СОДЕРЖАНИЕ

Введение

1 Подтверждение подлинности пользователей и разграничение их доступа к компьютерным ресурсам

2 Типовые решения в организации ключевых систем

3. Описание программы

Заключение

Приложение А (интерфейс программы)

Приложение В (листинг программы)

Литература

ВВЕДЕНИЕ

Увеличение числа пользователей ЭВМ привело к необходимости создания систем разграничения доступа пользователей к ресурсам как отдельно стоящего компьютера, так и к сетевым ресурсам в целом. Процедуры идентификации и аутентификации осуществляются на начальном этапе работы пользователя и позволяют предоставить возможность доступа к ресурсам тем, кому это разрешено и, по возможности, предотвратить несанкционированный доступ.

Аутентификация может выполняться как процедура ввода какой-либо информации (пароля), известной только пользователю, которому принадлежит идентификатор. Другой способ проверки подлинности это аутентификация по биометрическим параметрам человека (отпечаток пальца, линии ладони, рисунок сетчатки глаза и т.п.).

В ходе выполнения курсовой работы была создана программа, позволяющая разрешать работу с приложением только ограниченному кругу пользователей. Разграничение доступа проводится путем предложения лицу, запустившему программу ввести свой личный идентификатор и подтвердить подлинность вводом пароля.

1. ПОДТВЕРЖДЕНИЕ ПОДЛИННОСТИ ПОЛЬЗОВАТЕЛЕЙ И РАЗГРАНИЧЕНИЕ ИХ ДОСТУПА К КОМПЬЮТЕРНЫМ РЕ­СУРСАМ

1.1. Основные этапы допуска в компьютерную систему

Системой защиты по отношению к любому пользователю с целью обеспечения безопасности обработки и хранения информации должны быть предусмотрены следующие этапы допуска в вычислительную систему[2]:

1) идентификация;

2) установление подлинности (аутентификация);

3) определение полномочий для последующего контроля и разгра­ничения доступа к компьютерным ресурсам.

Данные этапы должны выполняться и при подключении к вычисли­тельной системе (ВС) таких устройств, как удаленные рабочие станции и терминалы[2].

Идентификация необходима для указания компьютерной системе уникального идентификатора обращающегося к ней пользователя с целью выполнения следующих защитных функций[2]:

- установление подлинности и определение полномочий пользова­теля при его допуске в компьютерную систему;

- контроль установленных полномочий и регистрация заданных действий пользователя в процессе его сеанса работы после до­пуска данного пользователя в ВС;

- учет обращений к компьютерной системе.

Сам идентификатор может представлять собой последовательность любых символов и должен быть заранее зарегистрирован в системе администратором службы безопасности. В процессе регистрации администратором в базу эталонных данных системы защиты для каждого пользо­вателя заносятся следующие элементы данных[2]:

- фамилия, имя, отчество и, при необходимости, другие характери­стики пользователя;

- уникальный идентификатор пользователя;

- имя процедуры установления подлинности;

- используемая для подтверждения подлинности эталонная инфор­мация, например, пароль;

-ограничения на используемую эталонную информацию, например, минимальное и максимальное время, в течение которого указанный пароль будет считаться действительным;

-полномочия пользователя по доступу к компьютерным ресурсам.

Процесс установления подлинности, называемый еще аутентифика­цией, заключается в проверке, является ли пользователь, пытающийся осуществить доступ в ВС, тем, за кого себя выдает[2].

Общая схема идентификации и установления подлинности пользо­вателя при его доступе в компьютерную систему представлена на Рис. 1.1.

Если в процессе аутентификации подлинность пользователя уста­новлена, то система защиты должна определить его полномочия по ис­пользованию ресурсов ВС для последующего контроля установленных полномочий.

Основными и наиболее часто применяемыми методами установления подлинности пользователей являются методы, основанные на ис­пользовании паролей. Под паролем при этом понимается неко­торая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к компьютерной системе. Ввод пароля, как прави­ло, выполняют с клавиатуры после соответствующего запроса системы.

Рис. 1.1. Схема идентификации и аутентификации пользователя при его доступе в ВС

Эффективность парольных методов может быть значительно повы­шена путем записи в зашифрованном виде длинных и нетривиальных па­ролей на информационные носители, например, дискеты, магнитные кар­ты, носители данных в микросхемах и т.д. В этом случае компьютерная система должна включать специальные устройства и обслуживающие их драйверы для считывания паролей с этих информационных носителей, а служба безопасности должна располагать средствами для формирования носителей с парольными данными.

Для особо надежного опознавания могут применяться и методы, ос­нованные на использовании технических средств определения сугубо ин­дивидуальных характеристик человека (голоса, отпечатков пальцев, структуры зрачка и т.д.). Однако такие средства требуют значительных затрат и поэтому используются редко.

Существующие парольные методы проверки подлинности пользователей при входе в ВС можно разделить на две группы[2] :

- методы проверки подлинности на основе простого пароля;

- методы проверки подлинности на основе динамически изменяю­щегося пароля.

Пароль подтверждения подлинности пользователя при использова­нии простого пароля не изменяется от сеанса к сеансу в течении установ­ленного администратором службы безопасности времени его существо­вания (действительности).

При использовании динамически изменяющегося пароля пароль пользователя для каждого нового сеанса работы или нового переда действия одного пароля изменяется по правилам, зависящим от исполь­зуемого метода.

1.2. Использование простого пароля

Процедура опознавания с использованием простого пароля может быть представлена в виде следующей последовательности действий[2]:

1) пользователь посылает запрос на доступ к компьютерной системе и вводит свой идентификатор;

2) система запрашивает пароль;

3) пользователь вводит пароль;

4) система сравнивает полученный пароль с паролем пользователя, хранящимся в базе эталонных данных системы защиты, и разрешает доступ, если пароли совпадают; в противном случае пользо­ватель к ресурсам компьютерной системы не допускается.

Поскольку пользователь может допустить ошибку при вводе пароля то системой должно быть предусмотрено допустимое количество повто­рений для ввода пароля.

В базе эталонных данных системы защиты пароли, как и другую ин­формацию, никогда не следует хранить в явной форме, а только зашиф­рованными. При этом можно использовать метод как обратимого, так и необратимого шифрования.