Autorización

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 20 de marzo de 2022; las comprobaciones requieren 8 ediciones .

Autorización ( autorización en inglés  "permiso; autorización"): otorgar a una determinada persona o grupo de personas los derechos para realizar ciertas acciones; así como el proceso de verificación (confirmación) de estos derechos al intentar realizar estas acciones. [1] [2] [3] A menudo se dice que alguna persona está "autorizada" para realizar una determinada operación, lo que significa que tiene derecho a ella.

La autorización no debe confundirse con la autenticación  : un procedimiento para verificar la legalidad de un usuario o datos, por ejemplo, verificar que la contraseña ingresada por el usuario coincida con la contraseña de una cuenta en la base de datos, o verificar la firma digital de una carta usando la clave de cifrado, o comprobar la suma de comprobación de un archivo con la declarada por el autor de este archivo. La autorización, por otro lado, controla el acceso a varios recursos del sistema durante el trabajo de los usuarios legales después de que hayan pasado con éxito la autenticación.

Autorización en tecnologías de la información y control de acceso

En las tecnologías de la información, mediante la autorización se establecen derechos de acceso a los recursos de información y sistemas de procesamiento de datos. Para ello, se utilizan varios tipos de autorización, que se pueden dividir en tres clases:

Control de acceso discrecional

En el caso del control discrecional (selectivo) (DAC), el acceso a objetos, datos o funciones se otorga a sujetos, usuarios o grupos de usuarios especificados explícitamente. Por ejemplo, el usuario_1 puede leer el archivo archivo_1, pero no puede escribir en él. Cada objeto tiene un sujeto adjunto: el propietario, que establece los derechos de acceso al objeto. El sistema también tiene un sujeto dedicado: el superusuario, que tiene derecho a establecer derechos de acceso para todos los sujetos. Y cualquier sujeto puede transferir los derechos que tiene a otros sujetos. Dicho acceso se utiliza en los sistemas operativos modernos , donde el uso de permisos y listas de control de acceso ( ACL ) es más común para la autorización . [una]

Control de acceso obligatorio

El acceso obligatorio (MAC) consiste en separar la información según el grado de secreto, y los usuarios según los niveles de acceso a esta información. La principal ventaja del acceso obligatorio es limitar los derechos del propietario del objeto. Los derechos de los sujetos sobre los objetos que crean dependerán de su nivel de autorización, por lo que no podrán delegarlos accidental o intencionalmente a usuarios no autorizados. De acuerdo con los requisitos de FSTEC , el control de acceso obligatorio es una diferencia clave entre los sistemas para proteger el secreto de estado de la Federación Rusa de las clases superiores 1B y 1B de las clases inferiores de sistemas de seguridad basados ​​en un modelo discrecional. El soporte de control de acceso obligatorio está presente en algunos sistemas operativos como Ubuntu , SUSE Linux , FreeBSD . También se utiliza en sistemas de gestión de bases de datos . A veces se usa junto con el control de acceso discrecional.

Control de acceso basado en roles

El desarrollo de la política de acceso selectivo es el control de acceso basado en roles (RBAC), donde el acceso a los objetos del sistema se forma teniendo en cuenta las especificaciones de su uso en función del rol de los sujetos en un momento dado. Los roles le permiten definir reglas de control de acceso que sean comprensibles para los usuarios. El rol combina las propiedades de control de acceso selectivo, asignando objetos a sujetos, y obligatorio, cuando cambien los roles también cambiará el acceso a un grupo de archivos, pero este tipo de acceso es más flexible que los anteriores, pudiendo modelarlos. RBAC ahora se usa ampliamente para administrar los privilegios de los usuarios dentro de un solo sistema o aplicación. La lista de dichos sistemas incluye Microsoft Active Directory , SELinux , FreeBSD , Solaris , Oracle Database , PostgreSQL 8.1 , SAP R/3 , Lotus Notes y muchos otros.

Otros tipos de control de acceso

• Control de acceso basado en contexto (CBAC)
• Control de acceso basado en celosía (LBAC)
• Control de acceso basado en atributos (ABAC)

Método de inicio de sesión web sin contraseña

Los métodos "simples" más famosos de autorización/registro en recursos web que no requieren dispositivos especiales son las tarjetas inteligentes , dispositivos para escanear huellas dactilares, retinas, etc. [cuatro]

Autorización basada en roles

Formas de proteger la autenticación y la autorización basada en roles. [5]

Autenticación de dos factores

Algoritmos de Identificación y Autenticación para Autorización de Dos Factores en Sistemas de Información . [6]

Métodos para proporcionar autenticación y autorización en redes Mesh

Mecanismos básicos para proporcionar autenticación y túneles seguros basados ​​en el cliente TINC VPN . [7]

Uso en Banca

El término "autorización" en relación con el sector bancario significa el procedimiento para obtener permiso del banco emisor u otra entidad legal (por ejemplo, una empresa procesadora) que actúa en su nombre para realizar una transacción con tarjeta. La solicitud de autorización contiene información sobre la tarjeta bancaria, el monto de la compra o emisión en la tarjeta bancaria. Una respuesta positiva a la autorización indica que esta tarjeta bancaria es válida y el saldo en ella le permite realizar la operación necesaria. Una respuesta negativa a la autorización, respectivamente, puede deberse a problemas en el sistema de pago o falta de fondos en la cuenta de la tarjeta. Una vez completada la operación, el dispositivo electrónico emite un cheque [8] .

En el sector financiero, la autorización se realiza al utilizar tarjetas bancarias , de pago , de crédito y otras. La autorización se realiza en caso de exceder el límite no autorizado, el monto establecido por el banco, que no requiere autorización. Se requiere autorización para una tarjeta bancaria magnética, ya que no almacena información de la cuenta. La autorización puede ser automática (usando un terminal POS ), mucho menos a menudo por voz. [2]

Para evitar acciones fraudulentas en el proceso de autorización de clientes de cajeros automáticos y terminales de pago, se propuso un algoritmo para la creación de un software para el seguimiento en línea de la autorización de clientes basado en inteligencia artificial . Para ello se utilizaron métodos científicos generales (observación, comparación); métodos económicos y estadísticos de procesamiento de datos (agrupación, comparación, análisis de impacto comercial (BIA)), análisis de causa y efecto, mantenimiento destinado a garantizar la confiabilidad . [9]

Uso de sistemas automáticos de autoaprendizaje en el proceso de autorización de usuarios de cajeros automáticos. [diez]

Reglamento No. 23-P del Banco Central de la Federación de Rusia "Sobre el procedimiento para la emisión de tarjetas bancarias por parte de instituciones de crédito ..."

• “La autorización es un permiso otorgado por el emisor para realizar transacciones utilizando una tarjeta bancaria y que da lugar a su obligación de ejecutar los documentos presentados elaborados con una tarjeta bancaria.” [3]

Uso comercial

En los negocios, la emisión de una licencia (por ejemplo: un concesionario de automóviles autorizado o autorizado ) [11] .

Uso en la traducción

La autorización de una traducción  es una traducción que ha sido revisada y aprobada por el autor o realizada con el consentimiento del autor original [12] .

Uso en redes Wi-Fi públicas

Autorización en redes Wi-Fi públicas vía SMS. [13]

Véase también

• Autenticación
• Acceso
• identificación abierta
• Sistema unificado de identificación y autenticación

Literatura

• Richard E. Smith. Autenticación : De Contraseñas a Claves Públicas Primera Edición. - M .: "Williams" , 2002. - S.  432 . — ISBN 0-201-61599-1 .
• V. G. Olifer, N. A. Olifer. Red de computadoras. Principios, Tecnologías, Protocolos = Redes de Computadoras: Principios, Tecnologías y Protocolos para el Diseño de Redes. - 4ª edición. - M .: "Piter" , 2010. - S. 943. - ISBN 978-5-4590-0920-0 .

Enlaces

1. ↑ Lineamientos para el desarrollo de perfiles de protección y tareas de seguridad (enlace inaccesible) . Comisión Técnica Estatal de Rusia. Consultado el 23 de noviembre de 2009. Archivado desde el original el 2 de abril de 2011. (indefinido) 
2. ↑ Autenticación y autorización: una nueva apariencia (enlace descendente) . ¡Revista Conéctate! mundo de la comunicación. Consultado el 23 de noviembre de 2009. Archivado desde el original el 17 de diciembre de 2010. (indefinido) 
3. ↑ Autorización en el Diccionario de comercio electrónico (enlace no disponible) . Fecha de acceso: 23 de diciembre de 2010. Archivado desde el original el 23 de agosto de 2011. (indefinido) 
4. ↑ STRUK P.V. MÉTODO DE AUTORIZACIÓN WEB SIN CONTRASEÑA UTILIZANDO TECNOLOGÍAS "BITCOIN"  (rus.)  // "Instituto de Gestión y Desarrollo Socioeconómico" LLC (Saratov). - 2018. - Nº 7 (23) . - S. 935-938 .
5. ↑ AKUSHUEV R.T. AUTORIZACIÓN DE ROL  (ruso)  // Universidad Técnica Estatal de Don: un artículo en una revista - un artículo científico. - 2020. - Nº 7-1 . - S. 325-327 .
6. ↑ Karpika A.G., LEMAYKINA S.V., PETRISCHEVA E.N. REVISIÓN DE LOS ALGORITMOS DE IDENTIFICACIÓN Y AUTENTICACIÓN PARA LA AUTORIZACIÓN DE DOS FÁBRICAS  (rus.)  // Instituto Voronezh del Ministerio del Interior de la Federación Rusa (Voronezh). - 2018. - T. 1 , N° 3 (3) . - S. 170-176 .
7. ↑ KAMENSKY A.N., FILIMONOV K.V. MÉTODOS PARA PROPORCIONAR AUTENTICACIÓN Y AUTORIZACIÓN EN REDES MESH  (rus.)  : artículo en una revista - materiales de conferencias. - 2019. - T. 1 . - S. 258-262 .
8. ↑ Sultanova Nargiz Alievna. El uso de tarjetas bancarias en el sistema de liquidación  // Concepto. - 2015. - Nº 8 .
9. ↑ BIRYUKOV M.V., KLIMOVA N.A., GOSTISCHEVA T.V. ACERCA DE LOS SISTEMAS DE MÁQUINAS DE AUTOAPRENDIZAJE EN EL PROCESO DE AUTORIZACIÓN DE USUARIOS DE CAJEROS AUTOMÁTICOS  (rus.)  // Universidad Estatal Nacional de Investigación de Belgorod. - 2020. - T. 47 , N º 2 . - S. 354-361 .
10. ↑ BIRYUKOV M.V., KLIMOVA N.A., GOSTISCHEVA T.V. Uso de sistemas automáticos de autoaprendizaje en el proceso de autorización de usuarios de cajeros automáticos.  (Ruso)  // Universidad de Belgorod de Cooperación, Economía y Derecho: artículo en las actas de la conferencia. - 2020. - S. 39-47 .
11. ↑ Akademik.ru. Autorización // Diccionario de términos comerciales. . — 2001. (Ruso)
12. ↑ A. Ya. Sukharev, V. E. Krutskikh, A. Ya. Sukharev. Traducción autorizada // Gran diccionario jurídico. — M.: Infra-M . — 2003. (Ruso)
13. ↑ ZALYALETDINOV A.A., PYSTOGOV S.V. SERVIDOR WEB PARA AUTORIZACIÓN DE USUARIOS EN REDES WIFI PÚBLICAS. (Idioma ruso) // Universidad Técnica Nacional de Investigación de Kazan. UN. Tupolev - KAI ": un artículo en las actas de la conferencia. - 2020. - S. 218-221 .