Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам

Под редакцией 
А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева

Рекомендовано Учебно-методическим объединением 
по образованию в области информационной безопасности
и одобрено ФСТЭК России 
в качестве учебного пособия для студентов высших 
учебных заведений, обучающихся по специальностям 
«Компьютерная безопасность», 
«Комплексное обеспечение информационной 
безопасности автоматизированных систем»

Москва
Горячая линия - Телеком
2012

УДК 004.732.056(075.8) 
ББК 32.973.2-018.2я73 
    А93 

А в т о р ы :   А. А. Афанасьев,  Л. Т. Веденьев,  А. А. Воронцов,  Э. Р. Газизова,  
А. Л. Додохов,  А. В. Крячков,  О. Ю. Полянская,  А. Г. Сабанов,  М. А. Скида,  
С. Н. Халяпин, А. А. Шелупанов 
 

А93 Аутентификация. Теория и практика обеспечения безопасного доступа 
к информационным ресурсам. Учебное пособие для вузов / А. А. Афанасьев,  Л. Т. Веденьев, А. А. Воронцов и др.; Под ред. А. А. Шелупанова, 
С. Л. Груздева, Ю. С. Нахаева. – 2-е изд., стереотип. – М.: Горячая 
линия–Телеком, 2012. – 550 с.: ил. 

ISBN 978-5-9912-0257-2. 

Книга посвящена одному из аспектов проблемы управления доступом к 
информации в компьютерных системах – аутентификации.  
Фактически защита информации начинается с аутентификации пользователей. Каждый пользователь современных компьютерных систем сталкивается с 
процедурами аутентификации неоднократно в течение рабочего дня. Книга 
описывает достоинства и недостатки практически всех существующих и используемых на настоящий момент способов аутентификации и ориентирована 
на широкий круг читателей. 
Книга адресована студентам вузов и аспирантам, обучающимся по специальностям, связанным с защитой информации, ИТ-специалистам и специалистам по информационной безопасности; специалистам, получающим второе 
высшее образование в области защиты информации, и слушателям курсов переподготовки. 
ББК 32.973.2-018.2я73 

Адрес издательства в Интернет WWW.TECHBOOK.RU 
 
Учебное издание 

Аутентификация 
Теория и практика обеспечения безопасного доступа  
к информационным ресурсам 

Учебное пособие для вузов 

2-е издание, стереотипное 
 
Редактор  И. Н. Андреева 
Компьютерная верстка  Н. В. Дмитриева 
Обложка художника  В. Г. Ситникова 

Подписано  в  печать  14.03.12. Формат 70×100/16. Усл. печ. л. 45,75.  Тираж 100 экз. (1-й завод 50 экз.)  
ООО «Научно-техническое издательство «Горячая линия–Телеком» 
 
ISBN 978-5-9912-0257-2                                           ©  ЗАО «Аладдин Р.Д.», 2009, 2012 
                                                              ©  Издательство «Горячая линия–Телеком», 2012 

ОГЛАВЛЕНИЕ

ПРЕДИСЛОВИЕ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

ЧАСТЬ I. ТЕОPЕТИЧЕСКИЕ ОСНОВЫ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Глава 1. ОБЩИЕ СВЕДЕНИЯ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.1. Основные понятия и опpеäеëения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.2. Pоëü и заäа÷и аутентификаöии. Место аутентификаöии
в стpуктуpе основных напpавëений защиты инфоpìаöии . . . . . . . . . . . . . 10

1.3. Фактоpы аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Глава 2. ПАPОЛЬНАЯ АУТЕНТИФИКАЦИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.1. Аутентификаöия с поìощüþ запоìинаеìоãо паpоëя . . . . . . . . . . . . . . . . 16

2.2. Метоäы паpоëüной аутентификаöии  . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.3. Паpоëüные поëитики. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.4. Неäостатки ìетоäов аутентификаöии с запоìинаеìыì паpоëеì. . . . . . . . 19

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Глава 3. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
БИОМЕТPИЧЕСКИХ ХАPАКТЕPИСТИК . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.1. Биоìетpи÷еские хаpактеpистики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2. Как pаботаþт биоìетpи÷еские систеìы . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.3. Аутентификаöия и биоìетpи÷еское pаспознавание  . . . . . . . . . . . . . . . . . 26

3.4. Pеаëизаöия биоìетpи÷еских систеì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.5. Неäостатки аутентификаöии с поìощüþ биоìетpи÷еских хаpактеpистик.
Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Глава 4. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
ОДНОPАЗОВЫХ ПАPОЛЕЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4.1. Аппаpатно-пpоãpаììные OTP-токены . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.2. Как pаботаþт OTP-токены. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.3. Метоäы аутентификаöии с поìощüþ OTP-токенов . . . . . . . . . . . . . . . . . 32

4.4. Сpавнение ìетоäов OTP-аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . 36

4.5. Систеìы оäноpазовых паpоëей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.6. Неäостатки ìетоäов аутентификаöии с поìощüþ OTP.
Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Глава 5. КPИПТОГPАФИЯ С ОТКPЫТЫМ КЛЮЧОМ . . . . . . . . . . . . . . . . . . 43

5.1. Общие свеäения о кpиптоãpафии с откpытыì кëþ÷оì. . . . . . . . . . . . . . . 43

5.2. Автоpизаöия и обеспе÷ение þpиäи÷еской зна÷иìости эëектpонных
äокуìентов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.3. Конфиäенöиаëüностü и контpоëü öеëостности пеpеäаваеìой
инфоpìаöии  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.4. Аутентификаöия связываþщихся стоpон . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.5. Установëение аутенти÷ноãо защищенноãо соеäинения. . . . . . . . . . . . . . . 48

5.6. Инфpастpуктуpа откpытых кëþ÷ей (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . 49

5.7. Аутентификаöия с поìощüþ откpытоãо кëþ÷а на основе сеpтификатов . . . 49

5.8. Оpãанизаöия хpанения закpытоãо кëþ÷а . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.9. Интеëëектуаëüные устpойства и аутентификаöия с поìощüþ
откpытоãо кëþ÷а . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

5.10. Неäостатки аутентификаöии с поìощüþ откpытых кëþ÷ей.
Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Глава 6. ПPОТОКОЛЫ АУТЕНТИФИКАЦИИ В ЛОКАЛЬНОЙ СЕТИ. . . . . . . 57

6.1. Пpотокоëы LAN Manager и NT LAN Manager . . . . . . . . . . . . . . . . . . . . . 57

6.2. Пpотокоë Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

6.3. Пpотокоë Kerberos + PKINIT  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Глава 7. МЕХАНИЗМЫ АУТЕНТИФИКАЦИИ ПPИ ОСУЩЕСТВЛЕНИИ
ПОДКЛЮЧЕНИЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

7.1. Пpотокоë PPP PAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

7.2. Пpотокоë PPP CHAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

7.3. Пpотокоë PPP EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

7.4. Пpотокоë TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

7.5. Пpотокоë RADIUS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

7.6. Станäаpт IEEE 802.1x и пpотокоë EAPOL . . . . . . . . . . . . . . . . . . . . . . . . 86

7.7. Пpотокоë EAP-TLS с испоëüзованиеì pоссийской кpиптоãpафии . . . . . . 89

7.8. Станäаpт IEEE 802.1x в опеpаöионных систеìах Microsoft . . . . . . . . . . . . 93

7.9. Cisco NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Глава 8. АУТЕНТИФИКАЦИЯ В ЗАЩИЩЕННЫХ СОЕДИНЕНИЯХ . . . . . . . 98

8.1. Пpотокоëы SSL, TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

8.2. Пpотокоë SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100

8.3. Пpотокоë S-HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101

8.4. Пpотокоë SOCKS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102

8.5. Сеìейство пpотокоëов IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103

8.6. Пpотокоëы защищенноãо взаиìоäействия и аутентификаöии
äëя коpпоpативных беспpовоäных ëокаëüных сетей . . . . . . . . . . . . . . . . .116

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124

Глава 9. ПPИМЕНЕНИЕ АППАPАТНЫХ СPЕДСТВ АУТЕНТИФИКАЦИИ 
И ХPАНЕНИЯ КЛЮЧЕВОЙ ИНФОPМАЦИИ . . . . . . . . . . . . . . . . . . . . . . . . .125

9.1. Аппаpатные сpеäства защиты в совpеìенных PKI-pеøениях . . . . . . . . . .125

9.2. Необхоäиìостü пpиìенения аппаpатных сpеäств аутентификаöии
и хpанения кëþ÷евой инфоpìаöии  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126

9.3. Типовые тpебования к сpеäстваì аутентификаöии и хpанения
кëþ÷евой инфоpìаöии. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135

9.4. Особенности коpпоpативноãо испоëüзования пеpсонаëüных сpеäств
аутентификаöии и хpанения кëþ÷евой инфоpìаöии  . . . . . . . . . . . . . . . .139

9.5. Центpаëизованная систеìа упpавëения сpеäстваìи аутентификаöии
и хpанения кëþ÷евой инфоpìаöии поëüзоватеëей . . . . . . . . . . . . . . . . . .142

9.6. Типовые тpебования к систеìе упpавëения токенаìи  . . . . . . . . . . . . . . .145

9.7. Token Management System (TMS) коìпании Aladdin. . . . . . . . . . . . . . . . .146

9.8. Пpактика: коìпëексная систеìа на базе еäиноãо пеpсонаëüноãо
сpеäства аутентификаöии и хpанения кëþ÷евой инфоpìаöии  . . . . . . . . .149

Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153

Список использованной литеpатуpы  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153

ЧАСТЬ II. ПPАКТИКА . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156

Глава 1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ
И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ 
НА ОСНОВЕ PЕКОМЕНДАЦИЙ И ПPОДУКТОВ MICROSOFT.
ТИПОВЫЕ PЕШЕНИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157

1.1. Основные сеpвисы äëя обеспе÷ения наäежной аутентификаöии
и упpавëения äоступоì  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157

1.2. Автоpизаöия пpи äоступе к объекту . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

1.3. Систеìа ауäита Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170

1.4. Назна÷ение и pеøаеìые заäа÷и инфpастpуктуpы откpытых кëþ÷ей . . . . .172

1.5. Упpавëение иäентификаöией (ILM). . . . . . . . . . . . . . . . . . . . . . . . . . . . .173

1.6. Microsoft Identity Integration Server (MIIS) . . . . . . . . . . . . . . . . . . . . . . . .173

1.7. Систеìы обеспе÷ения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175

Глава 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ
И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ 
НА ОСНОВЕ PЕКОМЕНДАЦИЙ И ПPОДУКТОВ ORACLE И ALADDIN.
ТИПОВЫЕ PЕШЕНИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177

2.1. Упpавëение äоступоì в СУБД Oracle с поìощüþ встpоенных ìеханизìов 
безопасности и кpиптоãpафи÷еских сpеäств защиты. . . . . . . . . . . . . . . . .177

Глава 3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ
И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ 
НА ОСНОВЕ ПPОДУКТОВ КОМПАНИИ CITRIX SYSTEMS  . . . . . . . . . . . . .226

3.1. Описание пpоäуктов коìпании Citrix Systems  . . . . . . . . . . . . . . . . . . . . .226
3.2. Коìпоненты систеì, постpоенных с испоëüзованиеì XenApp . . . . . . . . .228

Список использованной литеpатуpы  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244
Источники . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245

ЧАСТЬ III. ЛАБОPАТОPНЫЕ PАБОТЫ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247

Лабоpатоpная pабота № 1. Поäãотовка стенäа, установка и настpойка ПО,
поäãотовка эëектpонных кëþ÷ей eToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
Лабоpатоpная pабота № 2. Установка и настpойка Центpа сеpтификаöии,
испоëüзование кëþ÷ей eToken в äоìене Windows Server 2003  . . . . . . . . . . . . . . .282
Лабоpатоpная pабота № 3. Испоëüзование eToken äëя безопасноãо äоступа
к инфоpìаöионныì pесуpсаì, äëя øифpования и äëя ЭЦП . . . . . . . . . . . . . . . .326
Лабоpатоpная pабота № 4. Сопpовожäение функöиониpования Центpа
сеpтификаöии, повыøение защищенности систеì на основе
Windows Server 2003  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .399
Лабоpатоpная pабота № 5. Доступ в СУБД Oracle с аутентификаöией
по иìени поëüзоватеëя и паpоëþ в LDAP-катаëоãе. . . . . . . . . . . . . . . . . . . . . . .428
Лабоpатоpная pабота № 6. Доступ в СУБД Oracle с аутентификаöией
на основе сеpтификатов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .458
Лабоpатоpная pабота № 7. Pежиìы pаботы пpотокоëа IPSec на ìоäуëе
NME-RVPN пpи испоëüзовании пpоãpаììноãо обеспе÷ения CSP VPN Gate
äëя аутентификаöии и защиты äанных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .491
Лабоpатоpная pабота № 8. Настpойка Web Interface 4.x äëя испоëüзования
сìаpт-каpт  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .509
Лабоpатоpная pабота № 9. Настpойка Secure Gateway äëя безопасноãо
поäкëþ÷ения к опубëикованныì пpиëоженияì из неäовеpенных сpеä
пеpеäа÷и äанных. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .530

ПPЕДИСЛОВИЕ

Суäüба äанноãо у÷ебноãо пособия весüìа необы÷на. На паpтнеpской конфеpенöии по
инфоpìаöионной безопасности коìпании Aladdin у нас появиëасü иäея созäатü книãу по
теоpети÷ескиì и пpакти÷ескиì вопpосаì аутентификаöии. Эту книãу ìожно быëо бы
испоëüзоватü не тоëüко пpи обу÷ении стуäентов и аспиpантов ВУЗов и СУЗов по у÷ебныì äисöипëинаì «Безопасностü баз äанных», «Пpоãpаììно-аппаpатные сpеäства обеспе÷ения инфоpìаöионной безопасности», «Безопасностü опеpаöионных систеì», «Коìпüþтеpная безопасностü» и т. ä., но и в пpакти÷еской äеятеëüности ИТ-спеöиаëистов,
систеìных аäìинистpатоpов, аäìинистpатоpов безопасности pазëи÷ных сетей и систеì.
Лþбая поисковая систеìа в Интеpнет по запpосу «аутентификаöия» пpеäоставëяет
боëее 1 ìиëëиона ссыëок на pазëи÷ные инфоpìаöионные pесуpсы. Этот о÷евиäный факт
поäтвеpжäает øиpокое pаспpостpанение и испоëüзование ìеханизìов аутентификаöии
в пpактике обеспе÷ения безопасности сетей, систеì, pазëи÷ных пpиëожений. Оöенив
интеpес и востpебованностü äанной техноëоãии, ìы pеøиëи взятüся за äеëо.
Всþ сëожностü вопëощения наøей иäеи ìы поняëи нескоëüко позже, коãäа взяëисü
за ее pеаëизаöиþ. Пеpвая тpуäностü состояëа, ãëавныì обpазоì, в тоì, ÷тобы объеäинитü
усиëия спеöиаëистов заpубежных и pоссийских коìпаний, пpизнанных ëиäеpов на pынке
инфоpìаöионных техноëоãий, таких, как коìпании Microsoft, Aladdin, Cisco Systems, Citrix,
Oracle, Кpипто-Пpо. Пpи этоì, поìиìо необхоäиìых теоpети÷еских свеäений, ìы собиpаëисü пpеäëожитü ÷итатеëþ pазëи÷ные pеøения, техноëоãии и пpоäукты äëя pеаëизаöии
заäа÷ по обеспе÷ениþ безопасности äоступа к äанныì и пpиëоженияì инфоpìаöионной
систеìы оpãанизаöии, защищенных соеäинений. Pе÷ü иäет как о пpеäставëении типовых pеøений, так и о возìожной кастоìизаöии пpоäуктов поä конкpетные систеìы.
Дpуãая сëожностü состояëа в тоì, ÷тобы систеìатизиpоватü, поpой весüìа пpотивоpе÷ивые свеäения, стиëи изëожения, поäхоäы к pеаëизаöии pеøений в pазëи÷ных коìпаниях,
и пpеäставитü ìетоäи÷ески вывеpенные теоpети÷еские и пpакти÷еские ìатеpиаëы, в тоì
÷исëе и в виäе ãотовых ëабоpатоpных pабот äëя испоëüзования их в у÷ебноì пpоöессе.
Тpетüя сëожностü состояëа в тоì, ÷тобы пpеоäоëев пpепоны конкуpентноãо пpотивостояния коìпаний, созäатü поëезнуþ и, на наø взãëяä, весüìа своевpеìеннуþ и актуаëüнуþ
книãу без pекëаìы конкpетных коìпаний. И наконеö, ëþбая pабота, котоpая äеëается
на общественных на÷аëах, за÷астуþ стpаäает неäостаткоì вpеìени иëи возìожности äовести иäеþ созäания у÷ебноãо пособия äо ëоãи÷ескоãо завеpøения. Это обстоятеëüство
явиëосü пpи÷иной отсутствия ìатеpиаëов в äанной книãе еще нескоëüких веäущих коìпаний — венäоpов (IBM, Check Point Software Technologies, Сиãнаë-Коì, SUN и т. ä.). Наäееìся, ÷то эти ìатеpиаëы войäут во втоpое изäание äанноãо у÷ебноãо пособия. Потpебоваëся весüìа пpоäоëжитеëüный пеpиоä вpеìени äëя pеøения оpãанизаöионных ìеpопpиятий, экспеpтизы и апpобаöии ìатеpиаëов в у÷ебных завеäениях Pоссии, пpи
пpовеäении тpенинãов ИТ-спеöиаëистов, сотpуäников сëужб инфоpìаöионной безопасности, стуäентов пpофиëüных ВУЗов и т. п.
К с÷астüþ, наì уäаëосü пpеоäоëетü все эти тpуäности, и ìы наäееìся, ÷то книãа окажется поëезной как в у÷ебноì пpоöессе, так и в пpакти÷еской pаботе.
У÷ебное пособие состоит из теоpети÷еской и пpакти÷еской ÷астей. Пpакти÷еская ÷астü
соäеpжит 9 ëабоpатоpных pабот по типовыì pеøенияì с испоëüзованиеì пpоäуктов pазëи÷ных коìпаний. Описание ëабоpатоpных pабот ìожно найти по аäpесу в Интеpнет:
http://www.aladdin.ru/book/
Соãëасно заìысëу автоpов, книãа, котоpуþ Вы äеpжите в pуках, пpизвана откpытü пеpеä
÷итатеëеì сутü и возìожности техноëоãии аутентификаöии, как базовоãо эëеìента ëþбой
систеìы инфоpìаöионной безопасности совpеìенных коìпаний.

Спеöиаëистаì, уже знакоìыì с äанныìи техноëоãияìи, книãа поìожет систеìатизиpоватü и pасøиpитü свои знания в ÷асти пpикëаäноãо пpиìенения сpеäств аутентификаöии и интеãpаöии их с äpуãиìи пpоäуктаìи и pеøенияìи äëя защиты инфоpìаöии.
Pазвиватü pынок аутентификаöии, способствоватü повыøениþ уpовня и ка÷ества пpоектов в обëасти ИТ-безопасности, а, ãëавное, соäействоватü фоpìиpованиþ ÷еткоãо пониìания öенности инфоpìаöии в совpеìенноì ìиpе — основная öеëü äанной книãи.
Мы искpенне бëаãоäаpиì всех, кто поääеpживаë и пpоäоëжает поääеpживатü этот
пpоект, поìоãает в еãо пpоäвижении, а также pаспpостpанении книãи.
Особуþ бëаãоäаpностü выpажаеì Феäеpаëüной сëужбе безопасности Pоссии (ФСБ  Pоссии), Феäеpаëüной сëужбе по техни÷ескоìу и экспоpтноìу контpоëþ Pоссии (ФСТЭК
Pоссии), Совету Безопасности Российской Феäераöии и У÷ебно-ìетоäи÷ескоìу объеäинениþ по образованиþ в обëасти инфорìаöионной безопасности за пpоявëенный интеpес, поëезные заìе÷ания и констpуктивнуþ кpитику.
Отäеëüно хо÷ется отìетитü вкëаä в pаботу пpи поäãотовке pукописи äанной книãи
безвpеìенно уøеäøеãо из жизни pуковоäитеëя анаëити÷ескоãо отäеëа коìпании
Aladdin, канäиäата физико-ìатеìати÷еских наук Нахаева Ю.С.
Мы не пëаниpуеì останавëиватüся на äостиãнутоì pезуëüтате и pассìатpиваеì иäеþ
выпуска втоpоãо pасøиpенноãо изäания äанной книãи. Пpиãëаøаеì к сотpуäни÷еству
всех заинтеpесованных спеöиаëистов, коìпании, ВУЗы.

Заìе÷ания, пpеäëожения и пожеëания пpосüба напpавëятü по аäpесу:

634050, Тоìск, пp-т Ленина, ä.40
Институт систеìной интеãpаöии и безопасности ТУСУP, Шеëупанову А. А.
saa@udcs.ru
теë. 8 (3822) 413 426

129226 Москва, уë. Докукина, ä. 16 коpп. 1
ЗАО «Аëаääин P.Д.», ãенеpаëüноìу äиpектоpу Гpузäеву С. Л.
pr@aladdin.ru
теë. 8 (495) 223 0001

С уважениеì,

А. А. ШЕЛУПАНОВ,
Диpектоp Института систеìной
интеãpаöии и безопасности ТУСУP,
äоктоp техни÷еских наук, пpофессоp

С. Л. ГPУЗДЕВ,
Генеpаëüный äиpектоp коìпании Aladdin

ЧАСТЬ I

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ

Глава 1
ОБЩИЕ СВЕДЕНИЯ ОБ АУТЕНТИФИКАЦИИ

1.1. Основные понятия и определения

Проöесс реãистраöии поëüзоватеëя в ëþбой систеìе состоит из трех взаиìосвязанных
посëеäоватеëüно выпоëняеìых проöеäур: иäентификаöии, аутентификаöии и авторизаöии.
Идентификация — проöеäура распознавания субъекта по еãо иäентификатору. В проöессе реãистраöии субъект преäъявëяет свой иäентификатор систеìе, которая проверяет
еãо наëи÷ие в своей базе äанных. Субъекты с известныìи систеìе иäентификатораìи
с÷итаþтся ëеãаëüныìи (законныìи), остаëüные относятся к неëеãаëüныì.
Аутентификация — проöеäура проверки поäëинности субъекта, которая позвоëяет
äостоверно убеäитüся в тоì, ÷то субъект, преäъявивøий свой иäентификатор, на саìоì
äеëе явëяется иìенно теì субъектоì, иäентификатор котороãо он испоëüзует. Дëя этоãо
он äоëжен поäтверäитü факт обëаäания некоторой инфорìаöией, которая ìожет бытü
äоступна тоëüко еìу оäноìу (пароëü, кëþ÷ и т. п.).
Авторизация — проöеäура преäоставëения субъекту опреäеëенных прав äоступа к ресурсаì систеìы посëе прохожäения иì проöеäуры аутентификаöии. Дëя кажäоãо субъекта
в систеìе опреäеëяется набор прав, которые он ìожет испоëüзоватü при обращении к ее
ресурсаì.
Дëя тоãо ÷тобы обеспе÷итü управëение и контроëü наä äанныìи проöеäураìи, äопоëнитеëüно испоëüзуþтся проöессы аäìинистрирования и ауäита.
Администрирование — проöесс управëения äоступоì субъектов к ресурсаì систеìы.
Данный проöесс вкëþ÷ает:

созäание иäентификатора субъекта (у÷етной записи поëüзоватеëя) в систеìе;

управëение äанныìи субъекта, испоëüзуеìыìи äëя еãо аутентификаöии (сìена
пароëя, изäание сертификата и т. п.);

управëение праваìи äоступа субъекта к ресурсаì систеìы.
Аудит — проöесс контроëя (ìониторинãа) äоступа субъектов к ресурсаì систеìы,
вкëþ÷аþщий протокоëирование äействий субъектов при их äоступе к ресурсаì систеìы
в öеëях обнаружения несанкöионированных äействий.
Такиì образоì, в общеì сëу÷ае ре÷ü иäет о пяти основных проöеäурах преäоставëения äоступа к инфорìаöии. При этоì возìожен разëи÷ный поäхоä к расстановке приоритетов при выпоëнении этих проöеäур.

1.2. Роль и задачи аутентификации.
Место аутентификации в структуре 
основных направлений защиты информации

Независиìо от типа систеìы аутентификаöии в ней всеãäа присутствуþт пятü эëеìентов.
Первый эëеìент — конкретный ÷еëовек иëи проöесс, который äоëжен прохоäитü
аутентификаöиþ, — субъект доступа.
Второй эëеìент — опознаватеëüный знак, идентификатор, который выäеëяет этоãо
÷еëовека иëи этот проöесс среäи äруãих.
Третий эëеìент — отличительная характеристика (аутентификатор), поäтвержäаþщая принаäëежностü иäентификатора субъекту äоступа.

Глава 1. Общие сведения об аутентификации

Четвертый эëеìент — вëаäеëеö систеìы (аäìинистратор), который несет ответственностü за испоëüзование систеìы, и в разãрани÷ении авторизованных поëüзоватеëей и остаëüных поëаãается на ìеханизì аутентификаöии.
Пятый эëеìент — механизм аутентификации, который позвоëяет проверитü присутствие отëи÷итеëüной характеристики.
При успеøноì прохожäении аутентификаöии субъекту äоступа äоëжны бытü выäаны
некоторые права (привиëеãии).
Дëя этоãо сëужит механизм управления доступом. С поìощüþ этоãо же ìеханизìа
субъект äоступа ëиøается прав (привиëеãий), есëи аутентификаöия быëа неуспеøной.

Независимо от типа системы аутентификации в ней всегда

присутствуют пять элементов.

Приìероì аутентификаöии явëяется вхоä физи÷ескоãо ëиöа в систеìу по пароëþ.
Физическое лицо — это ÷еëовек, котороìу разреøено поëüзоватüся коìпüþтероì. Обы÷но
в систеìе физи÷ескоìу ëиöу назна÷ается сиìвоëи÷еское иìя иëи иäентификаöионный
коä поëüзоватеëя, который ìы буäеì называтü именем пользователя. Наприìер, есëи поëüзоватеëü явëяется авторизованныì поëüзоватеëеì систеìы, то аäìинистратор присваивает еìу иìя поëüзоватеëя «Поëüзоватеëü». Отëи÷итеëüной характеристикой поëüзоватеëя буäет еãо секретный пароëü, наприìер, «qwerty». Данная проöеäура знакоìа, так как
в проöессе реãистраöии коìпüþтер выäает запрос на ввоä иìени поëüзоватеëя и пароëя.
Проöесс вкëþ÷ает в себя проöеäуру аутентификаöии, т.е. сравнение пароëя, ввеäенноãо
с кëавиатуры, с пароëеì, установëенныì ëибо саìиì поëüзоватеëеì, ëибо аäìинистратороì систеìы. Проöеäура заверøается успеøно, есëи оба пароëя совпаäаþт. В этоì сëу÷ае
ìеханизì управëения äоступоì разреøает поëüзоватеëþ проäоëжатü работу на коìпüþтере, и систеìа испоëüзует иìя поëüзоватеëя кажäый раз, коãäа ей требуется реøение
сëужбы управëения äоступоì к защищенноìу ресурсу.
Рассìатривая пробëеìы защиты коìпüþтеров, сëеäует всеãäа провоäитü разëи÷ие
ìежäу теì, ÷то ìы хотиì сäеëатü, и теì, ÷то ìы в äействитеëüности äеëаеì.
Первый вопрос «÷еãо ìы хотиì» обы÷но озву÷иваþт в виäе целей защиты. Наприìер,
öеëüþ øайки сорока разбойников быëа защита äобы÷и от воровства. В этоì они поëаãаëисü
на ìеханизì защиты — äверü пещеры. В вы÷исëитеëüной систеìе öеëüþ вëаäеëüöа систеìы
явëяется преäоставëение äоступа тоëüко авторизованныì (законныì) поëüзоватеëяì.
На практике же всеãäа существует зазор ìежäу теì, ÷то ìы хотиì, и ÷то происхоäит на
саìоì äеëе. Так, заìок позвоëяет войти кажäоìу, у коãо естü экзеìпëяр нужноãо кëþ÷а,
оäнако посторонние сìоãут войти тоже, есëи ìы не преäотвратиì попаäание к ниì кëþ÷а.
Это ìожет оказатüся труäныì äеëоì, особенно есëи те, коãо ìы стреìиìся не впуститü с поìощüþ заìка, äействитеëüно хотят попастü внутрü. Боëее тоãо, ìы не всеãäа ìожеì позвоëитü себе поставитü заìки на все на свете. Часто иìеется оäин боëüøой заìок
на вхоäной äвери, и наì прихоäится äоверятü теì, коãо ìы впустиëи внутрü.
В коìпüþтерных систеìах аутентификаöия и управëение äоступоì обы÷но реаëизуþтся как äве разные функöии. Хотя иноãäа иìеет сìысë провоäитü разëи÷ие ìежäу заäвижкой, уäерживаþщей äверü закрытой, и заìкоì, который управëяет заäвижкой, заäвижка и
заìок ÷асто встроены в оäин ìеханизì. В коìпüþтерных систеìах проöесс аутентификаöии поäтвержäает поäëинностü иìени поëüзоватеëя, а управëение äоступоì осуществëяется путеì сравнения иìени поëüзоватеëя с правиëаìи äоступа, связанныìи с конкретныì
файëоì иëи äруãиì ресурсоì. Есëи правиëа разреøаþт äоступ поëüзоватеëþ с этиì иìенеì, то он поëу÷ает возìожностü испоëüзоватü ресурс.

ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ

В компьютерных системах аутентификация и управление 
доступом обычно реализуются как две разные функции. 
Процесс аутентификации подтверждает подлинность имени 
пользователя. Управление доступом осуществляется путем 
сравнения имени пользователя с правилами доступа, 
связанными с конкретным файлом или другим ресурсом.

Сорок разбойников стреìиëисü к тоìу, ÷тобы в пещеру иìеëи äоступ тоëüко ÷ëены
øайки, но их ìеханизì не ìоã преäотвратитü испоëüзование пароëя äруãиìи ëþäüìи.
Эта пробëеìа свойственна как проöессу аутентификаöии, так и ìеханизìу управëения
äоступоì.
Механизìы аутентификаöии несоверøенны. Неавторизованные ëþäи ìоãут заìаскироватüся поä ëеãаëüноãо поëüзоватеëя.
Такая же пробëеìа возникает и при управëении äоступоì: необхоäиìо авторизоватü
на поëüзование систеìой тоëüко опреäеëенных ëþäей и иìенно äëя этоãо устанавëивается систеìа управëения äоступоì. В иäеаëüноì ìире техники со среäстваìи защиты äоступ выäается по принöипу «наиìенüøей привиëеãии», в соответствии с которыì ëþäи
иìеþт ровно стоëüко разреøений и привиëеãий, скоëüко иì требуется: не боëüøе и не
ìенüøе. Но в реаëüноì ìире систеìа управëения äоступоì не ìожет äатü ëþäяì ровно
стоëüко привиëеãий, скоëüко иì требуется: ìы вынужäены ëибо преäоставëятü иì
сëиøкоì ìноãо привиëеãий, ëибо отниìатü некоторые из тех, которые äействитеëüно
необхоäиìы. На практике ìера äоверия авторизованныì поëüзоватеëяì обы÷но расøиряется, так ÷то у них естü инструìентарий äëя выпоëнения своей работы, äаже есëи техни÷ески это позвоëяет иì äеëатü такие вещи, которые они äеëатü не äоëжны.

В идеале доступ к информации выдается по принципу 
«наименьшей привилегии», в соответствии с которым люди 
имеют ровно столько разрешений и привилегий, сколько им 
требуется, но на практике мера доверия пользователям 
обычно расширяется.

Управëение äоступоì ìожет бытü о÷енü сëожныì äаже в отсутствие попытки äобитüся
выпоëнения принöипа наиìенüøих привиëеãий. Совреìенные вы÷исëитеëüные систеìы обеспе÷иваþт øирокий äиапазон поäхоäов и ìеханизìов управëения äоступоì. Механизìы управëения äоступоì äаже в таких относитеëüно простых систеìах, как Unix
иëи Windows, позвоëяþт поëüзоватеëяì и аäìинистратораì устанавëиватü весüìа сëожные наборы правиë поëу÷ения и ëиøения прав на испоëüзование разëи÷ных ресурсов
коìпüþтера. Оäнако ìноãие орãанизаöии приäерживаþтся относитеëüно простоãо поäхоäа, связывая управëение äоступоì и аутентификаöиþ, так ÷то проøеäøие аутентификаöиþ поëüзоватеëи иìеþт всеãо ëиøü небоëüøое коëи÷ество оãрани÷ений äоступа.
Хотя пробëеìа аутентификаöии поëüзоватеëей саìа по себе явëяется серüезной пробëеìой äëя коìпüþтерных систеì, поëüзоватеëи не явëяþтся еäинственныìи субъектаìи,
которые поäëежат аутентификаöии.

В настоящее время необходимо аутентифицировать 
и системы, действующие без вмешательства человека.

Глава 1. Общие сведения об аутентификации

В отëи÷ие от проöесса аутентификаöии поëüзоватеëя, зäесü нет реаëüноãо ÷еëовека,
стоящеãо ряäоì с сервероì, ÷тобы выпоëнитü аутентификаöиþ. Мы же хотиì иìетü ãарантиþ, ÷то взаиìоäействуеì с нужныì оборуäованиеì, которое нахоäится поä управëениеì нужных ëþäей иëи преäприятия. Никто не захо÷ет заказыватü туфëи ÷ерез
коìпüþтер, объявëяþщий себя «Shoes», есëи в коне÷ноì итоãе он эти туфëи не поëу÷ит.
Коãäа ìы выпоëняеì аутентификаöиþ субъекта, преäставëяþщеãося сервероì коìпании Shoes, ìы äоëжны бытü уверены, ÷то иìенно он управëяется и контроëируется
преäприятиеì, принаäëежащиì коìпании Shoes. Обы÷но браузер преäупрежäает поëüзоватеëя, есëи он не ìожет аутентифиöироватü сервер и оставëяет реøение по управëениþ äоступоì за поëüзоватеëеì (Доëжен ëи я офорìëятü заказ на туфëи, с у÷етоì тоãо,
÷то этот сервер, похоже, не явëяется сервероì коìпании Shoes? Поëаãаþ, нет). В некотороì сìысëе такой проöесс перевора÷ивает функöиþ автоìати÷еской аутентификаöии
с ноã на ãоëову, но ëежащие в основе конöепöии по-прежнеìу те же.

1.3. Факторы аутентификации

Дëя поäтвержäения свой поäëинности субъект äоëжен преäоставитü некоторуþ секретнуþ инфорìаöиþ, которая äоëжна бытü äоступна тоëüко еìу оäноìу. Он ìожет преäъявëятü систеìе разëи÷ные виäы инфорìаöии.
Фактор аутентификации — опреäеëенный виä инфорìаöии, преäоставëяеìый субъектоì систеìе при еãо аутентификаöии.

1.3.1. Описание факторов аутентификации

Выäеëяþт три фактора аутентификаöии, испоëüзуеìые в разëи÷ных коìбинаöиях: на
основе знания ÷еãо-ëибо, обëаäания ÷еì-ëибо, на основе биоìетри÷еских характеристик
(табë. 1.1).

Таблица 1.1
Факторы аутентификации

Фактор
аутентификации
Классификация типов факторов 
аутентификации NCSC-TG-0171
Примеры факторов
аутентификации

На основе знания
÷еãо-ëибо
(1-й)

Type 1:
Authentication by Knowledge
• Пароëü иëи пароëüная фраза
• PIN-коä (Personal Identification 
Number)

На основе обëаäания 
÷еì-ëибо
(2-й)

Type 2:
Authentication by Ownership
• Физи÷еский кëþ÷
• Карта с ìаãнитной поëосой
• OTP-токен, ãенерируþщий оäноразовый пароëü

На основе биоìетри÷еских характеристик
(3-й)

Type 3:
Authentication by Characteristic
• Отпе÷аток паëüöа
• Рисунок сет÷атки ãëаза
• Гоëос

1 NCSC-TG-017 — äокуìент «A Guide to Understanding Identification and Authentication in Trusted
Systems», опубëикованный U.S. National Computer Security Center. Руковоäство соäержит коìпëект
рекоìенäуеìых инструкöий по проöеäураì иäентификаöии и аутентификаöии.

ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ

Выделяют три фактора аутентификации, используемые 
в различных комбинациях: на основе знания чеголибо, 
обладания чемлибо, на основе биометрических 
характеристик.

В некоторых коìпаниях орãанизуется «строãий контроëü» äоступа в поìещение, т. е.
в опреäеëенные поìещения äоступ преäоставëяется тоëüко оãрани÷енноìу ÷исëу ëиö.
Наприìер, в сервернуþ коìнату ìожет войти тоëüко аäìинистратор иëи в коìнату финансовоãо отäеëа коìпании ìоãут иìетü äоступ тоëüко еãо сотруäники. Есëи при этоì
установитü äëя коìпüþтеров, нахоäящихся в этих поìещениях, строãо опреäеëенные
IP-аäреса, то тоãäа появëяется возìожностü боëее ка÷ественно выпоëнятü аутентификаöиþ при äоступе сотруäников к ресурсаì коìпüþтерной сети. Иì преäоставëяется äоступ к опреäеëенныì äействияì иëи äанныì тоëüко в тоì сëу÷ае, есëи они это äеëаþт
в строãо опреäеëенноì поìещении и соответственно с опреäеëенных коìпüþтеров, иìеþщих опреäеëенные IP-аäреса. В этоì сëу÷ае иноãäа ãоворят об испоëüзовании «÷етвертоãо» типа фактора аутентификаöии — на основе места проведения процедуры. Данный
фактор не с÷итается äопоëнитеëüныì, так как еãо неëüзя испоëüзоватü отäеëüно от äруãих
факторов äëя аутентификаöии субъекта. Наприìер, неëüзя обеспе÷итü, ÷тобы тоëüко опреäеëенный сотруäник работаë на строãо опреäеëенноì рабо÷еì ìесте (коìпüþтере).
В посëеäнее вреìя наìетиëисü тенäенöии интеãраöии ëоãи÷еских среäств аутентификаöии и среäств контроëя и управëения äоступоì (СКУД). Сìарт-карты, испоëüзуеìые
äëя аутентификаöии поëüзоватеëя при äоступе к ресурсаì коìпüþтерной систеìы, интеãрируþтся с RFID (раäио÷астотной иäентификаöией). В этоì сëу÷ае появëяется возìожностü äопоëнитеëüно испоëüзоватü их äëя аутентификаöии ÷еëовека при еãо äоступе
в разëи÷ные поìещения. По-прежнеìу в этоì сëу÷ае ре÷ü буäет иäти об испоëüзовании
аутентификаöии «на основе обëаäания ÷еì-ëибо». Это расøиряет возìожности испоëüзования сìарт-карты, äает äопоëнитеëüные уäобства äëя поëüзоватеëя, но не повыøает ка÷ество аутентификаöии.

1.3.2. Многофакторная аутентификация

Аутентификаöия ìожет бытü реаëизована с поìощüþ оäноãо из трех факторов аутентификаöии. Наприìер, в проöессе аутентификаöии у поëüзоватеëя ìожет бытü запроøен
пароëü, ëибо потребуется преäставитü отпе÷аток паëüöа.
Аутентификаöия, в проöессе которой испоëüзуется тоëüко оäин фактор аутентификаöии, называется однофакторной.
Аутентификаöия, в проöессе которой испоëüзуется нескоëüко факторов аутентификаöии, называется многофакторной.
Наприìер, в проöессе аутентификаöии поëüзоватеëü äоëжен испоëüзоватü сìарт-карту
и äопоëнитеëüно  пароëü (иëи PIN-коä). Также испоëüзуþтся понятия äвухфакторной
и трехфакторной аутентификаöии при испоëüзовании коìбинаöии äвух и трех факторов
аутентификаöии соответственно.
В äокуìенте NCSC-TG-017 ввоäятся терìины äëя разëи÷ных виäов ìноãофакторной
аутентификаöии: типа 12, типа 23 и типа 123. Аутентификаöия типа 12 (произносится
как «аутентификаöия типа оäин äва»), наприìер испоëüзует äва фактора аутентификаöии: первый (на основе знания ÷еãо-ëибо) и второй (на основе обëаäания ÷еì-ëибо).