Теме номера Trusted Identity Management посвящены четыре большие статьи и вводная заметка приглашенных редакторов, названная «Надежная учетная информация для всех: к интероперабельным доверительным системам управления учетной информацией» (Trusted Identity for All: Toward Interoperable Trusted Identity Management Systems).
Распространение устройств доступа к сетям, в особенности связанных с беспроводными технологиями, делает использование сетей повсеместным и многообразным, создает новые возможности для бизнеса и общества. Сегодняшние сетевые платформы вносят значительный вклад в развитие сервис-ориентированной экономики. В число этих сервисов входит поддержка автоматизированных транзакций, для выполнения которых требуется безошибочный и надежный обмен информацией между участниками транзакции.
Для управления транзакциями и настройки сервисов обычно используется учетная информация об участнике транзакции (имя и связанные с ним индивидуальные атрибуты, включающие биометрические данные), которая позволяет формировать и передавать данные за пределы административных границ. Использование атрибутов, идентифицирующих конкретного индивидуума и составляющих его «цифровую личность», является неотъемлемой частью служб сетевых транзакций, в которых участвуют правительственные и коммерческие организации, а также отдельные люди. Однако при этом часто не учитывают, что для учетной информации нужны «доверительные якоря» (trust anchor).
В отличие от реального мира, для киберпространства характерно исчезновение границ, которые в прошлом служили естественной защитой от утечки персональной информации. Тенденция к переносу повседневной жизни и деловой активности на территорию Internet раскрывает людей в значительно большей степени, чем это было возможно когда бы то ни было раньше – сегодня крупнейшая в мире сетевая инфраструктура, включающая значительные компоненты управления учетной информацией (Identity Management, IdM), поддерживает мобильную телефонию.
Доступность недорогих и легко осваиваемых технологий перехвата и интеллектуального анализа данных облегчает использование учетных данных в злонамеренных целях. Проблема краж учетной информации уже стала одной из центральных для правительственных, общественных и коммерческих организаций. Повсеместное внедрение систем для сбора, обработки и совместного использования информации, идентифицирующей конкретных индивидуумов, для поддержки сервисов, делает онлайновые кражи учетных данных нередким явлением, что подрывает доверие к ИТ. Это приводит к расширению области исследований, затрагивающих несколько тем IdM, включая совершенствование достоверности и конфиденциальности учетной информации.
Обратной стороной проблемы конфиденциальности является то, что иногда требуется раскрытие индивидуальной информации. В настоящее время системы управления учетной информацией (Identity Management System, IdMS) создаются для отдельных целей в частных пространствах компаний, в системах общественного сектора и в государственных системах. Эти системы нередко являются специализированными решениям с централизованным управлением, основанными на разных предположениях и направленными на достижение разных целей. В результате между ними отсутствует интероперабельность.
Многие отраслевые группы и организации по стандартизации занимаются разработкой IdMS и стандартизацией протоколов для управления надежными атрибутами, относящимися к учетной информации, которая применяется к различным типам сущностей: поставщикам услуг, клиентам, устройствам и т.д. Разрабатываются различные архитектуры, системы и технологии для управления идентификаторами и атрибутами. В основе существующих решений лежат технологии аутентификации на основе атрибутов, «обработки утверждений» (identity assertion) и надежного обмена «заявлениями идентификации» (identity claim).
Очевидно, что со временем людям потребуются простые, но безопасные решения, пригодные для использования в разных сценариях и контекстах. Инфраструктуры IdM должны будут основываться на стандартах и поддерживать разнообразные системы, образуя глобальное пространство IdM, охватывающее множество административных областей.
Первая основная статья тематической подборки, которая называется «Агрегация атрибутов при федеративном управлении учетной информацией» (Attribute Aggregation in Federated Identity Management), написана Дэвидом Чедвиком и Джорджем Инманом.
Ни один отдельно взятый человек или отдельно взятая система не знают всех атрибутов, удостоверяющих чью-либо личность, и обычно люди сами должны знать множество идентифицирующих их самих признаков, но и здесь имеются ограничения. Например, они могут не знать, сколько других людей доверяет этим признакам. В любом случае в компьютерных системах обычно сохраняется только частичная учетная информация о людях – подмножество их цифровых учетных атрибутов. Эти компьютерные системы называются поставщиками учетной информации (Identity Provider, IdP).
Обычно учетные атрибуты людей предоставляются авторитетными источниками. И хотя людям можно доверить самим указывать некоторые признаки своей индивидуальности, например говорить о своем любимом напитке, им, конечно, нельзя разрешить самостоятельное указание таких признаков, как данные о квалификации или сведения о судимости. Таким образом, за связывание людей с разными отличительными признаками отвечают разные авторитетные источники.
При контроле доступа на основе ролей (Role-Based Access Control, RBAC) и контроле доступа на основе признаков (Attribute-Based Access Control, ABAC) авторизация базируется на ролях или признаках пользователей соответственно. В федеративных системах управления учетной информацией обычно применяется модель ABAC. Системы IdP, назначающие атрибуты пользователям, отличаются и отделяются от систем – поставщиков услуг (Service Provider, SP), использующих эти признаки и предоставляющих доступ пользователям. Следовательно, между IdP и SP должны быть установлены доверительные отношения.
На основе этого доверия образуются федерации. Авторизация для использования федеративной службы основывается на признаках индивидуальности пользователей. Если эти признаки обеспечиваются авторитетными источниками, то SP может удостовериться в личности пользователя, даже если ему неизвестны идентификаторы его IdP. Это обусловливает появление таких систем, как Shibboleth (shibboleth.internet2.edu) или Windows CardSpace (msdn.microsoft.com/en-us/library/aa480189.aspx), которые позволяют произвольному числу IdP и SP образовывать доверительные связи в федерации.
К сожалению, ограничением таких систем является то, что пользователи в любой сессии взаимодействия с данным SP могут выбрать только один из своих IdP, который посылает SP утверждение об аутентификации и признаках пользователя. Поэтому авторизация может основываться только на подмножестве признаков индивидуальности пользователей. Для многих сервисов, основанных на Web, этого недостаточно – требуется механизм, позволяющий пользователям агрегировать признаки, получаемые от нескольких IdP в ходе одной сессии взаимодействия с SP. В статье предлагается концептуальная модель такого механизма и описываются его возможные реализации.
Статья «Проблемы поддержки федеративной уверенности» (Challenges to Supporting Federated Assurance) представлена Полом Мэдсеном и Хироки Ито.
В федеративной модели управления учетной информацией различные задачи, ассоциированные с некоторой транзакцией над учетными данными, распределяются между участниками этой транзакции. Эта модель основывается на предположении, что распределение задач между участниками может обеспечить пользователям удобство применения и конфиденциальность, а приложениям – эффективность.
Обычно при федеративном управлении учетной информацией некоторые признаки идентификации пользователя передаются от одного объекта другому. Объект, выдающий эти признаки, обычно называется поставщиком учетной информации (IdP), а объект, принимающий их, – проверяющей стороной (Relying Party, RP) или поставщиком услуг (SP). Классическим примером федеративной транзакции является однократная идентификация (single sign-on, SSO) в Web, при которой пользователь, аутентифицированный на одном Web-сайте, может получить доступ к другому сайту без дополнительной аутентификации. Первый сайт (IdP) отвечает за аутентификацию пользователя, а второй (RP) – принимает решение о предоставлении доступа на основе имеющихся данных о пользователе.
От IdP к RP передается «статус аутентификации» пользователя, но могут передаваться и другие атрибуты его учетной информации. Между этими двумя сайтами распределяются два фундаментальных действия: IdP аутентифицирует пользователя, а RP на основе этой аутентификации его авторизует. Это распределение обязанностей позволяет, например, первому сайту взимать со второго плату за аутентификацию, а второму сайту, освободившемуся от задач аутентификации, – лучше обеспечивать свои основные сервисы.
Поскольку при федеративном управлении учетной информацией задачи, ассоциированные с данной транзакцией, распределяются между ее участниками, каждый из них должен быть уверен в том, что другие участники выполняют свои задачи с соответствующим усердием. Например, в SSO для Web в принципе ничто не мешает IdP передать RP утверждение об аутентификации пользователя, который на самом деле, не аутентифицирован. RP должна «доверять» тому, что IdP действительно аутентифицировал пользователя и что это было сделано именно так, как утверждает IdP.
В контексте федеративного управления учетной информацией уверенность (assurance) определяется как степень доверия, с которой RP может относиться к утверждениям некоторого IdP в связи с признаками индивидуальности пользователей. Чтобы RP могла принимать утверждения от некоторого IdP для любого нетривиального приложения, ему требуется хотя бы минимальная уверенность. Полное отсутствие уверенности означало бы полное недоверие к содержимому утверждения об учетной информации. Для IdP убедительность является необходимой характеристикой любого создаваемого им утверждения, чтобы он мог рассчитывать, что это утверждение будет принято какой-либо RP. Иными словами, RP требуется уверенность, а IdP стараются удовлетворить это требование.
Уровень уверенности, требуемой RP от федеративной транзакции над учетными данными, зависит от ресурса или приложения, к которому эта RP должна обеспечить доступ. RP будет пытаться снизить риск выполнения федеративной транзакции путем использования соответствующего уровня уверенности. Обеспечение доступа к более ценным ресурсам и приложениям влечет больший риск, и, следовательно, для этого требуется более высокий уровень уверенности. Но, в конце концов, RP сможет определить требуемый уровень уверенности для каждого ресурса. Возможная модель федеративной уверенности показана на рисунке, а в основной части статьи говорится о ее наиболее успешных реализациях.
Статью «Интероперабельный подход к многофакторной верификации учетной информации» (An Interoperable Approach to Multifactor Identity Verification) представили Федерика Пачи, Родольфо Феррини, Андреа Муски, Кевин Стьюер и Элиза Бертино.
Технологии управления цифровой учетной информацией (Digital Identity Management, DIM) важны для обеспечения эффективного использования информации, идентифицирующей личность людей, в Internet-транзакциях. Цифровая учетная информация включает в себя данные, уникально описывающие индивидуума, а также сведения о его взаимосвязях с другими людьми и объектами. Важным требованием является поддержка конфиденциальности этих атрибутов индивидуальности.
Другим ключевым требованием к системам DIM является интероперабельность, в число проблем которой входит использование разных признаков индивидуальности, протоколов согласования и имен атрибутов учетной информации. Проекты, подобные Concordia Project (projectconcordia.org/index.php/Main_Page), помогают согласовать существующие спецификации и протоколы учетной информации, однако в них не затрагивается проблема неоднородности именования. Такая неоднородность возникает в системах DIM, когда различные стороны, участвующие в управлении цифровой учетной информацией (клиенты, проверяющие стороны и поставщики учетной информации), используют разные словари для обозначения атрибутов учетной информации.
Авторы исследуют проблему неоднородности именования в контексте процесса верификации учетной информации клиентов. В этом процессе RP задает набор атрибутов учетной информации, требующихся от пользователя, от имени которого выполняется клиент, и проверяет, является ли данный пользователь обладателем этих атрибутов. Пользователь является обладателем таких атрибутов, если уполномочен некоторым IdP использовать их для получения услуг и ресурсов. В политике верификации учетной информации специфицируется такой набор атрибутов. Если клиенты и проверяющие стороны используют имена атрибутов учетной информации из разных словарей, когда некоторый клиент запрашивает ресурс или сервис от RP, то клиент может не понять, какие атрибуты учетной информации он должен предоставить.
Предлагается многофакторный протокол верификации учетной информации, поддерживающий сопоставление имен ее атрибутов. При многофакторной верификации, когда клиент предоставляет некоторый атрибут, запрошенный RP, эта RP запрашивает дополнительные атрибуты для подтверждения того, что клиент действительно обладает первым атрибутом. В протоколе используется техника сопоставления имен атрибутов учетной информации на основе поисковых таблиц, справочников и отображения онтологий. Также используется криптографический протокол AgZKPK (AGgregated Zero Knowledge Proofs of Knowledge), позволяющий клиентам доказать, что они обладают несколькими атрибутами учетной информации, путем одного интерактивного доказательства. Поскольку клиенты не обязаны предоставлять эти атрибуты в открытой текстовой форме, протокол обеспечивает их конфиденциальность.
Авторами завершающей статьи тематической подборки – «SWIFT берется за управление учетной информацией» (A SWIFT Take on Identity Management) – являются Габриэль Лопес, Оскар Кановас, Антонио Гомес-Скармета и Жоао Гирао.
Управление учетной информацией является нарастающей тенденцией Web, преследующей цель упрощения управления учетной информацией с точки зрения пользователей. Кроме того, в системах IdM пытаются последовательно поддерживать конфиденциальность пользователей при доступе к различным Web-сервисам. Web оказывает IdM наиболее сильную поддержку, поскольку способствует быстрому распространению этой технологии, но из-за Web-ориентированности механизмы IdM не слишком широко используются в телекоммуникационных сетях и более традиционных сервисах, таких как IP-телефония и телевидение. Для интегрированного внедрения IdM в мировом масштабе требуется единая инфраструктура.
Проводимые исследования, такие как европейские проекты Secure Widespread Identities for Telecommunications (SWIFT; www.ist-swift.org) и PrimeLife (www.primelife.eu), а также усилия Международного союза электросвязи и World Wide Web Consortium (W3C) способствуют формированию более согласованного представления об IdM на разных уровнях и в разных областях. В этих подходах учитывается развитие Web, но упор делается на аспекты сетевой интеграции. В перспективе пользователи должны получить возможность повсеместно применять эту технологию при доступе к сети или прикладным сервисам.
В статье предлагается инфраструктура IdM, обеспечивающая механизмы единой регистрации на разных уровнях для пользователей, обладающих подпиской к некоторым сервисам и поставщикам учетной информации. Инфраструктура обеспечивает защиту конфиденциальности, не допуская действий неавторизованных сторон с теми же идентификаторами пользователей, навязывая правила конфиденциальности разным поставщикам и поддерживая автономность пользователей при разглашении атрибутов.
Инфраструктура обеспечивает функциональные возможности по соединению существующих подписок пользователей и генерации более общей виртуальной учетной информации (virtual identity), в которой объединяются атрибуты, полученные от нескольких поставщиков. Пользователи могут создавать несколько виртуальных учетных записей, используя подмножество атрибутов, предоставляемых поставщиками учетной информации, для которых у пользователей имеется подписка. Концепция виртуальной учетной информации позволяет создавать федерации ресурсов и механизм SSO на основе нескольких IdM. Пользователи могут запрашивать доступ к нескольким службам, указывая свою учетную информацию через виртуальный идентификатор.
Вне тематической подборки опубликованы две большие статьи. Натанаэл Пауль и Эндрю Таненбаум представили статью «Достоверное голосование: от машины к системе» (Trustworthy Voting: From Machine to System).
После скандала с выборами президента США в штате Флорида в 2000 году многие органы власти стали использовать для голосования электронные машины, которые не сильно отличались от персональных компьютеров с сенсорным экраном. Эти машины были столь же ненадежными, как и системы с перфокартами. Кроме того, они делали невозможным пересчет результатов голосования, и это осложнение вынудило многие органы власти вернуться к использованию бумажных избирательных бюллетеней. Но такой возврат означает также и возврат к проблемам (minnesota.publicradio.org/features/2008/11/19_challenged_ballots), которые привели к использованию электронных машин, это, по существу, шаг назад. У электронного голосования имеются реальные преимущества перед использованием бумажных избирательных бюллетеней, если иметь в виду избирательную систему, а не машину для голосования. Вместо того чтобы концентрироваться исключительно на более развитых криптографических алгоритмах, разработчикам следует представлять проблему с системной точки зрения, учитывая все ее части и добиваясь защищенности на всех уровнях. На каждом шаге разработки следует почти параноидально предусматривать возможность атак.
С учетом этих соображений в Амстердамском свободном университете (Нидерланды) разрабатывается избирательная система, которая практична и устойчива к взломам. В настоящее время реализуется программное обеспечение машины для голосования, и исходный код системы должен стать свободно доступным в этом году.
Последняя статья номера, «Повышение надежности сетей контроллеров: CANcentrate and ReCANcentrate» (Boosting the Robustness of Controller Area Networks: CANcentrate and ReCANcentrate), написана Мануэлем Барранчо, Джулианом Проенца и Луисом Алмейда.
Звездообразные топологии лучше ограничивают распространение ошибок, чем шинные топологии, позволяя получать более надежные коммуникационные системы. В некоторых приложениях это преимущество компенсирует более высокую стоимость звездообразных топологий. Например, в области локальных сетей давно произошел переход к звездообразным топологиям с использованием Ethernet, технологии, которая теперь развивается для целей производственной автоматизации. Аналогичный переход к звездообразным топологиям произошел в области встроенных систем, например, с использованием протоколов Time-Triggered Protocol (TTP/C) и FlexRay в автомобильных системах. Однако сети контроллеров (Controller Area Network, CAN), которые, по-видимому, наиболее распространены в распределенных встроенных системах, все еще основываются главным образом на шинной топологии.
Предлагаются две звездообразные архитектуры для CAN – симплексная звезда (CANcentrate) и звезда с реплицированием (ReCANcentrate). CANcentrate помогает повысить надежность обычных распределенных встроенных систем, а ReCANcentrate позволяет добиться той же цели в приложениях с повышенными требованиями надежности.
До следующей встречи, Сергей Кузнецов (kuzloc@ispras.ru).
Рисунок. Простая модель федеративной уверенности. К ее основным компонентам относятся проверяющая сторона, категория риска, назначенная для целевого приложения, а также инфраструктуры уверенности и политик, которые используются идентифицирующей стороной для соответствия некоторому требуемому уровню уверенности
