| Název: | Distribuovaná autentizace a autorizace v e-governmentu |
| Autor: | Libor Neumann |
| Publikováno: | Professional Computing 10/2005 |
1 Úvod
Problematika autentizace a autorizace v e-governmenentu je jednou ze základních problematik řešení spolupráce při bezpečném sdílení dat v veřejné správě (VS).
VS pracuje s velkým množstvím informací, které jsou na různých místech a které vyžadují bezpečné řízení přístupu. Sdílené informace mají často charakter osobních údajů, jež vyžadují dodržování specifických bezpečnostních opatření, zejména přesné a auditovatelné řízení přístupu.
Prostředí veřejné správy je z hlediska řízení přístupu k datům podstatně odlišné od komerčních firem. Organizační upořádání, dělba kompetencí a způsoby spolupráce jednotlivých úřadů a organizačních jednotek jsou specifické a mají podstatný vliv na způsob technologického řešení infrastrukturních služeb, včetně služeb autentizace a autorizace (AAS).
2 Potřeby a limity
2.1 Specifické potřeby e-governmentu
VS se skládá z velkého množství samostatných nebo částečně samostatných organizačních jednotek (úřadů). Vztahy mezi nimi jsou komplikované a velmi různorodé. Od čisté podřízenosti přes dílčí podřízenost v jednotlivých agendách, přes metodické vedení až k organizační a kompetenční nezávislosti či rovnému postavení. Významný je také velký počet různorodých subjektů s vlastním personálním řízením. V ČR je více jak 6500 samostatných subjektů VS.
To v kombinaci s velkým počtem pracovníků přináší obrovský problém aktualizace a správy přístupových práv v rozsahu celé VS. Při průměrné tříleté době mezi změnami přístupových práv jednoho pracovníka (vyplývající z normální migrace a služebního postupu) dochází v ČR k asi dvaceti tisícům změn přístupových práv ročně rozprostřených ve více jak 6000 organizacích. To samo je obrovský logistický problém řízení přístupu k centrálním datovým zdrojům a zdroj dodatečných bezpečnostních rizik (i při velmi malé chybovosti a velké kázni při předávání informací o změnách přístupových práv může zůstat až několik tisíc nepodložených přístupových práv ročně).
Správa přístupových práv ve VS má svá další specifika, která vyplývají ze zákonem daných kompetencí a která souvisejí s pověření konkrétních pracovníků vykonáváním nějaké funkce.
A když k tomu přidáme ještě občasné probíhající organizační změny a změny zákonů, inovace aplikací atd., zjistíme, že bez koncepčně řešené distribuované správy přístupových práv respektující organizační specifika VS není příliš veliká šance, jak získat přijatelnou úroveň ochrany sdílených dat spravovaných VS.
2.2 Organizační a bezpečnostní limity
Bezpečnost může být primárně řízena jen tam, kde je možné řídit personální bezpečnost. Tedy řízení bezpečnosti musí respektovat organizační uspořádání VS.
Fungování VS je často a někdy i velmi překvapivě modifikováno legislativou. Není reálné, aby se politická rozhodnutí podřizovala technologickým řešením. Naopak je rozumné, aby technologická řešení byla flexibilní a škálovatelná, aby se mohla přizpůsobit i novým nepředpokládaným změnám legislativy i změnám organizačního uspořádání VS nebo budoucím změnám kompetencí.
Rozvoj a financování ICT ve VS je distribuované. Neexistuje jediné centrum řídící a financující všechny inovace ICT v celé VS.
Zároveň existuje řada dodavatelů a řada platforem, které na trhu soutěží o své uplatnění ve VS. Ty mají své implementace a nebývá účelné ani ekonomické měnit platformu nebo dodavatele kvůli jednomu dílčímu systému.
Autorizace a autentizace tedy musí fungovat jako celek pro veškerou VS, přitom jednotlivé dílčí ICT systémy jsou časově nezávisle inovovány, jsou na různých platformách, rozhodování probíhá nekoordinovaně a s velkým vlivem politických rozhodnutí včetně vlivů legislativy. K tomu ještě přistupují specifika personálního řízení v jednotlivých organizacích a specifika řízení informační bezpečnosti v organizacích VS, které data poskytují i které data používají.
2.3 Technologické možnosti a omezení
Současné technologie ICT mají své možnosti a svá omezení. Na trhu existuje celá řada způsobů autentizace a autorizace. Žádné existující technologické řešení autentizace a autorizace samo o sobě nevyhovuje všem potřebám autentizace a autorizace ve VS.
Běžné způsoby autentizace se dají použít více či méně efektivně v jediné organizaci (autentizace v operačních systémech, portály, různé "single-sign-on" systémy, atd.)
Ve světě existují také první pokusy o integrované autentizační systémy přesahující hranice jedné organizace ("federativní autentizace", např. MS Passport, Liberty Alliance). Tyto aktivity reagují na obrovský problém správy klientských účtů na internetu. Zatím tyto systémy nejsou v praxi příliš rozšířeny a nemají dost stabilní a technologicky rozšířenou implementaci, navíc nerespektují specifika VS.
Existují různé autentizační technologie a možnosti. Ty se liší cenou, úrovní bezpečnosti i rozšířením v praxi. Jedná se o technologie, jako je známý a nejjednodušší způsob login/password, využití časově omezeného hesla (heslo pro jedno použití), autentizační certifikát (na různých nosičích), biometrická autentizace (otisk prstů, dlaně, oko, obličej, hlas) až po vícefaktorovou autentizaci kombinující různé metody.
Pouze technologie certifikátu umožňuje uschování autorizačních parametrů. Ostatní technologie jsou čistě autentizační. Technologie certifikátu vynucuje používání autentizačního předmětu, který je nosičem certifikátu. Možnost uschování autorizačních parametrů v certifikátu je v rozměru VS kontraproduktivní (je komplikované a přenese problém jinam místo vyřešení). Proto nebyla využita.
3 Popis řešení
Na základě analýzy potřeb, analýzy specifik VS a analýzy dostupných technologií bylo navrženo řešení, které je popsáno v dalším textu. Řešení je založeno na využití soustavy vzájemně spolupracujících LDAP adresářů, které dohromady vytvářejí sdílenou "generickou" autentizační a autorizační službu. Tuto službu mohou využívat aplikace poskytující konkrétní datové zdroje různým způsobem.
3.1 Celkový popis
Pro popis řešení budou užívány pojmy:
- cílová OVS - Organizace veřejné správy (OVS), v ní jsou uživatelé, kteří přistupují k cizím datovým zdrojům, tedy uživatelé, kterým jsou data určena.
- zdrojová OVS - OVS, která vlastní datový zdroj, kde je provozován IS spravující datový zdroj. Není podstatné, zda provoz zajišťují pracovníci zdrojové OVS či zda je provoz IS outsoursován.
- AAS - autentizační a autorizační služba.
- EAD - externí autorizační databáze.
Základním prvkem řešení je EAD. To je objektová databáze obsahující informace o uživatelích z cílové OVS.
Autorizační databáze je tam, kde jsou uživatelé. To je podstatný rozdíl oproti klasické správě uživatelů, kde je autorizační databáze bývá u datového zdroje či v operačním prostředí IS, ve kterém pracuje datový zdroj.
Na hranici mezi cílovou OVS a propojovací sítí je stanoveno základní rozhraní, na kterém jsou dostupná data z EAD pomocí standardního otevřeného protokolu. Jedná se o LDAP s definovanými třídami X.500 objektů.
Cílová OVS je odpovědná za to, že příslušné autentizační a autorizační údaje budou standardními prostředky on-line dostupné pro všechny zdrojové OVS, se kterými spolupracuje a které jejím pracovníkům poskytují informace.
Druhé, volitelné rozhraní je mezi zdrojovým IS a virtuální adresářovou službou. Na tomto rozhraní dostává zdrojový IS informace o všech uživatelích z partnerských organizací v jediné virtuální X.500 databázi přístupné přes standardní LDAP. Tato služba je poskytována proto, aby tvůrce a správce zdrojového IS nebyl zatěžován problematikou partnerských vztahů mezi OVS a správa těchto partnerských vztahů mohla být oddělena (včetně příslušných nastavení oprávnění na úrovni vazeb mezi organizacemi). To zjednoduší tvorbu aplikací, kde autoři mohou pracovat s představou jediné externí X.500 databáze přístupné přes LDAP, a také správu bezpečnosti OVS, kde správce může odděleně určovat, které EAD mají být začleněny do autorizačního systému každé aplikace.
K tomu je využíváno technologie virtuálních adresářů pomocí LDAPproxy. Celkové řešení je schematicky znázorněno na následujícím obr. 1.
Obrázek 1 - Celkové schéma distribuované autentizace a autorizace
3.2 Správa uživatelů
Správu uživatelů provádí správce cílové OVS ve své vlastní EAD. V EAD má každý uživatel svůj uživatelský objekt obsahující informace potřebné k identifikaci uživatele, autentizační informace (specifické podle užívané technologie či technologií autentizace), autorizační údaje a případně další údaje o uživateli.
Údaje o uživateli mohou být používány i k jiným účelům než k autentizaci a autorizaci např. jako běžné adresářové služby pro elektronickou poštu či součást PKI.
Reálné aplikace potřebují často podstatně náročnější a individuální způsoby přidělování práv, než jsou používány např. ve filesystémech operačních systémů. Proto EAD pracuje s autorizačními údaji každé aplikace nezávisle.
Přidělování práv z pohledu správy uživatelů se děje tím, že správce cílové OVS s příslušným oprávněním modifikuje hodnoty příslušných autorizačních atributů u příslušného uživatelského objektu ve své EAD podle významu, který je specifický pro příslušnou zdrojovou aplikaci.
To znamená, že každý uživatelský objekt v EAD obsahuje všechny autorizační atributy všech externích aplikací, ke kterým má uživatel nějaké oprávnění, a to nezávisle na tom, kde jsou provozovány externí datové zdroje. To umožňuje nejen jednoduchou a efektivní správu přístupových práv, a to v organizaci, kde uživatel pracuje, ale také to umožňuje uživateli užívat jedinou autentizaci pro přístup ke všem externím datovým zdrojům. Obojí podstatně přispívá k celkové úrovni bezpečnosti i při využívání standardních a dostupných technologií.
3.3 Autorizace
Autorizaci vždy provádí zdrojová OVS na základě informací získaných od cílové OVS a svých dalších informací.
AAS zajišťuje zdrojové OVS informace k řízení informační bezpečnosti svých datových zdrojů.
Zdrojová OVS rozhoduje o tom, které EAD bude využívat, tedy se kterými partnerskými cílovými OVS bude spolupracovat.
Zdrojový IS může použít dvou různých přístupů:
- Využije volitelné rozhraní virtuálního adresáře, kde má pomocí virtuální adresářové služby namapovány uživatele ze všech cílových EAD v jediné LDAP databázi (jako je zobrazeno na obr 1 v případě OVS B.).
- Bude přímo používat základní rozhraní a přímou komunikaci se všemi EAD (jak zobrazeno na obr. 1 v případě OVS C).
Každé řešení má své výhody i nevýhody.
Použití virtuálního adresáře je flexibilnější a jednodušší pro správu, zejména pokud je více různých zdrojových aplikací či IS. Schematicky je mapování pomocí virtuálního adresáře znázorněno na obr. 2.
Přímé využití rozhraní EAD ze zdrojové aplikace umožňuje vynechat jeden prvek (LDAPproxy) a nebo kombinovat síťovou bezpečnost s autentizací a odlišovat autentizaci z jednotlivých cílových OVS podle dalších atributů (např. podle IP adresy komunikace se zdrojovou aplikací).
Obrázek 2 - Princip mapování EAD do virtuálního adresáře pro různé datové zdroje
3.4 Autentizace
Popisované řešení je otevřené vůči různým technologiím autentizace. EAD obsahuje autentizační atributy svázané s objektem uživatele, které příslušná autentizace používá.
Autentizaci samotnou AAS neprovádí. Vlastní autentizaci provádí vždy nějaká jiná aplikace či systémové prostředí, a to standardním způsobem.
Řešení bylo ověřeno pro dvě základní běžně používané autentizační technologie:
- login/password,
- autentizační certifikát.
Řešení umožňuje používat certifikátů od různých certifikačních autorit (CA), pokud tyto CA zajišťují unikátnost identifikátoru certifikátu. Certifikát není třeba zneplatňovat při změně autorizačních práv či jiných údajů. Je možné používat jak certifikátů vydávaných speciálními CA VS, tak běžných veřejných CA, a to i v kombinaci.
Pro vlastní autentizaci se v praxi používají dvě strategie:
- přímá autentizace,
- nepřímá autentizace.
Přímou autentizaci provádí zdrojová aplikace, se kterou uživatel přímo komunikuje (vzdáleně). Tento způsob autentizace je výhodný pro rychlá a jednoduchá řešení přístupu k datům, např. při přímém on-line přístupu na web server pomocí standardního browseru.
Strategie nepřímé autentizace se používá při komunikaci mezi propojenými aplikacemi. Uživatel se autentizuje proti své lokální aplikaci či svému operačnímu prostředí. Pomocí své aplikace pak požaduje nějakou službu po zdrojové aplikaci. Součástí požadavku (datové zprávy), kterou posílá cílová aplikace zdrojové aplikaci, je také identifikace uživatele (podle jeho lokální autentizace). To je perspektivní a výhodné pro časté a objemné výměny dat a vyšší stupeň integrace IS ve VS.
4 Praktické použití
Popsané řešení bylo v praxi poprvé použito v roce 2001 pro řízení přístupu k centrálnímu registru obsahujícímu osobní údaje. Bylo postupně nasazeno v rámci několika ministerstev a v současné době slouží ke správě přístupových práv k externím zdrojům několika tisíc uživatelů ve VS. Celé řešení včetně správy uživatelů bylo opakovaně kontrolováno nezávislým úřadem (ÚOOÚ), a to včetně příslušných návazných organizačních postupů. Nebyly nalezeny podstatné vady a neshody s platnou legislativou.
5 Závěry
Popsaný systém autentizace a autorizace se ukázal jako technicky realizovatelný v rozměrech potřebných pro e-government. Je prakticky nasaditelný z hlediska organizačního a kompetenčního. Byla nezávisle ověřena jeho kompatibilita se zákonnými požadavky ochrany osobních údajů.
Systém je technologicky neutrální, není postaven na produktech jediného dodavatele a umožňuje realizaci různými dodavateli na různých platformách. Systém je otevřený k dalšímu rozvoji. Je možné v budoucnu jej rozšířit o možnost komunikace v dalších standardních protokolech (např. SAML). Systém je otevřený i k dalším technologiím autentizace, jako je heslo pro jedno použití, využití biometrických metod atd.
