Парадигмы обучения управлению идентификациейДолгое время люди идентифицировали друг друга с помощью таких простых атрибутов, как язык, одежда, национальность, поведение, а также опираясь на рекомендации других членов группы, однако глобализация и гетерогенность серьезно поколебали нашу способность устанавливать личность исключительно на основе таких признаков. Как сказала одна собака другой в мультфильме New Yorker, «в Интернете никто не знает, что ты собака". Как установить личность, перед тем как впустить кого-то в дом или предоставить ему доступ к конфиденциальной информации? Иногда полезно знать, занимался ли человек противозаконной деятельностью; например, если на месте преступления было найдено оружие, могут ли следователи сравнить отпечатки пальцев, оставленные на нем, с отпечатками известных преступников или подозреваемых?

Основная задача компьютерных систем и сетей – связать идентификационные данные человека, находящегося вне компьютера, с логическими сущностями, выполняемыми от его имени. Увеличение мобильности пользователей и расширение разнообразия рабочих платформ заставляет задумываться о природе устройств, доставляющих информацию и управляющих ею. Более того, необходимо уметь идентифицировать автономные устройства, такие как встроенные и сенсорные системы.

Для организации идентификации на федеральном уровне были обработаны требования, выдвигавшиеся всеми государственными департаментами США, и наиболее известные из них нашли отражение в акте Homeland Security Presidential Directive 12. В соответствии с этим актом "федеральное правительство для своих сотрудников и сотрудников организаций, работающих по федеральным контрактам, установило обязательный и общий для правительственных учреждений стандарт на безопасные и надежные формы идентификации". Аналогичные требования распространяются и на оборудование, например на компьютеры, ноутбуки, мобильные устройства и датчики.

Идентификация и аутентификация людей, получающих доступ к компьютерным системам, всегда была частью кибербезопасности, а новой стала сложная технология, необходимая для проверки личности человека и для ее быстрой идентификации, предусматривающей установку связей сведений о человеке с другими мандатами, подтверждающими личность. Однако использование мобильных устройств создает дополнительные технические сложности — существует большая вероятность неправильного истолкования, появления путаницы и создания дорогостоящих, но неэффективных систем.

Сегодня возникла необходимость по достоинству оценить и использовать требования и соответствующие технологии для реализации систем управления идентификацией (IDentity Management, IDM), поэтому в Высшей школе ВМС США была разработана обширная учебная программа по IDM, предусматривающая практические занятия и теоретическое изучение материала, обучение топ-менеджеров, а главное, предложена программа сертификации.

Определение предмета

Программа сертификации по IDM должна быть доступна людям, не имеющим глубоких технических знаний, чтобы ее могли освоить не только студенты дневных отделений. Прежде всего требовалось определить материал, который должен быть освещен в учебном курсе для получения этого сертификата. Очевидным выбором стала биометрия, позволяющая связать идентификационную информацию с физической личностью. Вторая очевидная тема — инфраструктура, необходимая для поддержки процесса распределенного и эффективного использования идентификационных данных.

Специалисты, которые занимаются практическим применением IDM, должны понимать политики, относящиеся к сбору, хранению и управлению идентификационными данными. При этом мы хотели, чтобы студенты не только знали о существующих политиках, но и могли оценить их с точки зрения как национальной, так и международной безопасности.

Наконец, IDM включает в себя сбор идентификационных данных и управление ими. Некоторые сценарии этой деятельности очевидны, например когда кто-то подает заявку на получение выпущенного правительством сертификата или когда требуются различные виды идентификационной информации, такие как записи о дате рождения. Более сложным может быть сравнение отпечатков пальцев, взятых у человека, с теми, что обнаружены на месте преступления или на самодельном взрывном устройстве.

Все эти соображения привели к созданию шестимесячной программы, состоящей из четырех курсов, читаемых в рамках обучения в высшей школе.

Мотивация к IDM

Технология IDM одновременно поддерживает и ограничивает политику и операции, поэтому мы посчитали, что анализ возможных негативных последствий отсутствия IDM даст достаточно серьезную мотивацию для привлечения интереса к нашим курсам.

Биометрия

За последние два тысячелетия биометрию использовали для решения самых разных задач. Как убедиться в том, что это именно тот человек, за которого он себя выдает? Как определить, видели ли вы этого человека раньше? В современной биометрии применяют технологию, позволяющую быстро получать ответы на эти вопросы и оперативно принимать соответствующие решения, причем работая с весьма обширной популяцией.

Тысячи лет люди использовали пароли для подтверждения личности, заранее обмениваясь секретной информацией, и сегодня многие задачи верификации решаются с помощью паролей, однако здесь имеется целый ряд недостатков:

  • пароли необходимо запоминать или куда-то записать, если не в состоянии запомнить, в силу чего всегда существует опасность, что эту информацию обнаружат посторонние;
  • обмен паролями может проходить намеренно и, возможно, в нарушение установленной политики безопасности;
  • пароли можно подсмотреть в момент ввода, их можно подобрать или вычислить, если база данных с паролями взломана;
  • в неявном виде предполагается, что для каждой компьютерной регистрационной записи будет запоминаться свой пароль.

Таким образом, использование для верификации паролей не дает уверенности в том, что они могут достоверно подтвердить личность, да еще к тому же такой подход предполагает серьезные организационные затраты. ИТ-специалисты часто сталкиваются с задачей восстановления забытых паролей, что требует серьезных административных затрат. В том случае если пароли применяются для защиты важных данных, недостатки этого подхода могут привести к губительным последствиям как для отдельного человека (кража идентификационной информации), так и нации в целом (кража государственных секретов).

При верификации ситуация с паролями усугубляется еще больше — в этом случае невозможно решить проблему установления личности, поскольку часто требуется быстро и надежно идентифицировать отсутствующего человека (например, если имеется скрытый отпечаток пальца) либо вообще труп. Если не использовать биометрию, то, например, может быть освобожден из тюрьмы не тот человек, ошибочно установлен подозреваемый в совершении преступления или неправильно идентифицированы чьи-то останки. Безусловно, биометрия должна опираться на надежную инфраструктуру.

Инфраструктура

Зачастую ошибки при идентификации или аутентификации являются главной причиной уязвимости сетей. Когда IDM используют применительно к устройствам, то многие потенциальные (и реальные) ошибки позволяют организовать успешные атаки на системы с целью нарушения конфиденциальности, целостности или доступности информации. Кроме того, поскольку управление некоторыми компонентами физической инфраструктуры (например, электросетями, водопроводом или транспортом) можно осуществлять по Интернету, атаки на такие системы управления процессами могут прямо привести к физическим повреждениям или разрушениям. Перечислим семь проблем, подтверждающих необходимость уделять серьезное внимание инфраструктуре IDM.

Искажение кэша DNS. В результате такой атаки на DNS-серверы передаются некорректные IP-адреса, связанные с именами серверов (они полностью определяются именами доменов). Эти серверы принимают такие инициированные хакером "обновления" и перенаправляют трафик на компьютер, который выбрал хакер. Поскольку большая часть информации DNS не проходит аутентификацию, любой злоумышленник может имитировать сервер DNS и установить фальшивое соответствие имен и IP-адресов.

Протоколы динамической маршрутизации. Большинство маршрутизаторов работают с протоколами, которые поддерживают коллективное совместное использование информации из таблиц маршрутизации. Эта информация определяет путь передачи пакетов. Так как большинство маршрутизаторов не выполняют аутентификацию информации о маршрутах, получаемых от других маршрутизаторов, хакер может подготовить фальшивую информацию о маршруте и передать ее на легитимные маршрутизаторы.

Фальшивое оборудование. Недавно преступники разместили легитимные наклейки с серийными номерами Cisco Systems на сетевых устройствах, произведенных в Китае, а затем продали это «легальное» оборудование ничего не подозревающим покупателям. Это нарушает целостность цепочки поставки и увеличивает риск использования умышленно установленных аппаратных или программных подделок.

Системы оплаты с радиочастотной идентификацией. Поскольку большинство реализаций RFID для систем оплаты используют пассивные микросхемы, ресурсные мощности их крайне ограничены, в силу чего в них крайне редко используется протокол аутентификации. Поэтому хакер может собирать и воспроизводить данные платежного счета, что приводит к утечке средств.

Паспорта с радиочастотной идентификацией. Сочетание RFID и удостоверений личности потенциально способно поддержать идентификацию, отслеживание и получение сигналов от электронных удостоверений личности. Этот пример демонстрирует случай, когда в реализации IDM необходимо поддерживать анонимность.

Управление процессами "с поддержкой IP". Некоторые датчики и активаторы управления процессами (например, распределенные системы управления и системы диспетчерского управления и получения данных) можно получить через общедоступные сети, в том числе Интернет. Такие структуры вызывают большой интерес у хакеров в тех случаях, когда для доступа к устройству не требуется никакой аутентификации.

Чипы EMV и PIN-коды. Реализация процесса аутентификации карты в банкомате, предложенная альянсом EMV (Europay, MasterCard и Visa), подтвердила свою уязвимость при относительно простой атаке с участием человека, которая позволяет обойти аутентификацию — иногда можно ввести произвольный PIN, который будет интерпретирован как корректный.

 

Identity Management 101

Перед началом курсов мы проводим трехчасовую лекцию под названием Identity Management 101, чтобы рассказать студентам о многомерности IDM. Лекция начинается с обзора основных тем IDM. Мы даем определение IDM, приводим два примера — определение применительно к человеку, а затем распространяем это определение на неживые объекты. Затем мы предлагаем слушателям матрицу размером 2x2, строки в которой именуются "идентификация" и "верификация", а столбцы – "люди" и "неживые объекты". Оба "человеческих" квадранта пояснений не требуют, однако верификация неживых объектов часто сложна для студентов, не имеющих серьезного технического образования. Мы даем объяснение, иллюстрируя регистрацию на основе CAC (Common Access Card) и показывая два возможных варианта аутентификации: CAC с держателем карты и сервера с CAC. Очевидно, что CAC и сервер – неживые объекты. Идентификация неживого объекта – это квадрант, вызывающий самое большое недоумение. Мы объясняем это на двух примерах: анализ металлических фрагментов самодельного взрывного устройства, помогающий выявить производителя, и анализ битовых строк бинарного кода для идентификации известного компьютерного вируса.

Следующая тема курсов касается сервисов обеспечения безопасности, поддерживаемых механизмами IDM. В случае идентификации все сводится к простому исключению их анонимности, а при верификации доказательство подтверждения личности использует целый спектр элементов управления безопасностью, предназначенных для контроля доступа и аудита. Когда базовый протокол использует асимметричное шифрование и временные метки, невозможность отказа или аннулирования также может поддерживаться на техническом уровне.

Другая тема имеет отношение к проблеме регистрации. Поскольку документы о "происхождении", такие как свидетельства о рождении, сфальсифицировать относительно легко, то считается, что регистрация будет самой слабой из связей IDM. Если "Боб Старый" представляет правдоподобные документы, идентифицирующие его как "Боба Нового", и их принимает регистратор, то после предъявления Бобом нового мандата будет сформирована биометрическая привязка, отныне и навечно он будет ассоциироваться со своим новым именем. Более того, любая связь, которая идентифицируется с историей этого человека до даты регистрации, станет сомнительной.

Следующая тема посвящена противопоставлению биометрии и аутентификации на основе секретной информации. Студенты узнают о том, что биометрическая информация уникальна для человека, всегда находится вместе с ним и просто ее изменить нельзя. В типичной ситуации биометрическая верификация оптимальна для локальных приложений, когда пользователь физически присутствует и предоставляет "сырую" аналоговую биометрическую информацию непосредственно верификатору. В противном случае существует риск атаки, имитирующей такие данные. Для удаленных или локальных приложений, не поддерживающих биометрию, основа верификации — это подтверждение факта обладания секретной информацией. Мы анализируем сильные и слабые стороны верификации на основе секретной информации: ее масштабируемость и гибкость в противопоставлении ее недостаточной энтропии (измеряемой в битах) и дефектам реализации, которые могут привести к утечке сведений, связанных с секретной информацией.

Последняя тема касается основных участников IDM-процесса. Как только субъект зарегистрировался, он становится абонентом. Абонент, вовлеченный в транзакцию, становится претендентом. Сторона, полагающаяся на достоверность запроса, – это доверяющая сторона. Верификатор проверяет достоверность запроса. Провайдер сервиса выдачи мандата связывает атрибуты личности с удостоверением личности. Мы используем разные сценарии, чтобы проиллюстрировать все эти роли.

Содержание курса

Курс охватывает четыре области.

Биометрический анализ

Здесь рассматриваются технические детали биометрической идентификации и верификации, изучаются основные способы получения биометрических данных (например, отпечатков пальцев и изображений радужной оболочки), методы сравнения, средства предотвращения фальсификации и текущие стандарты. Предусматривается также изучение случаев применения и ограничений биометрии.

Операции управления идентификационной информацией

Здесь разбираются вопросы использования IDM в условиях реального мира, причем в большой степени с учетом социальных аспектов и аспектов управления IDM, связанных с конкретными реализациями. В рамках обучения приводится обзор тактических и стратегических преимуществ, которые дает корректным образом спроектированная и работающая программа IDM. Сюда же входят общие описания случаев идентификации и верификации, а также обзор ряда программ IDM, ориентированных на конкретные предметные области. Далее рассматриваются репозитории для хранения идентификационной информации и использование открытых стандартов ее обмена. Анализируется использование контента, ошибочных вероятностей и других факторов, влияющих на эффективность приложений IDM в различных операционных средах.

Инфраструктура управления идентификационной информацией

Здесь изучаются технологии, необходимые для поддержки электронной аутентификации и защищенной передачи биометрической информации, разбираются способны подтверждения идентичности платформ, устройств и датчиков. Слушателям предлагается широкий круг тем, связанных со стандартами, протоколами, технологией и инфраструктурой управления, необходимой для реализации решения IDM корпоративного уровня. Лекции и учебная литература охватывают весь спектр вопросов, касающихся IDM, от низкоуровневой механики протоколов аутентификации до высокоуровневых инициатив федеративного управления идентификацией.

Политика управления идентификационной информацией

Здесь слушатели изучают принципы, стандарты и законы, влияющие на реализации IDM, оценивается любой жизненный цикл программы IDM (предоставление, распространение, функционирование и прекращение) в соответствии с политикой, законами и законодательствами, относящимися к организации, сбору, распространению и поддержке информации, удостоверяющей личность. Особое внимание уделяется корректному определению организационной и технической политики IDM, позволяющей найти нужный баланс между часто конфликтующими целями обеспечения безопасности и целями защиты конфиденциальности, при этом позволяя обмениваться информацией, удостоверяющей личность.

 

Смешанный подход к преподаванию курса

Организация обучения позволяет студентам выполнять свои обязанности на постоянном месте работы и при этом посещать занятия — речь идет о сочетании традиционных лекций в аудиториях с лабораторными занятиями, проводимыми с помощью Web. Аудиторные занятия помогают студентам в работе над дипломом и формируют ощущение команды, что становится для студента важным стимулом для выполнения учебной работы.

В течение первой недели проводятся аудиторные занятия по программе Identity Management 101, ознакомительные лекции и презентации. В это же время читаются лекции и проводятся упражнения в рамках курсов "Биометрия" и "Операции управления идентификационной информацией". После чего в течение девяти недель студенты занимаются удаленно, а затем возвращаются в аудитории, где опять слушают лекции, презентации, участвуют в лабораторных занятиях и сдают экзамены. Мы построили расписание так, чтобы студенты плавно переходили к курсам "Операции управления идентификационной информацией» и "Политика управления идентификационной информацией", читаемым в течение последующей недели. Далее опять следуют занятия через Web. Спустя девять недель студенты возвращаются к аудиторным занятиям для дальнейшего обучения и завершения программы сертификации.

Для поддержки управления курсом и обучения применяется сервер управления контентом на базе Web, связанный с Web-сайтом курса. Этот сервер содержит инструментальные средства для реализации обсуждений в группе, а также для доступа к его материалам и тестам.

Программа сертификации IDM была начата в сентябре 2008 года. Группы по 20 – 25 человек формируются ежеквартально. Студенты работают в самых разных организациях, от Министерства обороны США до федеральных агентств, многие из которых находятся как в США, так и за рубежом. К сентябрю 2010 года девять групп общей численностью 143 человека начали занятия, а семь групп (114 студентов) завершили все четыре курса. Отсеялось около 10%, что неплохо по сравнению с уровнем отсева в 43% и выше в традиционных программах дистанционного обучения. Мы объясняем успех программы сочетанием интересного материала и смешанной модели обучения. Чтобы получить высшее образование по программе, строящейся на основе сертификата IDM, студенты могут начать обучение по специальности Master of Arts in Identity Management and Cybersecurity.

Paul C. Clark, Glenn R. Cook, Edward L. Fisher, John D. Fulp, Valerie Linhoff, Cynthia E. Irvine. New Pathways in Identity Management, IEEE Security & Privacy, November/December 2010, IEEE Computer Society. All rights reserved. Reprinted with permission.

Пол Кларк (pcclark@nps.edu), Гленн Кук (grcook@nps.edu), Эдвард Фишер (elfisher@nps.edu), Джон Фулп (jdfulp@nps.edu), Валери Линхофф (vllinhof@nps.edu), Синтия Ирвин (irvine@nps.edu) – сотрудники и преподаватели Высшей школы ВМС США (Монтеррей, шт. Калифорния).