Идентификация и аутентификация пользователей в информационных системах

Идентификация призвана каждому пользователю (группе пользователей) сопоставить соответствующую ему разграничительную политику доступа на защищаемом объекте. Для этого пользователь должен себя идентифицировать - указать своё «имя» (идентификатор). Таким образом проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. В соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.

Аутентификация предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести секретное слово - пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.

В общем случае, как будет показано далее, идентифицируются и аутентифицируются не только пользователи, но и другие субъекты доступа к ресурсам. Совокупность выполнения процедур идентификации и аутентификации принято называть процедурой авторизации. При этом заметим, что иногда не требуется идентифицировать пользователя, а достаточно только выполнения процедуры аутентификации. Например, это происходит, когда требуется подтвердить текущего (уже зарегистрированного) пользователя при выполнении каких-либо действий, требующих дополнительной защиты. В свою очередь, не всегда требуется осуществлять контроль идентификации, т.е. в некоторых случаях аутентификация может не производиться [8].

Процедура авторизации имеет ключевое значение при защите компьютерной информации, так как вся разграничительная политика доступа к ресурсам реализуется относительно идентификаторов пользователей, т.е., войдя в систему с чужим идентификатором, злоумышленник получает права доступа к ресурсу того пользователя, идентификатор которого был им предъявлен при входе в систему.

Парольная аутентификация

Идея, лежащая в основе метода парольной аутентификации, чрезвычайно проста. Каждый субъект компьютерной системы имеет пароль - секрет, который он разделяет с системой. Демонстрация знания этого секрета (чаще всего путём разглашения самого пароля) принимается системой как подтверждение идентичности субъекта. В качестве пароля обычно выбирается буквенная и(или) цифровая последовательность, которую пользователь легко может запомнить и при необходимости ввести по запросу системы. Различные парольные протоколы различаются по средствам для храниния парольной информации внутри системы, и по методам её проверки.

Можно выделить три основные угрозы протоколам парольной аутентификации: разглашение, прослушивание и угадывание пароля. Угрозы могут проявиться при осуществлении трёх характерных видов атак на парольные протоколы: при повторе паролей легальных пользователей злоумышленниками, полном переборе паролей и при словарной атаке на протокол.

На практике широко используются два типа протоколов парольной аутентификации: протоколы с фиксированными и с одноразовыми паролями.

Фиксированные пароли. Этот тип протоколов объединяет те из них, в которых пароль, предъявляемый претендентом системе, не меняется от одного сеанса выполнения протокола к другому. Пароль должен быть запоминаемым для человека (обычно не более 8-12 символов), время действия пароля ограничено разумными пределами, пароли должны периодически меняться. Для обеспечения достаточной стойкости протоколов аутентификации с фиксированными паролями используется ряд приёмов:

  • - хранение в компьютерной системе файлов паролей в защищённом режиме (с защитой от чтения-записи);
  • - хранение в системе не самих паролей, а их образов, полученных как результат вычисления однонаправленной функции от пароля, взятого в качестве аргумента;
  • - задание правил выбора паролей (минимальное количество символов, недопущение использования осмысленных слов, необходимость сочетания букв и цифр и т.п.), имеющих целью максимизировать энтропию пароля;
  • - искусственное замедление процесса ввода пароля в систему с целью резкого увеличения времени на перебор паролей; выбор в качестве пароля осмысленного предложения (фразы) с последующим преобразованием посредством хеш-функции в короткое сообщение, которое обычно обладает большей энтропией, чем пароль такой же длины, выбираемый человеком;
  • - добавление системой случайной величины к паролю перед обработкой его однонаправленной функцией - метод солтинга.

Все перечисленные методы лишь затрудняют или замедляют процесс доступа к паролю, его перебора или случайного угадывания. Ни один из них не решает проблемы защиты парольного протокола радикально. Они обеспечивали вполне приемлемый уровень защиты в 70-80-е гг. XX в. с учётом тогдашнего уровня развития вычислительной техники и операционных систем. Сегодня перечисленные приёмы простой аутентификации с фиксированными паролями используется, как правило, в не очень ответственных случаях или когда процесс доступа субъекта к системе необходимо максимально упростить (например, для входа пользователя в систему в массовых тиражируемых операционных системах семейств Windows или Linux).

Разновидностью фиксированных паролей являются PIN-коды (от английских слов -Personal Identification Number). Это числовые пароли длиной от 4 до 8 десятичных цифр. Чаще всего они используются в соединении с методом «обладания чем-либо»: обычно микропроцессорной пластиковой картой или картой с магнитной полосой. PIN-код обеспечивает второй уровень защиты на случай, если карта потеряна или украдена. Для защиты от полного перебора такого маленького ключевого пространства необходимы дополнительные меры: организационная и физическая защита. Например, банкомат может забрать у пользователя пластиковую карту или блокировать её после нескольких подряд неудачных попыток ввода пароля.

Одним из важнейших процессов, создаваемых для соблюдения такого свойства информации, как конфиденциальность, является ограничение доступа. Наиболее распространён такой процесс аутентификации, как использование пароля. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используются пароли. Вспомним историю.

Операционные системы Windows 95/98 сохраняли пароль в PWL-файле. PWL-файлы хранились в каталоге Windows. Их имена, как правило, хранились как USERNAME.PWL. Вместе с тем стоит отметить, что PWL-файл был зашифрован и извлечь из него пароли было не просто. Первый алгоритм шифрования версии Windows’95 был создан так, что позволял создать программы для расшифровки PWL-файлов. Однако в версии OSR2 этот недостаток был устранён. Система защиты паролей в OSR2 была сделана профессионально и достоверно в терминах криптографии. Однако, несмотря на это, содержала несколько серьёзных недостатков, а именно:

  • - все пароли преобразованы к верхнему регистру, это значительно уменьшает количество возможных паролей;
  • - используемые для шифрования алгоритмы MD5 и RC4 позволяют более быстрое шифрование пароля, но достоверный пароль Windows должен быть, по крайней мере, длиной в девять символов.

Система кеширования пароля по существу ненадёжна. Пароль может быть сохранён только в том случае, если никакой персонал, не имеющий соответствующего разрешения, не может обращаться к вашему компьютеру.

В настоящее время рекомендуемая Microsoft длина пароля для рабочей станции Windows ХР должна составлять не менее 8 символов, при этом в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы. При этом время жизни пароля должно составлять не более 42 дней. К тому же на пароль налагается требование неповторяемое™. В дальнейшем эти требования будут только ужесточаться. Чем сложнее пароли, чем больше приложений требуют ввод пароля, тем выше вероятность того, что ваши пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль или они будут записывать его на бумагу

С одной стороны, явно недопустимо, так как резко вырастает риск компрометации пароля, с другой - слишком сложный пароль (типа PqSh*98+) весьма сложно удержать в голове, и пользователи явно будут либо выбирать простой пароль, либо постоянно забывать его и звать администратора. Добавим сюда ещё и необходимость его постоянной смены, и требование неповторяемое™ паролей.

На самом деле уже на сегодня существует несколько вариантов как помочь пользователю в решении этой нелёгкой проблемы. Попробуем их кратко описать здесь.

Первый вариант. На видном месте в комнате (на стене, на столе) вывешивается (кладётся) плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.

Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. Данный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив целостности. Примером такого конверта может служить PIN-конверт к платёжной карте. Далее такие конверты хранятся в сейфе начальника подразделения или сейфе службы информационной безопасности. Единственной сложностью при таком способе хранения является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учёта конвертов. Однако если учесть сбережение времени администраторов сети и приложений, то эта цена не является чрезмерной.

Третий вариант - использование двухфакторной аутентификации на базе новейших технологий аутентификации. Основным преимуществом двухфакторной аутентификации является наличие физического ключа и пинкода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечёт за собой компрометации пароля, так как кроме ключа для доступа к системе нужен ещё и пинкод к ключу.

Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают всё большее распространение в связи с широким развитием интернет-технологий и системы биометрической аутентификации.

В настоящее время основным способом защиты информации от несанкционированного ознакомления (модификации, копирования) является внедрение так называемых средств AAA (authentication, authorization, administration - аутентификация, авторизация, администрирование).

При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как успешно прошёл процедуры идентификации и аутентификации.

Стоит учесть, что на мировом рынке ИТ-услуг традиционно растёт сегмент ААА. Эта тенденция подчёркивается в аналитических обзорах IDC, Gartner и других фирм.

Таким образом, в дальнейшем мы с вами всё чаще будем встречаться именно с про-граммно-аппаратными средствами аутентификации, которые постепенно придут на смену традиционным паролям.

Классификация средств идентификации и аутентификации

Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные (рис. 3.1). В отдельную подгруппу в связи с их специфическим применением можно выделить системы одноразовых паролей, входящие в состав электронных.

В электронных системах идентификационные признаки представляются в виде кода, хранящегося в памяти идентификатора (носителя). Идентификаторы в этом случае бывают следующие:

  • - контактные смарт-карты;
  • - бесконтактные смарт-карты;
  • - USB-ключи (USB-token);
  • - iButton.

Системы идентификации и аутентификации

Классификация программно-аппаратных систем идентификации и аутентификации

Рис. 3.1. Классификация программно-аппаратных систем идентификации и аутентификации

В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счёт сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.

Статическая биометрия основывается на данных (шаблонах), полученных из измерений анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.).

Динамическая основывается на анализе действий человека (голос, параметры подписи, её динамика).

В комбинированных системах используется одновременно несколько признаков, причём они могу принадлежать как системам одного класса, так и разным [9].

Особенности электронных систем идентификации и аутентификации. В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-token. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin Software.

eToken - персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде USB-ключа или стандартной смарт-карты.

eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure).

Основное назначение:

  • - строгая двухфакторная аутентификация пользователей при доступе к защищённым ресурсам (компьютерам, сетям, приложениям);
  • - безопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;

- аппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хеш-функции, формирование ЭЦП).

eToken как средство аутентификации поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности.

Возможности применения:

  • - строгая аутентификация пользователей при доступе к серверам, базам данных, разделам Web-сайтов;
  • - безопасное хранение секретной информации: паролей, ключей шифрования, закрытых ключей цифровых сертификатов;
  • - защита электронной почты (цифровая подпись и шифрование, доступ);
  • - системы электронной торговли, «клиент-банк», «домашний банк»;
  • - защита компьютеров;
  • - защита сетей, VPN;
  • - клиент-банк, home-банк.

eToken обеспечивает:

  • - строгую аутентификацию пользователей за счёт использования криптографических методов;
  • - безопасное хранение ключей шифрования и ЭЦП, а также закрытых ключей цифровых сертификатов для доступа к защищённым корпоративным сетям и информационным ресурсам;
  • - мобильность пользователя и возможность безопасной работы с конфиденциальными данными в недоверенной среде (например, на чужом компьютере) за счёт того, что ключи шифрования и ЭЦП генерируются ключом eToken аппаратно и не могут быть перехвачены;
  • - безопасное использование - воспользоваться ключом eToken может только его владелец, знающий PIN-код ключа;
  • - реализацию как западных, так и российских стандартов на шифрование и ЭЦП, сертифицированных ФАПСИ (ФСБ);
  • - удобство работы - ключ выполнен в виде брелка со световой индикацией режимов работы и напрямую подключается к USB-портам, которыми сейчас оснащены 100% компьютеров, не требует специальных считывателей, блоков питания, проводов и т.п.;
  • - использование одного ключа для решения множества различных задач - входа в компьютер, входа в сеть, защиты канала, шифрования информации, ЭЦП, безопасного доступа к защищённым разделам Web-сайтов, информационных порталов и т.п.

Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (табл. 3.2).

Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64-разрядные серийные номера.

Системы идентификации на базе Proximity криптографически не защищены, за исключением специальных заказных систем.

3.2. Радиочастотные идентификаторы

Характеристика

Proximity

Смарт-карты

ISO/IEC 14443

ISO/IEC 15693

Частота радиоканала

125 кГц

13,56 МГц

13,56 МГц

Дистанция чтения

До 1 м

До 10 см

До 1 м

Встроенные типы чипов

Микросхема памяти, микросхема с жёсткой логикой

Микросхема памяти, микросхема с жёсткой логикой, процессор

Микросхема памяти, микросхема с жёсткой логикой

Функции памяти

Только чтение

Чтение-запись

Чтение-запись

Ёмкость памяти

8...256 байт

64 байт...64 кбайт

256 байт...2 кбайт

Алгоритмы шифрования и аутентификации

Нет

Технология

MIRAGE, DES, 3DES, AES, RSA, ECC

DES, 3DES

Механизм антиколлизии

Опционально

Есть

Есть

USB-ключи работают с USB-портом компьютера. Изготавливаются в виде брелков.

Каждый ключ имеет прошиваемый 32/64-разрядный серийный номер (табл. 3.3).

3.3. Характеристики USB-ключей

Изделие

Ёмкость памяти, кБ

Разрядность серийного номера

Алгоритмы шифрования

iKey 20хх

8/32

64

DES (ЕСВ и СВС), DESX, 3DES, RC2, RC5, MD5, RSA-1024/2048

eToken R2

16/32/64

32

DESX (ключ

120 бит), MD5

eToken Pro

16/32

32

RSA/1024, DES, 3DES, SHA-1

ePass 1000

8/32

64

MD5, MD5-HMAC

ePass 2000

16/32

64

RSA, DES, 3DES,

DSA, MD5, SHA-1

ruToken

8/16/32/64/128

32

ГОСТ 28147-89, RSA, DES, 3DES, RC2, RC4, MD4, MD5, SHA-1

uaToken

8/16/32/64/128

32

ГОСТ 28147-89

USB-ключи, представленные на рынке:

  • - cTokcn R2, cTokcn Pro - компания Aladdin Knowledge Systems;
  • - iKeylOxx, iKey20xx, iKey 3000 - компания Rainbow Technologies;
  • - ePass 1000, ePass 2000 - фирма Feitian Technologies;
  • - ruToken - разработка компании «Актив» и фирмы «АНКАД»;
  • - uaToken - компания ООО «Технотрейд».

USB-ключи - это преемники смарт-карт, в силу этого структуры USB-ключей и смарт-карт идентичны.

Комбинированные системы. Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность.

На сегодня существуют комбинированные системы следующих типов (табл. 3.4):

  • - системы на базе бесконтактных смарт-карт и USB-ключей;
  • - системы на базе гибридных смарт-карт;
  • - биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи. В корпус брелка USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволит организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Данная схема использования идентификатора может исключить ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъёме компьютера, что позволит работать под его идентификатором. В случае же когда нельзя выйти из помещения, не используя бесконтактный идентификатор, данной ситуации удастся избежать.

На сегодня наиболее распространены два идентификатора подобного типа:

  • - RfiKey - компания Rainbow Technologies;
  • - eToken Pro RM - компания Aladdin Software Security R.D.
  • 3.4. Основные функции комбинированных систем

Функция

Комбинированные системы

На базе бесконтактных

смарт-карт и USB-ключей

На базе гибридных смарт-карт

Биоэлектронные системы

Идентификация и аутентификация компьютеров

Есть

Есть

Есть

Блокировка работы компьютеров и разблокирование при предъявлении персонального идентификатора

Есть

-

Есть

Идентификация и аутентификация сотрудников при их доступе в здание, помещение (из него)

Есть

Есть

-

Хранение конфиденциальной информации (ключей шифрования, паролей, сертификатов и т.д.)

Есть

Есть

Есть

Визуальная идентификация

-

Есть

Есть

Изделие RfiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, РК5355, PR5365, МХ5375, РР6005) и российской компании Parsec (APR-ОЗНх, APR-05Hx, APR-06Hx, APR-08Hx, H-Rcadcr).

cTokcn RM - USB-ключи и смарт-карты cTokcn Pro, дополненные пассивными RFID-метками.

Интеграция eToken с RFID-метками. RFID-технология (Radio Frequency Identification, радиочастотная идентификация) является наиболее популярной на сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закреплённых за объектом так называемых RFID-мсток, несущих идентификационную и другую информацию.

Из семейства USB-ключей eToken RFID-меткой может быть дополнен только eToken Рго/32К. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13,56 МГц, например производства Ангстрем или HID.

Гибридные смарт-карты. Гибридные смарт-карты содержат разнородные чипы. Один чип поддерживает контактный интерфейс, другой - бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: доступ в помещение и доступ к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что делает возможным полностью заменить обычные пропуска и перейти к единому «электронному пропуску».

Смарт-карты подобного типа разрабатывают многие компании: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems и др.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Смарт-карты eToken Pro могут быть дополнены пассивными RFID-метками производства HID/ISOProx II, EM-Marine (частота 125 кГц), Cotag (частота 122/66 кГц), Ангстрем КИБИ-002 (частота 13,56 МГц), Mifare и других компаний. Выбор варианта комбинирования определяет заказчик.

Биоэлектронные системы. Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем - биометрической и контактной на базе смарт-карт или USB-ключей.

Наиболее часто в качестве биометрических систем применяются системы распознавания отпечатков пальцев. При совпадении отпечатка с шаблоном разрешается доступ.

К недостаткам такого способа идентификации можно отнести возможность использования муляжа отпечатка.

Генераторы разовых паролей. Идентификаторы на базе генераторов разовых паролей применяются чаще всего для организации web-доступа или систем типа e-banking.

eToken NG - функциональный аналог eToken Pro, имеющий встроенный генератор одноразовых паролей.

eToken NG

Рис. 3.2. eToken NG

eToken NG-OTP предназначен для аутентификации пользователей при их подключении к защищённым информационным ресурсам (в том числе при недоступности USB-портов, к примеру - доступ с мобильных устройств, интернет-кафе), а также для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.

Выпускается в двух модификациях: с 64 Кб и 32 Кб памяти (внутри защищённого чипа смарт-карты).

Имеет аппаратно реализованные алгоритмы RSA/1024, DES, 3DES, SHA-1 и аппаратный генератор одноразовых паролей.

Если необходимо получить соединение с сетью, пользователь вводит Pin-код, затем генерирует разовый пароль, нажимая кнопку на eToken NG. При этом пароль равен Ріп-код+Токеп-код.

На стороне сети этот пароль проверяется с помощью специального серверного ПО.

Второй вариант реализован в продуктах компании RSA Security.

RSA SecurlD for Microsoft Windows - это программное решение для проверки подлинности пользователей в вычислительных средах Microsoft Windows.

С точки зрения конечного пользователя разница между обычной процедурой регистрации в системе Windows и аутентификацией в системе RSA SecurlD состоит лишь в том, что вместо стандартного пароля требуется ввести составной код доступа, состоящий из личного Pin-кода и комбинации цифр, которая в данный момент отображается на экране жетона-аутентификатора. Затем этот код доступа отсылается серверу RSA Authentication Manager, который и выполняет проверку подлинности пользователя.

RSA SecurlD for Microsoft Windows обеспечивает прозрачную интеграцию с контроллерами доменов Windows и каталогами Active Directory. База данных пользователей и групп сервера аутентификации RSA Authentication Manager синхронизирована с каталогом Active Directory. Поэтому, когда пользователь успешно проходит аутентификацию, сервер RSA Authentication Manager отправляет его пароль клиентской системе. Затем этот пароль отсылается контроллеру домена для завершения аутентификации.

Отличие между этими двумя технологиями заключается в том, что разовый пароль в RSA SecurlD изменяется через заранее заданные промежутки времени, а в продукте eToken NG смена разового пароля производится нажатием кнопки (т.е. по мере надобности).

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >