Научная статья на тему 'Технология авторизации пользователей при информационной деятельности студентов в социальной сети'

Технология авторизации пользователей при информационной деятельности студентов в социальной сети Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
609
32
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
АВТОРИЗАЦИЯ / АУТЕНТИФИКАЦИЯ / AUTHENTICATION / БАЗА ДАННЫХ / ЗАПРОСЫ HTTP / ИДЕНТИФИКАЦИЯ / IDENTIFICATION / ИНТЕРФЕЙС API / ИНСТРУМЕНТЫ? ДЛЯ РАБОТЫ С ИНТЕРФЕЙСОМ / МЕТОДЫ И ОБЪЕКТЫ / ПРАВА ДОСТУПА / ACCESS CONTROL / СРЕДСТВА ИКТ / CRYPTOGRAPHY / PASSWORD / HARDWARE AND SOFTWARE / SMART CARDS / DATA UNIQUENESS / ENCRYPTION / DIGITAL SIGNATURE / PIN-CODE

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Газизов Андрей Равильевич, Морозов Виктор Михайлович

В данной статье рассмотрена технология авторизации пользователей относительно информационной деятельности студентов в социальной сети. Раскрыты понятия идентификации и аутентификации пользователя в аспекте проблематики авторизации. Рассмотрен интерфейс прикладного программирования API; а также технологические аспекты авторизации пользователей в социальной сети методы, объекты и права доступа.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

TECHNOLOGY OF USER AUTHORIZATION IN THE INFORMATION ACTIVITIES OF STUDENTS IN THE SOCIAL NETWORK

This article describes the technology of user authorization with respect to the information activities of students in the social network. Concepts of identification and authentication of the user in aspect of problems of authorization are opened. The interface of API application programming is considered; as well as the technological aspects of user authorization in the social network methods, objects and access rights.

Текст научной работы на тему «Технология авторизации пользователей при информационной деятельности студентов в социальной сети»

8-9 классы гуманитарной специализации / Г.А. Золотова, Г.П. Дручинина, Н.К. Онипенко // Русский язык в школе. - 1993. - №2. - С. 33-40.

3. Кокаева Х.В. Методы и приемы обучения связной монологической речи младших школьников в условиях осетинско-русского двуязычия / Х.В. Кокаева // Полилингвальное образование как основа сохранения языкового наследия и культурного разнообразия человечества: Материалы VI международной научной конференции. 29 сентября 2016 года, г. Владикавказ / под ред. Л.В. Газаевой; Сев.- Оет. гос. пед. инт. - Владикавказ: Издательство СОГПИ, 2016. - С. 92-98.

4. Левушкина О.Н. Функции текста при обучении русскому языку / О.Н. Левушкина // Преподаватель XXI век. - 2011. - Т.1. № 4. - С. 177-181.

5. Макоева Ф.С. Формирование коммуникативной компетенции студентов-осетин в курсе «Русский язык и культура речи» (педагогический вуз): Автореф. дис. ...канд. пед. наук: 13.00.02 / Макоева Фатима Сослановна. - Майкоп, 2011. - 26 с.

6. Обучение синтаксису на функциональной основе: монография / Газаева Л.В., Бибилова Р.П., Хадикова А.А., Фардзинова М.Д., Тегетаева Ж.Р., Пагиева Л.Б., Ногаева С.Е., Кокаева Л.Х., Кокаева Х.В. -Владикавказ: Издательство СОГПИ, 2017. - 147 с.

7. Сердюк Е.В. Управление обучением монологической речи студентов языкового факультета педагогического вуза на основе методически значимых контекстов: автореф. дис. ... канд. пед. наук: 13.00.02 / Сердюк Елена Владимировна. - Екатеринбург, 2013. - 23 с.

Педагогика

УДК 378.4

кандидат педагогических наук, доцент Газизов Андрей Равильевич

Федеральное государственное бюджетное образовательное учреждение высшего образования «Донской государственный технический университет» (ДГТУ) (г. Ростов-на-Дону); магистрант Морозов Виктор Михайлович

Федеральное государственное бюджетное образовательное учреждение высшего образования «Донской государственный технический университет» (ДГТУ) (г. Ростов-на-Дону)

ТЕХНОЛОГИЯ АВТОРИЗАЦИИ ПОЛЬЗОВАТЕЛЕЙ ПРИ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ

СТУДЕНТОВ В СОЦИАЛЬНОЙ СЕТИ

Аннотация. В данной статье рассмотрена технология авторизации пользователей относительно информационной деятельности студентов в социальной сети. Раскрыты понятия идентификации и аутентификации пользователя в аспекте проблематики авторизации. Рассмотрен интерфейс прикладного программирования API; а также технологические аспекты авторизации пользователей в социальной сети -методы, объекты и права доступа.

Ключевые слова: авторизация, аутентификация, база данных, запросы HTTP, идентификация, интерфейс API, инструменты для работы с интерфейсом, методы и объекты, права доступа, средства ИКТ.

Annotation. This article describes the technology of user authorization with respect to the information activities of students in the social network. Concepts of identification and authentication of the user in aspect of problems of authorization are opened. The interface of API application programming is considered; as well as the technological aspects of user authorization in the social network - methods, objects and access rights.

Keywords: authentication, identification, cryptography, password, hardware and software, smart cards, data uniqueness, access control, encryption, digital signature, pin-code.

Введение. Важнейшей задачей при разработке веб-сайтов и веб-приложений является ограничение доступа к некоторым разделам сайта, например к панели администратора. Этот процесс является достаточно сложным и определяемый следующими характеристиками - аутентификация, идентификация и авторизация.

Проблематика авторизации. При авторизации пользователей - сразу после введения учетных данных (пара логин-пароль, одноразовый пароль, access token, mdS-шифр, сертификат и пр.), начинается процедура аутентификации студентов в социальной сети. Аутентификация заключается в проверке подлинности пользователя в условиях информационной деятельности по регистрации, сбору, обработке, хранению, передаче, отражению, транслированию, тиражированию, продуцированию информации об объектах, явлениях, процессах, в том числе реально протекающих; а также скоростная передача любых объемов информации, представленной в различной форме, с использованием средств информационных и коммуникационных технологий (ИКТ). Например, необходимо сопоставить имя (пароль) пользователя с учетной записью в базе данных (БД - поименованной, целостной совокупности данных), проверить контрольную сумму файла и пр. [5].

При этом, в соответствии с Роберт И.В. под средствами ИКТ будем понимать программные, программно-аппаратные и технические средства и устройства, функционирующие на базе микропроцессорной, вычислительной техники, а также современных средств и систем транслирования информации, информационного обмена, обеспечивающие операции по сбору, продуцированию, накоплению, хранению, обработке, передаче информации и возможность доступа к информационным ресурсам локальных и глобальной компьютерных сетей [5].

В общем случае, для процедуры аутентификации необходимо либо что-то знать (например, пароль); либо иметь устройство аутентификации (например, смартфон применительно ко многим современным электронным банковским системам); либо обладать уникальными биометрическими данными - отпечатки пальцев, рельеф лица, голос, радужная оболочка глаза и пр. В случае, если процедура аутентификации прошла успешно, следующим шагам является идентификация пользователя. Задачей идентификации является получение идентификатора пользователя в информационной системе. Это может быть его уникальный логин, адрес электронной почты и пр. Т.е. нечто, с чем взаимодействует веб-сайт. После этого происходит авторизация пользователя. Суть авторизации заключается в наделении пользователя некоторыми правами. Например, права администратора, пользователя, анонима (неавторизированного пользователя) и пр. При этом в основном для работы с веб страницами, применяется PHP - скриптовый язык программирования, где нет

четкого разделения между этапами аутентификации и идентификации пользователя. В простейшем случае эти действия можно сделать одной выборкой из БД [1, 2, 4].

Авторизация в глобальной вычислительной сети Интернет является фундаментальной функцией, присутствующей практически на всех сайтах. Пользователи регулярно сталкиваются с ней: на форумах, в социальных сетях, на сайтах банков, в комментариях к новостям и пр. Однако, какая технология скрывается за кнопкой «Войти», знает далеко не каждый пользователь. Авторизация пользователя начинается с его идентификации. Пользователь вводит свое имя и пароль в интерфейс авторизации и направляет их в информационную систему. Сопоставляя эти два параметра, система «ищет» учетную запись пользователя в БД; в случае, если пользователь найден, то «создает» [1, 2, 4].

Интерфейс API. API (application programming interface) является интерфейсом прикладного программирования, часто применяемым разработчиками прикладных программ (приложений) реализующих решение задачи, необходимой пользователю; API-адрес позволяет разработчикам иметь доступ к сторонним сетям, различным сервисам и приложениям. При этом, программные компоненты взаимодействуют друг с другом посредством API; что в свою очередь позволяет выстраивать иерархию уровней - высокий, средний, низкий. Современные программные интерфейсы API часто принимают форму веб-сервисов, которые предоставляют пользователям (физическим лицам, а также - другим веб-сервисам) какую-либо информацию. Как правило, процедура обмена информацией и формат передачи данных структурированы для обеспечения информационного взаимодействия обеих сторон [3].

Запросы HTTP. Обычно при обращении к интерфейсам API используются запросы HTTP. Это обеспечивается стандартными методами, которые могут содержаться в HTTP запросе; называемые также HTTP- глаголами:

1) GET. Наверное, самый популярный тип запроса. Используется для получения или чтения данных.

2) PUT. Обычно используется для обновления ресурса.

3) POST. Обычно используется для создания нового ресурса.

4) DELETE. Удаляет данные.

5) И пр.

Например:

1) Если необходимо получить информацию о ресурсе, URI которого http://www.example.com/customers/12345, следует направить GET-запрос:

GET http:// www.example.com/cu stomers/12345.

2) Если необходимо обновить ресурс, следует направить PUT-запрос:

PUT http://www.example.com/customers/12345/orders/98765.

Обычные GET запросы может направлять веб-браузер. Для других типов запросов могут потребоваться скриптовые языки или специальные инструменты.

HTTP коды ответов. Сервер может посылать разные коды в ответ на запросы пользователей. Это могут быть коды ошибок или просто коды, информирующие пользователей о состоянии сервера. Наиболее известные коды:

1) 4xx - при наличии проблемы на стороне клиента)

2) 5xx - проблемы на стороне сервера.

О том, какие коды возвращать в той или иной ситуации, решают разработчики самих интерфейсов API. Например, интерфейс API сайта «Одноклассники» возвращает коды, описание которых можно найти на странице https://apiok.ru/wiki/pages/viewpage.action?pageId=77824003.

REST API. REST (Representational State Transfer) API является идеологией построения интерфейса API; она основывается на следующих принципах, сформулированных ее создателем Роем Филдингом:

1) Клиент-серверная архитектура.

2) Stateless сервер.

3) Кешируемость.

4) Многослойная структура.

5) Единый интерфейс.

6) Код по требованию.

Аутентификация. Обычно для использования интерфейса API нужен специальный ключ, с помощью которого сервер узнает пользователя. В открытых интерфейсах API ключ может отсутствовать или предоставляться по запросу; например, после регистрации на сайте. При этом для интеграции сервисов друг с другом широко используется протокол аутентификации OAuth э [6].

Инструментыэ для работы с интерфейсом API. Обычные GET-запросы можно направлять при помощи браузера. Вместе с тем существует достаточное множество специальных инструментов, которые предназначены для разработки и тестирования интерфейса API. Они предоставляют возможность не только направлять различные типы запросов, но и сохранять их; а также показывать результаты в различных форматах; выступать в роли proxy-сервера и пр. К инструментам подобного рода следует отнести [6]:

1) Postman. Это расширение для Google Chrome, которое в бесплатной версии позволяет посылать запросы, записывать их, показывать историю. Инструмент является удобным и понятным для пользователя.

2) jMeter. Этот инструмент, получил известность прежде всего благодаря нагрузочному тестированию, которое можно с его помощью проводить. Однако это лишь одно из множества вариантов его применения.

3) Fiddler. Этот инструмент позволяет просматривать посылаемые HTTP запросы и пр.

4) SoapUI. Этот инструмент для разработки и тестирования веб-приложений.

5) Advanced REST Client. Этот инструмент является еще одним расширением для Google Chrome с функциями: конструкция запросов, их показ в удобном виде и пр.

Тестирование интерфейса API. Тестирование интерфейса API предполагает применение общепринятой технологии с учетом специфики:

1) Анализ граничных значений. В запросах API в явном виде могут передаваться значения параметров; что является отличным поводом для выделения границ входных и выходных значений, а также их проверки.

2) Разбиение на классы эквивалентности. Даже у небольшого интерфейса API существует множество вариантов его применения и комбинаций входных и выходных переменных, что позволяет дополнительно применять навыки выделения эквивалентных классов.

3) При тестировании интерфейса API необходимо учитывать, что он создается во многом для интеграции сервисов. При этом взаимодействуют с ним информационно не только пользователи, но и программно-аппаратные комплексы. По этой причине следует оценивать интерфейс API в том числе с позиции «удобства» его использования другими приложениями и возможности интеграции с ним.

4) Интерфейс API предполагает наличие понятной и подробную эксплуатационной документации.

Вывод: общепринятые виды тестирования, а именно - функциональное, нагрузочное, безопасности,

юзабилити, а также тестирование документации присущи тестированию интерфейса API; что не удивительно, т.к. интерфейс API является полноценным самостоятельным программным продуктом.

Авторизация пользователей в социальной сети. Рассмотрим технологические аспекты авторизации пользователей при информационной деятельности в социальной сети на примере сети «В Контакте».

Методы и объекты [7,8]. API ВКонтакте - это интерфейс, который позволяет получать информацию из БД vk.com посредством http-запросов к специальному серверу. При этом пользователю нет необходимости знать подробности формирования БД, т.е. из каких таблиц и полей каких типов она состоит - достаточно того, что API-запрос об этом «знает». Синтаксис запросов и тип возвращаемых ими данных строго определены на стороне самого сервиса.

Например, для получения данных о пользователе с идентификатором 210700286 необходимо составить запрос следующего вида: https://api.vk.com/method/users.get?user_id=210700286&v=5.52.

Проанализируем составляющие запроса:

1) https:// - протокол соединения.

2) api.vk.com/method - адрес API-сервиса.

3) users.get - название метода API ВКонтакте; при этом методы являются условными командами, соответствующими той или иной операции с БД - получение информации, запись или ее удаление. Например:

- users.get - метод для получения информации о пользователе;

- video.add - метод для добавления видеозаписи в свой список;

- likes.delete - метод для удаления отметки «Мне нравится».

Все методы разделены на секции. Например:

- для работы с сообществами Вам нужны методы секции groups,

- для работы с фотографиями - photos, и пр.

4) ?user_id=210700286&v=5.52 - параметры запроса.

После обозначения метода необходимо передать его входные данные (при их наличии) - как обычные GET-параметры в http-запросе; т.о. сервер «получает сообщение», о «желании получения» данных о пользователе с id=210700286; при этом формат этих данных должен соответствовать версии API 5.52. Входные параметры всегда перечислены на странице с описанием метода. В ответ сервер «вернет» JSON-объект с запрошенными данными (или сообщение об ошибке, если она существует). JSON - это формат записи данных в виде пар - «имя свойства», «значение».

Ответ на запрос будет выглядеть следующим образом:

{«response»:[ {«id»:210700286,»first_name»:»Lindsey», »last_name»:»Stirling»}]}

Структура ответа каждого метода также строго задана, и при работе с интерфейсом API заранее известно, что что в поле id «придет» число, а в поле first_name - строка. Такие правила оговариваются на страницах с описанием метода и соответствующих объектов, которые он возвращает в ответе. Например, users.get - описаны входные параметры метода и структура его ответа, а в данном случае - user подробно описано каждое поле объекта из ответа. Объект из ответа может быть не уникален для конкретного метода. Например, объект пользователя с набором полей, содержащих данные относительно его образования, возраста и интересов, может «возвращаться» в ответе от методов users.get, users.search, groups.getMembers и пр.

Авторизация пользователя [7, 8]. В Контакте является социальной сетью, где присутствуют дружеские связи, настройки приватности, а также черные списки. Многое зависит от пользователя, просматривающего страницу: некоторый увидит на ней ту же информацию, что и владелец, а некоторый - исключительно общедоступные данные.

В интерфейсе API этот принцип сохраняется. Если пользователь скрыл список своих групп от «недрузей», то и через интерфейс API «не-друзья» не должны его увидеть. По этой причине необходима авторизация пользователя перед началом работы; т.е. сервер «должен знать», кто к нему обращается за информацией, чтобы предоставить ее в том же виде, что и в основной версии сайта. В общем случае для идентификации в интерфейсе API используется специальный ключ доступа, который называется access_token. Токен - это строка из цифр и латинских букв, которую пользователь передает на сервер вместе с запросом. Из этой строки сервер «получает» всю необходимую информацию. Существуют различные способы получения токена; при этом он может быть выдан не только пользователю, но и сообществу социальной сети, а также - всему приложению:

1) Применяя способ - Implicit flow, получаем токен для работы с интерфейсом API.

2) После этого открываем новую вкладку в браузере и вводим в адресную строку следующий запрос:

ttps://oauth.vk.com/authorize?client_id=5490057&display=page&redirect_uri=https://oauth.vk.com/blank.html

&scope=friends&response_type=token&v=5.52.

3) Число 5490057 в запросе следует заменить на API_ID приложения.

4) Нажимаем Enter; открывается окно с запросом прав, где отображаются название приложения, иконки прав доступа, а также имя и фамилия пользователя.

5) Нажимаем «Разрешить»; попадаем на новую страницу с предупреждением о том, что токен нельзя копировать и передавать третьим лицам. В адресной строке будет URL https://oauth.vk.com/blank.html, а после нажатия # будут представлены дополнительные параметры - access_token, expires_in и user_id. Токен может выглядеть следующим образом:

51eff86578a3bbbcb5c7043a122a69fd04dca057ac821dd7afd7c2d8e35b60172d45a26599c08034cc40a.

Токен - это ключ доступа пользователя. При выполнении определенных условий «не друг», получивший этот токен, может нанести существенный ущерб данным пользователя, а также данным «друзей». По этой причине весьма важно не передавать токен третьим лицам.

Поле expires_in содержит время жизни токена в секундах. 86400 секунд - это ровно сутки. Через сутки полученный токен перестанет действовать, а для продолжения работы необходимо получить новый. Есть возможность получить токен без срока действия - для этого в scope следует добавьте значение offline. При этом возможно принудительно отозвать токен (например, в том случае, если он стал известен постороннему, т.е. «не другу»), сбросив сеансы в настройках безопасности аккаунта пользователя или сменив пароль. Если токен не из собственного приложения пользователя, следует просто удалить приложение из настроек: https ://vk.com/ settings ?act=apps.

Поле user_id содержит id пользователя, для которого получен токен.

В итоге пользователь можете сделать вызов метода от своего имени; например, получить список друзей, которые сейчас находятся на сайте.

Для этого необходимо

а) ввести в адресную строку:

https://api.vk.com/method/friends.getOnline?v=5.52&access_token=;

б) вставить после знака «=« пользовательский access_token;

в) нажать Enter.

В ответе сервер вернет список идентификаторов друзей пользователя, которые находятся в сети в аспекте информационной деятельности, т.е. онлайн. При этом пользователь не указывает в запросе для какого пользователя (user_id) необходимо получить список, т.к. сервер использовал значение по умолчанию, т.е. идентификатор пользователя, который он получил из токена.

Права доступа [7, 8]. Методы делятся на секции - friends, photos, video и пр.; каждая секция соответствует определенному разделу на сайте. Часто приложения создаются для работы с конкретным разделом; например, для просмотра фотографий или для редактирования видео. При этом приложению, которое работает исключительно с аудиозаписями пользователя, не нужен одновременно доступ к его личным сообщениям. По этой причине в интерфейсе API права доступа приложения разграничены также, как и методы. Приложение может запросить доступ только к группам, а также - к группам, фотографиям и аудиозаписям. Чтобы запросить права, пользователю необходимо использовать параметр scope диалога авторизации:

1) При получении пользователем токена для своего приложения, в scope было указано значение friends, а в окне авторизации приложение запросило доступ к друзьям.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2) У каждого права доступа есть уникальное название («friends», «video» и т.д.) и код (+2, +4, +4096).

3) В scope можно перечислить названия необходимых прав доступа (например, scope=friends,video,photos), а также указать сумму их кодов (например, scope=22). Каждый код представляет собой степень двойки, и полученную таким образом сумму (битовую маску) пользователь всегда может проверить на предмет содержания какого-то конкретного кода.

При этом некоторые права доступа из соображений безопасности возможно запрашивать исключительно в приложениях с типом Standalone и только в процессе авторизации Implicit Flow.

Выводы. Представленная технология является эффективным инструментом авторизации пользователей относительно их информационной деятельности в социальной сети для массового выполнения стандартных операций, предполагающая возможность разработки приложения для автоматизации процесса информационного взаимодействия пользователей.

Литература:

1. Аутентификация пользователей. Режим доступа: https://www.osp.ru/pcworld/2005/04/170023/ (дата обращения 08.04.2018).

2. Афанасьев А. А. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. Учебное пособие для ВУЗов. М.: «Горячая линия-Телеком», 2009. 550 с.

3. Гафнер В.В. Информационная безопасность: учеб. пособие / В.В. Гафнер. Ростов на Дону: Феникс, 2010. 324 с.

4. Как управлять закрытыми ключами. Режим доступа: http://www.interface.ru/home.asp?artId=10476 (дата обращения 08.04.2018).

5. Роберт И. В. Толковый словарь терминов понятийного аппарата информатизации образования. М.: ИИО РАО, 2009. 96 с.

6. Сабанов А.Г. Аутентификация в распределенных информационных системах / Сабанов А.Г. // INSIDE. Защита информации - 2011. - № 4. - С. 12.

7. Алексеев А.А. Идентификация и диагностика систем: учеб. для студ. высш. учебн. заведений / А.А. Алексеев, Ю.А. Кораблев, М.Ю. Шестопалов.- М.: Издательский центр «Академия», 2009. 352 с.

8. Щеглов К.А., Щеглов А.Ю. Принцип и методы контроля доступа к создаваемым файловым объектам / Щеглов К.А., Щеглов А.Ю// Вестник компьютерных и информационных технологий - 2012. - № 5. - С. 7-9.

Педагогика

УДК 378.4

кандидат педагогических наук, доцент Газизов Андрей Равильевич

Федеральное государственное бюджетное образовательное учреждение высшего образования «Донской государственный технический университет» (ДГТУ) (г. Ростов-на-Дону); магистрант Иванова Анастасия Сергеевна

Федеральное государственное бюджетное образовательное учреждение высшего образования «Донской государственный технический университет» (ДГТУ) (г. Ростов-на-Дону)

МЕТОДИЧЕСКИЕ АСПЕКТЫ УПРАВЛЕНИЯ ДОСТУПОМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ ВЫСШЕГО ОБРАЗОВАНИЯ

Аннотация В данной статье рассмотрены различные методики построения подсистем управления доступом. Раскрыто содержание понятий идентификация пользователя и аутентификация пользователя, как оснований подсистем управления доступом. Сформулированы основные факторы идентификации и аутентификации. Проведена классификация методов идентификации в зависимости о того, как осуществляется вход в информационную систему: с использованием одноразовых и многоразовых паролей; на основе ЭЦП, смарт-карт и USB-ключей. Выявлены преимущества и недостатки представленных вариантов методик.

Ключевые слова: аутентификация, идентификация, криптография, пароль, программно-аппаратные средства, смарт-карты, уникальность данных, управление доступом, шифрование, электронная цифровая подпись, pin-код.

Аилогагюи. This article describes various methods of building access control subsystems. The article reveals the content of the concepts of «user identification» and «user authentication» as the basis of access control subsystems. The main factors of identification and authentication are formulated. The classification of identification methods depending on how the information system is logged in: using one-time and reusable passwords; based on EDS, smart cards and USB keys. The advantages and disadvantages of the presented methods are revealed.

Keywords: authentication, identification, cryptography, password, hardware and software, smart cards, data uniqueness, access control, encryption, digital signature, pin-code.

Введение. Функционирование подсистемы идентификации и аутентификации пользователей, т.е. управления доступом к информационным ресурсам (ИР) образовательной организации высшего образования (образовательной организации), осуществляющей в качестве основной цели образовательную деятельность по образовательным программам высшего образования, а также научную деятельность, можно рассмотреть в качестве подтверждения их идентичности, т.е. соответствия каким-либо личным параметрам [4].

Идентификация - это основа работы подсистемы управления доступом с ИР информационной системы (ИС) образовательной организации. Рассматривая процесс идентификации с точки зрения практики, возможно расценивать его как сверку введенного в систему идентификационного признака (кода) с образцами кодов, которые хранятся в памяти ИС (поиск и сравнение «одного» со «многими»). Выбирая методы и средства идентификации при построении подсистемы управления доступом для защиты различных объектов, мы во многом определяем эффективность защиты от несанкционированного доступа на защищаемом объекте[8]. Под термином аутентификация подразумевается процесс опознавания субъекта или объекта путем сравнения введенных идентификационных данных с эталоном (образом), хранящимся в памяти ИС для данного субъекта или объекта. Если рассматривать данный процесс с точки зрения практики, мы видим конкретное сравнение «одного» с «одним». Идентификатором участника информационного обмена может быть, например, пластиковая карта или пользовательский логин; фактором аутентификации, например, PIN-код, пароль и пр., т.е. только уникальная секретная информация, сопряженная с идентификатором пользователя и применяемая для проверки подлинности аутентификатора. При этом существует три фактора аутентификации, когда пользователь: знает его - PIN-код, пароль и пр.; имеет его -пластиковую карту, электронный ключ и пр.; характеризуется этим - биометрические параметры, интеллект и пр. [1].

Процедура однофакторной аутентификации участников информационного обмена безусловна менее надежна, нежели многофакторная с точки зрения противодействия несанкционированному доступу к ресурсам ИС. Применение логина и пароля для входа в ИС может быть рассмотрено в качестве примера однофакторной аутентификации, а получение денежных средств через терминал банка является уже примером двухфакторной аутентификации, т.к. подразумевает наличие банковской карты и сопряженного с ней PIN-кода. Ограниченное количество неудачных попыток входа в ИС также является примером двухфакторной аутентификации, т.к. использован механизм минимизации риска подбора PIN-кода или пароля[3]. Применение однофакторной аутентификации допустимо исключительно в подсистемах мониторинга и аудита; ее применение абсолютно недопустимо в подсистемах, в которых имеется доступ к персональным данным работников, а также сведениям, составляющим служебную тайну образовательной организации.

В образовательной организации должен периодически производиться контроль, применяемых систем аутентификации на предмет:

- учета актуальных для данной ИС рисков, в том числе и рисков недостаточного понимания пользователями требований регламентов аутентификации;

- адаптации к изменениям информационных технологий и ценности используемых ИР;

- обеспечения приемлемого уровня информационных рисков.

Рассмотрим методы аутентификации в аспекте управления доступом к ИР образовательной организации.

Аутентификация по многоразовым паролям. Рассматривая однофакторную парольную аутентификацию с точки зрения защиты ИР, следует отметить её ненадежность, особенно при межсетевом обмене. Учетная запись пользователя хранит в себе простейший идентификатор (login) и пароль (password). При попытке входа в ИС пользователи набирают свой пароль, поступающий в службу аутентификации. В результате сравнения пары login-password с эталонным значением в базе данных учетных записей пользователи могут успешно пройти процедуру простейшей аутентификации и авторизоваться в ИС. В

i Надоели баннеры? Вы всегда можете отключить рекламу.