3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
3.1.
|
Авторизация (authorization): проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.
|
|
[ГОСТ Р 57580.1-2017, пункт 3.15]
|
3.2.
Агент пользователя (user agent): клиентское приложение, использующее определенный сетевой протокол для доступа к серверу. Термин обычно используется для таких приложений, как браузеры, поисковые роботы, почтовые клиенты.
3.3.
|
Атака (attack): попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования.
|
|
[ГОСТ Р ИСО/МЭК 27000-2021, пункт 3.2]
|
3.4.
|
Аутентификация (authentication): действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
|
|
Примечание. Аутентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.
|
|
[ГОСТ Р 58833-2020, пункт 3.4]
|
3.5.
|
Взаимная аутентификация (mutual authentication): обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации - и субъекту доступа, и объекту доступа - уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.
|
|
[ГОСТ Р 58833-2020, пункт 3.10]
|
3.6.
Владелец ресурса (resource owner): субъект, способный предоставить доступ к защищенному ресурсу. [16]
3.7.
|
Доступ (access): получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.
|
|
Примечания:
|
|
1. В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.
|
|
2. Доступ к информации - возможность получения информации и ее использования.
|
|
[ГОСТ Р 58833-2020, пункт 3.17]
|
3.8.
Защищенный ресурс (protected resource): ресурс с ограниченным доступом. [16]
3.9.
|
Идентификация (identification): действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
|
|
[Р 50.1.053-2005, пункт 3.3.9]
|
3.10.
Клиент (client): приложение, целью которого является получение доступа к защищенным ресурсам пользователя от его имени после выполнения процедуры авторизации. [16]
Примечание. Термин "клиент" не подразумевает каких-либо конкретных характеристик реализации (например, выполняется ли приложение на сервере, настольном компьютере или других устройствах).
3.11.
|
Ключ подписи (signature key): элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.2]
|
3.12.
|
Ключ проверки подписи (verification key): элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.3]
|
3.13.
Код авторизации (authorization code): свидетельство, подтверждающее факт успешной аутентификации пользователя и предоставления клиенту права доступа к определенному ресурсу сервера ресурсов. Код авторизации является промежуточной формой разрешения на доступ клиента к определенному ресурсу, которое обменивается клиентом на токен доступа [5]
3.14.
Код аутентификации [сообщения] (message authentication code): специальный набор символов, добавляемый к сообщению и предназначенный для обеспечения его целостности и аутентификации источника данных. [14]
3.15.
|
Код аутентификации сообщения на основе хэш-функции (hash-based message authentication code): механизм обеспечения аутентичности информации на основе симметричного ключа, построенный с использованием хэш-функции.
|
|
[Р 50.1.113-2016, пункт 3.1.1]
|
3.16.
Конечная точка (endpoint): адрес (как правило, URL) сетевого ресурса, через который осуществляется доступ к определенному сервису. [16]
Примечание. В процессе авторизации технология OAuth 2.0 использует две конечные точки сервера авторизации (ресурсы HTTP) - конечную точку авторизации и конечную точку токена - и одну конечную точку клиента.
3.17.
Конечная точка авторизации (authorization endpoint): конечная точка, используемая клиентом для получения авторизации от владельца ресурса посредством перенаправления агента пользователя. [16]
3.18.
Конечная точка клиента (client endpoint): конечная точка, на которую сервер авторизации возвращает ответы клиенту посредством агента пользователя. [16]
3.19.
Конечная точка токена (token endpoint): конечная точка, используемая клиентом для обмена разрешения на доступ на токен доступа, обычно с аутентификацией клиента. [16]
3.20.
Конечная точка UserInfo (UserInfo endpoint): защищенный ресурс, который при предоставлении клиентом токена доступа возвращает авторизованную информацию о конечном пользователе [17]
3.21.
Конечный пользователь (end user): владелец ресурса в случае, если он является человеком. [16]
3.22.
Конфиденциальный клиент (confidential client): клиент, который может обеспечить конфиденциальность своих учетных данных (например, клиент, реализованный на защищенном сервере с ограниченным доступом к учетным данным клиента) или может выполнить безопасную аутентификацию клиента с использованием других средств. [16]
3.23.
|
[Криптографический] ключ (key): изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.
|
|
[ГОСТ Р 34.12-2015, пункт 2.1.8]
|
3.24.
Нативное приложение (native application): приложение, которое пользователь устанавливает на свое устройство, в отличие от веб-приложения, работающего только в контексте браузера. [16]
Примечание. Приложения, реализованные с использованием веб-технологий, но распространяемые как нативные приложения, так называемые гибридные приложения, считаются эквивалентными нативным приложениям для целей данных требований.
3.25.
Объект запроса (request object): токен JWT, который содержит набор параметров запроса аутентификации в качестве своих заявленных свойств. [17]
3.26.
|
Односторонняя аутентификация (one-way authentication): аутентификация, обеспечивающая только лишь для одного из участников процесса аутентификации (объекта доступа) уверенность в том, что другой участник процесса аутентификации (субъект доступа) является тем, за кого себя выдает предъявленным идентификатором доступа.
|
|
[ГОСТ Р 58833-2020, пункт 3.36]
|
3.27.
Параметр, заявленное свойство (claim): часть информации, заявленной о субъекте. Заявленное свойство представлено в виде пары имя/значение, состоящей из имени заявленного свойства (параметра) и значения заявленного свойства (параметра). [18]
3.28.
|
Процесс проверки подписи (verification process): процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки подписи и параметры схемы ЭЦП, результатом которого является заключение о правильности или ошибочности цифровой подписи.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.8]
|
3.29.
|
Процесс формирования подписи (signature process): процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.9]
|
3.30.
|
Прикладной программный интерфейс (application program interface, API): интерфейс между прикладным программным средством и прикладной платформой, через который обеспечивается доступ ко всем необходимым службам (услугам).
|
|
[Р 50.1.041-2002, пункт 3.1.5]
|
3.31.
|
Протокол аутентификации (authentication protocol): протокол, позволяющий участникам процесса аутентификации осуществить аутентификацию.
|
|
Примечание. Протокол реализует алгоритм (правила), в рамках которого субъект доступа и объект доступа последовательно выполняют определенные действия и обмениваются сообщениями.
|
|
[ГОСТ Р 58833-2020, пункт 3.47]
|
3.32.
Публичный клиент (public client): клиент, который не может обеспечить конфиденциальность своих учетных данных (например, клиент, выполняющийся на устройстве, используемом владельцем ресурса, таком как установленное нативное приложение или приложение на основе веб-браузера) и не может выполнить безопасную аутентификацию клиента с помощью других средств. [16]
3.33.
Разрешение на доступ (authorization grant): свидетельство, подтверждающее авторизацию владельца ресурса (для доступа к его защищенным ресурсам), которое далее используется клиентом для получения токена доступа. [16]
3.34.
Сервер авторизации (authorization server): сервер, выдающий клиенту токены доступа после успешной аутентификации владельца ресурса и прохождения процедуры авторизации. [16]
3.35.
Сервер ресурсов (resource server): сервер, на котором размещены защищенные ресурсы, способный принимать и отвечать на запросы к защищенным ресурсам с использованием токенов доступа. [16]
3.36.
Токен доступа (access token): свидетельство, подтверждающее факт авторизации доступа к определенному ресурсу, выданное определенному клиенту сервером авторизации с одобрения владельца ресурса. Токен доступа указывает на конкретные области данных, к которым разрешен доступ, длительность доступа и другие параметры. [5]
3.37.
Токен обновления (refresh token): символьная строка, используемая для получения токенов доступа. Токен обновления выдается клиенту сервером авторизации и используется для получения нового токена доступа, когда текущий токен доступа становится недействительным или истекает его срок действия, или для получения дополнительных токенов доступа с идентичной или более узкой областью действия (токены доступа могут иметь более короткий срок службы и меньше разрешений на доступ, чем разрешено владельцем ресурса). [16]
3.38.
|
Хэш-код (hash-code): строка бит, являющаяся выходным результатом хэш-функции.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.13]
|
3.39.
|
Хэш-функция (collision-resistant hash-function): функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:
|
|
1) по данному значению функции сложно вычислить исходные данные, отображаемые в это значение;
|
|
2) для заданных исходных данных сложно вычислить другие исходные данные, отображаемые в то же значение функции;
|
|
3) сложно вычислить какую-либо пару исходных данных, отображаемых в одно и то же значение.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.14]
|
3.40.
|
[Электронная цифровая] подпись (signature): строка бит, полученная в результате процесса формирования подписи.
|
|
[ГОСТ Р 34.10-2012, пункт 3.1.15]
|
3.41.
Шифрование с имитозащитой и ассоциированными данными (Authenticated Encryption with Associated Data, AEAD): режим работы блочного шифра, который обеспечивает шифрование и имитозащиту открытого текста. При этом часть открытого текста (дополнительные имитозащищаемые данные, AAD) не шифруется. [5]
3.42.
Base64-кодирование (Base64-encoding): стандарт кодирования двоичных данных при помощи только 64 символов ASCII. Алфавит кодирования содержит алфавитно-цифровые латинские символы A - Z, a - z и 0 - 9 (62 знака) и 2 дополнительных символа, зависящих от системы реализации. [20]
3.43.
Base64url-кодирование (Base64url-encoding): Base64-кодирование строки байт с использованием набора символов, допускающих использование результата кодирования в качестве имени файла или URL. [20]
3.44.
ID токен, токен идентификации (ID Token): JSON веб-токен, который содержит параметры аутентификации конечного пользователя сервером авторизации. Может содержать также другие параметры. [18]
3.45.
JSON веб-токен (JWT): строка, представляющая набор параметров в формате объекта JSON, который закодирован в виде структуры JWS или JWE. При этом параметры объекта JSON сопровождаются цифровой подписью, кодом аутентификации и/или шифрованием. [18]