Механизмы аутентификации в облаке


Облачные вычисления (с англ. cloud computing) — это современная тенденция предоставления пользователю вычислительной мощности, хранилищ для БД, приложений и других ИТ‑ресурсов по требованию через Интернет с оплатой по факту использования.

Эта технология имеет ряд преимуществ, таких как простота, гибкость, экономичность, высокая производительность и тд. Но с другой стороны подобный аутсорсинг ресурсов с удалённого сервера ставит под вопрос безопасность данного решения. В этом отношении наибольшее внимание уделяется проблемам контроля доступа и аутентификации в среде облачных вычислений.

Основные понятия

Идентификатор — уникальная метка, присвоенная субъекту для того, чтобы отличить его от других. При регистрации субъекта его идентификатор записывается в базу данных как эталонный.

Идентификация — процедура распознавания субъекта путём сравнения предъявленного субъектом идентификатора с эталонным.

Аутентификация — процесс подтверждения подлинности субъекта. Производится с помощью подтверждения владения субъекта аутентификатором.

Аутентификатор (токен) — секрет, созданный и выданный субъекту в процессе его регистрации после идентификации.

Электронное удостоверение (электронная подпись) — объект, который связывает между собой идентификатор, аутентификатор и субъект.

Авторизация — предоставление субъекту прав на доступ к запрашиваемому ресурсу.

Участники удалённой аутентификации

Субъект — лицо, проходящее процедуру аутентификации. Например, это может быть пользователь.

Центр регистрации — выдаёт аутентификатор конкретному субъекту и фиксирует их связь.

Доверяющая сторона — владелец ресурса, к которому запрашивает доступ субъект. Он проверяет по протоколу аутентификации факт владения субъекта соответствующим аутентификатором.

Проверяющая сторона (центр валидации) — выполняет проверку связи «субъект — аутентификатор» на валидность. Например, проверка: является ли электронное удостоверение действительным на момент проверки.

Центр регистрации, Доверяющая сторона и Проверяющая сторона могут быть объединены в единую структуру.

Процессы удалённой аутентификации

  • Регистрация — установление личности и регистрация аутентификатора, издание связанного с ним электронного удостоверения. Процедура осуществляется в ЦР.
  • Протокол аутентификации — процедура проверки факта владения субъекта аутентификатором. Например, аналогом будет являться предоставление паспорта для идентификации личности. Аутентификатор может состоять из нескольких факторов и каждый фактор будет проверяться по своему протоколу — многофакторная аутентификация. Процедура осуществляется Доверяющей стороной.
  • Валидация — процедура проверки подлинности и периода действия электронного удостоверения. Например, аналогом будет являться проверка действительности паспорта. Процедура осуществляется в ЦВ.

    • В общем случае процедуру аутентификации можно представить следующим образом. Субъект хранит аутентификатор на своей стороне. На сервере доверяющей стороны хранятся учётные записи. Субъект инициирует процедуру аутентификации и передаёт один или несколько факторов аутентификации доверяющей стороне. На основании механизма аутентификации и проверки на валидность принимается решение о подлинности субъекта. В случае положительного решения, субъект наделяется правами доступа, присвоенными для него доверяющей стороной, т.е происходит его авторизация.

    Основные механизмы аутентификации

    Аутентификация по паролю

    При регистрации пользователь в качестве своих учётных данных создаёт уникальную пару: логин/пароль, которая впоследствии будет использоваться для его идентификации и аутентификации в системе. Это самый слабый механизм идентификации и аутентификации.

    Типология паролей

  • Простой и удобный для запоминания пароль.
  • Сложный пароль. Подразумевается, что он состоит из цифр, специальных символов, прописных и строчных букв.
  • Временный пароль. Подразумевается, что пароль имеет некоторый срок действия, по истечении которого он становится не действительным.
  • Одноразовый пароль (OTP). При каждом запросе доступа со стороны пользователя механизм OTP автоматически генерирует новый уникальный пароль, который может быть использован только один раз. Одноразовый пароль может быть отправлен пользователю посредством SMS или с помощью электронной почты.
  • Зашифрованный пароль. Пароль шифруется на согласованном ключе и в зашифрованном виде пересылается серверу.

    • Использование паролей

  • Единый пароль. Технология единого входа (Single sign-on, SSO) позволяет использовать один и тот же пароль для доступа к различным сторонним сервисам. Пользователь проходит аутентификацию через домен единовременно и получает доступ к ряду приложений и серверов, принадлежащих этому домену, используя один идентификатор.
  • Множественные пароли. В зависимости от требований к конфиденциальности пароля пользователь может использовать разные пароли для доступа к разным сервисам. Пользователь проходит аутентификацию для каждого сервиса отдельно.

    • Аутентификация с помощью «Капча» или сканирования изображения

    «Капча»

    «Капча» (от CAPTCHA — англ. Completely Automated Public Turing test to tell Computers and Humans Apart) - компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером.

    Сканирование изображения

    Предполагается, к примеру, следующая ситуация. Пользователь запрашивает доступ к некоторому сервису с компьютера, но хочет подключиться к нему со своего смартфона. Тогда система отправляет на его компьютер сообщение, которое должно быть отсканировано этим смартфоном для прохождения аутентификации в этой системе.

    Аутентификация по MAC — или IP — адресам

    Аутентификация по MAC — адресу

    Данный метод позволяет аутентифицировать конкретное электронное устройство.

    Аутентификация по IP — адресу

    Данный метод позволяет аутентифицировать сеть пользователя.

    Биометрическая аутентификация

    Пользователь может быть аутентифицирован либо по его физическим характеристикам, таким лицо, отпечаток пальца, радужная оболочка глаза, либо по его поведенческим характеристикам, таким как жесты или подпись.

    Шифрование данных

    Обмен информацией при аутентификации реализуется путём шифрования передаваемых данных с помощью специальных криптографических протоколов — протоколов аутентификации.

    Двухфакторная и многофакторная аутентификация

    Двухфакторная и многофакторная типы аутентификации обеспечивают наиболее надёжный способ аутентификации с помощью использования комбинации двух и более факторов аутентификации, представленных выше.

    Многоуровневая аутентификация

    Многоуровневая аутентификация повышает уровень безопасности аутентификации пользователя за счёт развёртывания данного процесса на трёх последовательных уровнях запрашиваемого сервиса:

    1. ORGANIZATION LEVEL

    2. TEAM LEVEL

    3. USER LEVEL

    Ограничение по времени

    Если пользователь не может пройти проверку на подлинность в течение некоторого определённого периода времени, то его действие регистрируется как угроза. Пользователю будет отказано в доступе к запрашиваемому ресурсу.

    Модели достижения аутентификации

    В настоящее время в облачных вычислениях огромную роль играет уровень доверия между пользователем ресурса и его поставщиком. Доверие является средством аутентификации. В зависимости от принятой в системе политики безопасности и уровня доверия пользователя к системе, аутентификация может быть либо принята, либо отклонена. Существует две модели доверия: Trust и Trusted third party.

    Trust

    Trust — доверительные отношения между пользователем и поставщиком.

    Trusted third party

    Trusted third party (TTP) — доверенная третья сторона — потребитель и поставщик доверяют некоторой третьей стороне обеспечение безопасности взаимодействие между ними. Эта сущность управляет аутентификацией, контролирует доступ к ресурсам и тд.

    Основные механизмы аутентификации: преимущества и недостатки

    Классификация моделей аутентификации в контексте облачных вычислений

    Выше были рассмотрены общие методы аутентификации, их недостатки и преимущества. Из этих данных следует вывод, что некоторые механизмы аутентификации могут быть использованы независимо от типа облака, в то время как другие применяются только в определённых типах облаков. Это связано с тем, что каждый тип облака имеет свои особенности, которые необходимо учитывать при выборе соответствующего механизма. Предлагаемая классификация представлена ниже.

    Общие механизмы аутентификации

    Общие механизмы аутентификации включают использование пароля, капчи, сканирования изображений, шифрования и ограничения по времени.

    Аутентификация по паролю

    Пароль — это основа любого механизма аутентификации. Следовательно, пароль может быть использован в различных формах. Он не зависит от облачной модели или модели развёртывания.

    Большинство систем в качестве аутентификатора используют версию трудно угадываемого сложного пароля в сочетании с дополнительными факторами обеспечения безопасности. Рассмотрим несколько применяемых на практике подходов.

    — Существует платформа аутентификации, которая использует пару ID/пароль как средство основной аутентификации. Так же система управления аутентификацией анализирует по определённым правилам дополнительную информацию о пользователе (например, время входа в систему, местоположение, позиция и тд) и сравнивает её с шаблоном его профиля. Все изменения состояния пользователя отслеживаются и записываются в БД.

    — В облачных вычислениях также применяется аутентификация на основе пароля с использованием концепции жизненного цикла. Цель этого решения состоит в том, чтобы ограничить использование взломанного пароля на неопределённый срок. С другой стороны существует практика, где срок службы аутентификатора ограничивается его однократным использованием. Метод OTP не даёт возможности злоумышленнику повторно использовать пароль.

    — Как ещё один механизм безопасности при аутентификации по паролю может использоваться дополнительная индикация пользователя с помощью электронной почты. После подтверждения подлинности пользователя паролем, облачная система отправляет ссылку на адрес его электронной почты. Ссылка позволяет пользователю получить доступ к нужному сервису. Пользователь должен пройти аутентификацию по ссылке до истечения её срока действия.

    — В качестве вариации аутентификации по паролю может быть предложено использование SMS как второго фактора защиты. После аутентификации пользователя по паролю, генерируется OTP и передаётся пользователю по SMS.

    — Другой метод — использование зашифрованных паролей. Этот подход очень распространён в ситуациях, когда важно обеспечить надёжную защиту от перехвата пароля во время транзита. Так например, рассмотрим следующую модель аутентификации. Есть три основных ресурса: пользователь, владелец данных и поставщик облачных услуг. Сначала пользователь аутентифицируется у владельца с помощью своего закрытого ключа. Далее владелец данных также проходит аутентификацию у поставщика облачных услуг с помощью своего закрытого ключа. Таким образом, связь между пользователем и поставщиком облачных услуг — это аутентификация с использованием двухэтапного подхода проверки с помощью ключей безопасности. Пароли во время коммуникации шифруются.

    — Этап аутентификации может поддерживаться сервером управления облачным доступом, который решает, может ли пользователь получить доступ к облачным службам и ресурсам. Пользователь проходит динамическую проверку подлинности после вычисления значения пароля с помощью секретного ключа.

    — Технология облачных вычислений может использовать также биометрию пользователя как способ аутентификации. Учётные данные представляют собой вектор биометрических признаков и проверочного кода. Для успешной аутентификации пользователей биометрический вектор признаков и проверочный код объединяются и преобразуются соответствующим корректным образом.

    — В области мобильных облачных вычислений была предложена инновационная схема аутентификации — Message Digest Authentication (MDA). Технически, MDA использует зашифрованные и хешированные сообщения, чтобы произвести безопасную аутентификацию.

    — В случае, когда пользователь имеет несколько подписок на различные службы, которые все требуют использования паролей, возникает проблема безопасности с точки зрения управления паролями. Некоторые исследователи рекомендуют использовать единый пароль для всех сервисов. Это приводит к реализации техники single sign on (SSO) на верхнем слое облака, что обуславливается простотой использования. Однако технически рекомендуется использовать один пароль для одной службы. Это позволяет изолировать учётные записи пользователей и обезопасить их от множественного взлома.

    Аутентификация с помощью «Капчи» или сканирования изображения

    В практике облачных вычислений в качестве дополнительного фактора аутентификации широко используются методы «Капча» и сканирование изображений.

    — Так например, после аутентификации может следовать динамически генерируемая капча, посредством которой пользователь должен доказать, что он не является роботом. Таким образом, цель данного решения состоит в том, чтобы предотвратить кражу личных данных и DoS-атак.

    — Приведём пример другого способа дополнительной аутентификации. Система может использовать код быстрого реагирования (QR-код). Этот механизм позволяет пользователю быстро подключиться со своего мобильного телефона к необходимому ресурсу, сканируя QR-код с компьютера, на котором уже выполнена аутентификация.

    Шифрование данных

    Данный способ аутентификации может использоваться во всех моделях облачного обслуживания, поскольку любые облачные ресурсы требуют определённой гарантии сохранения их конфиденциальности. Так например, в IaaS (с англ. Infrastructure as a Service) должны быть защищены все хранящиеся в облаке ресурсы, в PaaS (с англ. Platform as a Service) — исходный код разработанного приложения, в SaaS (с англ. Software as a Service) — персональные данные.

    Что касается моделей развёртывания, то шифрование данных используется по большей части в общедоступном и гибридном облаках, так как данные передаются в аутсорсинг. Конечно, этот метод может быть применён и в частном облаке, в случае если требуется повысить уровень безопасности системы.

    Рассмотрим несколько примеров.

    — Схема «PASS» (с англ. Privacy by Authentication and Secret Sharing) защищает конфиденциальность пользовательских данных путём использования аутентификации и реализации секретного обмена ключами. Отличительной чертой данного метода является использование открытого ключа ECC (с англ. Elliptic curve cryptosystem), а также тот факт, что данные клиента в облаке шифруются с помощью симметричного алгоритма шифрования AES (с англ. symmetric encryption algorithm), симметричный ключ не хранится в облаке.

    — ABA (с англ. Attribute-based authentication)- это способ аутентификации пользователя с помощью атрибутов, которые являются его свойствами, например, это могут быть какие-то ресурсы, контекстная информация (время, местоположение и т. д.) или их комбинации. Данный метод предоставляет доступ к запрашиваемому сервису на основе определения атрибутов пользователя и политики, которая обеспечивает выполнение действий, разрешённых этими атрибутами.

    — На практике также используется схема управления доступом с сохранением конфиденциальности для защиты данных в облаках. В предлагаемой схеме облако проверяет подлинность пользователя, не зная его личности. Также эта схема имеет дополнительную функцию контроля доступа, согласно которой только действительные пользователи могут расшифровать сохранённую информацию.

    — Другое решение предлагает использование протокола проверки подлинности на основе общих полномочий (SAPA) для решения проблемы конфиденциальности облачного хранилища. Этот метод включает в себя несколько ключевых механизмов:

    1. Полномочия общего доступа достигаются механизмом согласования анонимного запроса доступа с соображениями безопасности и конфиденциальности (например, аутентификация, анонимность данных, конфиденциальность пользователей и безопасность пересылки).

    2. Управление доступом на основе атрибутов принимается, чтобы понять, что пользователь может получить доступ только к своим собственным данным.

    3. Облачный сервер применяет прокси-шифрование при обмене данными между несколькими пользователями.

    — Рассмотрим ещё один способ зашифрованной аутентификации. Конфиденциальные данные встраиваются случайным образом в изображения с использованием стеганографии, которая также подразумевает возможность применения методов шифрования и дешифрования. Методология шифрования или дешифрования использует нечётные значения ряда Фибоначчи и хэш-функцию для подготовки ряда значений хэша. Эта серия хэш-значений умножается на ASCII-коды исходных данных, которые необходимо внедрить. Процесс дешифрования строится аналогичным образом, только вместо перемножения ASCII-кодов с хэш-значением используется операция деления.

    — Может быть реализовано решение для публичного облака, когда используется облачный набор протоколов безопасной аутентификации (CSA, с англ. Cloud-based Secure Authentication). В дополнение к этому в контексте данного решения для обеспечения конфиденциальности данных также рассматривается алгоритм публичного шифрования (AES).

    Ограничение по времени

    Независимо от используемого механизма аутентификации и типа облака, фиксация продолжительности аутентификации необходима для пресечения попыток несанкционированного доступа. При каждой проверке подлинности пользователя система засекает время потраченное им на аутентификацию и сравнивает с аналогичными данными его прошлой аутентификации. В действительности промежуток времени от раза к разу может варьироваться в пределах пары секунд. Но если разница велика, то возникает вероятность вмешательства злоумышленника.

    Аутентификация в публичном облаке

    В публичном облаке все ресурсы передаются на аутсорсинг, то есть потребитель теряет контроль над ними. Заботу об этих данных принимает на себя провайдер. Если потребитель облачных услуг и их провайдер не доверяют друг другу, то выбирается третья доверенная сторона (TTP), которая берёт на себя управление аутентификацией и контроль за соблюдением требований безопасности. Рассмотрим несколько примеров данного подхода.

    — TTP может периодически проверять целостность всех данных, хранящихся в облаке, с помощью метода гомоморфного линейного аутентификатора на основе открытого ключа (HLA). Это решение позволяет TTP выполнять аудит данных, не требуя их локальной копии. Интеграция HLA со случайной маскировкой гарантирует, что TTP не сможет получить никаких знаний о содержимом данных, хранящихся на облачном сервере, во время процесса аудита. Таким образом эта схема позволяет третьей стороне проводить проверку переданных пользователем данных в облаке без изучения их содержимого.

    — В качестве доверенной третьей стороны может выступать глобальная система GARS, которая совершает одноразовую регистрацию сертификатов на двух сторонах отдельно.

    Аутентификация в частном облаке

    Аутентификаця по MAC — и IP — адресам

    Данный механизм аутентификации работает наилучшем образом в случаях, когда количество пользователей относительно невелико, что и является основной причиной его преимущественного использования в частном облаке. Например, аутентификация по MAC — адресу может быть предоставлена либо локально, либо с помощью сервера RADIUS. MAC-адрес клиентской машины проверяется по глобальному списку MAC-адресов, который или разрешает, или запрещает доступ пользователя к системе. Эта функция реализуется путём настройки фильтра MAC — адресов.

    Биометрическая аутентификация

    Аутентификация по физическим или поведенческим признакам пользователя является одним из самых эффективных и надёжных средств аутентификации. Она обычно используется в контексте частного облака, поскольку этот механизм требует таких устройств, как камера, сканер отпечатков пальцев, сенсорный экран и т. д., которые недоступны широкой публике. Но с другой стороны организация, выбирающая частное облако и выбирающая этот метод аутентификации, может предоставить сотрудникам все необходимые инструменты. Рассмотрим несколько примеров применяемых на практике.

    Методы, основанные на физических характеристиках

    — Метод распознания лица на практике применяется как система FRS, где лицо пользователя — пароль. Это решение может быть модифицировано с учётом каких-либо искажений, например потери или увеличения веса пользователя, его старения и т. д.

    — Метод сканирования радужной оболочки глаза очень часто используется в сочетании с другими типами биометрии, например такими, как отпечаток пальца и аутентификации с использованием жестов.

    — Другим интересным решением аутентификации по биометрии пользователя является облачный когнитивный аутентификатор (CCA). Он предоставляет повышенный уровень безопасности в облаке за счёт использования 2 уровней аутентификации, шифрования и дешифрования идентификатора пользователя. Новизна CCA заключается в том, что он использует Электродермальные ответы (EDR, с англ. Electro Dermal Responses) для аутентификации первого уровня. EDR — это изменение электрических свойств кожи человека, вызванные событиями окружающей среды и психологическим состоянием человека. Подобные изменения перехватываются, преобразуются. Далее эта информация используется для проверки уровня взволнованности пользователя. Таким образом можно узнать является ли он злоумышленником или нет.

    Методы, основанные на поведенческих характеристиках

    Это может быть аутентификация, в которой пароль представляет собой некоторую последовательность жестов в виде букв «i», «l», «o», «v», «e» и «u».

    Многоуровневая аутентификация

    Многоуровневая аутентификация — это аутентификация пользователя на нескольких последовательных уровнях. Рассматриваемый метод используется в контексте частного облака. Это связано с тем, что обычно частное облако используется организациями. Организации в свою очередь всегда представляют собой некоторую иерархическую структуру, к которой и может быть применён этот механизм.

    Туннель

    Туннель обычно используется организациями, которые выбирают частное облако для обеспечения безопасного доступа к ресурсам дочерних компаний. Данный метод аутентификации невозможно использовать в общедоступном облаке, так как потребители этого типа облака не имеют прав самостоятельно контролировать уровень безопасности.

    — Очень часто используется расширение IPSec в совокупности со строгой аутентификацией с использованием схемы согласования ключей, что является необходимым для создания защищённого туннеля между динамическим пользователем и частным облаком.

    Аутентификация в гибридном облаке

    Гибридное облако представляет собой комбинацию двух различных типов облаков (частного и публичного). Следовательно аутентификация на уровне частного или публичного облака подразумевает использование специфичных для каждого из них механизмов аутентификации. Однако пользователь, прошедший проверку подлинности в общедоступном облаке и желающий получить доступ к некоторому ресурсу в частном облаке, должен быть под контролем. Переход от публичного облака к частному с более чувствительными ресурсами требует дополнительных уровней аутентификации. Например, в качестве безопасной системы аутентификации для гибридного облачного сервиса в среде мобильной связи могут использоваться метод RADIUS и схемы двухфакторной аутентификации.



    Имя:*
    E-Mail:
    Комментарий: