«Открытые системы»
За старомодными оборотами «Разрешите представиться» и «Разрешите вам представить» обнаруживаются технологические приемы идентификации личности. На социальном уровне проблемы идентификации частично решены и продолжают решаться, а на сетевом к ним еще только приступают.
Концепция Identity Management относительно нова, она стала предметом особенно активного обсуждения с 2000 года, когда пристальное внимание к ней привлекли работы аналитиков таких компаний, как Burton Group и Gartner. Идеи, собранные в данной концепции, оказались особо привлекательными для компаний, специализирующихся на вопросах информационной безопасности. Эти компании в значительной мере узурпировали представление о ней, сведя концепцию к совокупности технологий, чем существенно сузили содержание, выходящее далеко за технологические рамки. В действительности же концепция эта вовсе не так тривиальна, не столь технологична, как ее обычно представляют.
В России сложностей еще больше. Начнем с того, что перевести или даже в нескольких словах объяснить по-русски установившийся английский термин Identity Management чрезвычайно сложно. В оригинале слово identity имеет массу значений — от «индивидуальности личности» в психологии до «тождества» в математике. Для толкования обсуждаемой концепции подходят разные значения этого слова. Проблемы усугубляются сложностями перевода слова management: ни «управление», ни «контроль» в данном случае не подходят. Поскольку появившиеся переводы — «управление идентичностью» и «управление идентификационной информацией» — далеко не бесспорны, остановимся на аббревиатуре IdM.
В то же время очень просто представить, что такое IdM, если обратиться к аналогии с комплексом действий с документами, удостоверяющими личность. Прежде всего, аналогия состоит в том, что, как и в сети, в реальной жизни в давние времена людям не нужны были документы вообще. С развитием связей появились посольские грамоты и рукописные паспорта. За исключением двух империй — Российской (введены Петром I) и Оттоманской, паспорта использовались только для зарубежных поездок, отсюда и перевод названия как «пропуск в порт». Но с увеличением мобильности населения идентификационные документы стали требовать повсеместно. В наше время даже в США, стране, которая дольше других продержалась без внутренних удостоверений личности, все чаще можно услышать слово «ай-ди» (ID), скажем, в гостинице или при регистрации на конференции. Идентификационный документ (Identity Document), или удостоверение, — только часть системы; в нее входят также организации, которые его выдают, носители документов, службы, которые устанавливают соответствие документов личности носителя, и т. д. Все вместе они образуют «человеческую» систему Identity Management. Очень скоро документы станут снабжаться чипами, где совокупность идентификационных признаков будет оцифрована, и мы, таким образом, обретем «цифровую идентификацию» (digital identity).
IdM как система
В контексте IdM понятие identity можно рассматривать как восприятие совокупности характеристик и свойств некоторой сущности, позволяющих ее однозначно идентифицировать. Говоря о «человеческой индивидуальности», это понятие надо разделить на собственное осознание себя как индивидуальности и на отождествление человека как определенного субъекта социума. В таком случае на примере паспортного контроля процедура идентификации состоит в установлении принадлежности документа его предъявителю. Двуединая природа identity чрезвычайно важна для понимания того, что такое digital identity. Это понятие можно определить как совокупность признаков, проявляемых какой-то сущностью, чтобы быть воспринятой цифровым социумом. Процедура установления тождественности digital identity позволяет определить цифровую идентичность человека по «цифровым идентификационным характеристикам» (Personal Identifiable Information, PII). Так устанавливается тождественность между человеком и его цифровой идентичностью.
Этой цели служит система IdM. Параметры PII идентифицируют роль человека в среде, а IdM осуществляет администрирование PII в соответствии с заданными правилами. Действия системы IdM разделяются на следующие этапы:
- идентификация — установление системой IdM по введенным показателям PII личности его владельца;
- аутентификация — установление подлинности по паролям, различного рода ключам (токенам, картам) или по биометрическим показателям; по выполнении этих двух этапов пользователь может предпринимать некоторый ограниченный спектр действий с доступными ему данными;
- авторизация — получение прав на выполнение совокупности действий, по регламенту дозволенных этому пользователю.
Обычно IdM ассоциируют с рядом современных криптографических технологий, прежде всего с инфраструктурой открытых ключей, но первые работы в этом направлении были сделаны намного раньше. В 1984 году известный криптограф Дэвид Чаум разработал основы технологии идентификации с помощью специальных карт и создал математическую модель IdM. Ему принадлежит следующее определение: «IdM — это всеобъемлющий набор процедур, обеспечивающих пользователям безопасный доступ к ресурсам информационных систем, управление присутствием пользователей в системе, а также управление информацией об их идентификации». Его можно дополнить такой формулировкой: «IdM представляет собой категорию взаимосвязанных решений, служащих для управления идентификацией и аутентификацией пользователей, правами и ограничениями на доступ к информации, учетными записями, паролями и другими атрибутами, поддерживающими ролевые функции пользователей в одной или нескольких прикладных системах».
В число функций, реализуемых системами IdM, входят:
- управление учетными записями;
- управление доступом, в том числе идентификация, авторизация и аутентификация;
- управление защитой персональной информации;
- управление объединением ресурсов, представляющее собой набор соглашений, стандартов и технологий, обеспечивающих доверительные отношения между распределенными системами;
- обеспечение «службы одного окна» (Single Sign-On), позволяющее пользователю применять единый механизм для доступа к различным системным ресурсам;
- персонализация, позволяющая адаптироваться к пользовательским предпочтениям.
IdM сегодня и завтра
Для широкого распространения IdM требуются общие отраслевые протоколы, представления о семантике, правила обработки; поэтому ряд международных организаций ведет разработку стандартов. Так, консорциум OASIS разрабатывает специализированные стандарты: языки SAML (Security Assertion Markup Language), DSML (Directory Service Markup Language), SPML (Service Provisioning Markup Language), XACML (eXtensible Access Control Markup Language) и др. Альянс Liberty Alliance создает структуру и бизнес-модели. Альтернативный подход разрабатывается в рамках европейского проекта PRIME.
Компании, производящие технологии для IdM, можно разделить на две группы. В первую входят поставщики комплексных решений; в том числе Verisign, CA, IBM, Oracle, HP и Sun Microsystems. Вторую, более многочисленную группу составляют поставщики отдельных решений; среди них такие известные компании, как EMC/RSA Security и BMC.
Буквально в последние год-два стало формироваться альтернативное направление, получившее, как это теперь принято, название Identity 2.0. В его основе лежит открытая децентрализованная модель идентификации, и которое базируется на предположении о возможности создания такой модели идентификации, которая могла бы управляться самим пользователем, без привлечения служб, наделенных особыми полномочиями.