© 1995-2021 Компания «Инфосистемы Джет»
“Разрешите представиться”
Информационная безопасность

За старомодными оборотами «разрешите представиться» и «разрешите вам представить» обнаруживаются технологические приемы идентификации личности

07.06.2008

Посетителей: 80

Просмотров: 69

Время просмотра: 1.6 мин.

Концепция Identity Management вовсе не так тривиальна, не столь технологична, как ее обычно представляют.

 

 

За старомодными оборотами «разрешите представиться» и «разрешите вам представить» обнаруживаются технологические приемы идентификации личности. На социальном уровне проблемы идентификации частично решены и продолжают решаться, а на сетевом к ним еще только приступают.

 

Концепция Identity Management относительно нова, она стала предметом особенно активного обсуждения с 2000 года, когда пристальное внимание к ней привлекли работы аналитиков таких компаний, как Burton Group и Gartner. Идеи, собранные в данной концепции, оказались особо привлекательными для компаний, специализирующихся на вопросах информационной безопасности. Эти компании в значительной мере узурпировали представление о ней, сведя концепцию к совокупности технологий, чем существенно сузили содержание, выходящее далеко за технологические рамки. В действительности же концепция эта вовсе не так тривиальна, не столь технологична, как ее обычно представляют.

 

В России сложностей еще больше. Начнем с того, что перевести или даже в нескольких словах объяснить по-русски установившийся английский термин Identity Management чрезвычайно сложно. В оригинале слово identity имеет массу значений – от «индивидуальности личности» в психологии до «тождества» в математике. Для толкования обсуждаемой концепции подходят разные значения этого слова. Проблемы усугубляются сложностями перевода слова management: ни «управление», ни «контроль» в данном случае не подходят. Поскольку появившиеся переводы – «управление идентичностью» и «управление идентификационной информацией» – далеко не бесспорны, остановимся на аббревиатуре IdM.

 

В то же время очень просто представить, что такое IdM, если обратиться к аналогии с комплексом действий с документами, удостоверяющими личность. Прежде всего, аналогия состоит в том, что, как и в сети, в реальной жизни в давние времена людям не нужны были документы вообще. С развитием связей появились посольские грамоты и рукописные паспорта. За исключением двух империй – Российской (введены Петром I) и Оттоманской – паспорта использовались только для зарубежных поездок, отсюда и перевод названия как «пропуск в порт». Но с увеличением мобильности населения идентификационные документы стали требовать повсеместно. В наше время даже в США, стране, которая дольше других продержалась без внутренних удостоверений личности, все чаще можно услышать слово «айди» (ID), скажем, в гостинице или при регистрации на конференции. Идентификационный документ (Identity Document), или удостоверение, – только часть системы; в нее входят также организации, которые его выдают, носители документов, службы, которые устанавливают соответствие документов личности носителя, и т. д. Все вместе они образуют «человеческую» систему Identity Management. Очень скоро документы станут снабжаться чипами, где совокупность идентификационных признаков будет оцифрована, и мы, таким образом, обретем «цифровую идентификацию» (digital identity).

IdM как система

 

В контексте IdM понятие identity можно рассматривать как восприятие совокупности характеристик и свойств некоторой сущности, позволяющих ее однозначно идентифицировать. Говоря о «человеческой индивидуальности», это понятие надо разделить на собственное осознание себя как индивидуальности и на отождествление человека как определенного субъекта социума. В таком случае на примере паспортного контроля процедура идентификации состоит в установлении принадлежности документа его предъявителю. Двуединая природа identity чрезвычайно важна для понимания того, что такое digital identity. Это понятие можно определить как совокупность признаков, проявляемых какой-то сущностью, чтобы быть воспринятой цифровым социумом. Процедура установления тождественности digital identity позволяет определить цифровую идентичность человека по «цифровым идентификационным характеристикам» (Personal Identifiable Information, PII). Так устанавливается тождественность между человеком и его цифровой идентичностью.

 

Этой цели служит система IdM. Параметры PII идентифицируют роль человека в среде, а IdM осуществляет администрирование PII в соответствии с заданными правилами. Действия системы IdM разделяются на следующие этапы:

 

  • идентификация – установление системой IdM по введенным показателям PII личности его владельца;
  • аутентификация – установление подлинности по паролям, различного рода ключам (токенам, картам) или по биометрическим показателям;
  • по выполнении этих двух этапов пользователь может предпринимать некоторый ограниченный спектр действий с доступными ему данными;
  • авторизация – получение прав на выполнение совокупности действий, по регламенту дозволенных этому пользователю.

 

Обычно IdM ассоциируют с рядом современных криптографических технологий, прежде всего с инфраструктурой открытых ключей, но первые работы в этом направлении были сделаны намного раньше. В 1984 году известный криптограф Дэвид Чаум разработал основы технологии идентификации с помощью специальных карт и создал математическую модель IdM. Ему принадлежит следующее определение: «IdM – это всеобъемлющий набор процедур, обеспечивающих пользователям безопасный доступ к ресурсам информационных систем, управление присутствием пользователей в системе, а также управление информацией об их идентификации». Его можно дополнить такой формулировкой: «IdM представляет собой категорию взаимосвязанных решений, служащих для управления идентификацией и аутентификацией пользователей, правами и ограничениями на доступ к информации, учетными записями, паролями и другими атрибутами, поддерживающими ролевые функции пользователей в одной или нескольких прикладных системах».

 

В число функций, реализуемых системами IdM, входят:

 

  • управление учетными записями;
  • управление доступом, в том числе идентификация, авторизация и аутентификация;
  • управление защитой персональной информации;
  • управление объединением ресурсов, представляющее собой набор соглашений, стандартов и технологий, обеспечивающих доверительные отношения между распределенными системами;
  • обеспечение «службы одного окна» (Single Sign-On), позволяющей пользователю применять единый механизм для доступа к различным системным ресурсам;
  • персонализация, позволяющая адаптироваться к пользовательским предпочтениям.

 

IdM сегодня и завтра

 

Для широкого распространения IdM требуются общие отраслевые протоколы, представления о семантике, правила обработки; поэтому ряд международных организаций ведет разработку стандартов. Так, консорциум OASIS разрабатывает специализированные стандарты: языки SAML (Security Assertion Markup Language), DSML (Directory Service Markup Language), SPML (Service Provisioning Markup Language), XACML (eXtensible Access Control Markup Language) и др. Альянс Liberty Alliance создает структуру и бизнес-модели. Альтернативный подход разрабатывается в рамках европейского проекта PRIME.

 

Компании, производящие технологии для IdM, можно разделить на две группы. В первую входят поставщики комплексных решений, в их числе Verisign, CA, IBM, Oracle, HP и Sun Microsystems. Вторую, более многочисленную группу, составляют поставщики отдельных решений; среди них такие известные компании, как EMC/RSA Security и BMC.

 

Буквально в последние год-два стало формироваться альтернативное направление, получившее, как это теперь принято, название Identity 2.0. В его основе лежит открытая децентрализованная модель идентификации, и базируется это направление на предположении о возможности создания такой модели идентификации, которая могла бы управляться самим пользователем, без привлечения служб, наделенных особыми полномочиями.

Уведомления об обновлении тем – в вашей почте

Популярные IdM-решения: что и как

Рынок IdM-решений в настоящее время переживает бурный рост, его российский сегмент с каждым днём пополняется новыми вендорами, и выбрать подходящий продукт становится всё сложнее

Вопрос полномочий: как выстроить процесс управления доступом в компании

Любая современная информационная система (ИС) имеет встроенные средства контроля доступа

Экономическая эффективность IdM

Проекты внедрения IdM зачастую требуют больших вложений, и часто у заказчиков возникают вопросы

А нам много и не надо, или IdM для среднего бизнеса

Ситуация на современном рынке IdM такова, что все основные вендоры ориентированы на компании Large Enterprise как на наиболее типового заказчика подобных решений последних лет

Identity Management. Актуально для финансового сектора

Сегодня наблюдается повышенный интерес к теме централизованного управления ИТ-инфраструктурой

Identity Management: взгляд Sun Microsystems

Развитие сетевого сообщества подчиняется тем же законам, что и развитие общества, за одним исключением: все процессы идут во много раз быстрее

Как построить эффективную систему управления доступом

Под эффективной системой управления доступом мы понимаем такую систему, которая решает свои задачи, не отягощая при этом жизнь бизнес-пользователям

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня