Аутентификация и авторизация - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Аутентификация и авторизация

А где твой паспорт? – спросила крыса у Оловянного солдатика.

Х.-К. Андерсен

Ни одно предприятие, ни одна компания или банк не могут существовать без понятий «аутентификация» и «авторизация». Хотя мы часто не думаем или даже не знаем о них. Днем и ночью они охраняют наше благополучие – корпоративные и личные материальные и денежные средства, товары, счета и многое другое. Сотрудник компании проходит указанные проверки, по меньшей мере, четырежды в день в двух самостоятельных корпоративных системах, обеспечивающих безопасность: в системе контроля доступа (СКД) – при доступе на территорию предприятия (офиса) и во внутренние помещения; в локальной сети – при доступе к информационным ресурсам. Системы вроде бы работают автономно, но так ли это?

В состав системы защиты информации локальной сети входит подсистема управления доступом, часть функций которой выполняет корпоративная СКД – контроль за физическим доступом в помещения, где размещены серверы, компьютеры руководства, технические средства, обрабатывающие, хранящие и передающие конфиденциальную информацию.

В состав СКД на правах подсистемы входит специализированная управляющая локальная информационная сеть, в которой реализована подсистема защиты информации. Кроме того, часть технических и программных средств может использоваться одновременно двумя сетями – например, серверные и коммутационные устройства, оборудование передачи данных, часть системного и прикладного программного обеспечения.

Исходя из организационно-технических принципов построения этих систем (и корпоративной системы комплексной безопасности в целом), вытекает не только возможность, но и необходимость углубления их взаимной интеграции на программном и аппаратном уровнях. Основной принцип интеграции – качественное улучшение характеристик обеих системы за счет их комплексного использования и взаимного дополнения на этапе разработки, проектирования, внедрения и эксплуатации. Проще говоря, эти две системы, а в перспективе и другие (системы теленаблюдения, охраны периметра, пожарной и охранной сигнализации, оповещения и т. д.), обеспечивающие комплексную безопасность, должны помогать и дополнять друг друга при выполнении процедур, определенных корпоративной политикой безопасности.

В связи с тем, что любая система является наиболее уязвимой на стадии аутентификации и авторизации пользователя, рассмотрим интеграционные перспективы именно для этих процедур.

Аутентификация с использованием пароля – простой и самый распространенный способ в компьютерных системах, изредка он применяется и в современных СКД (клавиатурный ввод кодов доступа). Пожалуй, пароли – наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от «троянских коней» и аналогичных опасностей она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбрай свод правил выбора Естественно, выполнить весь набор правил без привлечения программно-аппаратных средств невозможно. Поэтому в компьютерных системах широко распространена аутентификация с использованием паролей, хранящихся и вводимых из памяти идентификаторов (например, разнообразных контактных смарт-карт и USB-ключей, использующих двухфакторную авторизацию (PIN-код + пароль) и программного обеспечения к ним). Жесткие требования предъявляются к вероятностным свойствам генерируемых паролей. В процессе аутентификации может использоваться шифрование (хэширование), что делает бессмысленными атаки с помощью активной разведки. Но и эти системы могут стать для разработчиков, администраторов и пользователей источником трудноразрешимых проблем. Ведь чем сложнее средства защиты, тем хитроумнее становятся средства нападения.

Для упрощения процесса принятия решения в стародавнем споре - "смарт-карта или USB-ключ. Что предпочесть корпоративному пользователю", сведем их наглядные характеристики в следующую таблицу.

Уважаемый читатель, данные таблицы подтверждаются и вашим опытом, и дальнейшими рассуждениями по вопросам авторизации.

В СКД чаще всего применяются бесконтактные карты: магнитные, проксимити и смарт-карты. Конечно, оптимальным решением в такой ситуации могла стать биометрическая аутентификация, так как она основывается на физических признаках человека и не требует знания пароля или наличия носителя аутентификационной и авторизационной информации. Но на сегодняшний день данные системы самые дорогие в приобретении, установке и эксплуатации. Кроме того, биометрические характеристики нельзя сохранить в тайне.

Таким образом, наиболее приемлемым носителем авторизационной информации, который может использоваться и в локальных сетях, и в СКД, является процессорная смарт-карта с дуальным (контактный + бесконтактный) интерфейсом, защищенной памятью и возможностью работы с несколькими приложениями.

Перечисленным требованиям соответствует карта JCOP30 серии JCOP (Java Card Open Platform), полностью совместимая со стандартами MIFARE (бесконтактные карты) и ISO7816 (контактные карты). Карты JCOP30 обеспечивают передачу информации ридеру как по радиоинтерфейсу (по стандарту MIFARE), так и через контактный интерфейс; содержат криптографический сопроцессор, выполняющий алгоритмы

Triple-DES и RSA; удовлетворяют требованиям следующих стандартов: EMV2000, Java Card 2.1.1, Open Platform 2.0.1 и работают с платежным приложением VISA Smart Debit/Credit (VSDC); способны поддерживать до 16 независимых приложений. Уникальность карт заключается в том, что функциональные приложения для них пишутся на языке JAVA, широко распространенном среди разработчиков и программистов во всем мире. В России существует достаточное количество квалифицированных специалистов, имеющих навыки программирования на этом языке.

Применение карты JCOP30 на нынешнем этапе позволяет:

• использовать единый, достаточно дешевый носитель идентификационной информперсонификации;

• разметить в защищенной памяти карты информацию о пользователе: уровень доступа, временные интервалы доступа, срок действия карты, перечень разрешенных для доступа помещений, время включения персонального компьютера, графики обходов (для охраны) и т. п.;

• гарантировать блокирование компьютера пользователя при оставлении им рабочего места: без карты нельзя вернуться в помещение, следовательно, она обязательно будет изъята из компьютера;

• унифицировать процедуры политики информационной безопасности и политики контроля и управления физическим доступом;

• блокировать попытки авторизации в корпоративной сети пользователя, находящегося за пределами зоны, контролируемой СКД. Такое решение дает дополнительные гарантии защиты от внешних информационных атак и несанкционированного использования утерянной карты. В настоящее время компания "РУСКАРД" завершает разработку программного модуля сопряжения модуля "Локатор" СКД и программно-аппаратного комплекса "Мастер паролей";

• провести учет рабочего времени не только по факту прохода через первичное преграждающее устройство, но и по факту включения, блокировки и выключения компьютера пользователя;

• реализовать корпоративные платежные и бонусные системы: посещение столовой, оплата парковки и т. п.

В перспективе такая карта может быть использована в качестве унифицированного информационного носителя для авторизации на сервере авторизации единой информационно-управляющей структуры "интеллектуального здания".

Проблема перехода корпоративной системы комплексной безопасности на дуальные карты упрощается еще и тем, что карта JCOP30 уже используется в качестве "Социальной карты москвича". Возможности карты по одновременной поддержке независимых приложений еще не скоро будут исчерпаны. Следовательно, может быть и решен вопрос об ее использовании в корпоративных целях, с возмещением части стоимости карты эмитенту.

Такой подход к унификации носителя стал возможен только после вывода компанией "РОЗАН" на российский рынок смарт-карт JCOP30 с дуальным интерфейсом и доработки программного обеспечения программно-аппаратного комплекса "Мастер паролей" компанией "РУСКАРД".

Поскольку большинство современных систем контроля физического доступа работают с прокси-картами стандартов EM-Marin, HID, Motorola, то для ранее установленных СКД компания "РУСКАРД" предложила изготовить и использовать другой тип комбинированных двухинтерфейсных карт. Эти карты совмещают возможности карты указанных стандартов и современных процессорных JAVA-карт семейства JCOP. Такое решение позволяет использовать уже имеющееся оборудование СКД (считыватели, контроллеры и т. д.) и единую карту для контроля физического доступа и решения других задач (обеспечения авторизации на ПК, бонусных проектов и т. д.).

Компания "РУСКАРД" первой предложила подобную карту, дополнив проксимити-карту чипом JCOP20. Это смарт-карта серии JCOP (Java Card Open Platform), полностью совместимая со стандартся криптографический сопроцессор, реализующий алгоритмы Triple-DES и RSA.

Применение такой карты не требует модернизации оборудования СКД и в то же время предоставляет корпоративному пользователю все преимущества карты JCOP30.

Компания "РУСКАРД" предоставляет заинтересованным организациям на бесплатное тестирование дуальные карты JCOP30, проксимити/JCOP20 и программно-аппаратный комплекс "Мастер паролей", использующий данные карты в качестве носителя информации для авторизации и разграничения доступа в корпоративной компьютерной сети.

www.ruscard.ru

Аутентификация (Authentication) - проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности.

Авторизация (Authorization) - проверка прав доступа пользователя и получение им доступа к ресурсам в соответствии с данными ему правами.

НАБОР ПРОСТЫХ РЕКОМЕНДАЦИЙ ПО ВЫБОРУ ПАРОЛЕЙ.

НЕ ИСПОЛЬЗУЙТЕ:

• производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т. п.);

• свое имя, отчество или фамилию;

• имя свое, друга, супруги (супруга) или детей;

• другую ассоциируемую с вами информацию, которую легко узнать (номера документов и телефонов, марку или номер автомобиля, дату рождения, домашний адрес и т. п.);

• чисто цифровой пароль или пароль из повторяющихся букв;

• слова, содержащиеся в словаре английского или иного языка, в других списках слов;

• пароль менее чем из шести символов.

ИСПОЛЬЗУЙТЕ:

• пароли со сменой регистра букв;

• пароли с небуквенными символами (цифрами или знаками пунктуации);

• разные пароли для разных приложений;

• запоминающиеся пароли, чтобы не пришлось записывать их на бумаге;

• пароли, которые вы можете ввести быстро, не глядя на клавиатуру.

Главная страница / Архитектура отрасли