2004 г.
Проблемы математического, алгоритмического и
программного обеспечения компьютерной безопасности в Интернет
В. А. Васенин
Вперед Содержание
Назад
Идентификация и аутентификация
Идентификация (именование) и аутентификация (проверка подлинности
имени) являются базовыми средствами в реализации ПБ объекта,
обеспечивающими для других сервисов безопасности работу с
поименованными объектами. Идентификаторы пользователя, от имени
которого действует субъект (процесс или пользователь), могут быть
разбиты на следующие классы:
- что он знает (пароль, криптографический ключ и т. п.);
- чем он владеет (личную карточку);
- что присуще ему по природе (отпечатки пальцев, голос и
т. п.)
Аутентификация для таких классов идентификаторов усложняется
сверху вниз, но при этом повышается ее надежность. Процессы, данные
(например, криптоключи) или источники данных, которые также могут
быть подвергнуты аутентификации, обладают только идентификаторами
первого из перечисленных классов. Это обстоятельство облегчает
использование криптографии при аутентификации однородных
(равноранговых) процессов, в том числе с применением низкоуровневых
средств (например, механизмов ядра ОС).
Существует несколько способов -- схем реализации службы
идентификации/аутентификации. К первой относится, например,
традиционная для приложений под OC UNIX децентрализованная схема,
предусматривающая аутентификацию каждого приложения. Отсутствие
целостности и централизации в этой схеме затрудняет ее
администрирование. Не обеспечивается гибкость в применении различных
механизмов (способов) аутентификации, так как в этом случае
требуется перекомпиляция приложения.
Второй способ основан на библиотеке встроенных интерактивных
модулей PAM (Pluggable Authentication Modules), являющейся частью OC
Red Hat Linux, представляет собой целостную централизованную
систему, обеспечивающую гибкое использование различных механизмов
аутентификации. Здесь следует отметить, что в разработке PAM вместе
с другими участниками рабочей группы Linux-PAM активное участие
принимали российские специалисты [39].
Библиотека PAM уже на этапе ее разработки использовалась для
создании системы обеспечения безопасности управляющего сегмента сети
MSUNet МГУ им. М. В. Ломоносова. Узким местом этого
способа аутентификации и библиотеки PAM является обязательное
требование интерактивности, что не всегда реализуемо на гетерогенной
сетевой среде, и относительно сложный прикладной интерфейс.
Перспективы развития служб идентификации и аутентификации, особенно
с учетом их применения для распределенных (информационных и
вычислительных) систем, связаны с устранением отмеченных
недостатков, а также разработкой новых способов, которые позволяли
бы:
- учесть потребности перспективных направлений использования
(корпоративный интранет, порталы, распределенные вычислительные
метакомпьютерные системы типа GRID [57]
и т. п.);
- изыскать (разработать и апробировать) эффективные механизмы
аутентификации для отмеченных выше идентификаторов второго и,
особенно, третьего классов;
- надежно поддерживать не только традиционную конфиденциальность
и целостность данных, но и высокую доступность информации на
гетерогенной сетевой среде;
- расширить функциональные возможности системы аутентификации с
целью ее более эффективной интеграции с другими сервисами
безопасности (разграничение доступа, криптография,
протоколирование и аудит и др.);
- использовать механизмы, которые легко реализовать средствами
ОС.
К числу эффективных действий на этом направлении следует отнести
открытый исследовательский проект PNIAM (Pluggable Non Interactive
Authentication Modules [40,58]),
который уже в течение ряда лет ведется по инициативе и при активном
участии ученых и преподавателей, студентов и аспирантов
механико-математического факультета и Института механики МГУ,
научных сотрудников Центра научных телекоммуникаций и информационных
технологий РАН. На сегодня многие из результатов (математические
модели, алгоритмическое и программное обеспечение), полученные в
рамках этого проекта, использованы при создании ОС с повышенными
требованиями к надежности серверов на их базе, при разработке
дистрибутива для высокопроизводительных вычислительных кластерных
систем с удаленным доступом к их ресурсам по Интернет, а также при
реализации ряда других практически значимых систем.
Вперед Содержание
Назад