Авторизация

Авториза́ция (англ. authorization) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий, а также процесс проверки (подтверждения) этих прав при попытке выполнения вышеуказанных действий^[1]^[2]^[3]. В том числе это может происходить путём передачи таких прав другому лицу.

Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения определённой операции — это означает, что он имеет на неё право. Авторизацию не следует путать с аутентификацией — процедурой проверки легальности пользователя или данных, например, сверки введённого пользователем пароля с паролем в базе данных, проверки цифровой подписи письма с использованием ключа шифрования либо проверки контрольной суммы файла на соответствие заявленной автором этого файла. Авторизация же осуществляет контроль доступа к различным ресурсам системы для работающих легальных пользователей после успешной аутентификации.

В информационных технологиях посредством авторизации устанавливаются права доступа к информационным ресурсам и системам обработки данных. Для этого применяются различные виды авторизации, которые можно разделить на три класса:

Дискреционное управление доступом

В случае дискреционного (избирательного) управления (DAC), доступ к объектам, данным или функциям предоставляется явно определённым субъектам, пользователям или группам пользователей. Например, пользователю user_1 разрешено читать файл file_1, но запрещено в него записывать. Каждый объект имеет связанный с ним субъект — владельца, который и устанавливает права доступа к объекту. Также система имеет одного выделенного субъекта — суперпользователя, имеющего право назначать права доступа для всех субъектов. Любой субъект может передавать имеющиеся у него права другим субъектам. Такой подход используется в современных операционных системах, где для авторизации наиболее распространено использование полномочий и списков контроля доступа (ACL)^[4].

Мандатное управление доступом

Мандатный доступ (MAC) заключается в разделении информации по степени секретности, а пользователей — по уровням допуска к этой информации. Главное преимущество мандатного доступа состоит в ограничении прав владельца объекта: права субъектов на созданные ими объекты зависят от их уровня допуска, и они не могут случайно или намеренно делегировать права неавторизованным пользователям. Согласно требованиям ФСТЭК мандатное управление доступом является ключевым отличием систем защиты государственной тайны РФ старших классов 1В и 1Б от младших классов, основанных на дискреционной модели. Поддержка мандатного управления доступом реализована в некоторых операционных системах, таких как Ubuntu, SUSE Linux, FreeBSD. Используется также в системах управления базами данных. Иногда применяется вместе с дискреционным контролем доступа.

Управление доступом на основе ролей

Развитием политики избирательного доступа является управление доступом на основе ролей (RBAC), где доступ к объектам системы определяется с учётом специфики их применения на основе ролей субъектов в каждый момент времени. Роли позволяют сформулировать понятные для пользователей правила разграничения доступа. Роль сочетает свойства избирательного управления доступом (назначение объектов субъектам), и мандатного — при изменении роли изменяется и доступ к группе файлов. Такой вид доступа более гибок по сравнению с предыдущими и способен их моделировать. В настоящее время RBAC широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Примерами таких систем являются Microsoft Active Directory, SELinux, FreeBSD, Solaris, СУБД Oracle, PostgreSQL 8.1, SAP R/3, Lotus Notes и многие другие.

Другие типы управления доступом

Контроль доступа на основе контекста (CBAC)
Контроль доступа на основе решётки (LBAC)
Контроль доступа на основе атрибутов (ABAC)

Наиболее известные «простые» методы авторизации/регистрации на веб-ресурсах, не требующие специальных устройств — это смарт-карты, устройства для сканирования отпечатков пальцев, сетчатки глаза и др^[5].

Варианты защиты аутентификации и особенности ролевой авторизации^[6].

Алгоритмы идентификации и аутентификации при двухфакторной авторизации в информационных системах^[7].

Основные механизмы обеспечения аутентификации и защищённого туннельного соединения на базе VPN клиента TINC^[8].

В банковской сфере термин «авторизация» означает процедуру получения разрешения от банка-эмитента или иной организации, действующей от его имени, на проведение операции по карте. Запрос на авторизацию содержит информацию о банковской карте, сумме покупки или снятия по карте. Положительный ответ указывает, что карта действительна и остаток на счёте позволяет осуществить требуемую операцию. Отрицательный ответ свидетельствует о возможных неполадках в платёжной системе или недостатке средств. После операций электронное устройство выдаёт чек^[9].

В финансовой индустрии авторизация осуществляется при работе с банковскими, платёжными, кредитными и иными картами. Авторизация требуется при превышении неавторизованного лимита — суммы, установленной банком, не требующей авторизации. Для магнитных банковских карт авторизация обязательна, так как они не содержат информации о счёте. Авторизация может быть автоматической с использованием POS-терминала, гораздо реже голосовой^[10].

Для предотвращения мошенничества в процессе авторизации клиентов банкоматов и платёжных терминалов был предложен алгоритм программного обеспечения онлайн-мониторинга авторизации клиентов на базе искусственного интеллекта. Для этого используются общенаучные методы; экономико-статистические способы обработки данных, анализ причин и следствий, обслуживание, направленное на обеспечение надёжности^[11].

Использование самообучающихся машинных систем в процессе авторизации пользователей банкоматов^[12].

Положение № 23-П ЦБ РФ «О порядке эмиссии кредитными организациями банковских карт…»

«Авторизация — разрешение, предоставляемое эмитентом для проведения операций с использованием банковской карты и порождающее его обязательство по исполнению представленных документов, составленных с использованием банковской карты»^[13].

В бизнесе — выдача лицензии, например, уполномоченный или авторизованный автомобильный дилер)^[14].

Авторизация перевода — перевод, рассмотренный и одобренный автором или выполненный с согласия автора оригинала^[15]. Такой вариант перевода публицистического или художественного произведения отличается тем, что переводчик становится автором адаптированного текста. Это подразумевает существенные изменения оригинала, выходящие за рамки обычной адаптации и стилистической переработки; переводчик может вносить творческие изменения, изменять состав персонажей и даже перебрасывать сюжет произведения^[16].

Авторизация в общедоступных сетях Wi-Fi с помощью СМС^[17].

Ричард Э. Смит. Аутентификация: от паролей до открытых ключей : [рус.]. — Вильямс, 2002. — P. 432. — ISBN 0-201-61599-1.
В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы : [рус.]. — 4 издание. — Питер, 2010. — P. 943. — ISBN 978-5-4590-0920-0.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

Авторизация

Описание