Мельников Д. А. - Информационная безопасность открытых систем - 2013

цирована (подтверждена). Объект может иметь один или более отличительных идентификаторов, непосредственно связанных с этим объектом. Для проверки действительной подлинности объектов субъект может воспользоваться услугами службы аутентификации. Проверенная подлинность объекта именуется аутентифицированной (подтвержденной) подлинностью.

Примеры взаимодействующих сторон информационного соединения, которые могут быть идентифицированы и в после­ дующем аутентифицированы, следующие:

•пользователи (граждане, физические лица, персоны);

•процессы;

•реальные открытые системы;

•логические объекты каждого из уровней ЭМВОС или Интернет-архитектуры;

•организации (юридические лица).

УИД должны быть однозначными в границах конкретного ССБ. УИД позволяют отличить взаимодействующую сторону информационного соединения от других возможных сторон в границах одного и того же ССБ одним из следующих способов:

•в случае низкого уровня кластеризации, благодаря при­ надлежности к группе объектов, учитывая их равно­ значность при решении задачи аутентификации; в этом случае вся группа объектов рассматривается как одна взаимодействующая сторона информационного соедине­ ния, имеющая один УИД;

•в случае высокого уровня кластеризации идентифициру­ ется один и только один объект.

Когда между различными ССБ осуществляется процедура аутентификации, тогда УИД может быть неприемлемым для однозначной идентификации объекта, так как различные ад­ министрации, управляющие этими ССБ, могут использовать те же самые УИД. В этом случае УИД должен использоваться со­ вместно с идентификаторами ССБ с целью присвоения каждо­ му сетевому объекту своего уникального идентификатора.

94

Типичными примерами УИД являются:

•имена в рамках распределенных прикладных служб;

•сетевые адреса;

•названия прикладных процессов и прикладных объ­ ектов;

•идентификаторы объектов;

•персональные имена (уникальные в рамках конкретного ССБ);

•номера паспортов или электронных средств социальной защиты.

3.1.1.2. Объекты и субъекты аутентификации

Термин претендент (объект аутентификации, предъявляю­ щий права, claimant) используется для определения объекта, ко­ торый является или представляет взаимодействующую сторону информационного обмена для проведения в отношении него процедуры аутентификации. Претендент обладает функциями, которые необходимо инициализировать от имени взаимодей­ ствующей стороны в течение процедуры аутентификации.

Термин проверяющая сторона (субъект аутентификации, verifier) используется для определения субъекта, который яв­ ляется или представляет взаимодействующую сторону инфор­ мационного обмена, запрашивающую подтверждение подлин­ ности. Субъект аутентификации обладает функциями, которые необходимо инициализировать в течение процедуры аутенти­ фикации.

Взаимодействующая сторона информационного обмена, участвующая в обоюдной аутентификации, будет выступать в двух ролях одновременно, а именно как претендент (объект аутентификации) и как проверяющая сторона (субъект аутен­ тификации).

Термин доверенная третья сторона (ДТС, trusted thirdparty)

используется для определения ЦБ или его представителя, кото­ рому доверяют обе взаимодействующие стороны, относительно его деятельности по обеспечению безопасности. В данном слу­ чае ДТС обеспечивает проведение процедуры аутентификации.

95

ПРИМЕЧАНИЕ. Претендент и проверяющая сторона могут уточняться в нескольких функциональных компонентах, возмож­ но принадлежащим различным открытым системам.

3.1.13. Аутентификационная информация

Существуют следующие типы вспомогательной (аутентифи­ кационной) информации (ВИАУ, authentication information):

•ВИАУ для обмена в течение информационного взаимо­ действия (ВИАУ для обмена);

•предъявляемая ВИАУ;

•ВИАУ для процедуры проверки (проверочная ВИАУ).

Рис. 3.1. Связи между претендентом, проверяющей стороной и ДТС1, а также типы ВИАУ

Термин ВИАУ для обмена в течение информационного взаи­ модействия используется для определения последовательности1

1В некоторых случаях ДТС может не участвовать.

96

из одной или нескольких частных процедур обмена ВИАУ в це­ лях проведения процедуры аутентификации.

На рис. 3.1 показаны взаимосвязи между претендентом, про­ веряющей стороной и ДТС, а также три типа ВИАУ.

В некоторых случаях с целью проведения процедуры обме­ на ВИАУ претенденту может понадобиться обращение в ДТС. Аналогично, и проверяющая сторона может обратиться к ДТС с целью проведения процедуры обмена ВИАУ. В таких случаях ДТС может хранить проверочную ВИАУ, относящуюся к взаи­ модействующей стороне.

Возможен случай, когда ДТС используется для доставки ВИАУ, предназначенной для обмена в процедуре аутентифи­ кации.

Возможно, что взаимодействующим сторонам понадобится хранить ВИАУ для ее последующего использования в процеду­ ре аутентификации самой ДТС.

3 .1 .2 . П р а кти ч ес ки е аспекты ф ун кц и о н и р о в ан и я С Л А У

3.1.2.1. Угрозы аутентификации

Цель аутентификации — обеспечить гарантированное под­ тверждение подлинности взаимодействующей стороны. Спо­ собы и средства обеспечения аутентификации обычно должны парировать угрозы, связанные с проведением атак типа «маска­ рад» и «повторная передача сообщений».

Атака маскарад относится к обману, при котором наруши­ тель выступает в роли полномочного объекта, т.е. нарушитель подменяет претендента, который определенным образом уста­ навливает связь с проверяющей стороной (например выступая в роли источника данных или посредством установления соедине­ ния для проведения информационного обмена). Эти типы угроз включают атаки типа «повторная передача», «ретрансляция» и компрометация предъявляемой ВИАУ.

Угроза атаки маскарад связана с деятельностью, которая инициирована либо претендентом, либо проверяющей стороной (например выступая в роли источника данных или посредством

97

установления соединения для проведения информационного об­ мена). Защита против атаки маскарад при осуществлении какихлибо действий по установлению и обеспечению информационно­ го взаимодействия требует использование службы обеспечения целостности с целью «привязки» компонентов этих данных к процедуре обмена ВИАУ. Для нейтрализации угроз, относящих­ ся к атакам маскарад, должна использоваться процедура аутен­ тификации, причем во взаимосвязи с некоторой формой службы обеспечения целостности, которая связывает подтверждение под­ линности с информационным взаимодействием.

Атака типа «повторная передача» относится к повтору про­ цедуры обмена ВИАУ с целью выполнения неавторизованных (несанкционированных) действий. Атаки такого типа обычно проводятся в сочетании с другими атаками, например моди­ фикация данных. Не все способы и средства адекватны с точки зрения нейтрализации атак типа «повторная передача». Такие атаки могут стать угрозой для других служб безопасности. Ау­ тентификация может быть использована для предотвращения атак «повторная передача», так как она предполагает исполь­ зование средств для установления источника информации при электронном взаимодействии сторон.

3.1.2.2. Ретрансляция процедуры аутентификации

В отдельных случаях взаимодействующая сторона будет вы­ нуждена обмениваться информацией с другой стороной в рам­ ках одной системы не напрямую. В такой ситуации в рамках си­ стемы должен быть сформирован ее представитель. Более того, перед тем как в границах системы будет сформирован предста­ витель взаимодействующей стороны, последняя должна пройти процедуру собственной аутентификации.

Когда представитель взаимодействующей стороны действу­ ет от ее имени, он пройдет процедуру собственной аутентифика­ ции вместо представляемой им стороны. Ввиду того что предста­ витель взаимодействующей стороны действует так, как если бы он являлся этой стороной, действия последней внутри системы могли бы распространяться без необходимого непосредственно­ го ее участия.

98

Когда взаимодействующей стороной является физическое лицо (пользователь), то для ограничения «времени жизни» его представителя в период времени, в течение которого сам поль­ зователь работает в некотором определенном сегменте системы (сети), могут использоваться специализированные способы и средства.

Претендент, действующий от имени одной взаимодействую­ щей стороны, может получить доступ в другую систему, которая, в свою очередь, сформирует своего собственного представителя взаимодействующей стороны с последующей ее аутентифика­ цией. Формирование такого представителя рассматривается как ретрансляции процедуры аутентификации.

Проведение ретрансляции процедуры аутентификации рас­ смотренным выше способом может быть запрещено ПЛБ.

3.1.2.3. Односторонняя и обоюдная аутентификация

Процедура аутентификации может быть односторонней или обоюдной (двусторонней). Односторонняя аутентификация обеспечивает гарантированное подтверждение подлинности только одной взаимодействующей стороны. Обоюдная аутенти­ фикация обеспечивает гарантированное подтверждение подлин­ ности обеих взаимодействующих сторон.

Процедура аутентификации объекта может быть либо одно­ сторонней, либо обоюдной. Вполне очевидно, что аутентифика­ ция источника данных всегда является односторонней.

3.1.2.4. Начало процедуры аутентификации (аутентификационного обмена)

Процедура аутентификации может быть инициирована либо претендентом, либо проверяющей стороной. Взаимодействую­ щая сторона, которая начинает обмен ВИАУ, называется ини­ циатором процедуры аутентификации.

3.1.2.5. Отзыв (аннулирование) ВИАУ

Отзыв (аннулирование) ВИАУ означает окончательную недействительность проверочной ВИАУ.

99

В некоторых конкретных ситуациях отзыв ВИАУ может быть востребован ПЛБ. Решение об аннулировании ВИАУ может основываться на выявлении событий, угрожающих безопасности, изменении политики или может быть вызвано другими причинами. Отзыв ВИАУ может подразумевать пре­ кращение существующего доступа или иметь другие послед­ ствия.

Кроме этого, могут произойти следующие действия:

a)регистрация события с целью его последующего анализа в рамках проведения аудита;

B) локальный отчет о событии;

c)удаленный отчет о событии;

d)разъединение существующего соединения.

Для каждого события выбирается специфическая реакция (ответное действие), которая зависит от действующей ПЛБ и других факторов, связанных с состоянием информационного взаимодействия, например вносились или нет изменения в учет­ ные данные после того, как взаимодействующая сторона была зарегистрирована и начала информационный обмен.

3.1.2.6. Гарантированность непрерывной аутентификации

Аутентификация объекта обеспечивает гарантированное подтверждение его подлинности только на определенный мо­ мент времени. Одним из способов обеспечения гарантирован­ ной непрерывной аутентификации является «связывание» СЛАУ и СЛЦЛ.

Говорят, что СЛАУ и СЛЦЛ связаны, когда одна взаимо­ действующая сторона была аутентифицирована с использова­ нием службы аутентификации в начальной фазе установления соединения, а в последующем передача данных от имени этой стороны была связана не только с процедурой обмена ВИАУ, но и с процедурой обеспечения целостности. Такой подход га­ рантирует, что более поздняя информация не может быть из­ менена другой стороной соединения, и более того, должна по­ ступать только от той взаимодействующей стороны, которая

100

была аутентифицирована в начальной фазе установления соединения. Очень важно, что СЛЦЛ используется на протя­ жении всего выбранного маршрута доставки информации от одной аутентифицированной взаимодействующей стороны до проверяющей стороны. Например, атака «маскарад» возможна только в том случае, если часть информации могла быть сфор­ мирована взаимодействующими сторонами, которые не прош­ ли процедуру аутентификации.

Другим способом обеспечения гарантированности того, что взаимодействующий объект остается тем же, что и был в на­ чальной фазе соединения, является периодическое проведение процедуры аутентификации на основе обмена ВИАУ. Однако этот способ не предотвращает вторжения в промежуточных ин­ тервалах, и поэтому не обеспечивает гарантии непрерывности аутентификации. Например, возможна следующая атака: нару­ шитель в момент, когда поступает команда на проведение следу­ ющей процедуры аутентификации, «разрешает» полномочному объекту провести все необходимые для аутентификации дей­ ствия. Затем, по завершении этих действий, нарушитель снова «захватывает» соединение, обеспечивающее информационное взаимодействие.

Если для реализации СПЦЛ необходим ключ, то последний может быть выбран из параметров, которые определяются в те­ чение процедуры аутентификации. Полученный таким образом ключ, связанный с аутентифицированной взаимодействующей стороной, будет использоваться при реализации способа обе­ спечения целостности, направленного на «связывание» СЛАУ и СЛЦЛ, как было рассмотрено ранее.

Способ вычисления ключа для СЛЦЛ может быть определен как составная часть совокупности параметров, которые опреде­ ляют, какие методы и алгоритмы целесообразно использовать на протяжении всей процедуры аутентификации.

ПРИМ ЕЧАНИЕ. Когда используются и другие СЛБ, суще­ ствует возможность определения служебной информации на осно­ ве параметров, которые определяются в течение процедуры аутен­ тификации, например секретный ключ.

101

3.1.2.7. Распределение компонентов аутентификации среди нескольких ССБ

Если имеет место несколько ССБ, то при установлении ин­ формационного взаимодействия возможна ситуация, при ко­ торой находящийся в одном сегменте претендент может быть аутентифицирован проверяющей стороной, расположенной в другом сегменте. Следовательно, к процедуре аутентификации может быть привлечено несколько ССБ, среди которых:

•ССБ, в котором расположен инициатор процедуры ау­ тентификации;

•ССБ, в котором расположена проверяющая сторона;

•ССБ, в которых расположены ДТС.

Тем не менее необходимости в наличии всех этих сегмен­ тов нет.

Прежде чем проводить процедуру аутентификации между раз­ ными ССБ, необходимо сформировать соответствующую ПБВ.

3 .1 .3 . П ри нц и пы , используем ы е при аутен ти ф и кац и и

Соответствующий метод аутентификации будет опираться на ряд предположений и гипотез, связанных с одной или не­ сколькими взаимодействующими сторонами.

Принципы, используемые при аутентификации, следующие:

a) что-нибудь известно, например пароль;

B) чем-нибудь владеют, например магнитной или смарткартой;

c)некоторые неизменные характеристики, например био­ метрические идентификаторы;

d)признание такого третьего объекта (ДТС), который бы подтвердил результаты процедуры аутентификации;

e)контекст, например адрес взаимодействующей стороны.

Целесообразно отметить, что во всех этих принципах есть свои слабости. Например, аутентификация того, чем владеют, т.е. гораздо чаще аутентифицируется объект, которым владеют,

102

а не его владелец. В некоторых случаях слабости могут быть пре­ одолены за счет одновременной реализации нескольких прин­ ципов. Например, при использовании смарт-карты (чем-нибудь владеют) слабость может быть преодолена за счет примене­ ния PIN-кода (что-нибудь известно) с целью аутентификации пользователя карты. Более того, принцип е) является особенно слабым и фактически всегда используется в «связке» с другим принципом.

Следует отметить, что в принципе d) существуют два типа рекурсии:

•с целью собственной идентификации ДТС может потребо­ вать проведения процедуры собственной аутентификации;

•для проведения аутентификации ДТС может использо­ ваться четвертая взаимодействующая сторона.

Анализ существующих методов аутентификации, основан­ ных на этих принципах, будет указывать, какие стороны уча­ ствуют в ПИнО, какие принципы используются и какие взаи­ модействующие стороны аутентифицированы.

3 .1 .4 . Ф азы (этапы ) аутен ти ф и кац и и

При проведении процедуры аутентификации возможны сле­ дующие фазы:

•фаза инсталляции;

•фаза изменения ВИАУ;

•фаза распределения;

•фаза получения;

•фаза доставки;

•фаза проверки;

•фаза блокировки;

•фаза отмены блокировки;

•фаза деинсталляции.

Границы этих фаз не обязательно являются четкими по вре­ мени, т.е. фазы могут перекрываться между собой.

103