Ростислав Рыжков
Для хранения цифровых сертификатов удобно применять смарт-карты или USB-ключи eToken.
Фото ИДДК
Старейший способ не допустить к своей информации посторонних – организовать доступ к ней через ввод имени пользователя и пароля, иначе говоря – через авторизацию пользователя. По данным авторитетной аналитической компании IDC, на долю средств авторизации и администрирования (необходимого для надежной авторизации) уже приходится более 70% от общей суммы затрат, связанных с обеспечением информационной безопасности, и инвестиции в эту сферу ежегодно растут на 30%. На что же расходуются эти деньги.
Именно поэтому сейчас на рынок выходят информационные системы, имеющие встроенную возможность строгой аутентификации при доступе к данным. Подобное решение предлагает и компания «ФОРС – Центр разработки». Она реализует механизм строгого управления доступом к своим прикладным системам на основе использования цифровых сертификатов и LDAP-каталогов. В основе – технологии ORACLE, обеспечивающие строгую аутентификацию пользователей с помощью цифровых сертификатов стандарта X.509. Например, это решение не позволяет злоумышленнику, работая под чужим именем, похитить информацию из базы, а также совершить несанкционированный доступ к приложениям, использующим СУБД Oracle.
Таким образом, вход в систему на основе некоего материального «пропуска» существенно снижает риск получения несанкционированного доступа к информации. Решение, повышающее безопасность данных, построено на основе трех основных компонентов: использование цифрового сертификата в качестве идентификатора пользователя; применение технологий Oracle для организации SSL-соединения LDAP-каталога; использование смарт-карты как носителя цифрового сертификата и ключа.
Рассмотрим, что собой представляют все перечисленные выше компоненты.
Цифровой сертификат – это электронный документ, выданный удостоверяющим центром. Традиционно он используется для идентификации владельца сертификата (компании или пользователя) путем проверки содержащегося в сертификате цифрового ключа. Удостоверяющий Центр, выдающий сертификаты (Certification Authority, CA), заверяет своей электронной подписью соответствие между открытым ключом и именем (идентификатором) его владельца. Подписанные таким образом данные (открытый ключ, идентификатор владельца и некоторые другие связанные с ним атрибуты) и представляют собой цифровой сертификат. Генерация цифровых сертификатов регламентируется стандартом Х.509.
Цифровой ключ, входящий в состав сертификата, также может использоваться для электронно-цифровой подписи и шифрования электронных писем, файлов или трафика, передаваемого по каналам связи. Только определенный получатель может расшифровать сообщение или принятый трафик. При этом он будет уверен, что письмо пришло от легального отправителя и оно не было изменено при пересылке. Эти и многие другие возможности предусматривает концепция PKI (Инфраструктура Открытых Ключей).
LDAP-каталог, LDAP-сервер, SSL-протокол – эти словосочетания сегодня известны всем, кто хотя бы немного интересуется сферой ИТ. Облегченный протокол доступа к каталогу (Lightweight Directory Access Protocol или LDAP) обеспечивает работу клиентских приложений, в том числе «легких» пользовательских агентов, таких как Internet-броузеры, с каталогами, использующими архитектуру X.500. Протокол рассчитан исключительно на использование поверх TCP. Текущая, третья версия этого протокола поддерживает репликацию каталогов и улучшенные средства защиты, в том числе проверку права на установление соединения на основе цифрового сертификата.
Для обеспечения безопасного обмена данными между клиентом и сервером применяется SSL (Secure Sockets Layer) протокол, по которому обмен производится в зашифрованном виде. SSL-соединение в реализации Oracle обеспечивает Oracle Advanced Security, осуществляя обмен трафиком между клиентом и сервером по SSL-протоколу, что делает его перехват практически невозможным.
SSL-соединение между клиентом и базой данных обслуживает LDAP-сервер Oracle, называемый Oracle Internet Directory Server. Именно он хранит учетные записи пользователей и связывает их с цифровыми сертификатами и цифровыми ключами, которые могут размещаться в различных хранилищах. На основе цифровых ключей, являющихся частью цифрового сертификата, производится шифрование SSL-трафика.
Цифровой сертификат, на основе которого происходит идентификация пользователя, может храниться как в самом компьютере, так и на устройстве, которое владелец носит с собой. Для хранения цифровых сертификатов особенно перспективно применение смарт-карт или USB-ключей eToken, поскольку конструктивные особенности не позволяют похитить цифровой сертификат из их памяти. Впервые технология аутентификации с использованием eToken при доступе к базам данных Oracle была представлена компанией «Аладдин» в апреле 2004 года.
