AAA - uwierzytelnianie, autoryzacja i kontrola dostępu (cz. 1)

Obok stawiania zapór ogniowych czy wykrywania intruzów, równie istotnymi elementami systemu ochrony danych są uwierzytelnianie, autoryzacja oraz kontrola dostępu do zasobów sieciowych. Często oznacza się je angielskim skrótem "AAA" $(Authentication, Authorization, Accounting)$. Te trzy elementy są mocno powiązane - pominięcie choćby jednego z nich może osłabić cały system zabezpieczeń.

Uwierzytelnianie i autoryzacja to niezbędne środki ochrony komunikacji, pozwalające m.in. na bezpieczne korzystanie z internetu. Uwierzytelnianie potwierdza tożsamość nadawcy lub odbiorcy informacji. Natomiast za pomocą autoryzacji ustala się, które działania może podjąć uwierzytelniony użytkownik.

Autoryzacja nie musi być poprzedzana uwierzytelnieniem, jednak w praktyce te dwa mechanizmy są ściśle powiązane. Rozliczanie (accounting) to rejestrowanie i raportowanie działań użytkownika związanych z dostępem do zasobów systemów komputerowych. Rejestrowane są wszystkie poczynania użytkownika uzyskującego dostęp do sieci, takie jak połączenia z serwerem czy korzystanie z usług. Kontrola i analiza zebranych danych umożliwia wykrywanie anormalnych zachowań w systemie czy błędów w konfiguracji, umożliwiających np. nieuprawnione przeglądanie zasobów.

Uwierzytelnianie i tożsamość

Uwierzytelnianie jest procesem weryfikowania "prawa własności" do poszczególnych tożsamości. Kiedy użytkownik wprowadza swoją nazwę logowania i hasło, to z dużym prawdopodobieństwem można założyć, że jedynie on zna to hasło i podając je systemowi kontroli dostępu, potwierdza, że jest właścicielem właśnie tej tożsamości.

1 Uwierzytelnianie, autoryzacja i rozliczanie tworzą szkielet ochrony

1 Uwierzytelnianie, autoryzacja i rozliczanie tworzą szkielet ochrony

Tożsamość może być etykietą, tokenem lub innym obiektem, który identyfikuje podmiot bezpieczeństwa w domenie ochrony. Tożsamości są zazwyczaj używane przez osoby uzyskujące dostęp do systemów komputerowych, sieci lub programów, ale mogą być także przypisane do programów czy usług. Tożsamość powinna być unikatowa w danej domenie ochrony. Na jej podstawie wykonywane są kontrole dostępu i uprawnień.

Podmioty zabezpieczeń mogą używać jednej lub więcej tożsamości w ramach poszczególnych domen ochrony, np. jedno konto logowania dla codziennych operacji użytkownika, a inne dla podwyższonych uprawnień administrowania. Tożsamość może być etykietą tekstową (np. nazwą użytkownika przy logowaniu) lub reprezentatywnym tokenem (takim jak certyfikat cyfrowy czy cyfrowa reprezentacja odcisku palca).

Kluczowym założeniem każdego systemu czy protokołu AAA jest to, że każda tożsamość musi być weryfikowalna i jednoznacznie przypisana do podmiotu zabezpieczeń. Ten ostatni może mieć wiele przypisanych tożsamości: różne - w ramach tej samej domeny ochrony, różne - w różnorodnych domenach ochrony, lub wykorzystywać jedną tożsamość - w wielu domenach ochrony.


TOP 200