А.С. Кузьмин, А.Г. Сабанов
2
ГИС, содержащим кроме открытой информации различные катего-
рии информации ограниченного доступа. Достаточно интенсивно
начинает использоваться электронная подпись, применение которой
невозможно без сервисов ИА. В этих условиях для разработки весьма
актуальной отечественной нормативной базы по ИА необходимо
учитывать мировой опыт.
Обзоры нормативной базы, тем более зарубежной, выполняются
достаточно редко и, как правило, не являются общедоступными. За-
метим, что сделать обзор работ по аутентификации — задача непро-
стая в силу сложности этого явления и обилия вариантов реализаций
систем ИА. Эту работу невозможно выполнить, не имея многолетне-
го опыта и не обладая знаниями в области криптографии и информа-
ционных технологий. Как правило, в опубликованных обзорах про-
блемы аутентификации освещены односторонне. Одной из известных
попыток сделать системный обзор является работа [2]. К числу ее до-
стоинств можно отнести обширный список литературы, простую ма-
неру изложения и обилие примечаний. Существенными недостатка-
ми данной работы являются уникальная (не общепринятая) класси-
фикация механизмов аутентификации и явный перекос в сторону
повышенного внимания к парольной аутентификации.
Наиболее полный обзор основных протоколов аутентификации
представлен в классическом труде по криптографии [3]. Данная рабо-
та содержит список литературы из 1653 позиций, в ней рассмотрены
основные протоколы аутентификации, возможные атаки и методы их
парирования. Показано, что к середине 1990-х годов разработка тео-
рии ИА и основных протоколов аутентификации была закончена.
К сожалению, в этой части изложение носит скорее исторический и
всеобъемлющий по широте, чем системный, характер. К существен-
ному недостатку работы относится отсутствие сравнения протоколов
по обоснованным критериям, что, на наш взгляд, необходимо для
практического проектирования и построения систем аутентифика-
ции, но является отдельной научной задачей. Заметим, что в обеих
рассмотренных монографиях требования к аутентификации отсут-
ствуют, изложены лишь определения, общие подходы, протоколы и
способы построения систем аутентификации.
Данная статья посвящена обзору наиболее известных стандартов,
требований и рекомендаций по ИА, находящихся в открытых источ-
никах. Для удобства восприятия расположим рассматриваемые доку-
менты в порядке их опубликования.
Обзор зарубежной нормативной базы.
Одним из первых наибо-
лее полных стандартов по аутентификации является разработанный в
1993 г. стандарт [4], состоящий из трех частей (общий подход, ис-
пользование симметричной и асимметричной криптографии). Для