to weryfikacja tożsamości przypisywanej osobom, stacjom lub źródłom danych.
Z uwierzytelnianiem jest związana cecha niezaprzeczalności. Formalna definicja określa ją jako metodę, dzięki której nadawca danych ma mechanizm sprawdzania dostarczenia, a odbiorca jest zapewniony o tożsamości nadawcy. W rezultacie żaden z nich nie może zaprzeczyć wymianie danych.
Autoryzacja (upoważnienie) jest zagwarantowaniem użytkownikowi, programowi lub procesowi odpowiednich uprawnień (prawa dostępu lub korzystania z zasobów). W środowisku mainframe autoryzacja zależy od systemu operacyjnego i określonego przez administratora poziomu bezpieczeństwa systemu.
Podsumowując, identyfikacja, uwierzytelnianie i autoryzacja powinny być elementami każdej transakcji biznesowej i muszą być zagwarantowane przez system komunikacyjny i oprogramowanie pośredniczące w związkach pomiędzy dostawcami i klientami.
Problemy uwierzytelniania
Procedury identyfikowania i uwierzytelniania stają się coraz bardziej powszechne i dokładne. Konieczność posiadania osobistego numeru identyfikacyjnego (PIN) i sprawdzania tożsamości przy użyciu całego szeregu nowych technologii to nieuchronna konsekwencja powszechnej informatyzacji. Jednak skuteczność w zapewnianiu bezpieczeństwa zależy od wdrożenia podstawowych elementów zarządzania tożsamością.
Ścisłe uwierzytelnianie osiąga się przez połączenie wielu metod uwierzytelniania. Do hasła lub PIN-u można dodać inteligentną kartę, generator tokenów lub urządzenie biometryczne. Pojawiły się też nowe pomysły, np. stosowanie telefonów komórkowych w charakterze tokenów uwierzytelniających (wysyłanie do telefonu komórkowego komunikatu z jednorazowym numerem). Inne rozwiązania generują unikatowe podpisy w komputerze użytkownika lub innym sprzęcie. Niektóre systemy biometryczne wymagają połączenia się z bezpłatnym numerem, który weryfikuje głos dzwoniącego i wydaje mu PIN logowania.
Można zaobserwować pewien konflikt między bezpieczeństwem i wygodą, co jest poważnym problemem w ścisłych metodach uwierzytelniania. Karty inteligentne nadal wymagają zainstalowania w komputerze odpowiedniego sterownika. Użytkownicy nie lubią nosić ze sobą mnóstwa kart i innych urządzeń uwierzytelniających. Jak można uwierzytelnić pracownika, który zapomniał swojej karty? Telefon komórkowy musi mieć zagwarantowany zasięg sieci bezprzewodowej, aby mógł działać. Biometryka w znacznym stopniu rozwiązuje ten problem. Ale co począć, kiedy użytkownik ma chrypkę i nie może wydać z siebie rozpoznawalnego głosu? Biometryka także nie jest bez wad.