BC/NW 2011; №2 (19):3.2

 

АНАЛИЗ МЕТОДОВ АУТЕНТИФИКАЦИИ ДЛЯ РАЗГРАНИЧЕНИЯ ДОСТУПА К ВЫЧИСЛИТЕЛЬНЫМ РЕСУРСАМ

Лапин А.И., Филатов А.В.

(Национальный исследовательский университет «МЭИ», Россия)

 

С развитием глобальной сети появляются все большие возможности по доступу к самым различным сведениям, хранящимся на удаленных компьютерах по всему земному шару. Это крайне удобно, так как человек может получить самый широкий спектр интересующих его сведений, не вставая с кресла.

Но как быть, если некоторая информация должна быть доступна только проверенному кругу лиц? Как показывают последние исследования, одна из наиболее серьезных для компаний проблем в области информационной безопасности - несанкционированный доступ к компьютерным системам. По данным исследования CSI/FBI Computer Crime and Security Survey, в 2005 прошлом году 55% компаний зарегистрировали инциденты, связанные с несанкционированным доступом к данным. [1]

Сегодня говорить об информационной безопасности без привязки к персонализированному доступу и отслеживанию всех действий пользователей в сети просто не имеет смысла.

Это нетрудно организовать в рамках одного здания (например, использовать изолированный компьютер и приставить к нему охранника), но ведь совершенно невозможно хранить всю информацию, которая только может понадобиться, к тому же это крайне неудобно. Как же организовать доступ к необходимым ресурсам, но при этом не потерять ни мобильности, ни защищенности важной информации? Именно эту проблему решают системы аутентификации пользователей. На данный момент существует много различных систем, которые решают эту задачу в самых разных условиях.

 

Весь процесс можно условно разбить на три основных этапа (это: идентификация, аутентификация и авторизация) и один подготовительный – регистрация.

1) идентификация:

На этапе идентификации пользователь предоставляет свой собственный идентификатор, в качестве которого, как правило, используется регистрационное имя учетной записи пользователя в системе.

2) аутентификация:

После представления идентификатора, проводится проверка истинной принадлежности этого идентификатора пользователю, представившему его и претендующему на получение доступа к информации. Такая проверка называется аутентификацией. Для этого выполняется процедура, в процессе которой пользователь должен предоставить некоторый аутентификационный параметр, при помощи которого подтверждается истинность принадлежности идентификатора представившему его пользователю. В качестве параметров аутентификации могут использоваться сетевые адреса, пароли, симметричные секретные ключи, цифровые сертификаты, биометрические данные (отпечатки пальцев, голосовая информация) и т. п. Достаточно часто методы аутентификации комбинируют, например, используя одновременно пароль пользователя и отпечаток его пальца. Такая аутентификация называется двухфакторной или многофакторной, в случае большего числа методов, примененных одновременно. Необходимо отметить, что процедура идентификации и аутентификации пользователей в большинстве случаев проводится одновременно, т. е. пользователь сразу предъявляет идентификационные и аутентификационные параметры доступа (например, в схеме логин-пароль), причем каждый аутентификационный параметр так же, по сути, является идентификатором, но уже закрытого типа.

3) авторизация:

В случае успешного завершения процедур идентификации и аутентификации проводится авторизация пользователя. В процессе авторизации определяется множество информационных ресурсов, с которыми может работать пользователь, а также множество операций, которые могут быть выполнены с этими информационными ресурсами.

4) регистрация:

Она производится один раз (в идеале) в самом начале. В ходе регистрации  пользователям присваиваются идентификационные и аутентификационные параметры, а также определяются их права доступа.

Последовательность этапов показана на рис. 1.

Рассмотрим существующие методы аутентификации.

Login – Самый простой и незащищенный метод, для доступа в систему достаточно знать только имя пользователя (а иногда и это необязательно, если его можно выбрать при авторизации). Он не предоставляет никакой защиты. Соответственно применяется он там, где защита доступа не требуется, а аутентификации проводится лишь для удобства пользователя при доступе к различным данным. Примером может послужить доступ к домашнему ПК, где учетные записи обычно не защищаются паролем.

 

Рис. 1. Последовательность этапов при получении доступа в систему

 

Пара login-passwordНаиболее распространенный метод реализации разграничения доступа. Обычно используется с хешированием для защиты при пересылке по сети (при сетевой аутентификации). Пользователю необходимо предоставить логин (открытая информация) и пароль (известный только ему идентификатор).

Пользователю необходимо помнить логин и пароль (а нередки ситуации, когда нерадивые пользователи их забывают или записывают, давая возможность злоумышленнику их получить, даже не используя цифровые средства).

Пара login-ID – Метод, в целом, идентичен предыдущему, за исключением лишь того, что вместо пароля используется некоторый заранее сгенерированный идентификатор или сертификат. Он может быть записан в системе пользователя (например, в реестре Windows) или в приложении, которое осуществляет доступ.

Используется он, например, при Интернет-активации программного обеспечения (в частности, применяется компанией Ubisoft и другими крупными производителями ПО).

CD-KeyМетод аналогичен паре логина и пароля, но используется только один идентификатор, записанный на внешнем носителе информации (как правило, на бумаге или CD-диске), использовался для активации программного обеспечения, записанного на CD-дисках или магнитных дискетах.

Сочетает в себе недостатки двух предыдущих методов, но т.к. использовался обычно единожды при установке ПО, они играли меньшую роль. Сейчас метод применяется только вместе с другими из-за своей слабой общей защищенности.

One-Time PasswordНаходясь в недоверенной среде (вне офиса), пользователь сталкивается с необходимостью вводить пароль с чужого компьютера (например, из Интернет-кафе). Пароли кэшируются, как и любая другая вводимая в компьютер информация, и при желании ими может воспользоваться кто-то еще в своих небескорыстных целях.

Одноразовый пароль - это ключевое слово, действительное только для одного процесса аутентификации в течение ограниченного промежутка времени. Такой пароль полностью решает проблему возможного перехвата информации или банального подглядывания. Даже если злоумышленник сможет заполучить пароль «жертвы», шансы воспользоваться им для получения доступа равны нулю.

В России метод используется и сейчас (например, Сбербанком при подтверждении разовых платежей через интернет-портал банка).

Предметная аутентификация – Наиболее эффективный метод, имеющий великое множество разновидностей, рассмотрим некоторые из них:

Смарт-карты – Это знакомые всем нам пластиковые карты, используемые повсеместно: в магазинах, банкоматах, ресторанах, общественном транспорте и КПП при входе на работу. Принцип заключается в том, что пользователь носит с собой пластиковую карту, на которой записан уникальный идентификатор и некоторая другая информация, в том числе тематическая. При аутентификации, пользователь вставляет карту в специальное считывающее устройстве (и, как правило, вводит PIN-код, играющий роль пароля).

USB-tokenДанный метод почти во всем аналогичен предыдущему, с той разницей, что вместо пластиковой карты используется небольшое устройство с интерфейсом USB. Соответственно он отличается несколько большей мобильностью, т.к. с ним использовать можно любой компьютер с интерфейсом USB и соответствующим ПО и чуть меньшей общей защищенностью ровно по той же самой причине.

Используется метод, в основном, для систем аудита и активации/доступа к программному обеспечению для систем банк-клиент или бухгалтерии.

Optical DRMOptical Digital Rights Managent или оптические технические средства защиты авторских прав (ОТСЗАП) – излюбленный метод защиты издательств, занимающихся лицензированием, производством и распространением программного обеспечения, музыки и фильмов на оптических дисках (CD, DVD, Blueray), метод концептуально во всем повторяет предыдущий, с той лишь разницей, что требует наличия не USB-интерфейса, а соответствующего устройства для чтения дисков.

Метод основан на измерении позиционирования данных на оптическом диске при помощи специального драйвера и сопутствующего программного обеспечения, предоставляет неплохую защиту от копирования информации, но не слишком сильную защиту доступа, т.к. идентичных копий производится большое количество.

iButtonЭлектронные таблетки, или iButton – это такой же электронный ключ, как и смарт-карта или USB-токен. От последних отличается относительной простотой чтения/записи при наличии необходимого оборудования. Использоваться метод не только для аутентификации, но и для переноса небольшого количества информации, записываемой автоматически. Это может быть полезно, например, для работников складов или уборщиц, которым по долгу службы необходимо обходить несколько помещений. Полезен метод и для систем учета рабочего времени. Так же используется для дверных замков и домофонов.

Как видно из анализа выше, все методы предметной аутентификации отличают высокая стоимость и трудозатратность, сравнительно высокая степень общей защищенности (кроме ОТСЗАП из-за большого числа копий дисков, вследствие чего сильно страдает эффект от уникальности идентификаторов) [2].

Биометрическая аутентификация – Метод основан на уникальности тела каждого человека. В качестве идентификатора могут использоваться самые разные его параметры, такие как сложные и уникальные свойства тела, как то рисунок на коже пальцев рук (так называемый «отпечаток пальца»), строение сетчатки глаза, голос, ДНК, так и простые вроде роста, массы тела, цвета волос и глаз, которые могут дать приемлемую индивидуальность идентификатора только в совокупности. Метод крайне эффективен, потому как сама природа позаботилась об уникальности такого рода идентификаторов, а обойти такой алгоритм, не получая полного доступа к системе и не прибегая к насилию по отношению к пользователю, практически невозможно.

Метод используется в госструктурах из-за своей эффективности и защищенности, кроме того он очень дорог в реализации для самых эффективных данных, пригодных для создания идентификатора (например ДНК или строения сетчатки глаза).

Аутентификация с использованием параметров системы – Этот метод отличается от предметной аутентификации тем, что использует не внешние устройства или ключи, а параметры самой системы, будь то лицензионный ключ установленной ОС, количество ядер процессора или фирма-производитель DVD-привода.

Как и в большинстве случаев, для этого метода защищенность пересылки идентификаторов зависит от используемого шифрования. Уникальность идентификатора высока, так как некоторым компонентам компьютера на заводе присваивают персональный номер или хотя бы номер серии. Человеческий фактор при этом исключается практически полностью (ноутбук сложнее потерять, чем пластиковую карту, а пароль помнить не нужно).

Нетрудно заметить, что по совокупности факторов именно этот метод наиболее выгоден, потому как по общей защищенности он мало уступает самым дорогим в реализации методам, но при этом остается дешев в разработке и сопровождении, а также не накладывает слишком больших ограничений на пользователя. Еще более выгодно использовать его вместе с, например, парой login-password, это дает дополнительную защиту и при этом не накладывает никаких ограничений.

 

Было проведено подробное исследование этого метода, выбраны оптимальные идентификационные данные для получения составного идентификатора, найдены способы реализации, разработано и протестировано приложение, демонстрирующее работу метода. По результатам исследований и тестирований, этот метод оказался лучшим среди тех, что не требуют специальной аутентификационной аппаратуры, а по некоторым параметрам он не уступает и гораздо более дорогим решениям.

 

ЛИТЕРАТУРА

1.     Концепция одноразовых паролей в системе аутентификации / Марат Давлетханов // Журнал BYTE Россия, №7-8 (95), июль-август 2006.

2.     Электронные таблетки iButton — транспорт информации / Е. Левин // Журнал "Chip News" №9 2002.

3.     Хорев П.Б. Программно-аппаратная защита информации. М.: ФОРУМ, 2009.