Принципы классификации систем идентификации и аутентификации по признакам соответствия требованиям информационной безопасности

Сформулированы принципы классификации систем идентификации и аутентификации пользователей по признакам выполнения целей и задач обеспечения информационной безопасности. Показано, что основной целью систем идентификации и аутентификации является управление доступом пользователей. Рассмотрены задачи обеспечения доступности, целостности и конфиденциальности информации ограниченного доступа при проектировании и эксплуатации систем идентификации и аутентификации.

Введение. Интенсивное развитие государственной программы "Информационное общество (2011–2020 гг.)" [1], которая предполагает, в том числе, строительство инфраструктуры открытых ключей (Public Key Infrastructure, PKI), неотделимо от задач по созданию надёжной системы удалённого электронного взаимодействия (УЭВ) пользователей и информационных ресурсов по открытым каналам связи, обеспечивающей юридически значимый электронный документооборот, развитие государственных услуг, электронной коммерции и трансграничных операций с заданным уровнем рисков.

Решить эти задачи невозможно без развития систем идентификации и аутентификации (СИА) участников электронного взаимодействия. Средства аутентификации (подтверждения подлинности предъявленных пользователем идентификаторов) относятся к категории классических механизмов управления доступом пользователей и информационной безопасности (ИБ) как корпоративных, так и глобальных коммуникационных сетей [2]. Они включают в себя создание, изменение, удаление и аудит пользовательских учётных записей. Для аутентификации применительно к задачам доступа общеупотребительным стал термин ААА (аутентификация, авторизация, администрирование); к этой аббревиатуре иногда добавляют четвертое "А" – аудит.

Согласно Постановлению Правительства РФ от 28 ноября 2011 г. N 977 [3], в эксплуатацию вводится единая система идентификации и аутентификации (ЕСИА). При этом особую актуальность приобретает разработка базовых принципов национальной универсальной платформы защищённого доступа к информационным системам (ИС), используемым для предоставления государственных услуг, в том числе при переходе к облачным вычислениям. Создание надёжных систем управления удалённым доступом к конфиденциальной информации, содержащей, в частности, персональные данные граждан (ПДн), для государственных ИС является весьма сложной задачей.

Заметим, что с вопросами идентификации и аутентификации (ИА) сталкиваются не только каждый пользователь ИС, но и вообще все, кто имеют дело с современными гаджетами. Прежде чем получить возможность пользоваться устройством, информационной технологией (Интернетом, электронной почтой и т.д.) или услугой (например, прикладным программным обеспечением), требуется, как минимум, ввести зарегистрированный в системе идентификатор пользователя (логин) и пароль. При всей широчайшей распространенности СИА проблемы их надёжности и безопасности, вопросы организации таких систем, использования в них тех или иных технологий и механизмов ИА недостаточно изучены, а следовательно, далеко не в полной мере формализованы. И прежде чем изучать существующие и проектируемые СИА во всем их многообразии, с учётом разной степени сложности реализации, необходимо предварительно классифицировать данный тип ИС и выработать адекватные подходы к исследованию характеристик надёжности и безопасности в зависимости от назначения и сущности применяемых технологий ИА.

Возможно, из-за сложности темы автор данной статьи обнаружил в открытых источниках лишь две работы [4, 5], посвящённые вопросам классификации СИА. Разработанная более 10 лет назад Р. Смитом классификация СИА [4] касается, главным образом, вопросов ИА пользователей корпоративных ИС при предоставлении им сетевого доступа. В качестве основного механизма аутентификации здесь рассматривается пароль. За прошедшие годы технологии шагнули далеко вперёд, предложенная Р. Смитом классификация представляется неполной и устаревшей, а терминология, не в последнюю очередь из-за не совсем удачного перевода, не стала общепринятой. К сожалению, все указанные недостатки относительно нечётких критериев классификации были повторены в работе [5].

Принципы классификации. В работе по теоретическим проблемам использования системного анализа [6] в качестве общих подходов описания сложных систем предлагается использование принципов:

• цели;
• многоуровнего описания;
• классификации.

Рассмотрим, как можно применить эти принципы для систематизации и классификации процессов ИА.

Принцип цели. Выделим основные цели создания СИА. В [7, 8] определены две основные цели аутентификации:

• аутентификация сторон при УЭВ;
• аутентификация источника данных.

Аутентификация сторон, как правило, является онлайн-сервисом безопасности. Его основные задачи:

1. предоставление доступа к информационному ресурсу или сети;
2. идентификация владельца электронной подписи (ЭП) и обеспечение неотказуемости при применении ЭП;
3. установление доверительных отношений при УЭВ.

Первая задача в полной мере применима к СИА, поскольку системы управления доступом пользователей ИС или отдельных информационных ресурсов включают СИА в качестве одной из подсистем. Идентификация владельца ЭП и обеспечение неотказуемости при подписи электронного документа входят в задачу предоставления доступа к модулям прикладного программного обеспечения, использующим подпись как один из сервисов безопасности. Другими словами, задачи идентификации и обеспечения неотказуемости также сводятся к управлению доступом. Установление доверительных отношений является более сложной задачей, так как участниками взаимодействия могут являться пары "устройство–устройство" (класс задач М2М), "пользователь–устройство" (например, широко применяемая клиент-серверная схема) и "пользователь–пользователь".

Задачи класса М2М могут решаться как службами СИА, так и в рамках сетевых инфраструктурных настроек (например, IPsec). Задачи аутентификации "пользователь–устройство" также могут решаться как СИА, так и вне её (пример: SSL – Secure Socket Layer). Задача установления доверительных отношений "пользователь–пользователь" может входить в функционал СИА, а может решаться с помощью других механизмов, примером в данном случае является почта PGP (Pretty Good Privacy).

Аутентификация источника данных является офлайн-сервисом, основным механизмом которого служит проверка электронной подписи источника данных. Как правило, эта задача не входит в функционал СИА.

Таким образом, основной целью СИА является управление доступом пользователей.

Принцип многоуровневого описания. Процессы аутентификации подробно рассмотрены в [9], где показано, что процесс аутентификации состоит из взаимосвязанной цепочки последовательно выполняемых процедур, разделяющихся на два класса по отношению к времени их выполнения. К первому классу относятся процедуры регистрации нового пользователя ИС и хранения аутентификационной информации (АИ), ко второму классу – процедуры предъявления АИ, протоколы обмена "претендент–проверяющая сторона", валидации и принятия решения о результате прохождения претендентом процесса аутентификации. Принципы многоуровневого моделирования каждой процедуры представлены в [10]. Детализированное рассмотрение процессов и механизмов установления доверительных отношений при УЭВ приводится в [11].

На основе приведённых в указанных работах детализированных описаний можно выполнить классификацию СИА. При этом очень важен выбор признаков и критериев, по которым производится классификация. Покажем, что предлагаемый подход позволяет выбрать признаки и определить критерии для классификации современных СИА.

Классификация СИА по целям и задачам ИБ. В принципе, классифицировать можно что угодно, как угодно и по любым признакам. Вопрос в том, будет ли востребована такая работа по классификации сообществом специалистов. Чтобы избежать судьбы классификации, проведённой в [4, 5], вооружимся системным подходом.

Для определения признаков классификации СИА вспомним, что аутентификация – это один из важнейших сервисов информационной безопасности [12]. Следовательно, предлагаемый сервис безопасности должен обладать такими свойствами защищённости, как доступность, целостность, конфиденциальность.

Основными целями обеспечения доступности при этом будут являться обеспечение гарантий обработки запросов пользователей на аутентификацию, разделение доступа пользователей, управление доступом, а также персонификация доступа, т.е. жесткая привязка идентификационной (ИД) и аутентификационной (АИ) информации пользователя к конкретной личности. Задача обеспечения целостности информации в СИА может быть разбита на цели защиты целостности программного обеспечения системы, учётных записей и АИ пользователей, при этом обеспечение целостности АИ из-за сложности решения может рассматриваться как отдельная цель при переходе к облачным вычислениям.

Согласно требованиям № 152-ФЗ "О персональных данных" в СИА должна обеспечиваться конфиденциальность учётных записей и АИ пользователей. Как показано в [11], АИ пользователей лучше всего защищена, если в качестве механизма аутентификации выступает электронная подпись, при этом безопаснее всего применять персональные пользовательские устройства класса SSCD (Secure Signature Creation Device – устройства аппаратной генерации ключевой информации для подписи внутри чипов, специально спроектированных по требованиям ИБ).

На рисунке представлена классификация СИА по признакам выполнения основных целей и задач ИБ в наглядной форме.

Классификация СИА по целям и задачам информационной безопасности

Рассмотрим подробнее задачи, изображенные на рисунке, при этом остановимся на наиболее существенных задачах СИА. Так, для обеспечения доступа всех зарегистрированных в ИС пользователей необходимо проектировать СИА с учётом её отказоустойчивости по отношению к запросам на аутентификацию. Конечно, производительность СИА, как правило, избыточна, ведь пиковые нагрузки по аутентификации пользователей обычно приходятся на получасовые периоды времени начала и окончания рабочего дня, а в остальное время вычислительные мощности серверов аутентификации могут быть задействованы для других задач. Тем не менее в техническом задании на проектирование СИА следует задавать максимальное время обработки запросов на аутентификацию в зависимости от интенсивности входящего потока заявок λ. Основным условием гарантированной обработки заявок в заданное время, как следует из [10], является соотношение λ/µ<1, где µ – интенсивность обработки СИА заявок.

Как показано в [8], процессу аутентификации всегда предшествует процесс идентификации. Поэтому при классификации СИА сначала учтём основные способы идентификации (СИ). Можно выделить три независимых группы свойств идентификаторов:

1. свойства идентификаторов как характеристик принадлежности (собственности): универсальный (У), формируемый и выдаваемый на федеральном уровне; корпоративный (К); личный (Л);
2. свойство идентификаторов распознавать личность владельца: анонимный (Х) или персональный (П);
3. характеристика доступа владельца к ресурсам: одноразовый (О) или многоразовый (М).

Анализ показывает, что в физическом и виртуальном мире из 12 возможных реализуется всего семь комбинаций. Классификация СИ с поясняющими примерами из реальной жизни и в виртуальном пространстве приводится в таблице.

Классификация систем идентификации по трём свойствам, характеризующим идентификаторы пользователя

Приведём несколько примеров СИ, использующих комбинации вышеперечисленных свойств идентификаторов. Так, УХМ означает способ идентификации с помощью универсального анонимного идентификатора многоразового действия. В физическом мире это может быть купюра установленного образца: денежный знак анонимен, принимается везде (универсален). Опустив монетку в монетоприемник, можно пройти в трамвай, метро (в некоторых городах), на аттракцион, в туалет и т.п. В виртуальном мире такому СИ соответствуют платные услуги, не требующие идентификации пользователя, например доступ к Сети из интернет-кафе.

УПМ – аналогом такого пропуска в бумажном мире является удостоверение личности, оформленное федеральной организацией. Это может быть гражданский паспорт, лицензия на право управления транспортным средством ("права"), военный билет и т.п. В виртуальном мире документу, принимаемому везде, также будет соответствовать идентификатор, содержащийся в базах данных (реестрах) федерального уровня. Примеры: ИНН, СНИЛС, электронный паспорт, полис ОМС и т.п.

Примером КПМ (корпоративного персонального многоразового идентификатора) в физическом мире служит бумажный пропуск на территорию учреждения или организации, в электронном мире ему соответствует смарт-карта, выполненная в виде пропуска в корпоративном исполнении.

В отличие от систем идентификации СИА являются на порядок более сложными интеллектуальными системами. Напомним, что аутентификация (А) – процесс, состоящий из связанных подпроцессов подтверждения подлинности предъявленных идентификаторов с помощью аутентификатора и подтверждения принадлежности этого аутентификатора конкретному владельцу.

В развитие классификации [5] и используя результаты работы [11], выделим следующие типы СИА:

Локальная. Этот тип полностью совпадает с представленным в [5]. Службы аутентификации расположены на каждом устройстве, там же производится процесс А с помощью одного валидатора (механизма А, которому доверяет владелец ресурса) и принимается решение о доступе. Примерами локальной А является персональный компьютер, ноутбук, сотовый телефон.

Прямая. Также совпадает с [5]. Владелец ресурса в процессе А доверяет одному валидатору, расположенному внутри защищённого периметра локальной вычислительной сети (ЛВС). Прямой А называется потому, что все пользователи, желающие получить доступ к ресурсу, напрямую проходят процесс А, предъявляя аутентификатор валидатору. Примером СИА прямого типа являются небольшие организации численностью до 20 рабочих мест.

Доменная. Отличается от прямой тем, что одному валидатору, расположенному внутри защищённого периметра ЛВС, доверяют владельцы многих ресурсов, расположенных в ЛВС. В количественном отношении СИА доменного типа преобладают в сегментах малого и среднего бизнеса.

Иерархическая. Отличается от доменной наличием подчинённых доменов. В иерархической схеме СИА доступ пользователям может предоставлять подчинённый домен, однако в центре имеется база данных учётных записей пользователей, имеющих право управления доступом. Типичным примером таких СИА является организация с широкой филиальной сетью.

Распределенная сетевая. Отличается от доменной наличием множества доменов, связанных между собой трастовыми (доверенными) отношениями. В каждом домене независимо производится процесс А и принимается решение о доступе. Такие СИА характерны для крупных корпораций и холдингов.

Мостовая. Отличается от распределённой сетевой наличием ДТС (Доверенной третьей стороны). СИА мостового типа характерны для ведомственного взаимодействия с развитым электронным документооборотом.

Браузерная. Отличается от мостовой механизмом А, основанным на организации защищённого канала связи клиент-сервер на сессионном уровне. ДТС может находиться на этом же сервере. Одним из ярких примеров СИА браузерного типа является портал государственных услуг.

Браузерная с трансляцией доверия. Этот тип СИА пока мало известен в Российской Федерации по причине неразвитости публичных облачных сервисов. Предназначен для обеспечения доступа к облачным сервисам и ИС, в которых нет учётной записи данного пользователя. Отличается от браузерной наличием задачи транслирования доверия к аутентификации, которую пользователь успешно прошёл в первичной ИС, в другие ИС, куда данному пользователю необходимо предоставить доступ. Эта задача, как правило, решается с применением федеративной системы трансляции доверия, представленной во многих публикациях, в частности в [13].

Заметим, что классифицировать СИА можно также по следующим признакам:

• по механизму аутентификации (валидатору): пароль, ОТР (One-Time-Password), закрытый ключ; пример такой классификации рассмотрен в [8];
• по видам доступа (дискреционный, мандатный, ролевой); такая классификация наиболее актуальна для корпоративных систем, пример приводится в [5].

Заключение. Предложены принципы классификации систем идентификации и аутентификации. На основе анализа отказоустойчивости и задач идентификации и аутентификации показано, что можно подробно рассмотреть каждую задачу СИА, связанную с обеспечением ИБ. Предложенная классификация носит концептуальный характер.

Автор надеется, что данная статья будет обсуждаться в среде специалистов и вызовет отклики, что позволит уточнить предложенный подход к классификации СИА.

В развитие работы предполагается проведение исследования уровней достоверности и надёжности СИА, классифицированных по рассмотренным признакам.

Литература

1. Распоряжение Правительства РФ от 25 декабря 2013 г. № 2516-р "Концепция развития механизмов предоставления государственных и муниципальных услуг в электронном виде".
2. Грушо А.А., Применко Э.А., Тимонина Е.Е. Теоретические основы компьютерной безопасности. – М.: Академия, 2009.
3. Постановление Правительства РФ от 28 ноября 2011 г. № 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
4. Р. Смит. Аутентификация: от паролей до открытых ключей. – М.: Вильямс, 2002.
5. Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем /Уч. для вузов. Т. 2. – М.: Горячая линия–Телеком, 2006.
6. Цыгичко В.Н. Прогнозирование социально-экономических процессов. Изд. 3. – М.: УРСС. 2009.
7. ГОСТ Р ИСО/МЭК 9594-8-98. Информационная технология. Взаимосвязь открытых систем /Справочник. Ч. 8. Основы аутентификации.
8. Сабанов А.Г. Классификация процессов аутентификации //Вопросы защиты информации. – 2013. – № 3.
9. Сабанов А.Г. Основные процессы аутентификации //Вопросы защиты информации. – 2012. – № 3.
10. Сабанов А.Г. Модели для исследования безопасности и надёжности процессов аутентификации // Электросвязь. – 2013. – № 10.
11. Сабанов А.Г. Аутентификация как часть единого пространства доверия // Электросвязь. – 2012. – № 8.
12. Сабанов А.Г. Методы исследования надёжности удалённой аутентификации // Электросвязь. – 2012. – № 10.
13. State Identity Credential and Access Management (SICAM). Guidance and Roadmap. Sept. 2012. URL: http://www.nascio.org/publications/documents/SICAM.pdf.