Rok / Year:
2012
Svazek / Volume:
14
Číslo / Issue:
2
Řízení přístupu v počítačových sítích
Access control in computer networks
Karel Burda
burda@feec.vutbr.cz
Fakulta elektrotechniky a komunikačních technologií VUT v Brně.
Abstrakt: Článek rozšiřuje teorii řízení přístupu. Je v něm upřesněna terminologie a jsou zavedeny
pojmy systém řízení přístupu, subsystém řízení přístupu a síť řízení přístupu. Dále je v článku navržena taxonomie, která usnadňuje popis a bezpečnostní analýzu složitých systémů a sítí řízení přístupu.
Abstract: The paper extends the theory of access control. The terminology is specified and new terms
are defined here. In addition, the taxonomy is introduced in the paper. This taxonomy facilitates the
description and security analysis of complex access control systems and networks.
2012/28 – 19. 4. 2012
Řízení přístupu v počítačových sítích
Karel Burda
Fakulta elektrotechniky a komunikačních technologií VUT v Brně
Email: burda@feec.vutbr.cz
Abstrakt – Článek rozšiřuje teorii řízení přístupu. Je v něm
upřesněna terminologie a jsou zavedeny pojmy systém řízení
přístupu, subsystém řízení přístupu a síť řízení přístupu. Dále
je v článku navržena taxonomie, která usnadňuje popis a bezpečnostní analýzu složitých systémů a sítí řízení přístupu.
Praktická použitelnost navržené terminologie a taxonomie je
ilustrována na popisu reprezentativní sady prakticky používaných systémů a sítí řízení přístupu. V článku jsou dále identifikovány významné vývojové trendy v této oblasti. Jedním z
těchto trendů je trend zvyšování bezpečnosti jednotlivých zařízení tím, že se kombinují metody řízení přístupu s metodami
kryptografické ochrany. V článku je popsán univerzální rámec
řízení přístupu, který zmiňovaný trend umožňuje efektivně
zavést do praxe. Princip navrženého rámce spočívá v tom, že
každé síťové zařízení je vybaveno tzv. portálem řízení přístupu,
což je autonomní systém pro řízení přístupu daného zařízení.
Portály řízení přístupu jednotlivých síťových zařízení navzájem komunikují pomocí specializovaného protokolu, který jim
umožňuje sjednat požadovaná aktiva, sjednat autentizační
metodu, provést autentizaci, schválit přístup a provádět účtování.
1 Úvod
Počítačové sítě umožňují svým uživatelům využívat různé
služby. Poskytovatelé těchto služeb však potřebují přístup k
poskytovaným službám regulovat. Nejčastěji je účelem této
regulace požadavek zajistit důvěrnost poskytovaných informací nebo potřeba vynutit si platby za poskytované služby. Zmiňovaná regulace se nazývá řízení přístupu (Access Control) a
zajišťuje, že poskytované informace nebo služby jsou dostupné pouze těm zájemcům, kterým to poskytovatel služby (tzv.
autorita) povolil. V případě rozsáhlejších sítí a velkého počtu
uživatelů je správa související s řízením přístupu poměrně
složitý problém.
Pro řízení přístupu v první paketové síti (ARPANET) byl v
roce 1984 použit síťový protokol TACACS (Terminal Access
Controller Access Control System). V tomto protokolu [1]
žadatel připojený k přístupovému uzlu TAC (Terminal Access
Controller) zaslal své uživatelské jméno i heslo. Uzel TAC
zaslal tyto informace autentizačnímu serveru (Login Host),
který je ověřil (Authentication). V případě pozitivního výsledku autentizace byl uživatel připojen do sítě (Authorization).
Potřeba vyšší bezpečnosti, výkonnosti a spolehlivosti si vynutila vytvoření nových protokolů pro řízení přístupu uživatelů
do sítě. Jednalo se o protokol RADIUS (Remote Authentication Dial In User Service) [2, 3] a o protokol TACACS+ [4].
Oba tyto protokoly byly standardizovány v roce 1997 a kromě
autentizace i autorizace umožňovaly i účtování přístupů (Ac-
counting). Vznikla tím nová třída síťových protokolů, která
umožňuje centralizované řízení i účtování přístupu uživatelů
do sítě. Podle počátečních písmen poskytovaných funkcí (Authentization, Authorization, Accounting) se tyto protokoly
označují jako protokoly AAA. Nejnovějším zástupcem této
třídy protokolů je protokol Diameter [5] z roku 2003. Tento
protokol by měl protokoly RADIUS a TACACS+ postupně
nahradit.
Souběžně s řízením přístupu uživatelů do sítě jako celku se
vyskytl problém řízení přístupu uživatelů sítě k jednotlivým
zdrojům informací a k jednotlivým službám (tj. k serverům).
Provozovatelé serverů potřebovali stejně jako provozovatelé
sítí regulovat přístup k nabízeným službám. Tuto regulaci však
bylo zapotřebí většinou řešit individuálně pro každý jednotlivý
server a nikoliv pro více přístupových bodů jako tomu je v
případě celé sítě. Autorizace a případně i účtování se proto
prováděly lokálně na daném serveru a k řízení přístupu uživatelů postačovalo vytvořit síťový autentizační protokol. K historicky prvním protokolům tohoto typu náleží protokol Kerberos [6], který byl publikován v roce 1988. U webových serverů
se od roku 1996 začala používat jednodušší autentizace uživatelů podle standardu [7]. Potřeba sdílení informací a služeb si
však v této oblasti vynucuje stále nová řešení (např. OpenID
[8]).
Autentizační i AAA protokoly zažívají v současné době
značný rozmach. Jejich vývoji a praktickému nasazení se
věnuje velká pozornost. Teoretický základ těchto protokolů,
kterým je problematika řízení přístupu, však zůstává stranou
zájmu. Tento článek je proto věnován rozšíření a upřesnění
teorie řízení přístupu. V článku je obecně popsáno řízení přístupu a je uvedena taxonomie systémů a sítí řízení přístupu. Z
tohoto obecného pohledu jsou charakterizovány některé nejznámější systémy a sítě řízení přístupu. Dále jsou popsány
některé vývojové trendy řízení přístupu v počítačových sítích a
nakonec je popsán návrh univerzálního rámce řízení přístupu.
2 Systém řízení přístupu
Počítačovou síť, jednotlivé počítače nebo síťová zařízení a
jimi poskytované služby nebo data budeme nazývat počítačovými aktivy nebo zkráceně aktivy. Systém určený pro řízení
přístupu uživatelů k těmto aktivům nazveme systém řízení
přístupu. Majitel aktiv nebo jím delegovaný správce se nazývá
autorita. Autorita rozhoduje o zařazení zájemců na seznam
oprávněných uživatelů aktiv a stanovuje jejich přístupová
práva. Před zařazením zájemce na seznam uživatelů aktiv
musí proběhnout tzv. autorizace. V jejím rámci autorita se
zájemcem sjedná jeho identitu (tj. jeho unikátní označení v
rámci seznamu uživatelů aktiv), jeho přístupová práva a autentizační údaje. Autentizační údaje sestávají z dokazovacího
28 – 1
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
faktoru a ověřovacího faktoru. Dokazovací faktor umožňuje
uživateli dokázat jeho identitu a ověřovací faktor umožňuje
systému řízení přístupu ověřit identitu uživatele. Příkladem
dokazovacího faktoru je heslo uživatele, soukromý klíč uživatele, obraz otisku jeho prstu apod. Ověřovacím faktorem je
například haš uživatelova hesla, veřejný klíč uživatele, popis
markantů v otisku jeho prstu apod. V případě vzájemné autentizace se sjednají příslušné faktory pro oba směry autentizace.
Po uskutečnění autorizace může uživatel žádat o přístup k
aktivům prostřednictvím systému řízení přístupu.
Systém řízení přístupu se fyzicky nachází mezi uživateli a
aktivy (viz obr. 1). Tento systém zajišťuje uživatelům přístup
k aktivům v souladu s jejich přístupovými právy a v souladu s
přístupovou politikou autority. Údaje, které definují přístupovou politiku, přístupová práva uživatelů a jejich ověřovací
faktory nazveme konfigurační data. Konfigurační data vkládá
do systému řízení přístupu příslušná autorita. Systém řízení
přístupu může pro autoritu shromažďovat určité informace o
provedených přístupech (účtovací údaje). To dovoluje jednoznačné účtování služeb nebo bezpečnostní audit aktivit uživatelů.
Autorita
Konfigurační data
Uživatelé
Účtovací data
Systém
řízení
přístupu
Aktiva
Obr. 1: Místo systému řízení přístupu.
Každý systém řízení přístupu sestává ze tří základních prvků (viz obr. 2), které obecně navzájem komunikují prostřednictvím komunikačního systému. Jedná se o následující prvky:
 brána: prvek, který umožňuje uživatelům přístup k aktivům,
 autentizátor: prvek, který provádí ověření identity (autentizaci) žadatelů,
 kontrolér: prvek, který zajišťuje řízení celého systému.
Systém řízení přístupu
Kontrolér
Žadatel
Komunikační
systém
Brána
Aktiva
zace může být i oboustranná. V tomto případě si žadatel a
autentizátor v průběhu své komunikace stanoveným způsobem
vyměňují role. Výstupem autentizace je zpráva o ověření identity žadatele, tzv. výsledek autentizace.
Výsledek autentizace je předán kontroléru. V případě pozitivního výsledku autentizace kontrolér zkontroluje, zda jsou
splněny všechny podmínky pro povolení přístupu a zjistí práva
žadatele. Zpravidla je zjišťuje nahlédnutím do své lokální
databáze nebo je odvozuje z pravidel stanovených autoritou.
Na základě zjištěných práv žadatele a případně dalších kontextových informací (např. provozní zatížení bran) vytvoří kontrolér nařízení pro bránu. Toto nařízení je zpráva, která popisuje přístupová práva žadatele a případně obsahuje další potřebné údaje (např. přiřazení IP adresy žadatele). Nařízení je
bezpečným způsobem předáno bráně. Systém řízení přístupu
dále ještě vygeneruje oznámení pro žadatele. Toto oznámení je
zpráva určená žadateli a obsahuje informaci o povolení, či
nepovolení přístupu a popřípadě i další informace (např. výčet
poskytnutých práv nebo přidělenou IP adresu). Pokud je nutno
mezi žadatelem a bránou provést další autentizaci, tak nařízení
i oznámení obsahují autentizační faktory nebo informace potřebné k získání těchto faktorů. Výše popsanou fázi řízení
přístupu nazveme schvalování přístupu nebo zkráceně schvalování.
Nyní má žadatel k dispozici oznámení a brána má k dispozici příslušné nařízení. Na základě informací obsažených v
těchto zprávách obě strany zahájí komunikaci. V průběhu této
komunikace brána umožní žadateli přístup k aktivům podle
práv uvedených v nařízení.
Pokud systém řízení přístupu zajišťuje i evidenci aktivit
uživatelů (tzv. účtování), tak brána zasílá kontroléru informace
o přístupech a případně i o jiných aktivitách daného žadatele
(např. pokusy o neoprávněný přístup). Tyto informace kontrolér shromažďuje a zpracovává za účelem pozdějšího auditu
nebo vyúčtování služeb. V některých systémech řízení přístupu účtování neprovádí kontrolér, ale specializované zařízení,
tzv. účtovací server (účtovatel).
Výše popsané fungování systému řízení přístupu lze schematicky znázornit podle obr. 3. Žadatel nejprve zašle do systému žádost o přístup k aktivům. Autentizátor pomocí stanovené autentizační techniky ověří identitu žadatele (autentizace). Kontrolér následně zjistí přístupová práva žadatele a
zformuluje je do podoby nařízení pro bránu (schválení). Brána
podle tohoto nařízení umožňuje přístup žadatele k aktivům
(přístup). Volitelně brána zasílá kontroléru informace o provedených přístupech daného žadatele (účtování).
Autentizátor
Schválení
(Kontrolér)
Žadatel
Obr. 2: Struktura systému řízení přístupu.
Přístup
Autentizace
(Autentizátor)
Identita
(Brána)
Účtování
Systém řízení přístupu obecně funguje následovně. Uživatel (tzv. žadatel) nejprve odešle systému řízení přístupu žádost
o přístup k aktivům. Následně proběhne autentizace, která
proběhne formou komunikace mezi žadatelem a autentizátorem. V rámci této komunikace žadatel prokazuje skutečnost,
že disponuje dokazovacím faktorem příslušného uživatele.
Autentizátor si tuto skutečnost ověřuje pomocí ověřovacího
faktoru, který bezpečným způsobem získal od autority. Zpravidla má tyto faktory uloženy ve své lokální databázi. Autenti-
Práva
(Kontrolér)
Přístupy
Obr. 3: Fungování systému řízení přístupu.
Poznamenáváme, že v tomto článku se autoritou rozumí
majitel nebo správce aktiv (tj. osoba a nikoliv zařízení) a autorizace je chápána jako jednorázový akt, kterým je definován
budoucí oprávněný uživatel, jeho přístupová práva a potřebné
28 – 2
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
autentizační údaje. V protokolech AAA (např. [5]) se obvykle
autoritou rozumí kontrolér a za autorizaci je označováno
schvalování. Takové pojetí však vnáší zmatek do významu
základních bezpečnostních pojmů jako je důvěrnost nebo
integrita. Například důvěrnost je definována jako "zajištění, že
informace je přístupná pouze těm, kteří byli autorizováni, aby
k ní měli přístup" [9]. Pokud útočník při autentizaci uhodne
heslo, tak kontrolér vydá bráně příslušné nařízení a útočník
získá přístup k aktivům. Pokud kontrolér chápeme jako autoritu a schvalování přístupu chápeme jako autorizaci, tak útočník
je v tomto případě autoritou autorizován pro přístup k důvěrné
informaci. Ve smyslu výše uvedené definice důvěrnosti je vše
v pořádku. K důvěrným informacím však získala přístup osoba, která k tomu nemá svolení od majitele těchto informací.
Tato skutečnost je příkrém rozporu s intuitivním chápáním
pojmu důvěrnost a proto označení autorita ponecháváme osobě, která uděluje přístupová práva ke svým aktivům. Pro prvek, který řídí systém řízení přístupu jsme zvolili název kontrolér.
Distribuovaný systém řízení přístupu sestává ze dvou, či
více síťových zařízení. Tento typ systémů lze klasifikovat
podle:
 míry centralizace,
 připojení žadatelů.
Podle míry centralizace rozlišujeme centralizované a decentralizované systémy. V případě centralizovaného systému
se kontrolér, autentizátor a popřípadě i účtovací server nacházejí v jednom zařízení, v tzv. serveru AAA (viz obr. 5). Příkladem popsaného typu systému je většina systémů, které
využívají protokol RADIUS, Diameter nebo TACACS+.
V tomto případě jediný server zajišťuje jak autentizaci žadatelů, tak i schvalování jejich přístupu přes brány (obvykle přístupové body nebo přepínače) do chráněné sítě.
Systém řízení přístupu
3 Taxonomie systémů a sítí řízení přístupu
Žadatel
K řízení přístupu k počítačovým aktivům se používají systémy řízení přístupu a sítě řízení přístupu. Systém řízení přístupu je systém, který se používá pro řízení přístupu k počítačovým aktivům jediné autority. Síť řízení přístupu je uskupení
systémů řízení přístupu různých autorit, které vzájemně spolupracují. Nejprve si probereme systémy řízení přístupu.
Každý prvek systému řízení přístupu může být realizován
samostatným síťovým zařízením. V praxi jsou však role jednotlivých prvků často integrovány. Podle míry této integrace
lze v současných počítačových sítích identifikovat dva základní typy systémů řízení přístupu:
 kompaktní systém,
 distribuovaný systém.
Kompaktní systém (viz obr. 4) se vyznačuje tím, že všechny prvky systému řízení (tj. kontrolér, autentizátor i brána)
jsou integrovány v jediném zařízení. Tento typ systému nazveme portál řízení přístupu. Portál řízení přístupu například
obsahuje přístupový bod sítě podle standardu 802.11i [10]
nebo webový server s HTTP protokolem podle [11]. Kromě
síťových zařízení lze tento portál identifikovat i v počítačích,
které nejsou určeny pro síťový provoz. Příkladem je jednotlivý
počítač, kdy se žadatel snaží získat přístup k aktivům, kterými
jsou zpracovatelské nebo informační kapacity daného počítače. Přístup k těmto aktivům řídí bezpečnostní jádro operačního
systému počítače a toto jádro tak lze prakticky označit jako
portál řízení přístupu u daného počítače.
Žadatel
Portál
Komunikační
systém
Brána
Aktiva
Obr. 5: Centralizovaný systém řízení přístupu.
V případě decentralizovaného systému řízení jsou autentizátor i kontrolér dvě samostatná síťová zařízení (viz obr. 2).
Příkladem tohoto typu systému je systém Kerberos.
Podle připojení žadatelů můžeme distribuované systémy
řízení přístupu klasifikovat na systémy s:
 přímým připojením žadatelů,
 zprostředkovaným připojením žadatelů .
V případě systémů s přímým připojením žadatelů má žadatel přístup do komunikačního systému, který zařízení systému
řízení přístupu využívají pro vzájemnou komunikaci. Žadatel
tak může komunikovat s každým prvkem systému přímo. Toto
uspořádání umožňuje jednodušší komunikaci a lze je použít v
případech, kdy komunikační systém není chráněným aktivem.
Nevýhodou přímého připojení je však skutečnost, že žadatelé
mají možnost provádět útoky na komunikaci systému řízení
přístupu. Z tohoto důvodu je nutné řešit ochranu této komunikace. Příkladem systému s přímým připojením žadatelů jsou
systémy založené na protokolu Kerberos. Systém s přímým
připojením žadatele ilustruje obr. 6.
Systém řízení přístupu
Kontrolér
Aktiva
Žadatel
Kontrolér
Autentizátor
Brána
Obr. 4: Kompaktní systém řízení přístupu (portál).
Kontrolér
Autentizátor
Server AAA
Komunikační
systém
Brána
Aktiva
Autentizátor
Obr. 6: Systém s přímým připojením žadatele (decentralizovaná varianta).
28 – 3
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
V případě zprostředkovaného připojení je žadatel připojen
k jednomu ze zařízení systému řízení přístupu a jeho prostřednictvím komunikuje s ostatními zařízeními systému. Zprostředkující zařízení filtruje komunikaci od žadatele a tak nedochází k ohrožení komunikace v rámci systému řízení přístupu.
Žadatel může být teoreticky připojen k libovolnému zařízení
systému, ale protože žadatel nakonec vždy přistupuje k aktivům přes bránu, tak se v praxi používá připojení prostřednictvím brány. Příkladem systému s připojením přes bránu jsou
všechny systémy založené na protokolech AAA (např. RADIUS). Typickým příkladem brány v těchto systémech je
přístupový bod Wi-Fi sítě nebo přístupový přepínač. Systém
se zprostředkovaným připojením žadatele ilustruje obr. 7.
Systém řízení přístupu
Kontrolér
Žadatel
Komunikační
systém
Brána
Aktiva
Autentizátor
Obr. 7: Systém se zprostředkovaným připojením žadatele
(decentralizovaná varianta).
Doposud popsané systémy řízení obsahují jediný kontrolér
a proto je nazýváme jednostupňové systémy řízení přístupu.
Jednostupňové systémy můžeme řetězit do podoby vícestupňových systémů, které obsahují více hierarchicky uspořádaných kontrolérů. Hierarchicky nejnižší kontrolér tvoří spolu s
jím řízenými zařízeními (tj. autentizátorem a branami) subsystém řízení přístupu. Kontrolér nadřízeného stupně chápe celý
tento subsystém jako bránu, která je jím řízena prostřednictvím nařízení pro bránu. Výše popsanou substituci celého
subsystému jako brány lze rekurzívně opakovat až k hierarchicky nejvyššímu kontroléru.
Na obr. 8 je uveden příklad dvoustupňového systému řízení přístupu podle standardu IEEE 802.11i [10]. Hierarchicky
nižší subsystém je kompaktní systém řízení přístupu, kde kontrolér K1 řídí autentizátor A1 a bránu B1. Celý tento subsystém
(přístupový bod do sítě) je v nadřízeném stupni chápán jako
brána B2. Nadřízený stupeň je centralizovaný systém, který
sestává z brány B2, autentizátoru A2 a je řízen kontrolérem K2.
Kontrolér K2 a autentizátor A2 se nacházejí v serveru AAA.
Systémy řízení přístupu různých autorit můžeme navzájem
propojovat, čímž vznikne síť řízení přístupu. Prvním možným
cílem tohoto propojení je umožnit uživatelům jednoho systému přístup k aktivům, které jsou chráněna systémy řízení
přístupu jiných autorit. Tento typ sítě nazveme síť s kooperujícími systémy řízení přístupu.
Příklad sítě se třemi kooperujícími AC systémy je na obr.
9. Máme tři autority X, Y a Z. Systém řízení přístupu autority
i, kde i{X, Y, Z}, označíme ACSi . Žadatele, který náleží do
množiny uživatelů spravovaných autoritou X, označíme S X.
Analogicky označíme i žadatele spravované ostatními autoritami SY nebo SZ. Předpokládejme, že žadatel Si , kde i{X, Y,
Z} je připojen k ACSX a jeho cílem je získat přístup k aktivům
autority Y. V každém případě žadatele Si může autentizovat
pouze autentizátor systému ACS i . Tento systém pak případně
musí garantovat identitu žadatele Si kontrolérům zbývajících
dvou přístupových systémů.
Existují tři základní scénáře přístupu. Pokud Si = SX, tak SX
musí být autentizován systémem ACSX a následně ACSX musí
zaručit identitu SX systému ACSY. Pokud Si = SY, tak SY musí
být autentizován systémem ACSY a následně ACSY musí
zaručit identitu SY systému ACSX. V případě, že Si = SZ, tak
SZ se musí být autentizován systémem ACSZ a následně ACSZ
musí zaručit identitu SZ jak systému ACSX, tak i systému
ACSY.
Si
ACSX
ACSY
Aktiva
Komunikační
systém
ACSZ
Obr. 9: Síť řízení přístupu se třemi kooperujícími systémy.
Možné řešení řízení přístupu, kdy Si = SX, je následující.
Mějme síť řízení přístupu (viz obr. 10), která sestává ze dvou
kooperujících systémů - systému autority X (ACS X) a systému
autority Y (ACSY).
Autorita Y důvěřuje autoritě X.
ACSX
AX
KX
ACSY
AY
KY
Systém řízení přístupu
Server AAA
Žadatel
Kontrolér K2
Autentizátor A2
Komunikační
systém
Brána B2
Aktiva
KSX
KSY
BX
BY
Portál
Kontrolér K1
Autentizátor A1
Brána B1
Obr. 8: Příklad dvoustupňového systému řízení přístupu.
Obr. 10: Síť řízení přístupu se dvěma kooperujícími systémy.
Zkratka KS na tomto obrázku označuje komunikační systém. Autorita Y důvěřuje autoritě X a proto autorita Y nastavila kontrolér KY tak, že tento kontrolér akceptuje výsledky
autentizace od autentizátora AX. Potom uživatel systému
28 – 4
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
ACSX může získat přístup k aktivům chráněným systémem
ACSY. Samozřejmě, že výsledek autentizace musí být kontroléru KY doručen bezpečným způsobem.
Příkladem, kdy Si = SY, je řízení přístupu podle standardu
RFC 4004 [14]. V tomto standardu se uživatel SY tzv. domácí
sítě, která je spravována autoritou Y, nachází v tzv. cizí síti,
která je spravována autoritou X a žádá o přístup do domácí
sítě. Standard RFC 4004 je podrobněji vysvětlen dále. Případ,
kdy že Si = SZ, je rozšířením předešlého případu.
Druhým možným cílem propojování systémů řízení přístupu je efektivnější řízení přístupu. V tomto případě určité systémy poskytují jiným systémům specializované služby. Systém, který poskytuje službu nazveme servisním systémem a
systém, který službu využívá, budeme nazývat obsluhovaný
systém. Popsaný typ sítí proto nazveme sítě se servisními
systémy řízení přístupu. Servisní systémy mohou poskytovat
autentizační nebo účtovací služby. Autentizační systémy nabízejí autoritám jiných systémů službu autentizace žadatelů. V
tomto případě obsluhované systémy nemají vlastní autentizátor k autentizaci uživatelů a akceptují autentizační zprávy od
vybraných autentizačních systémů (viz obr. 11).
Autorita Y důvěřuje autoritě X.
ACSX
AX
KX
ACSY
AY
Standard RFC 2617 [11] popisuje řízení přístupu klienta
CL k webovému serveru WS (viz obr. 12).
Z
K+ A + B
Síť
CL
Obr. 12: Řízení přístupu podle standardu RFC 2617.
Klient a server jsou propojeni sítí a komunikují pomocí
protokolu HTTP. Žadatelem Z je klient CL a aktivem jsou
služby poskytované serverem. Server je vybaven autentizátorem A, kontrolérem K a branou B. Autentizátor serveru provede po navázání spojení autentizaci žadatele, kontrolér K
zjistí žadatelova práva a brána v souladu s nimi umožní žadatelovi přístup k aktivům. Vidíme, že popsaný přístupový systém se nachází v jediném zařízení (ve webovém serveru WS) a
proto tento systém můžeme charakterizovat jako kompaktní
systém.
Standard IEEE 802.1X [12] popisuje řízení přístupu počítačů uživatelů do sítě LAN (viz obr. 13).
KY
Z
SP
KSX
KSY
BX
BY
servisní systém
obsluhovaný systém
WS
B
Linka
AP
K+A
LAN
AS
Obr. 13: Řízení přístupu podle standardu IEEE 802.1X.
Obr. 11: Síť řízení přístupu s autentizačním systémem ACSX.
Příkladem této sítě je řízení přístupu podle standardu
OpenID [8]. V uvedeném případě službu autentizace nabízí
tzv. OpenID Provider a výsledky jeho autentizace akceptují
webové servery různých autorit (tzv. Relying Parties).
Účtovací systém je systém, který je určen k evidenci přístupu uživatelů k aktivům různých autorit. Obsluhované systémy odesílají informace o přístupech uživatelů účtovacímu
systému, který tyto informace zaznamenává a zpracovává.
Tato služba umožňuje efektivně koordinovat platby a vyúčtování mezi autoritami.
4 Příklady systémů a sítí řízení přístupu
V současné době je provozována široká škála sítí a systémů řízení přístupu. My zde uvedeme jejich reprezentativní
výběr, který sestává ze standardů:
 RFC 2617 (HTTP Authentication),
 IEEE 802.1X,
 IEEE 802.11i,
 RFC 4120 (Kerberos),
 OpenID,
 RFC 4004 (Diameter Mobile IPv4 Application).
Počítač SP je linkou připojen k AP, což je přístupový přepínač nebo přístupový bod. AP může prostřednictvím lokální
počítačové sítě LAN komunikovat s autentizačním serverem
AS. Ke komunikaci mezi SP a AP je použit vhodný linkový
protokol (např. podle standardu IEEE 802.3). Ke komunikaci
mezi AP a AS je použit vybraný protokol AAA (např. RADIUS). Žadatelem Z je počítač SP a aktivem jsou komunikační služby sítě LAN. Autentizační server AS vykonává funkci
autentizátoru A i kontroléru K. Přístupový bod AP vykonává
funkci brány B, která zároveň zprostředkovává komunikaci
mezi SP a AS. Autentizátor A nejprve provede autentizaci
počítače SP. Poté kontrolér K zjistí žadatelova práva a zašle
bráně B příslušné nařízení. Brána B pak umožní, respektive
neumožní žadatelovi přístup do sítě LAN. Vidíme, že popisovaný systém řízení přístupu sestává z více zařízení (AS a brány) a proto se jedná o distribuovaný systém. Autentizátor i
kontrolér systému jsou umístěny do jediného zařízení (server
AS) a proto můžeme popsaný systém klasifikovat přesněji
jako centralizovaný systém. Z hlediska ostatních možných
pohledů lze popsaný systém dále charakterizovat jako jednostupňový systém se zprostředkovaným připojením žadatele.
Standard IEEE 802.11i [10] popisuje řízení rádiového přístupu počítače do sítě LAN (viz obr. 14). Počítač STA je bezdrátovou linkou připojen k přístupovému bodu AP. AP může v
lokální počítačové síti komunikovat s autentizačním serverem
AS. Ke komunikaci mezi STA a AP je použit linkový protokol
28 – 5
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
podle standardu IEEE 802.11. Ke komunikaci mezi AP a AS
je použit vybraný protokol AAA (např. RADIUS).
Z
STA
B
Linka
AP
K+ A
LAN
AS
KB + AB+ BB
Obr. 14: Řízení přístupu podle standardu IEEE 802.11i.
Žadatelem Z je počítač STA a aktivem jsou komunikační
služby poskytované přístupovým bodem AP. V první fázi
žadatel Z komunikuje s autentizátorem A autentizačního serveru AS. Tato komunikace je zprostředkována branou B. V
průběhu této autentizace obě strany odvodí také tajný klíč
PMK (Pairwise Master Key). Následně kontrolér K zjistí žadatelova práva a bráně B zašle nařízení. Toto nařízení musí být
přeneseno bezpečným způsobem, protože obsahuje žadatelova
práva a především tajný klíč PMK. Počítač STA i přístupový
bod AP nyní znají tajnou hodnotu PMK. Z tohoto PMK odvodí kryptografické klíče pro vzájemnou autentizaci a pro šifrování dat.
Nyní začíná druhá fáze řízení přístupu. Žadatel Z a autentizátor přístupového bodu AB provedou pomocí kryptografických klíčů vzájemnou autentizaci a vytvoří se šifrovaný spoj
mezi Z a B. Následně kontrolér KB nastaví bránu BB do stavu,
kdy počítač STA může získat přístup ke komunikačním službám poskytovaným přístupovým bodem AP. Systém řízení
přístupu podle standardu IEEE 802.11i je dvoustupňový systém. V hierarchicky vyšším stupni plní přístupový bod AP
funkci brány B a autentizační server AS plní funkci jak kontroléru K, tak i autentizátoru A. Tedy na tomto stupni je systém řízení přístupu centralizovaný systém se zprostředkovaným připojením žadatelů. V hierarchicky nižším stupni je k
řízení přístupu použit portál.
Standard RFC 4120 [13] (Kerberos) v základní verzi popisuje řízení přístupu uživatelských počítačů k serverům jedné
autority (viz obr. 15).
žadatelům vydává jednorázové autentizační faktory pro autentizaci vůči aplikačním serverům dané autority. Každý server
APS obsahuje přístupový portál P = K3+A3+B3. V prvním
kroku protokolu se žadatel Z autentizuje vůči autentizátoru A1
a získá dočasné autentizační faktory, které obvykle platí několik hodin. Pro přístup k nějakém serveru APS se žadatel Z
musí autentizovat vůči serveru TGS (tj. vůči A2). V průběhu
této autentizace získá žadatel Z jednorázové autentizační faktory, které jsou následně použity pro autentizaci vůči žádanému aplikačnímu serveru APS. Pokud je autentizace mezi Z a
A3 úspěšná, tak kontrolér K3 zjistí práva žadatele a v souladu s
nimi nastaví přístupovou bránu B3. Vidíme, že systém řízení
přístupu podle standardu Kerberos sestává z více než-li jednoho zařízení (AS, TGS a servery APS) a proto jej můžeme
klasifikovat jako distribuovaný systém řízení přístupu. Konkrétně se jedná o decentralizovaný, jednostupňový systém s
přímým připojením žadatele.
Dva autentizátory v systému Kerberos umožňují oddělit
správu uživatelů (server AS) a správu serverů (server TGS).
Tato dvojice rovněž umožňuje budovat kooperující sítě řízení
přístupu. Pokud nějaká autorita X nastaví svůj server TGS tak,
aby akceptoval autentizační faktory od autentizačního serveru
AS autority Y, tak uživatelé systému autority Y mohou získat
přístup i ke službám serverů APS spravovaných autoritou X.
Nutnou podmínkou je, že autorita X musí příslušně nastavit
kontroléry K3.
Standard OpenID [8] popisuje řízení přístupu uživatelů k
webovým serverům různých autorit (viz obr. 16).
A
AS
Z
CL
WS
K+ B
Obr. 16: Řízení přístupu podle standardu OpenID.
A1
AS
Z
CL
A2
Síť
TGS
APS
K3 + A3+ B3
Obr. 15: Řízení přístupu podle standardu RFC 4120.
Počítač uživatele CL má přístup do komunikační sítě a
může komunikovat s autentizačním serverem AS, s požadovaným aplikačním serverem APS i se správcovským serverem
TGS. Správcovský server má aplikační servery dané autority
ve své správě. Ke komunikaci mezi uvedenými zařízeními je
použit protokol Kerberos. Žadatelem Z je počítač uživatele CL
a aktivem je služba poskytovaná serverem APS. Autentizační
server AS plní úlohu autentizátoru A1, který žadatelům vydává
dočasné autentizační faktory pro autentizaci vůči serveru TGS.
Správcovský server TGS plní úlohu autentizátoru A2, který
Síť
Každý uživatel má svoji identitu, která je definována specializovanou autoritou X. Tato autorita provozuje svůj autentizační server AS, který zná autentizační faktory daného uživatele. Server WS s požadovanou službou je spravován autoritou
Y. Počítač uživatele CL, autentizační server AS a server WS
jsou propojeny sítí a komunikují pomocí protokolu HTTP.
Žadatelem Z je počítač uživatele CL a aktivem jsou služby
poskytované serverem WS. Server WS je vybaven kontrolérem K a branou B. Klient se nejprve přihlásí u serveru WS.
Pokud je autentizační server AS žadatele Z pro autoritu serveru WS důvěryhodný, tak je počítač uživatele na server AS
přesměrován. Následně se uživatel počítače CL autentizuje
vůči autentizátoru A (tj. serveru AS). Poté je počítač CL přesměrován zpět na server WS s výsledkem autentizace. V případě pozitivního výsledku autentizace si server WS ověří tento
výsledek přímým dotazem u serveru AS. V případě pozitivního potvrzení kontrolér K zjistí práva žadatele a v souladu s
nimi nastaví bránu B. Z tohoto popisu vidíme, že standard
OpenID popisuje síť řízení přístupu se servisními systémy,
28 – 6
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
konkrétně s autentizujícími systémy. Server AS je autentizující
systém a server WS je obsluhovaný systém.
Standard RFC 4004 [14] popisuje řízení přístupu mobilní
stanice do domácí sítě prostřednictvím cizí bezdrátové sítě (viz
obr. 17).
Z
MN
BF
Linka
FP
KF + AF
LAN
FA
K1 + A1+ B1
Síť
K2 + A2+ B2
HP
BH
LAN
HA
KH + AH
Obr. 17: Řízení přístupu podle standardu RFC 4004.
Mobilní stanice MN je bezdrátovou linkou připojena k přístupovému bodu FP. Zařízení FP je přístupový bod do cizí
sítě, který je řízen serverem AAA cizí sítě FA. Server FA
může komunikovat se serverem HA, což je server AAA v
domácí síti uživatele. Server HA řídí domácího agenta HP,
který umožňuje mobilním stanicím přístup do jejich domácí
sítě. Ke komunikaci mezi MN a FP je použit linkový protokol
podle standardu IEEE 802.11. Ke komunikaci mezi FP-FA,
FA-HA a HA-HP je použit protokol Diameter. K následnému
samotnému přístupu stanice MN k HP je použit protokol MIP
(Mobile IPv4).
Žadatelem Z je stanice MN a aktivem jsou jednak komunikační služby cizí sítě WLAN a komunikační služby domácí
sítě. Řízení přístupu podle RFC 4004 je realizováno sítí, která
sestává ze dvou kooperujících dvoustupňových systémů. Přístupový systém do cizí sítě sestává z přístupového bodu FP,
který plní roli brány BF a ze serveru FA, který plní roli kontroléru KF i autentizátoru AF. V hierarchicky nižší úrovni je brána
BF portálem P1 = K1+A1+B1. Přístupový systém do domácí sítě
je tvořen domácím agentem HP, který plní roli brány B H a
serverem HA, který plní roli kontroléru KH i autentizátoru AH.
V hierarchicky nižší úrovni je brána BH portálem P2 =
K2+A2+B2.
Stanice MN se nejprve autentizuje vůči autentizátoru AH .
Tato autentizační komunikace mezi MN a HA je zprostředkována přístupovým bodem FP a serverem FA. Pokud je autentizace úspěšná, tak server HA vybere několik náhodných čísel a
odvodí z nich dočasné autentizační faktory. Tyto faktory budou použity k autentizaci dat přenášených mezi MN-FP, FPHP a MN-HP. Server HA také zjistí práva žadatele, které pak
spolu a příslušnými autentizačními faktory předá bezpečným
způsobem domácímu agentovi HP. Server HA taktéž předá
serveru FA výsledek autentizace, autentizační faktory pro
přístupový bod FP a náhodná čísla pro stanici MN. Kontrolér
KF zjistí práva žadatele Z v cizí síti a tuto informaci spolu s
autentizačními faktory pro přístupový bod FP a náhodnými
čísly pro MN předá přístupovému bodu FP. Přístupový bod FP
předá náhodná čísla stanici MN, která z nich odvodí své dočasné autentizační faktory k FP i HP. Stanice MN a přístupové
body FP a HP nyní mají k dispozici autentizační faktory a
stanice MN může komunikovat s domácím agentem HP pomocí protokolu MIP.
Datové pakety mezi MN-HP (viz obr. 18) jsou autentizovány technikou autentizačních kódů zpráv (Message Authentication Code - MAC). Stanice MN na základě autentizačních
faktorů MN-HP a MN-FP vypočítá pro každý paket dva autentizační kódy, které k paketu připojí. První autentizační kód
paketu umožňuje agentu HP ověřit, že paket odeslala stanice
MN. Druhý autentizační kód umožňuje přístupovému bodu FP
provést ověření téže skutečnosti. Uzel FP po ověření tohoto
druhého kódu uvedený kód odstraní, nahradí jej kódem vypočteným na základě autentizačního faktoru mezi FP a HP a paket
odešle do HP. Agent HP si z obou kódů ověří, že paket odeslala stanice MN a byl tranzitován přes FP. Jednotlivé autentizační kódy paketů ověřují autentizátory A1 a A2 přístupových
bodů FP a HP. Branami B1 a B2, které jsou řízeny kontroléry
K1 a K2, mohou projít pouze úspěšně autentizované pakety. V
opačném směru přenosu (tj. od domácí sítě) autentičnost dat
vysílaných z HP analogicky kontrolují FP a MN. U popsaného
způsobu řízení přístupu vidíme, že řízení přístupu je dvoufázový proces. V první fázi je autentizována stanice MN vůči
HA a v průběhu této autentizace jsou odvozeny dočasné autentizační faktory, které jsou distribuovány do FP a HP. Ve druhé
fázi jsou získané autentizační faktory použity pro průběžnou
autentizaci přenášených dat. Tímto způsobem se významně
zvyšuje bezpečnost přístupu k aktivům.
MN
Linka
FP
K1 + A1+ B1
Síť
HP
K2 + A2+ B2
Obr. 18: Řízení přístupu podle protokolu Mobile IPv4.
Z výše uvedeného přehledu systémů a sítí řízení přístupu je
možné identifikovat významný vývojový trend, kterým je
zvyšování bezpečnosti přístupu. Zvyšování bezpečnosti přístupu je realizováno prosazováním vzájemné autentizace obou
stran a prosazováním kryptografické ochrany přístupu. Starší
systémy řízení přístupu jsou vesměs založeny na jednostranné
autentizaci, kdy se autentizoval pouze žadatel (např. původní
verze protokolu RADIUS). V modernějších systémech (např.
IEEE 802.11i, MIP) se prosazuje oboustranná autentizace. V
takovém případě má žadatel záruku, že skutečně přistupuje k
aktivům požadované autority.
Povšimněme si, že řízení přístupu s oboustrannou autentizací nelze popsat jako systém řízení přístupu, protože se fakticky jedná o síť řízení přístupu dvou kooperujících systémů
(viz obr. 19). Počítač žadatele X musí být vybaven interním
autentizátorem, branou i kontrolérem, tj. počítač žadatele musí
disponovat vlastním portálem P. Autentizátor tohoto portálu
ověřuje, zda protější stranou je systém pro řízení přístupu
(ACS) požadované autority Y. Kontrolér portálu P v závislosti
na výsledku této autentizace řídí bránu portálu a tato brána
umožňuje aplikacím běžícím na počítači žadatele X přístup k
28 – 7
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
aktivům autority Y. Brána portálu P také může chránit aktiva
žadatele před neoprávněným přístupem ze strany ACS. Žadatel X zde hraje roli autority, která rozhoduje o přístupu k aktivům ve svém počítači a o přístupu aplikací svého počítače k
aktivům jiných síťových zařízení. Portály integrované v síťových zařízeních mohou významně zvýšit bezpečnost jak těchto
zařízení tak i celých počítačových sítí. Vzhledem k rostoucím
požadavkům na bezpečnost lze očekávat, že implementace
portálů řízení přístupu do síťových zařízení se v budoucnosti
stane běžnou záležitostí.
Žadatel
(Autorita X)
Aktiva
Autorita Y
P
Komunikační
systém
ACS
Aktiva
Obr. 19: Řízení přístupu jako interakce systémů řízení přístupu
dvou autorit.
Další cestou, která zvyšuje bezpečnost přístupu k počítačovým aktivům, je implementace kryptografických technik do
přenosového protokolu, který je použit k samotnému přenosu
dat mezi žadatelem a branou. Mnoho moderních autentizačních metod dovoluje oběma autentizujícím stranám odvodit
tajnou hodnotu, která může být použita k definování kryptografických klíčů. Tyto klíče pak lze použít k zabezpečení dat,
která jsou přenášena mezi počítačem žadatele a branou systému řízení přístupu. Tímto způsobem můžeme zajistit nepřetržitou autentizaci přístupu k aktivům a nikoliv pouze jednorázovou autentizaci na počátku přístupu. Příklady výše uvedeného řešení jsou standardy IEEE 802.11i a MIP. V případě standardu MIP jsou data přenášená mezi stanicí MN a domácím
agentem HP spojitě autentizována. V případě standardu IEEE
802.11i jsou data přenášená mezi stanicí STA a přístupovým
bodem AP rovněž spojitě autentizována a navíc i šifrována.
Z výše uvedeného přehledu sítí a systémů řízení přístupu je
rovněž zřejmé, že soudobé sítě a systémy používají různé
komunikační protokoly (např. HTTP, Kerberos, RADIUS,
IEEE 802.3 atd.), různé formáty zpráv a odlišné komunikační
scénáře. Negativním důsledkem tohoto stavu je skutečnost, že
počítače uživatelů musí být schopny pro přístup k aktivům
různých autorit zvládnout různé protokoly pro řízení přístupu.
Dalším negativem je skutečnost, že budování sítí řízení přístupu je možné jen v případě systémů stejného typu (např. RADIUS). Zmíněná negativa mohou být eliminována univerzálním protokolem pro řízení přístupu. Tento protokol by mohl
zajistit jednotnou komunikaci a jednotný formát zpráv při
řízení přístupu k aktivům. Potom by počítače uživatelů mohly
pro přístup k libovolným aktivům používat zprávy jediného
protokolu a systémy řízení přístupu různých autorit by mohly
snadno spolupracovat se systémy jiných autorit. Možný univerzální protokol pro řízení přístupu je popsán v následující
kapitole.
5 Univerzální rámec pro řízení přístupu
V této kapitole je popsán návrh univerzálního, otevřeného
rámce řízení přístupu. Tento rámec umožňuje ad-hoc řízení
přístupu mezi libovolnou dvojicí síťových zařízení. Aktivem
může být služba, data, autentizační faktor, komunikační rozhraní, aplikace atd. Prakticky každé zařízení libovolné počítačové sítě obsahuje určitá aktiva, která je vhodné chránit nějakou metodou řízení přístupu. V této souvislosti se nabízí myšlenka implementace autonomního systému řízení přístupu (tj.
portálu) do každého zařízení počítačové sítě. Tento portál by
řídil přístup k aktivům daného zařízení. Současně by tento
portál sjednával aplikacím, které běží v daném zařízení, přístup k aktivům jiných síťových zařízení. Implementace portálu
do každého počítačového zařízení (tj. do serverů, síťových
prvků, uživatelských počítačů, autentizačních zařízení apod.)
je podstatou navrhovaného univerzálního rámce řízení přístupu.
Jednotlivé portály mezi sebou komunikují prostřednictvím
speciálního protokolu řízení přístupu (Access Control Protocol
- ACP). Zprávy tohoto protokolu umožňují sjednání požadovaných aktiv, sjednání metody autentizace, vykonání autentizace, schválení přístupu a účtování. Portál každého síťového
zařízení může vykonávat funkci autentizátoru, kontroléru nebo
brány a také může zprávy ACP protokolu předávat jiným
portálům. Tímto způsobem může každé síťové zařízení plnit
roli autentizátoru, kontroléru nebo brány v libovolném ad-hoc
distribuovaném systému řízení přístupu. Výhodou navrženého
rámce je jednotné a univerzální řešení řízení přístupu ke všem
aktivům všech zařízení sítě.
Portál je koncipován jako modulární systém (viz obr. 20) a
autorita jej může konfigurovat individuálně podle svých požadavků a podle možností zařízení. Jádro portálu lze doplňovat
různými typy modulů. Autentizační moduly AM uskutečňují
různé metody autentizace (např. modul EAP-TLS autentizace).
Moduly přístupové politiky PM definují přístupové politiky k
jednotlivým aktivům. Přístupová politika stanovuje nutné
podmínky pro přístup k danému aktivu, určuje autentizační
metody povolené pro dané aktivum, upřesňuje protokol ACP
apod. Zprávy protokolu ACP mohou být přenášeny komunikačními protokoly z různých vrstev modelu OSI od linkové
vrstvy až po aplikační vrstvu. Komunikační moduly KM poskytují rozhraní mezi jádrem portálu a vybraným komunikačním protokolem.
PM1
AM1
.
.
.
.
.
.
Jádro
AMx
PMz
KM1
. . .
KMy
Obr. 20: Modulární struktura portálu řízení přístupu.
Příklady modulů KM jsou moduly TLS, EAPoL a USB.
Modul TLS umožňuje přenos zpráv protokolu ACP prostřednictvím kanálu TLS (Transport Layer Security). Tento kanál je
vhodný pro bezpečnou komunikaci mezi systémy různých
autorit. Modul EAPoL může zajistit přenos zpráv mezi portály
prostřednictvím kanálu EAPoL (EAP over LAN). Tento kanál
může být použit pro řízení přístupu počítačů uživatelů k sítím
28 – 8
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
LAN. Modul USB může zajistit přenos zpráv protokolu ACP
prostřednictvím kanálu USB (Universal Serial Bus). Tento
kanál může být použit pro lokální komunikaci mezi počítačem
a autentizačním předmětem žadatele.
Výše popsaný univerzální rámec řízení přístupu poskytuje
možnost realizovat libovolný typ systému řízení přístupu,
protože každé zařízení počítačové sítě může plnit funkci autentizátoru, kontroléru i brány. Navržený koncept ilustruje obr.
21.
T
PC
AP
S
Obr. 21: Ilustrace univerzálního rámce řízení přístupu.
Na obrázku jsou vyobrazeny autentizační předmět (token)
T uživatele, počítač PC uživatele, přístupový bod do sítě AP a
síťový server S. Všechna tato zařízení jsou vybavena vlastním
portálem pro řízení přístupu. Tyto portály označíme P x, kde x
= T, PC, AP a S. Uživatel pomocí klávesnice a monitoru PC
sjedná s PPC požadované aktivum (zpravidla práce na daném
PC) a sjedná typ autentizace (např. EAP-TLS pomocí svého
tokenu). Po připojení tokenu k PC zprostředkuje PPC komunikaci mezi uživatelem a PT . V jejím rámci se uživatel vůči
tokenu autentizuje (např. heslem) a tím je token připraven
poskytovat svá aktiva, tj. autentizovat svého uživatele. Portál
PPC si potom pomocí PT ověří identitu uživatele a uživateli
umožní práci s PC. Pokud uživatel žádá přístup do počítačové
sítě, tak PPC slouží jako tranzitní uzel pro komunikaci mezi PT
a PAP . V průběhu této komunikace jsou sjednána požadovaná
aktiva (tj. přístup PC do sítě) a typ autentizace. Poté je provedena autentizace a PC získá přístup do sítě. Pokud uživatel
žádá přístup k serveru, tak PPC komunikuje s PS. Opět jsou
sjednána požadovaná aktiva (tj. přístup PC ke službám S) a
typ autentizace. Identitu uživatele vždy prokazuje autentizátor
z portálu PT . V průběhu autentizací vůči AP a S mohou být
odvozeny kryptografické klíče a přístupy k AP a S mohou být
kryptograficky zabezpečeny. Z uvedeného příkladu vidíme, že
komunikace pro řízení přístupu je jednotná. Přenášené zprávy
obsahují informace o aktivech, informace o autentizačních
metodách, autentizační data, výsledky autentizace, nařízení
pro brány, oznámení pro žadatele atd. Tímto způsobem můžeme budovat libovolné ad-hoc distribuované systémy a sítě
řízení přístupu podle aktuálních požadavků na řízení přístupu.
V budoucnosti by se portály řízení přístupu měly stát součástí operačního sytému daného zařízení. Optimální řešení by
bylo sdružení portálu s referenčním monitorem (Reference
Monitor) [9] operačního systému. Referenční monitor řídí
přístup uživatelů a procesů k lokálním datům a prostředkům
daného prvku. Sdružení portálu s referenčním monitorem by
obecně řešilo přístup uživatelů i procesů jak k lokálním, tak i
vzdáleným datům a prostředkům. Portály je rovněž možné
implementovat do virtuálních strojů. Zvýší se tak bezpečnost
operačních systémů, které na těchto virtuálních strojích běží.
Slibnou myšlenkou je i kombinace portálu a firewalu. V
počátečním stavu umožní firewal daného zařízení vzdálenému
zařízení pouze komunikaci s portálem daného zařízení. Po
vyjednání přístupu pak portál nastaví firewal tak, že pakety
sjednané relace nejsou firewalem blokovány a jsou předávány
příslušné aplikaci. V průběhu vzájemné autentizaci oba portály
také mohou sjednat kryptografické klíče, které pak jsou předány příslušnému přenosovému protokolu. Tímto způsobem
může protokol ACP zajistit funkci univerzálního vítacího
(handshake) protokolu pro libovolný přenosový protokol.
Protokol ACP uskuteční autentizaci obou stran, sjedná kryptografické klíče a tyto klíče jsou použity pro šifrování a autentizaci přenášených dat.
Ke komunikaci mezi portály řízení přístupu byl navržen
protokol ACP (Access Control Protocol) [15]. Protokol ACP
je dvoustranný protokol. Strana, která požaduje přístup k aktivům, se nazývá Iniciátor a strana, která tato aktiva poskytuje
se nazývá Poskytovatel. Jeden kompletní běh protokolu ACP,
tj. postupnost zpráv mezi Iniciátorem a Poskytovatelem, která
souvisí s řízením přístupu k požadovaným aktivům, se nazývá
transakce.
Formát zpráv protokolu ACP je podobný formátu zpráv
protokolu EAP (viz obr. 22).
Code
Identifier
Length
AVP1
...
AVPn
Obr. 22: Formát zpráv protokolu ACP.
Záhlaví zprávy sestává z následujících polí:
Code (1 B): Toto pole určuje typ zprávy (viz dále).
Identifier (3 B): Toto pole identifikuje transakci v daném
spoji.
 Length (3 B): Toto pole udává délku zprávy v bitech.


Zbytek zprávy sestává z jedné nebo více dvojic atributhodnota. Dvojice atribut-hodnota je datový blok, jehož formát
je na obr. 23.
Type
Length
Value
Obr. 23: Formát pole AVP.
AVP sestává z následujících polí:
Type (1 B): Toto pole určuje typ AVP, tj. atribut (např.
výsledek autentizace, EAP zpráva atd.).
 Length (2 B). Toto pole určuje délku pole Value v bajtech.
 Value (maximum 216-1 B). Toto pole obsahuje hodnotu
atributu. Kapacita tohoto pole postačuje pro přenos celých
EAP zpráv, kryptografických certifikátů, fotografií osob
atd.

V protokolu ACP je definováno šest typů zpráv:
Start. Tato zpráva zahajuje novou transakci. Odesílatelem
této zprávy je vždy Iniciátor. Zpráva Start může obsahovat požadované aktivum (pokud Iniciátor zná kód tohoto
aktiva) i typ autentizace (pokud Iniciátor zná typ autentizace vyžadované Poskytovatelem pro dané aktivum).
 Finish. Tato zpráva ukončuje transakci a odesílatelem této
zprávy je vždy Poskytovatel. Zpráva Finish obsahuje
oznámení pro Iniciátora, případné další údaje nebo samotné aktivum (např. digitálně podepsaný výsledek autentizace).

28 – 9
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012




Offer. Tato zpráva je vždy odesílána Poskytovatelem a
obsahuje nabídku dostupných aktiv nebo nabídku autentizací, které jsou pro dané aktivum Poskytovatelem požadovány.
Specification. Tato zpráva je vždy odesílána Iniciátorem
jako reakce na zprávu Offer. Zpráva obsahuje Iniciátorovu volbu z nabízených aktiv nebo autentizačních metod.
Request. Tyto zprávy jsou odesílány Poskytovatelem a
jsou užity k autentizaci. Autentizaci začíná vždy Poskytovatel.
Response. Tyto zprávy jsou odesílány Iniciátorem a jsou
užity k autentizaci.
Elementární transakci protokolu ACP ilustruje Tab. 1. V
prvním sloupci tabulky jsou uvedeny zprávy, které odesílá
Iniciátor. Druhý sloupec tabulky uvádí zprávy odeslané Adresátem a třetí sloupec je věnován poznámkám. Každý řádek
tabulky reprezentuje jeden krok protokolu ACP.
Tab. 1: Schéma elementární transakce protokolu ACP.
Iniciátor
Adresát
Start →
← Offer
Specification
→
← Offer
Specification
→
← Request
Response →
← Finish
Poznámky
Zahájení transakce. Zahajuje
vždy Iniciátor.
Sjednání požadovaného aktiva. Pokud Iniciátor požadované aktivum uvede ve zprávě Start nebo existuje jediná
možnost, tak může být vynecháno.
Sjednání typu autentizace.
Pokud Iniciátor příslušný typ
autentizace uvede ve zprávě
Start, tak může být vynecháno.
Výměna autentizačních
zpráv. Podle typu autentizace
může být dvojic Request Response více.
Oznámení Poskytovatele o
schválení přístupu a o ukončení transakce.
Transakce protokolu ACP mohou být redukovány. Výměna dvojic zpráv Offer-Specification není nutná, pokud Iniciátor požadované aktivum i příslušnou autentizační metodu
uvede ve zprávě Start. Lze rovněž vypustit výměnu zpráv
Request - Response pokud Iniciátor i Poskytovatel jsou koncovými uzly bezpečného kanálu (např. TLS kanálu). Důvodem
je skutečnost, že autentičnost protější strany je zaručena autentizací při budování bezpečného kanálu. V takovém případě lze
transakci ACP redukovat pouze na výměnu zpráv Start a Finish. Takto redukovanou transakci protokolu lze například
použit ke komunikaci mezi kontrolérem a branou nějakého
systému k přenosu nařízení pro bránu. Stejný přístup lze využít i pro účtování.
Na jedné transakci se podílejí pouze dva portály (tj. dvě zařízení), avšak na řízení přístupu se mohou podílet i další zařízení. Pro zahrnutí více zařízení existují dvě možnosti. První
možností je sekvenční zřetězení více transakcí. V takovém
případě Iniciátor v transakci získá nějaká aktiva (např. podepsaný výsledek autentizace) a tato aktiva použije v následující
transakci. Příkladem řetězení transakcí je protokol Kerberos,
což je prakticky protokol se třemi zřetězenými transakcemi.
Druhou možností jak do řízení přístupu zahrnout více zařízení je vložení nové transakce do již probíhající transakce.V
tomto případě musí být k ukončení nějaké dřívější transakce
nejprve uskutečněna nová transakce. Příkladem je situace, kdy
Poskytovatel otevře novou transakci k externímu autentizátoru, aby autentizoval Iniciátora (viz obr. 24). Na tomto obrázku
je Iniciátorem Uzel1 a Poskytovatelem je Uzel2. Uzel1 pošle
Uzlu2 zprávu Start1. Tato zpráva zahájí Transakci1. Zpráva
Start1 obsahuje požadované aktivum a příslušný typ autentizace a proto se výměna zpráv Offer a Specification neuskuteční.
Nyní musí být autentizován Uzel1, avšak Uzel2 nezná verifikační faktor Uzlu1 a proto tuto autentizaci nemůže provést. Z
tohoto důvodu Uzel2 vybuduje bezpečný TLS kanál k příslušnému autentizátoru, kterým je v tomto případě Uzel 3. V průběhu budování TLS kanálu se Uzel2 a Uzel3 navzájem autentizují. Uzel2 zahájí ve vybudovaném TLS kanálu vůči Uzlu3
Transakci2. Aktivem této transakce je výsledek autentizace
Uzlu1, Iniciátorem je Uzel2 a Poskytovatelem je Uzel3. Zpráva
Start2 rovněž obsahuje požadované aktivum a příslušný typ
autentizace a proto se výměna zpráv Offer a Specification
neuskuteční. Uzel3 proto hned zahájí autentizaci vysláním
zprávy Request2. Uzel2 vyjme příslušná AVP z této zprávy a
odešle je ve zprávě Request1, která je zprávou Transakce1.
Uzel1 vypočítá autentizační odpověď a tuto odpověď odešle do
Uzlu2 ve zprávě Response1. Uzel2 z této zprávy vyjme příslušná AVP a odešle je ve zprávě Response2, která je zprávou
Transakce2. Uzel3 provede autentizační výpočty a výsledek
autentizace zašle ve zprávě Finish2. Tato zpráva současně
ukončuje Transakci2. Uzel2 na základě výsledku autentizace
rozhodne o přístupu k požadovanému aktivu a toto rozhodnutí
je zasláno Uzlu1 ve zprávě Finish1.
Uzel1
Uzel2
Start1
Request1
Response1
Finish1
1. transakce
Uzel3
Start2
Request2
Response2
Finish2
2. transakce
Obr. 24: Princip vložení transakce.
Výše popsané vkládání transakcí ACP je vhodné pro systémy s nepřímým připojením žadatelů. Řetězení transakcí
ACP je vhodné pro systémy s přímým připojením žadatelů.
Libovolně složité řízení přístupu může být popsáno jako diagram dvoustranných transakcí, které jsou určitým způsobem
řetězeny nebo vkládány. Tento přístup umožňuje snazší implementaci a přehlednější bezpečnostní analýzu složitých
schémat řízení přístupu.
Ke komunikaci mezi uzly se buduje ad-hoc komunikační
síť. Tato síť sestává z uzlů, které jsou pro konkrétní případ
28 – 10
VOL.14, NO.2, APRIL 2012
2012/28 – 19. 4. 2012
řízení přístupu zapotřebí. Uzly jsou navzájem propojeny bezpečnými spoji, což jsou typicky TLS spoje nebo fyzicky zabezpečené linky. Tyto spoje mohou být buď trvalé (typicky
mezi zařízeními systému jedné autority) nebo dočasné (typicky mezi systémy různých autorit).
6 Závěr
Článek rozšiřuje teorii řízení přístupu. V článku je upřesněna terminologie (pojmy brána, kontrolér, autorita, autorizace) a jsou zavedeny pojmy systém, subsystém a síť řízení
přístupu. Dále je zde navržena taxonomie systémů a sítí řízení
přístupu, která usnadňuje popis a bezpečnostní analýzu složitých přístupových scénářů. Použitelnost navržené terminologie
a taxonomie je ilustrována na popisech reprezentativní sady
systémů a sítí řízení přístupu.
V článku je popsán univerzální rámec pro řízení přístupu v
počítačových sítích. Tento rámec je založen na myšlence, že
všechna zařízení počítačové sítě (servery, uživatelské počítače,
autentizační zařízení atd.) jsou vybavena autonomními portály
řízení přístupu, přičemž tyto portály mohou prostřednictvím
obecného protokolu ACP navzájem spolupracovat. Každý
portál řídí přístup jiných zařízení k aktivům daného zařízení
nebo vyjednává přístup aplikací z daného zařízení k aktivům
jiných zařízení. Portál je vybaven autentizátorem, kontrolérem
a bránou a tak každé síťové zařízení může vykonávat libovolnou roli v nějakém ad-hoc systému řízení přístupu.
Ke komunikaci mezi portály byl vytvořen dvoustranný
protokol ACP. Zprávy tohoto protokolu umožňují sjednání
požadovaných aktiv, sjednání metody autentizace, uskutečnění
autentizace, schválení přístupu a účtování. Kombinace určitým
způsobem řetězených nebo vložených transakcí protokolu
ACP umožní realizovat libovolně složitá schémata řízení přístupu. Navazování i vkládání transakcí rovněž umožňuje modulární a systematickou bezpečnostní analýzu navrhovaných
systémů řízení přístupu. Protokol ACP je z hlediska syntaxe
otevřený a tak jej lze v budoucnosti rozšiřovat. Zprávy ACP
protokolu je možné přenášet prostřednictvím různých přenosových protokolů a rozhraní (např. TLS, EAPoL, USB).
Portál řízení přístupu má modulární strukturu a proto autorita může své portály konfigurovat přesně podle svých potřeb.
Pro přístup ke každému aktivu může autorita nastavit různé
autentizační metody a různé podmínky. Portál může být integrován s referenčním monitorem operačního systému, což
nabízí možnost sjednotit řízení přístupu k lokálním i vzdáleným aktivům. Portál také může řídit firewal a tím budou povoleny pouze relace, kdy byla protější strana úspěšně autentizována. Nevýhodou navrženého rámce je skutečnost, že implementace tohoto rámce vyžaduje poměrně významné zásahy do
stávajících řešení, neboť portály řízení přístupu by měly být
implementovány do bezpečnostního jádra operačních systémů.
Tento proces bude poměrně pomalý a složitý, zejména u zařízení s omezeným výpočetním výkonem (např. autentizační
předměty). Na druhou stranu může implementace portálů
řízení přístupu podstatným způsobem zvýšit celkovou bezpečnost počítačů i počítačových sítí.
Literatura
[1] Dennet S., Feinler E. J., Perillo F.: ARPANET Information
Brochure. Defense Communication Agency, Menlo Park
1985.
[2] Rigney C., Willens S., Rubens A., Simpson W.: Remote
Authentication Dial In User Service (RADIUS). IETF,
Fremont 2000.
[3] Rigney C.: RADIUS Accounting. IETF, Fremont 2000.
[4] Carrel D., Grant L.: The TACACS+ Protocol. IETF,
Fremont 1997.
[5] Calhoun P., Loughney J., Guttman E., Zorn G., Arkko J.:
Diameter Base Protocol. IETF, Fremont 2003.
[6] Miller S.P., Neuman B.C., Schiller J.I., Saltzer J.H.: Kerberos Authentication and Authorization System. M.I.T.
Project Athena, Cambridge 1988.
[7] Berners-Lee T., Fielding R., Frystyk H.: Hypertext Transfer Protocol -- HTTP/1.0. IETF, Fremont 1996.
[8] - : OpenID Authentication 2.0. OpenID Foundation, San
Ramon 2007.
[9] - : ISO/IEC 17799:2005. Information technology - Security
techniques - Code of practice for information security
management. ISO, Geneva 2005.
[10] -: IEEE 802.11i. Medium Access Control (MAC) Security Enhancements. IEEE, New York 2004.
[11] Franks J., Hallam-Baker P., Hostetler J., Lawrence S.,
Leach P., Luotonen A., Stewart L.: HTTP Authentication:
Basic and Digest Access Authentication.IETF, Fremont
1999.
[12] -: IEEE 802.11X. Port-Based Network Access Control.
IEEE, New York 2004.
[13] Neuman C., Yu T., Hartman S., Raeburn K.: The Kerberos Network Authentication Service (V5). IETF, Fremont
2005.
[14] Calhoun P., Johansson T., Perkins C., Hiller T., McCann
P.: Diameter Mobile IPv4 Application. IETF, Fremont
2005.
[15] Burda K., Strasil I., Pelka T., Stancik P.: Access Control
Protocol (ACP). IETF, Fremont 2011.
28 – 11
VOL.14, NO.2, APRIL 2012