Авторизация

Авториза́ция (англ. authorization «разрешение; уполномочивание») — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.[1][2][3] Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

Авторизацию не следует путать с аутентификацией — процедурой проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла. Авторизация же производит контроль доступа к различным ресурсам системы в процессе работы легальных пользователей после успешного прохождения ими аутентификации.

Авторизация в информационных технологиях и управление доступом

В информационных технологиях посредством авторизации устанавливаются права доступа к информационным ресурсам и системам обработки данных. Для этого применяются различные виды авторизации, которые можно поделить на три класса:

Дискреционное управление доступом

В случае дискреционного (избирательного) управления (DAC), доступ к объектам, данным или функциям, предоставляется явно указанным субъектам, пользователям или группам пользователей. Например, пользователю user_1 разрешено читать файл file_1, но запрещено в него писать. Каждый объект имеет привязанного к нему субъекта — владельца, который и устанавливает права доступа к объекту. Также система имеет одного выделенного субъекта — суперпользователя, имеющего право устанавливать права доступа для всех субъектов. А любой субъект может передавать имеющиеся у него права другим субъектам. Такой доступ используется в современных операционных системах, где для авторизации наиболее распространено использование полномочий и списков контроля доступа (ACL).

Мандатное управление доступом

Мандатный доступ (MAC) заключается в разделении информации по степени секретности, а пользователей по уровням допуска к этой информации. Главное преимущество мандатного доступа заключается в ограничении прав владельца объекта. Права субъектов на создаваемые ими объекты будут зависеть от их уровня допуска, соответственно они не смогут случайно или преднамеренно делегировать их неавторизированным пользователям. Согласно требованиям ФСТЭК мандатное управление доступом является ключевым отличием систем защиты Государственной Тайны РФ старших классов 1В и 1Б от младших классов защитных систем, основанных на дискреционной модели. Поддержка мандатного управления доступом присутствует в некоторых операционных системах, таких как Ubuntu, SUSE Linux, FreeBSD. Также используется в системах управления базами данных. Иногда применяется вместе с дискреционным контролем доступа.

Пример дискреционного управление доступом к файловой системе в дополнение к мандатному

Управление доступом на основе ролей

Развитием политики избирательного доступа является управление доступом на основе ролей (RBAC), где доступ к объектам системы формируется с учётом специфики их применения на основе роли субъектов в каждый момент времени. Роли позволяют определить понятные для пользователей правила разграничения доступа. Роль сочетает свойства избирательного управления доступом, ставя в соответствие субъектам объекты, и мандатного, при изменении ролей изменится и доступ к группе файлов, но этот тип доступа более гибкий, по сравнению с предыдущими, и может их моделировать. Сейчас RBAC широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, SELinux, FreeBSD, Solaris, СУБД Oracle, PostgreSQL 8.1, SAP R/3, Lotus Notes и множество других.

Другие типы управления доступом

Беспарольный метод веб-авторизации

Наиболее известные «простые» методы авторизации/регистрации на веб-ресурсах, которые не требуют специальных устройств - это смарт карты, устройства для сканирования отпечатков пальцев, сетчатки глаз и т.д.[4]

Ролевая авторизация

Способы защиты аутентификации и ролевая авторизация.[5]

Двухфакторная авторизация

Алгоритмы идентификации и аутентификации при двухфакторной авторизации в информационных системах.[6]

Методы обеспечения аутентификации и авторизации в Mesh-сетях

Основные механизмы обеспечения аутентификации и защищённого туннельного соединения на базе VPN клиента TINC.[7]

Использование в Банковской сфере

Авторизация банковских карт

Термин «авторизация» применительно к банковской сфере означает процедуру получения разрешения от банка-эмитента или иного юридического лица (к примеру, процессинговой компании), который действует от его имени, на проведение операции по карте. Запрос на авторизацию содержит в себе информацию о банковской карте, сумме покупки или выдачи по банковской карте. Положительный ответ на авторизацию свидетельствует о том, что данная банковская карта действительна и остаток на ней позволяет совершить необходимую операцию. Отрицательный ответ на авторизацию, соответственно, может быть следствием наличия неполадок в платёжной системе или недостатка средств на счете карты. После совершения операции электронное устройство выдаёт чек[8].

В финансовой сфере авторизация проводится при использовании банковских, платёжных, кредитных и иных карт. Авторизация производится в случае превышения неавторизованного лимита — суммы, установленной банком, не требующей авторизации. Для магнитной банковской карты необходима авторизация, так как она не хранит информацию о счете. Авторизация может быть автоматической (с использованием POS-терминала), значительно реже голосовой.

Для предотвращения мошеннических действий в процессе авторизации клиентов банкоматов и платежных терминалов был предложен алгоритм создания программного обеспечения онлайн-мониторинга авторизации клиентов на базе искусственного интеллекта. Для этого использовались общенаучные методы (наблюдение, сравнение); экономико-статистические методы обработки данных (группировка, сравнение, анализ воздействия на бизнес (BIA)), анализ причин и следствий, техническое обслуживание, направленное на обеспечение надежности.[9]

Использование самообучающихся машинных систем в процессе авторизации пользователей банкоматов.[10]

Положение № 23-П ЦБ РФ «О порядке эмиссии кредитными организациями банковских карт…»

  • «Авторизация — разрешение, предоставляемое эмитентом для проведения операций с использованием банковской карты и порождающее его обязательство по исполнению представленных документов, составленных с использованием банковской карты.»

Использование в бизнесе

В бизнесе — выдача лицензии (например: уполномоченный или авторизированный автомобильный дилер)[11].

Использование при переводе

Авторизация перевода — перевод, просмотренный и одобренный автором или сделанный с согласия автора оригинала[12]. Такой вид перевода публицистического или художественного произведения, при котором переводчик становится автором переведённого текста. Отличается значительными изменениями оригинала, далеко выходящими за рамки обычной при переводе адаптации и стилистической переработки. Переводчик может применять свои собственные творческие приёмы, изменять состав героев и даже перекраивать сюжет произведения[13].

Использование в общедоступных сетях Wi-fi

Авторизация в общедоступных сетях Wi-Fi посредством СМС.[14]

См. также

Литература

  • Ричард Э. Смит. Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. М.: «Вильямс», 2002. — С. 432. — ISBN 0-201-61599-1.
  • В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы = Computer Networks: Principles, Technologies and Protocols for Network Design. — 4 издание. М.: «Питер», 2010. — С. 943. — ISBN 978-5-4590-0920-0.

Ссылки

  1. Руководство по разработке профилей защиты и заданий по безопасности (недоступная ссылка). Гостехкомиссия России. Дата обращения: 23 ноября 2009. Архивировано 2 апреля 2011 года.
  2. Аутентификация и авторизация: новый взгляд. Журнал Connect! Мир связи. Дата обращения: 23 ноября 2009.
  3. Авторизация в словаре электронной коммерции (недоступная ссылка). Дата обращения: 23 декабря 2010. Архивировано 23 августа 2011 года.
  4. СТРУК П.В. БЕСПАРОЛЬНЫЙ МЕТОД ВЕБ-АВТОРИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ "BITCOIN" ТЕХНОЛОГИЙ (рус.) // ООО "Институт управления и социально-экономического развития" (Саратов). — 2018. № 7 (23). С. 935-938.
  5. АКУШУЕВ Р.Т. РОЛЕВАЯ АВТОРИЗАЦИЯ (рус.) // Донской государственный технический университет : статья в журнале - научная статья. — 2020. № 7-1. С. 325-327.
  6. КАРПИКА А.Г., ЛЕМАЙКИНА С.В., ПЕТРИЩЕВА Е.Н. ОБЗОР АЛГОРИТМОВ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПРИ ДВУХФАКТОРНОЙ АВТОРИЗАЦИИ (рус.) // Воронежский институт Министерства внутренних дел Российской Федерации (Воронеж). — 2018. Т. 1, № 3 (3). С. 170-176.
  7. КАМЕНСКИХ А.Н., ФИЛИМОНОВ К.В. МЕТОДЫ ОБЕСПЕЧЕНИЯ АУТЕНТИФИАКЦИИ И АВТОРИЗАЦИИ В MESH-СЕТЯХ (рус.) : статья в журнале - материалы конференции. — 2019. Т. 1. С. 258-262.
  8. Султанова Наргиз Алиевна. Использование банковских карт в системе расчетов // Концепт. — 2015. № 8.
  9. БИРЮКОВ М.В., КЛИМОВА Н.А., ГОСТИЩЕВА Т.В. О САМООБУЧАЮЩИХСЯ МАШИННЫХ СИСТЕМАХ В ПРОЦЕССЕ АВТОРИЗАЦИИ ПОЛЬЗОВАТЕЛЕЙ БАНКОМАТОВ (рус.) // Белгородский государственный национальный исследовательский университет. — 2020. Т. 47, № 2. С. 354-361.
  10. БИРЮКОВ М.В., КЛИМОВА Н.А., ГОСТИЩЕВА Т.В. Использование самообучающихся машинных систем в процессе авторизации пользователей банкоматов. (рус.) // Белгородский университет кооперации, экономики и права : статья в сборнике трудов конференции. — 2020. С. 39-47.
  11. Академик.ру. Авторизация // Словарь бизнес-терминов.. — 2001.
  12. А. Я. Сухарев, В. Е. Крутских, А.Я. Сухарева. Авторизованный перевод // Большой юридический словарь. — М.: Инфра-М. — 2003.
  13. Авторизованный, выборочный и резюмирующий переводы, www.lingvo-plus.ru
  14. ЗАЛЯЛЕТДИНОВ А.А., ПЫСТОГОВ С.В. ВЕБ-СЕРВЕР СИСТЕМЫ АВТОРИЗАЦИИ ПОЛЬЗОВАТЕЛЕЙ В ОБЩЕДОСТУПНЫХ СЕТЯХ WIFI. (Русский язык) // ФГБОУ ВО «Казанский национальный исследовательский технический университет им. А.Н. Туполева - КАИ» : статья в сборнике трудов конференции. — 2020. С. 218-221.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.