CC BY
50
14 декабря 2011 г. 23:42
БЕЗОПАСНОСТЬ
Мобильная аутентификация, или кто такие AAAS-ы
Дмитрий Костров,
Директор по проектам, ОАО МТС
Конвергенция и мобильность является главными драйверами развития многих технологий. Вопросы обеспечения информационной безопасности, с другой стороны, становятся еще более сложной темой для решения Бурное развитие "облаков" требует решения вопросов безопасности не всегда традиционными решениями и методами. Интересная модель использования авторизации, как сервис (Cloud authentication service provider-aidhenlication as a service(AaaS)) открывает отдельный вид для бизнеса Для операторов связи — это VAS услуга, для отдельных доверенных компаний может быть основным бизнесом. Стоит отметить, что Россия еще находится в начале пути применения мобильных телефонов в качестве системы аутентификации, хотя технологии уже более 1 О лет. Есть два драйвера роста популярности данного решения: необходимость удаленного защищенного мобильного доступа к ИТ ресурсам компаний ("откуда угодно и когда угодно"); шфокое распространение сервисов eCommerce, eGovemmenl и еНеаМкаге. В ближайшей перспективе мобильный телефон как средство аутентификации станет персональным идентификатором пользователя и будет применяться при различном доступе.
Интересным решением по строгой аутентификации может быть применение мобильного телефона учитывая, что к концу 2011 г. в мире будет уже более 7 млрд пользователей сотовой связи. Многие из них захотят применять сотовый телефон как устройство д ля сг/тентификоции, например, при доступе к услугам оказываемым "облачными провайдерами" с применением строгой аутентифи-кацют с применением СМС Конечно, это не относится к критически важным сервисам и ниже по уровню защиты применения двухфакторной сгутентификац>*1 с применением
аппаратного токена (Two- Factor Aufoenticalion (2FA)), но для большинства пользователей достаточно такой схемы. Опрос пользователей Google Май, MSN, Yahoo Май, Twilter и Foe ebook показывают, что такая аутентификация лучше существующей — по имени и паролю (User-ID\Password). Кризис, для преодоления которого компании уменьшают операционные и капитальные расходы, подтолкнул многие компании уйти от применения аппаратных токенов для аутентификации перейти на специальные программные или сервисные решения. Решение проблемы логистики д аже не стоит упол^натк
Новые методы мобильной аутентификации решают проблемы защищенного доступа мобильного банкинга, мобильных платежей, перевода д енег.
Маркетинговая политжа для сектора услуг (AoaS) или учитывая модную облачную тенденцию Cloud Authentication Service Providers — защитить большие корпорации (аутентификация работников), что позволяет вводить услугу как международную. Данный сервис будет иметь все компоненты на базе мобильной аутентификации: регистрация аутентификацию и поддержку. 11 редставляется, что многие из подобных сервис провайдеров стонут стандартом де-факто для управляемой строгой аутентификации (или 2FA сервис для "облаков") не только для больших корпораций. но и для "простых" пользователей. Провайдеры для получения прибыли должны вывести данный сервис для как можно большего числа потребителей различных ресурсов (почта, Интернет- магазины, лтные кабинеты).
Для отрасли TELCO (операторы связи. Интернет сервис провайдеры и т.а) интересна модель с предоставлением услуг аутентификации с помощью мобильного телефона как "white label" услуга и выводить на рынок как VAS услугу Модель может работать так: оператор связи использует продукт по мобильной аутентификации и начинает предоставлять сервис. Данный сервис предлагается сначала для корпоративных пользователей, в качестве дополнения к сервису SSLVPN. При-
меры: Новая Зеландия — Fronde Anywbere's TwoSecure и Южная Африка — FirelD solution.
Если говорить о станд артах и технологии, то для реализации мобильной аутентификации и вывода продукта на рынок можно использовать стандарты Initiciive lor Open Authentication (OATH).
Одно из направлений стандартизации, хорошо применимое в мобильных телефонах, НМАС Сокращение от hash-based nrres-sage auHientication code, хеш-код идентификации сообщений) для одноразовых паролей (One Time Password (НОТР)), Алгоритм НОТР может применяться в аппаратных токенах, смарт картах, USB-токенах и мобильных телефонах, что помогает при соблюдении принципов интероперабельности при применении продуктов разных производителей. Примером может служить разработка вендором аутентифтац**) основанной на ОТР без разработки дополнительного программного клиента\агента для доступа к системам VPN (Orix или Juniper Networks VPN). Разрсйотха алгоритма НОТР была разработана в рамках взаимодействия различных членов OATH с целью создать стандарт, который был бы подвержен отраслью (НОТР RFC4226).
Существует много способов, как сделать мобильный телефон устройством для аутентификации:
• One-Time-Pass word (ОТР) передается посредством СМС сообщения на мобильный телефон;
• мобильный программный токен
• мобильный PKI
• другие (включая Voice и Mobile TAN-Transaction authentication number)*
Применение CMC OTP уже известно давно и часто применяется как дополнительная мера к аппаратной схеме применения токену (в случое потери). Новым применением стало использование подобной схемы как основной метод для 2FA, а сотовый телефон применяется как аппаратный токен (вторым фактором аутентификации)
Мобильный программный токен —
* птТоп (МоЫе Tan) — это номер траисакции (TAN) для окіайн-банкимга через сотовый телефон. Кок правило, этот номер после запроса трансакции (нопрнмер, денежного перевода) высылается банком в виде смс на телефон клиента Клиент должен ввести номер TAN и подтвердить, таким образом, слерацию Соответственно. для проведение операции нужно, чтобы известней банку контактный телефон был включен
T-Comm, Информационная безопасность 2011
19
Неподшитые заметки Стр .1
БЕЗОПАСНОСТЬ
простои перенос программной части аппаратного токена в мобильный телефон. Владелец сотового телефона имеет ОТР генератор всегд а в кармане, постоянно под ключенный к сети, с хранением на SIM карте секретных данных (существуют ограничения объема SIM). Набор программ как правило ограничен для смартфонов, имеющих достаточно мощный процессор и возможность работать с JAVA приложениями с высокоскоростным подключением к Интернету.
Применение мобильной инфраструктуры открытых ключей (Mobile PKI) берет начало с конца 90-х В это время большие операторы связи начали задумываться о применена
мобильной коммерции (m-commerce) и искали безолосные решение по защите транзакций. SIM ксрто обычно используется для хранения сертификатов и ключей шифрования. Mobile PKI также известна под названием беспроводная PKI (WPKI). Применение донной инфраструктуры позволяет серьезно повысить уровень безопасности каналов передачи транзакций, аутентификацию пользователей И Т.П.
Интересны решения популярные в США которые основаны на аутентификации по голосовому каналу (voice-based challenge-response system). В Германии применяется Mobile TAN в популярной системе аутенти-
фикации PINTAN. Стоит упомянуть технологию, основанную на мобильной биометрической аутентификации (mobile biomelric authentication) и определение местоположения GPS (заметный плюс для операторов).
Доминанты на рынке систем аутентификации RSA и VASCO уже видят угрозу потери доли рынка при появлении новых игроков, которые поставят на мобильную аутентифика цию.
Мобильная аутентификация является тем новым и интересным решением в направлении которого необходимо идти всем — операторам, вендорам и клиентом
NXP раскрывает потенциал многофункциональных автомобильных ключей
Коа*юния NXP Semiconductors объявила о том, что ее однокристальное решение для многофункциональных автомобильных ключей — NCF2970 (KEyiink lie) уже доступно для использования в производстве. NXP KEyiink Lite расширяет фуждеэнапыюстъ автомобильных ключей благодаря технологии ближней радиосвязи (NPC), теперь автопроизводители смогут реализовать новые возможности ключей за счет взаимодействия с внешними NFC-совместимыми устройствами, такими как мобильные телефоны, планшетные ПК и ноутбуки
Выход решения KEyiink іде позволит ислогъзовать преимущества растущей популярности и доступности технологии NFC Чтобы получить важные и полезные данные о своем свтомобиле, всдоггелюдостато**» будет прдеести автомобильный ключ к NFC-совместимому мобильному устройству. Решение KEyiink lie, основанное на стандартах NFC и использующее частоту 13,56 МГц. а также алгоритмы шифрования, например, Hfag-З или AES-128, обеспеч»вает надежное хранение и передачу конфиденциальных дсиньос В этом решенмі уникатьно сочетаются возможности NFC, а также лучших в отрасли технологий NXP Remote Keyless Еліту (RKE) и Passrve Keyless Entry (PKE). С помощью NFC-совместимых мобильных устройств можно редактировать и просматривать д анные, хранящиеся в автомобильных ключах, а также использовать эти ключи множеством новых способов.
Новые области применения "умных” ключей
* Поиск сжтомобипя. Автомобипытый ключ записывает GPS-Koop»i-нспы место последеей парковки, эти донные можно считать на NFC-совместимый мобигьньй телефон, который затем с помощью сервиса, например Карты Google, загрузит карту местности и поможет отыскать ваш автомобиль
* Пло*рави*« мсфшрута. Іеперь у вас есть возможность дома в комфортной обстановке ввести в ПК пункт назначения и перенести д анные на автомобильный ключ с помощью технолог»*» NFG Как только вы окажетесь в <*томобипе, эта тформадо автоматически загрузится в бортовую навигсж*юнную систему Забудьте о неудобствах экрдтного ввод а на навигаторе!
* Состояние и эктлуагадожые характеристики автомобиля. Вы можете проверить уровень топгыва в баке, не выходя из дома или офиса — просто прикоснитесь автомобильным клочом к NFC-совместимому мобю*юму телефону. Кроме того, вам больше не придется носить с собой книжку по техническому обслуживанию: важные данные хранятся в "умном* автомобильном ключе на базе реше»ия KEyiink lie.
• Само»«жностиса автомобиля. Перенесите д иагностические данные с автомобиля на ПК с помощью автомобильного ключа, затем загрузите их на сервисный веб<сйт и запустите д иагностический анализ в считанные секуцпы.
• Персонатэация автомобмм. Автопроизводители могут предвари тельно оснастить автомобиль дополнительными сервисами, которые впоследствии можно разблокировать во время эксплуатации. Получите кад разблокировки новых функіий у производителя своего автомобиля — например, сделав онлайн-запрос из дома — и сохраните этот код в автомобильном ключе. Все новые функции будут автоматически сваивирова-ны, как только в следующий раз вы сядете за руль
Технические характеристики:
• Под ключе**» к устройствам NFC и считываюи**м устройствам ISO/TEC 14443. NXP интегрировала в автомобильную ИС NCF2970 интерфейс ISO/IEC 14443 Туре А Наряду с функциями ид^лобилснэера и Passive Keyless Entry/Go эта ИС поддерживает бесконтактный обмен д анными с NFC-coeMecTH**4MH устройствам с испогъэоеоием стандартного беспроводного подкг*очения на частоте 13,56 МГц
• Интерфейс беосонлжтного ош^хмия дверей. Решение NXP KEyiink Не оснащено низкочастотным (125 кГц) внешний интерфейсом для иммобилайзера и систем Passive Keyless Eniry/Go и работает, используя внешний УВЧ передатчик (частота от 315 до 928 МГц), с системами Remote Keyfess Enhy и Passive Keyless Entry/Go.
■ ^вргопотреблв*» и пометь. Микросхема KEyLnk lie содержит высокоскоростное RISC ярро с низким энергопотреблением до 32 КБ доступней пользователю памяти EROM для хрсненинприпожемй пользователя. 6 КБ падлпи EEPROM д ля данных пользовательских приложений поддерживается ши^хжуй дисктаэон напряжений rvm»*ta — от 2,0 до 3,6 В.
20
T-Comm, Информационная безопасность 2011
Неподшитые заметки Стр .2
