Zabezpečení založené na identitě

Zabezpečení založené na identitě (Identity-based security) je bezpečnostní model, který určuje, zda bude uživateli přiděleno oprávnění přístupu ke zdroji na základě identity uživatele. V rámci tohoto modelu je oprávnění přístupu přiděleno ke konkrétnímu identifikátoru subjektu (např. uživatelské jméno). Přístup ke zdroji je subjektu udělen pouze v případě, že takové propojení existuje.^[1]

Modely založené na identitě potřebují určité informace o totožnosti uživatelů, kteří žádají o přístup. Například poskytovatel informací potřebuje ověření totožnosti u žadatele. K tomu slouží SAMPL (Security Assertion Markup Language), který splňuje kritéria potřebná k předávání informací o identitě.^[2]

Historie[editovat | editovat zdroj]

Identita existovala dlouho před počítači a online správou. Lidé dostávali jména, a právě jméno osoby představovalo její identitu. V digitálním světe se identita od té, kterou známe z běžného života tolik neliší. Stále máme jedinečné identifikátory, abychom mohli rozeznávat jednotlivé uživatele.^[3]

První digitální identity vytvořil Fernando Corbató, který v 60. letech 19. století zavedl používání hesel k uchování soukromí u jednotlivých souborů. Zavedení hesla souviselo s operačním systémem pro počítače zvaným Compatible Time-Sharing System (CTSS), který vyvinul Corbató. Operační systém CTTS umožňoval rozdělit výpočetní výkon počítače, aby mohl sloužit více uživatelům najednou.^[4]

Techniky ověřování[editovat | editovat zdroj]

Model zabezpečení založený na identitě využívá k identifikaci více technik k ověřování včetně toho^[5]:

Co uživatel má – Uživatel musí mít objekt neboli bezpečnostní token, který mu umožní přístup.
Co uživatel ví – Uživatel musí vědět přístupový kód, nejčastějšími přístupovými kódy bývají hesla nebo čísla PIN.
Co je součástí uživatele – Identifikace uživatele proběhne pomocí jeho biometrie a nejběžnějšími biometrickými metodami jsou otisk prstu a rozpoznání obličeje.

Pokud je při ověřování vyžadováno více kroků, jedná se buď o dvoufázové ověření (2FA) nebo vícefázové ověření (MFA). To znamená, že k přístupu je potřeba například kombinace toho, co uživatel ví (heslo) a co je součástí uživatele (otisk prstu).^[5]

Všechny tyto techniky jsou spolehlivé při udělování oprávnění přístupu, ale ani jedna neřeší skryté hrozby. Největší zranitelnost tohoto modelu je v tom, že uživatel, kterému jsou přidělena oprávnění přístupu na základě jeho důvěryhodnosti nemusí být důvěryhodný navždy.^[5]

Seznam řízení přístupu[editovat | editovat zdroj]

Jedním z příkladů, jak model zabezpečení založený na identitě funguje je využívání seznamu pro řízení přístupu (Access Control List), který se běžně vyskytuje v operačních systémech a síťových bezpečnostních službách. Koncept seznamu řízení přístupu je velmi jednoduchý. Jedná se o tabulku, která určuje, jaká přístupová práva má uživatel ke konkrétnímu zdroji, označovanému jako objekt, například k jednotlivým souborům. Každý objekt v systému, ke kterému je kontrolován přístup má svůj vlastní seznam řízení přístupu, který zahrnuje položku pro každého uživatele systému s přístupovými oprávněními. Nejčastějšími oprávněními jsou čtení a zápis.^[1]

Výhody[editovat | editovat zdroj]

Umožňuje efektivně a snadno kontrolovat k jakým funkcím, službám nebo procesům uživatelé mají přístup.

Nevýhody[editovat | editovat zdroj]

Počet identifikátorů v seznamu řízení přístupu se zvyšuje s počtem uživatelů, kteří požadují přístup, což znemožňuje škálování těchto přístupů.
Při každém zjišťování oprávnění přístupu musí být kontrolován seznam řízení přístupu, to je považováno za neúčinný způsob kontroly.

Další modely řízení přístupu[editovat | editovat zdroj]

MAC - Mandatory access control

DAC - Discretionary Access Control
RBAC - Role-Based Access Control
ABAC - Attribute-Based Access Control
HBAC - History-Based Access Control
OBAC - Organizational-Based Access Control

Reference[editovat | editovat zdroj]

↑ ^a ^b ESFANDI, Abolfazl; SABBARI, Mehdi. Study of Access Control Issue in Web Services. International Journal of Computer Applications [online]. 2012 [cit. 2020-12-20]. Čís. 49. Dostupné online.
↑ GUO, Song; LAI, Xiaoping. An Access Control Approach of Multi_Security Domain for Web Service. Procedia Engineering. 2011-01-01, roč. 15, čís. CEIS 2011, s. 3376–3382. Dostupné online [cit. 2020-12-20]. ISSN 1877-7058. DOI 10.1016/j.proeng.2011.08.633. (anglicky)
↑ MACKRORY, Mike. A Brief History of Identity Management. Sonrai Security [online]. 2019-11-20 [cit. 2020-12-20]. Dostupné online. (anglicky)
↑ Computer password inventor dies aged 93. BBC News. 2019-07-15. Dostupné online [cit. 2020-12-20]. (anglicky)
↑ ^a ^b ^c ALMEHMADI, A.; EL-KHATIB, K. On the Possibility of Insider Threat Prevention Using Intent-Based Access Control (IBAC). IEEE Systems Journal. 2017-06, roč. 11, čís. 2, s. 373–384. Dostupné online [cit. 2020-12-20]. ISSN 1937-9234. DOI 10.1109/JSYST.2015.2424677.

[:0-1] ESFANDI, Abolfazl; SABBARI, Mehdi. Study of Access Control Issue in Web Services. International Journal of Computer Applications [online]. 2012 [cit. 2020-12-20]. Čís. 49. Dostupné online.

[2] GUO, Song; LAI, Xiaoping. An Access Control Approach of Multi_Security Domain for Web Service. Procedia Engineering. 2011-01-01, roč. 15, čís. CEIS 2011, s. 3376–3382. Dostupné online [cit. 2020-12-20]. ISSN 1877-7058. DOI 10.1016/j.proeng.2011.08.633. (anglicky)

[3] MACKRORY, Mike. A Brief History of Identity Management. Sonrai Security [online]. 2019-11-20 [cit. 2020-12-20]. Dostupné online. (anglicky)

[4] Computer password inventor dies aged 93. BBC News. 2019-07-15. Dostupné online [cit. 2020-12-20]. (anglicky)

[:1-5] ALMEHMADI, A.; EL-KHATIB, K. On the Possibility of Insider Threat Prevention Using Intent-Based Access Control (IBAC). IEEE Systems Journal. 2017-06, roč. 11, čís. 2, s. 373–384. Dostupné online [cit. 2020-12-20]. ISSN 1937-9234. DOI 10.1109/JSYST.2015.2424677.

[1]

[2]

[3]

[4]

[5]