Методы идентификации объектов информационной инфраструктуры в компьютерных технологиях

Для легализации объектов информационной инфраструктуры в сетевых компьютерных технологиях широко используются методы и средства их идентификации и аутентификации. Так в работах профессора В.Ф. Шаньгина понятие идентификация (Identification) определяется как процедура распознавания объектов информационной инфраструктуры по его идентификатору, присвоенному данному объекту и занесенному в базу данных в момент его регистрации с целью легализации.

Таким образом, санкционированный пользователь при входе в корпоемыго система проверяет в своей базе его наличие. Следующим шагом оценки доверительности объекта информационного взаимодействия является процедура аутентификации (Authentication). Аутентификации (Authentication) – процедура проверки подлинности входящего в систему объекта (пользователя, процесса или устройства), предъявившего свой идентификатор. В результате процесса аутентификации признается достоверность пользователя, процесса или устройства или же признается факт их фальсификации.

Идентификация и аутентификации составляют сущность процессов распознавания и подтверждения подлинности объектов и субъектов информационной инфраструктуры в компьютерных технологиях. В результате процессуальных операций делается вывод о допуске или запрете к ресурсам системы пользователю, процессу или устройству информационного взаимодействия.

Следующими технологическими процессами системы доверительных взаимодействий в компьютерных технологиях являются следующие операции:

- Авторизация (Authorization) – процедура предоставления пользователю, процессу или устройству определенных прав доступа к ресурсам системы. Процедура авторизации выполняется только после успешного завершения операций идентификации и аутентификации.

- Администрирование (Accounting) – процессуправления доступом пользователей, процессов или устройств к ресурсам информационной инфраструктуры в компьютерных технологиях.

Задачи и информационно-технологические операции идентификации, аутентификации, авторизации и администрирования являются неотъемлемой ельнымвиатура такого информационно-технологического взаимодействия определяется как «ААА» (аутентификация, авторизация, администрирование).

Уровень аутентификации пользователей, процессов или устройств определяется требованиями комплексной системы безопасности конкретной корпоративной организации. Наиболее строгие и полномасштабные требования предъявляются к финансовым транзакциям. Надежная аутентификация является ключевым фактором безопасности информационных технологий.

При организации защиты каналов теледоступа к инфрмационно-вычислительным ресурсам в корпоративных системах в обязательном порядке должна выполняться операция взаимной аутентификации субъектов, т.е. взаимное подтверждение подлинности субъектов в информационно-телекоммуникационных системах (ИТКС). Как правило, взаимная аутентификация выполняется вначале сеанса связи. Однако, при необходимости, процедура аутентификации может выполняться в течении всего информационно-технологического процесса взаимодействия пользователей, процессов или устройств единой информационно-телекоммуникационной системы (ЕИТКС) корпорации.

Для подтверждения своей подлинности субъект корпоративной ЕИТКС должен предъявлять строго детерминированные параметры. В зависимости от предъявляемых субъектом ЕИТКС сущностей процессы аутентификации подразделяются на следующие категории (Л.1):

1. На основе строго детерминированных знаний. Например: пароль субъекта взаимодействия, персональный идентификационный PIN-код, секретные и открытые ключи, знание которых определяется в протоколах «запрос-ответ».

2. На основе обладания аутентифицирующих устройств. Например: магнитная карта, смарт-карты, сертификаты, USB-ключи или USB-токены (token – маркер, опознавательный признак).

3. На основе характеристик субъекта информационного взаимодействия – методы проверки биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, ладоней, росчерк пера (акселометрия) и т.д.).

Пароль – общий параметр, известный только участникам информационного взаимодействия. Для аутентификации участников удаленного информационного взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный номер – PIN (Personal Identification Number) – средство аутентификации держателя пластиковой карты или смарт-карты. Значение PIN-кода должно держаться в строгом секрете и быть известно только их держателю.

Динамический (одноразовый) пароль – пароль, который после однократного применения никогда больше не используется. Механизм динамического изменения базируется на постоянном для заданного временного интервала пароле.

Система запрос-ответ. Наиболее эффективный метод в современных информационных технологиях удаленного взаимодействия в телекоммуникационных системах. В этом случае одна из сторон инициирует аутентификацию и передает другой стороне уникальное значение «запроса», другая сторона пересылает инициатору «ответ», вычисленный с помощью данных «запроса» и своего секрета. Так как обе стороны владеют одним секретом, то первая сторона может однозначно установить достоверность ответа второй стороны.

Сертификаты и цифровая подпись. На современном этапе информационного взаимодействия это наиболее надежный способ установления доверительности в корпоративных и межкорпоративных ИТКС. В этом случае для аутентификации используются сертификаты с использованием цифровых подписей, законодательно установленных на государственном уровне. Так в Российской Федерации такая законодательная основа определена Федеральным Законом №65 от 06 апреля 2011 года. В РФ ведется государственный реестр корпоративных Удостоверяющих Центров (reestr-PKI.ru), которые имеют право выдавать и регистрировать такие сертификаты.

Т его Процессы аутентификации классифицируются также и по уровням требуемой информационной безопасности. В этом случае различают:

- простую аутентификацию, использующую пароли;

- строгую аутентификацию, построенную на использовании многофакторных проверок и криптографических методов;

- биометрическую аутентификацию пользователей.

В свою очередь, атаки на протоколы аутентификации в сетевых компьютерных технологиях могут быть классифицированы по следующим функциональным группам:

1. Маскарад (Impersanation) – когда пользователь «А» представляется пользователем «В» с целью получения его полномочий и информационных возможностей от его имени.

2. Подмена сторон аутентификационного обмена (Interleaving attack) – несанкционированный пользователь (НСП) участвует в процессе аутентификационного обмена между двумя санкционированными пользователями с целью модификации проходящего через него трафика.

3. Повторная передача (Replay attack) – передача аутентификационных данных несанкционированным пользователем ранее переданных санкционированным пользователем.

4. Принудительная задержка (Forced delay) – несанкционированный пользователь (НСП) перехватывает информацию в канале санкционированного обмена и передает ее адресату с временной задержкой.

5. Атака с выборкой текста (Chosen-text attack) – НСП перехватывает аутентификационный трафик с целью получения данных о долговременных криптографических ключах.

Парирование и нейтрализация указанных атак несанкционированных пользователей может осуществляться включением в протоколы аутентифиэлементомкации пользователей, процессов, устройств, электронных документов специальных методов:

1. Использование механизмов «запрос-ответ», меток времени, случайных чисел, идентификаторов, цифровых подписей.

2. Привязка результатов аутентификации к последующим действиям пользователей в рамках корпоративной информационной системы.

3. Периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи.

Механизм «запроса-ответа» состоит в следующем. Если пользователь А признает доверительность сообщения от пользователя В, он включает в посылаемое для пользователя В сообщение случайный элемент – запрос Х (например некоторое случайное число). При ответепользователь В должен выполнить над этим элементом некоторую операцию, известную пользователю А. В процедуре аутентификации заранее неизвестно какое случайное число Х придет в запросе от абонента А к абоненту В. Получив ответ, абонент А признает абонента В подлинным, если результат удовлетворяет принятому критерию.

При формировании или выборе протокола аутентификации необходимо учитывать следующие требования:

1. Наличие взаимной аутентификации. Это требование отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена.

2. Вычислительная эффективность. Количество операций, необходимых для выполнения протокола аутентификации должно быть минимальным.

3. Коммуникационная эффективность. Данное свойство отражает количество сообщений и их размер, необходимый для осуществления аутентификации.

4. Наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей (ЦРК – центр распределения ключей) или сервер реализующий распределение, регистрацию, хранение и актуализацию открытых ключей и сертификатов (Корпоративный или межкорпоративный Удостоверяющий Центр – УЦ).

5. Гарантия безопасности. Примером служит шифрование и цифровая подпись.