“Разрешите представиться”
Информационная безопасность Информационная безопасность

За старомодными оборотами «разрешите представиться» и «разрешите вам представить» обнаруживаются технологические приемы идентификации личности

Главная>Информационная безопасность>“Разрешите представиться”
Информационная безопасность Тема номера

“Разрешите представиться”

Дата публикации:
07.06.2008
Посетителей:
124
Просмотров:
105
Время просмотра:
2.3
Концепция Identity Management вовсе не так тривиальна, не столь технологична, как ее обычно представляют.

 

 

За старомодными оборотами «разрешите представиться» и «разрешите вам представить» обнаруживаются технологические приемы идентификации личности. На социальном уровне проблемы идентификации частично решены и продолжают решаться, а на сетевом к ним еще только приступают.

 

Концепция Identity Management относительно нова, она стала предметом особенно активного обсуждения с 2000 года, когда пристальное внимание к ней привлекли работы аналитиков таких компаний, как Burton Group и Gartner. Идеи, собранные в данной концепции, оказались особо привлекательными для компаний, специализирующихся на вопросах информационной безопасности. Эти компании в значительной мере узурпировали представление о ней, сведя концепцию к совокупности технологий, чем существенно сузили содержание, выходящее далеко за технологические рамки. В действительности же концепция эта вовсе не так тривиальна, не столь технологична, как ее обычно представляют.

 

В России сложностей еще больше. Начнем с того, что перевести или даже в нескольких словах объяснить по-русски установившийся английский термин Identity Management чрезвычайно сложно. В оригинале слово identity имеет массу значений – от «индивидуальности личности» в психологии до «тождества» в математике. Для толкования обсуждаемой концепции подходят разные значения этого слова. Проблемы усугубляются сложностями перевода слова management: ни «управление», ни «контроль» в данном случае не подходят. Поскольку появившиеся переводы – «управление идентичностью» и «управление идентификационной информацией» – далеко не бесспорны, остановимся на аббревиатуре IdM.

 

В то же время очень просто представить, что такое IdM, если обратиться к аналогии с комплексом действий с документами, удостоверяющими личность. Прежде всего, аналогия состоит в том, что, как и в сети, в реальной жизни в давние времена людям не нужны были документы вообще. С развитием связей появились посольские грамоты и рукописные паспорта. За исключением двух империй – Российской (введены Петром I) и Оттоманской – паспорта использовались только для зарубежных поездок, отсюда и перевод названия как «пропуск в порт». Но с увеличением мобильности населения идентификационные документы стали требовать повсеместно. В наше время даже в США, стране, которая дольше других продержалась без внутренних удостоверений личности, все чаще можно услышать слово «айди» (ID), скажем, в гостинице или при регистрации на конференции. Идентификационный документ (Identity Document), или удостоверение, – только часть системы; в нее входят также организации, которые его выдают, носители документов, службы, которые устанавливают соответствие документов личности носителя, и т. д. Все вместе они образуют «человеческую» систему Identity Management. Очень скоро документы станут снабжаться чипами, где совокупность идентификационных признаков будет оцифрована, и мы, таким образом, обретем «цифровую идентификацию» (digital identity).

IdM как система

 

В контексте IdM понятие identity можно рассматривать как восприятие совокупности характеристик и свойств некоторой сущности, позволяющих ее однозначно идентифицировать. Говоря о «человеческой индивидуальности», это понятие надо разделить на собственное осознание себя как индивидуальности и на отождествление человека как определенного субъекта социума. В таком случае на примере паспортного контроля процедура идентификации состоит в установлении принадлежности документа его предъявителю. Двуединая природа identity чрезвычайно важна для понимания того, что такое digital identity. Это понятие можно определить как совокупность признаков, проявляемых какой-то сущностью, чтобы быть воспринятой цифровым социумом. Процедура установления тождественности digital identity позволяет определить цифровую идентичность человека по «цифровым идентификационным характеристикам» (Personal Identifiable Information, PII). Так устанавливается тождественность между человеком и его цифровой идентичностью.

 

Этой цели служит система IdM. Параметры PII идентифицируют роль человека в среде, а IdM осуществляет администрирование PII в соответствии с заданными правилами. Действия системы IdM разделяются на следующие этапы:

 

  • идентификация – установление системой IdM по введенным показателям PII личности его владельца;
  • аутентификация – установление подлинности по паролям, различного рода ключам (токенам, картам) или по биометрическим показателям;
  • по выполнении этих двух этапов пользователь может предпринимать некоторый ограниченный спектр действий с доступными ему данными;
  • авторизация – получение прав на выполнение совокупности действий, по регламенту дозволенных этому пользователю.

 

Обычно IdM ассоциируют с рядом современных криптографических технологий, прежде всего с инфраструктурой открытых ключей, но первые работы в этом направлении были сделаны намного раньше. В 1984 году известный криптограф Дэвид Чаум разработал основы технологии идентификации с помощью специальных карт и создал математическую модель IdM. Ему принадлежит следующее определение: «IdM – это всеобъемлющий набор процедур, обеспечивающих пользователям безопасный доступ к ресурсам информационных систем, управление присутствием пользователей в системе, а также управление информацией об их идентификации». Его можно дополнить такой формулировкой: «IdM представляет собой категорию взаимосвязанных решений, служащих для управления идентификацией и аутентификацией пользователей, правами и ограничениями на доступ к информации, учетными записями, паролями и другими атрибутами, поддерживающими ролевые функции пользователей в одной или нескольких прикладных системах».

 

В число функций, реализуемых системами IdM, входят:

 

  • управление учетными записями;
  • управление доступом, в том числе идентификация, авторизация и аутентификация;
  • управление защитой персональной информации;
  • управление объединением ресурсов, представляющее собой набор соглашений, стандартов и технологий, обеспечивающих доверительные отношения между распределенными системами;
  • обеспечение «службы одного окна» (Single Sign-On), позволяющей пользователю применять единый механизм для доступа к различным системным ресурсам;
  • персонализация, позволяющая адаптироваться к пользовательским предпочтениям.

 

IdM сегодня и завтра

 

Для широкого распространения IdM требуются общие отраслевые протоколы, представления о семантике, правила обработки; поэтому ряд международных организаций ведет разработку стандартов. Так, консорциум OASIS разрабатывает специализированные стандарты: языки SAML (Security Assertion Markup Language), DSML (Directory Service Markup Language), SPML (Service Provisioning Markup Language), XACML (eXtensible Access Control Markup Language) и др. Альянс Liberty Alliance создает структуру и бизнес-модели. Альтернативный подход разрабатывается в рамках европейского проекта PRIME.

 

Компании, производящие технологии для IdM, можно разделить на две группы. В первую входят поставщики комплексных решений, в их числе Verisign, CA, IBM, Oracle, HP и Sun Microsystems. Вторую, более многочисленную группу, составляют поставщики отдельных решений; среди них такие известные компании, как EMC/RSA Security и BMC.

 

Буквально в последние год-два стало формироваться альтернативное направление, получившее, как это теперь принято, название Identity 2.0. В его основе лежит открытая децентрализованная модель идентификации, и базируется это направление на предположении о возможности создания такой модели идентификации, которая могла бы управляться самим пользователем, без привлечения служб, наделенных особыми полномочиями.

Уведомления об обновлении тем – в вашей почте

Беседа со Степаном Масленниковым, директором департамента бизнес-информации и службы заказчика ТНК-BP

Мы обратились в компанию ТНК-BP с просьбой поделиться своим экспертным мнением по этой теме, и на вопросы нам ответил директор департамента бизнес-информации и службы заказчика ТНК-ВР Степан Масленников.

Внедрение системы IdM за 10 шагов

Проекты по внедрению IdM-систем иногда сопровождаются большими усилиями, срывами запланированных сроков и бюджетами, превышающими сумму, которая планировалась вначале

Экономическая эффективность IdM

Проекты внедрения IdM зачастую требуют больших вложений, и часто у заказчиков возникают вопросы

Первое российское исследование рынка систем управления доступом (IdM)

Настоящее исследование посвящено рынку систем управления доступом – Identity Management (IdM) или, как их часто называют в последнее время, Identity Governance & Administration (IGA)

Как построить эффективную систему управления доступом

Под эффективной системой управления доступом мы понимаем такую систему, которая решает свои задачи, не отягощая при этом жизнь бизнес-пользователям

Identity Management: взгляд Sun Microsystems

Развитие сетевого сообщества подчиняется тем же законам, что и развитие общества, за одним исключением: все процессы идут во много раз быстрее

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня