Доклад по ИБ. Доклад. Идентификация, аутентификация и авторизация
Скачать 22.95 Kb.
|
Идентификация, аутентификация и авторизация Идентификация- это процедура в результате которой устанавливается личность человека который совершает тот или иной запрос. Бывает множесво способов произвести Идентификацию, обычно используются какие-либо данные для установления пользователя. К примеру, есть биометрическая Идентификация. Биометрической идентификацией называется такое использование биометрического признака, при котором не требуется дополнительной информации. Поиск объекта осуществляется по всей базе данных и не требует предварительного ключа. Понятно, что основным минусом этого является то, что чем больше человек в базе, тем больше вероятность ложного доступа произвольного человека. В прошлой статье проводились оценки вероятности такого доступа при проектировании систем. Например системы по пальцам дают возможность содержать базу не более 300 человек, по глазам не более 3000. Плюс идентификации — все ключи всегда будут с вами, не нужно ни паролей, ни карточек. Скрытная идентификация В отличие от верификации идентификация может быть скрытной для человека. Как она возможна и стоит ли её бояться? Попробую вкратце рассказать те мысли, которые бытуют среди людей занимающихся биометрией. В прошлой статье эта мысль осталась незаконченной. Рассмотрим технологии, которые могут позволить хотя бы в некоторых случаях скрытно от человека определить его личность. Во-первых, сразу стоит отбросить все контактные методы. Размещать сканеры отпечатков пальцев в ручках дверей не лучшая затея. Их заметно, многие не касаются ручек, контактные сканеры пачкаются, и.т.д. Во-вторых, можно сразу отбрасывать методы, где максимальная дальность ограниченна 10-15 сантиметрами (например вены рук). В-третьих, можно отбросить всю динамическую биометрию, так как там слишком низкие показатели FAR и FRR. Остаётся всего две технологии. Это технологии, где в качестве сканеров данных выступают камеры: распознавание по лицам (2D, 3D) и распознавание по радужной оболочке. Первую из них, распознавание по 2D лицам, уже неоднократно пытались внедрить(из-за её простоты), но всё время безуспешно. Это обусловлено низкими статистическими параметрами системы. Если в базе разыскиваемых личностей находится всего 100 человек, то каждый 10 прохожий будет объявляться разыскиваем. Даже у милиционера в метро КПД значительно выше. Две следующих технологии очень похожи. Для обеих возможно использование на отдалении от человека, но обе должны иметь достаточное количество оборудования. Как 3D сканер лица, так и сканер радужной оболочки можно ставить в местах, где есть узкие проходы. Это эскалаторы, двери, лестницы. Примером такой системы может служить система, созданная SRI International (сейчас у них мёртвый сайт, но есть практически аналог от AOptix). Я не на 100% уверен, что система от SRI International рабочая, слишком много ошибок в видео, но принципиальная возможность создания существует. Вторая система работает, хотя там и слишком мала скорость для скрытной системы. Сканеры 3D лица работают примерно по тому же принципу: детектирование в узком проходе. В случае 3D лица и распознавании по глазам надёжность работы достаточно высокая. Если база 100 преступников, то проверять придётся лишь каждого 10000 из мирных граждан, что уже достаточно эффективно. Ключевой особенностью любой скрытой биометрии является то, что человек не должен о ней знать. Вставить в глаза линзы, или изменить форму лица несколькими накладками можно незаметно для окружающих, но заметно для биометрической системы. Почему-то у меня есть подозрение, что в скором будущем спрос на линзы, изменяющие радужку значительно возрастёт. Возрос же в Британии спрос на банданы. А события там только первые ласточки биометрии. Одним из способов получение идентификация является аутентификация аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности". Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему. В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта: что служит аутентификатором (то есть используется для подтверждения подлинности субъекта); как организован (и защищен) обмен данными идентификации/аутентификации. Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей: нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.); нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения); нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики). В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации. HTTP authentication этот протокол, описанный в стандартах HTTP 1.0/1.1, существует очень давно и до сих пор активно применяется в корпоративной среде. Применительно к веб-сайтам работает следующим образом: Сервер, при обращении неавторизованного клиента к защищенному ресурсу, отсылает HTTP статус “401 Unauthorized” и добавляет заголовок “WWW-Authenticate” с указанием схемы и параметров аутентификации. Браузер, при получении такого ответа, автоматически показывает диалог ввода username и password. Пользователь вводит детали своей учетной записи. Во всех последующих запросах к этому веб-сайту браузер автоматически добавляет HTTP заголовок “Authorization”, в котором передаются данные пользователя для аутентификации сервером. Сервер аутентифицирует пользователя по данным из этого заголовка. Решение о предоставлении доступа (авторизация) производится отдельно на основании роли пользователя, ACL или других данных учетной записи. Весь процесс стандартизирован и хорошо поддерживается всеми браузерами и веб-серверами. Существует несколько схем аутентификации, отличающихся по уровню безопасности: Сертификаты Разовые пароли Ключи доступа По токенам СтандартыВы можете вспомнить, что я упомянул, что аутентификация основывается на четко определенных стандартах. Но откуда эти стандарты берутся? Есть много разных стандартов и организаций, которые управляют работой Интернета. Два органа, которые представляют для нас особый интерес в контексте аутентификации и авторизации, — это Инженерная рабочая группа по Интернету (Internet Engineering Task Force — IETF) и Фонд OpenID (OpenID Foundation — OIDF). IETF (Internet Engineering Task Force)IETF — это большое открытое международное сообщество сетевых инженеров, операторов, поставщиков и исследователей, которые занимаются развитием интернет-архитектуры и бесперебойной работой интернета. OIDF (OpenID Foundation)OIDF — это некоммерческая международная организация людей и компаний, которые стремятся обеспечить, продвигать и защищать технологии OpenID. Теперь, когда нам известны спецификации и кто их пишет, давайте вернемся к авторизации и поговорим о: OAuth 2.0OAuth 2.0 является одной из наиболее часто упоминаемых спецификаций, когда речь идет о сети, а также часто неправильно представленной или неправильно понятой. OAuth не является спецификацией аутентификации. OAuth имеет дело с делегированной авторизацией. Помните, что аутентификация — это проверка личности пользователя. Авторизация касается предоставления или отказа в доступе к ресурсам. OAuth 2.0 предоставляет доступ к приложениям от имени пользователей. Авторизация Допустим, пользователь хочет получить доступ к определенному документу в корпоративном облаке. Сначала он вводит логин от своего аккаунта, и система проверяет, есть ли такой логин в ее базе данных. Это идентификация. Если логин существует, система запросит у пользователя пароль, вычислит для него хеш и проверит, совпадает ли он с хешем в базе данных. Это аутентификация. Если логин и пароль верные, система проверит, имеет ли этот пользователь право читать и изменять запрашиваемый документ, и в случае успеха предоставит ему доступ к файлу. Это авторизация. это процесс подтверждения прав на совершение определенных операций – управления счетом, снятия средств, изменения данных. Он необходим для обеспечения безопасности при совершении действий, для разграничения прав пользователей, для защиты от злоумышленников. Используется на сайтах, в банкоматах, пропускниках, Интернет-магазинах. Обычно пользователь должен ввести свой логин (имя) в системе и пароль (кодовое слово, набор символов). Если коды введены правильно, разрешается вход в систему и выполнение разрешенных манипуляций. Если допущена ошибка, вход в систему не производится. Для удобства пользователей, для использования имеющейся в наличии аппаратуры и для обеспечения выполнения требований безопасности, созданы различные виды режимов авторизации. Часто используется комбинация нескольких таких режимов. Различают такие их типы: по способу доступа: онлайн и офлайн; по методу разграничения прав: дискреционное, мандатное, на основе ролей, контекста или решетки; по типу кода: логин-пароль, биометрическая, электронный ключ, IP-адрес, динамический пароль, уникальный предмет (пропуск. карта); по количеству проверок: одно- и многоступенчатая. Существует несколько моделей авторизации. Три основные — ролевая, избирательная и мандатная. Ролевая модель. Администратор назначает пользователю одну или несколько ролей, а уже им выдает разрешения и привилегии. Эта модель применяется во многих прикладных программах и операционных системах. Например, все пользователи с ролью «Кассир» имеют доступ к кассовым операциям в бухгалтерской системе, а пользователи с ролью «Товаровед» — нет, зато у них есть доступ к складским операциям, при этом обе роли имеют доступ к общей ленте новостей. Избирательная модель. Права доступа к конкретному объекту выдают конкретному пользователю. При этом право определять уровень доступа имеет либо владелец конкретного объекта (например, его создатель), либо суперпользователь (по сути, владелец всех объектов в системе). Кроме того, пользователь, обладающий определенным уровнем доступа, может передавать назначенные ему права другим. Например, пользователь А, создав текстовый файл, может назначить пользователю Б права на чтение этого файла, а пользователю В — права на его чтение и изменение. При этом пользователи Б и В могут передать свои права пользователю Г. Избирательная модель применяется в некоторых операционных системах, например в семействах Windows NT (в том числе в Windows 10) и Unix. По этой же модели предоставляется доступ, скажем, к документам на диске Google. Мандатная модель. Администратор назначает каждому элементу системы определенный уровень конфиденциальности. Пользователи получают уровень доступа, определяющий, с какими объектами они могут работать. Обычно такая модель является иерархической, то есть высокий уровень доступа включает в себя права на работу и со всеми младшими уровнями. Мандатная модель авторизации применяется в системах, ориентированных на безопасность, и чаще всего она используется для организации доступа к гостайне и в силовых ведомствах. Например, в организации может быть пять уровней доступа. Пользователь, имеющий доступ к файлам 3-го уровня, может также открывать файлы 1-го и 2-го уровня, но не может работать с файлами 4-го и 5-го уровня. |