Identifikācija un autentifikācija: pamatjēdzieni

Identifikācija un autentifikācija ir pamats mūsdienu programmatūras un aparatūras drošību, kā jebkuri citi pakalpojumi galvenokārt paredzēti apkalpošanu šīm tēmām. Šie jēdzieni pārstāv veida pirmā aizsardzības līnija, lai nodrošinātu drošību informācijas kosmosa organizācijas.

Kas tas ir?

Identifikācija un autentifikācija ir dažādas funkcijas. Pirmais paredz priekšmetu (lietotājam vai procesu, kas rīkojas tā vārdā) iespēju, lai pastāstītu savu vārdu. Ar autentifikācijas ir otra puse ir pilnīgi pārliecināta, ka objekts tiešām ir viens, kuru viņš uzdodas. Bieži kā sinonīmu identifikācijas un autentifikācijas aizstāj ar frāzi "Post nosaukums" un "autentifikācijas".

Viņi paši ir sadalīta vairākās šķirnēm. Tālāk, mēs uzskatām, ka identifikācijas un autentifikācijas un kādi tie ir.

autentifikācija

Šī koncepcija paredz divu veidu: vienvirziena, klientam vispirms jāpierāda ar serveri autentifikācijas un divpusēja, tas ir, kad savstarpējās apstiprinājums tiek veikts. Tipisks piemērs, kā veikt standarta identifikāciju un autentifikāciju lietotāju - ir ieiet konkrētā sistēmā. Tādējādi, dažāda veida var izmantot dažādus objektus.

Ar tīkla vidē, kur identifikācijas un autentifikācijas lietotāju veikti par ģeogrāfiski izkliedētiem puses, izskata pakalpojums izceļas ar diviem galvenajiem aspektiem:

• kas darbojas kā autentificētājam;
• kā tas tika organizēts ar datu apmaiņu autentifikācijas un identifikācijas un to, kā aizsargāt to.

Lai apstiprinātu savu autentiskumu, priekšmets jāuzrāda vienā no šādām personām:

• konkrētu informāciju, ko viņš zina (personīgo numuru, paroli, īpašu šifrēšanas atslēgu, utt ...);
• pārliecināts lieta viņam pieder (personīgo karti vai kādu citu ierīci, kam ir līdzīgs mērķis);
• pārliecināts lieta, kas ir tā elementu (pirkstu nospiedumu, balss vai citu biometrisko identifikāciju un autentifikāciju lietotāju).

sistēmas funkcijas

Jo atvērtā tīkla vidē, pusēm nav uzticams ceļš, un tas ir teikts, ka kopumā, ko objekta jānosūta informācija var galu galā būt atšķirīga no informācijas, kas saņemta un izmanto autentifikācijai. Nepieciešamā drošības aktīvās un pasīvās tīkla sniffer, tas ir, aizsardzība pret labojumi, pārtveršanu vai atskaņošanai dažādiem datiem. Paroles nodošana iespēja skaidrs nav apmierinošs, un vienkārši nevar saglabāt dienā, un šifrētu paroles, jo tās netiek sniegta, atskaņošanas aizsardzību. Tas ir iemesls, kāpēc mūsdienās tiek izmantota sarežģītākas autentifikācijas protokolus.

Uzticams identificēšana ir grūti ne tikai tāpēc, ka no dažādiem tīkla draudiem, bet arī dažādu citu iemeslu dēļ. Pirmais praktiski jebkura autentifikācija subjekts var nolaupīts, viltošanu vai Izlūkošana. pretruna starp uzticamību sistēma tiek izmantota, ir arī klāt, no vienas puses, un sistēmas administratora vai lietotāja iekārtas - no otras puses. Tādējādi, dēļ nepieciešams ar kādu frekvenci drošību lūgt lietotāju atkārtoti ieviešanu tās informācijas autentifikācijas (jo tā vietā viņš var sēdēt dažas citas cilvēku), un tas ne tikai rada papildu problēmas, bet arī ievērojami palielina izredzes ka kāds var pry informācijas ievadi. Turklāt, uzticamība aizsardzību nozīmē būtiski ietekmēt tās vērtību.

Modernās identifikācijas un autentifikācijas sistēmas atbalsta koncepciju vienotas pierakstīšanās uz tīklu, kas galvenokārt caters prasībām ziņā draudzīgumu lietotājam. Ja standarta korporatīvo tīklu ir daudz informācijas pakalpojumus, nodrošinot iespēju neatkarīga cirkulāciju, tad vairākas administrācija personas datu kļūst pārāk apgrūtinoša. Šobrīd tas joprojām ir iespējams teikt, ka, izmantojot vienu reģistrēšanās tīklam ir normāli, jo dominējošie risinājumi vēl nav izveidota.

Tādējādi daudzi cenšas rast kompromisu starp pieejamību, ērtības un uzticamību līdzekļu, kas sniedz identifikācijas / autentifikāciju. Lietotāja atļauja šajā gadījumā tiek veikta saskaņā ar atsevišķiem noteikumiem.

Īpaša uzmanība jāpievērš tam, ka pakalpojums tiek izmantots, var tikt izvēlēts kā objekts uzbrukumu pieejamību. Ja sistēmas konfigurācija tiek veikta tādā veidā, ka pēc tam, kad vairāki neveiksmīgiem mēģinājumiem iekļūt iespēja ir bloķēta, tad uzbrucējs var apturēt operāciju likumīgas lietotājus, tikai ar dažiem keystrokes.

paroles autentifikāciju

Galvenā priekšrocība šai sistēmai ir tā, ka tas ir ļoti vienkāršs un pazīstams ar lielāko. Paroles jau sen ar operētājsistēmām un citiem pakalpojumiem tiek izmantots, un ar pareizu lietošanu sniegto drošību, kas ir diezgan pieņemams vairumam organizācijām. No otras puses, ar kopīgu īpašību kopumu šādu sistēmu ir visvājākie līdzekļi, ar kuriem identifikācijas / autentifikācijas var īstenot. Atļauja šajā gadījumā kļūst diezgan vienkārši, jo paroles ir āķīgs, bet tas nav grūti uzminēt vienkāršu kombināciju, īpaši, ja persona zina vēlmes konkrēta lietotāja.

Dažreiz gadās, ka paroles ir, principā, nav turēti noslēpumā, jo ir diezgan standarta vērtības, kas norādītas konkrētajā dokumentācijā, un ne vienmēr pēc tam, kad sistēma ir uzstādīta, tos mainīt.

Ievadot savu paroli, jūs varat redzēt, dažos gadījumos cilvēki pat izmantot specializētus optiskos instrumentus.

Lietotāji, galvenie temati identifikācijas un autentifikācijas, paroles bieži informēt kolēģus, kas noteiktos laikos ir mainījušies īpašnieks. Teorētiski, šādās situācijās būtu pareizāk izmantot īpašas piekļuves kontroli, bet praksē tas netiek izmantots. Un, ja parole zina divi cilvēki, tas ir ļoti ievērojami palielina izredzes, ka beigās to un uzzinātu vairāk.

Kā salabot?

Ir vairāki instrumenti, piemēram, identifikācijas un autentifikācijas var aizsargāti. Informāciju apstrādes komponents var apdrošināt šādi:

• Dažādu tehnisku ierobežojumu uzlikšana. Visbiežāk noteikt noteikumus par paroles garumu un saturu noteiktu rakstzīmes.
• Office paroles derīguma, ti, tie ir jānomaina periodiski.
• Ierobežota piekļuve pamata paroli failu.
• Ierobežojums kopskaita neveiksmīgiem mēģinājumiem, kas ir pieejami, kad piesakāties. Sakarā ar šo uzbrucēju jāveic vienīgi darbības, lai veiktu identifikāciju un autentifikāciju, kā arī šķirošanas metodi nevar izmantot.
• Ievada apmācība lietotājiem.
• Izmantojot specializētu programmatūru, paroli ģenerators, kas var radīt šādas kombinācijas, kas ir pietiekami melodisks un neaizmirstamu.

Visi šie pasākumi var tikt izmantoti jebkurā gadījumā, pat tad, ja kopā ar paroles izmantos arī citu autentificēšanas līdzekli.

Vienreizēja paroles

Iepriekš iemiesojumi ir atkārtoti, un gadījumā, ja, atverot kombinācijas uzbrucējs spēj veikt noteiktas darbības, uz lietotāja vārdā. Tas ir iemesls, kāpēc tik spēcīgāku līdzekli izturīgi pret iespēju pasīva tīkla sniffer, izmanto vienu reizi paroles, ar kuru identifikācijas un autentifikācijas sistēma ir daudz drošāka, lai gan ne tik ērti.

Šobrīd viens no populārākajiem programmatūras vienreizēju paroli ģenerators ir sistēma, ko sauc par S / KEY, atbrīvo pēc Bellcore. Pamata koncepcija šajā sistēmā ir tas, ka ir noteikta funkcija F, kas ir pazīstams gan lietotāju un autentifikācijas serveri. Tālāk ir slepena atslēga K, zināms tikai konkrētam lietotājam.

Pēc sākotnējās administrācijas lietotājs, šī funkcija tiek izmantota, lai ievadītu vairākas reizes, tad rezultāts tiek saglabāts uz servera. Pēc tam, autentifikācijas procedūra ir šāda:

1. Par lietotāju sistēma no servera nāk uz numuru, kas ir 1 mazāks reižu skaitu, izmantojot funkciju ar taustiņu.
2. Lietotāja funkcija tiek izmantota, lai slepeno atslēgu skaitu reižu, kas ir noteiktas pirmajā punktā, pēc kā rezultāts tiek nosūtīts, izmantojot tīklu tieši uz autentifikācijas serveri.
3. Serveris izmanto šo funkciju, lai ar iegūto vērtību, un tad rezultāts tiek salīdzināts ar iepriekš saglabāto vērtību. Ja rezultāti sakrīt, tad lietotāja identitāte ir izveidots, un serveris saglabā jaunu vērtību, un pēc tam samazinās skaitītājs pa vienam.

Praksē, lai īstenotu šo tehnoloģiju, ir nedaudz sarežģītāka struktūra, bet šobrīd tas nav svarīgi. Tā funkcija ir neatgriezenisks, pat tad, ja parole pārtveršanu vai iegūt neatļautu piekļuvi pie autentifikācijas serveris nenodrošina iespēju iegūt privāto atslēgu un kāds veids, kā prognozēt, kā tas tieši izskatās šādi vienreizēju paroli.

Krievijā kā vienotu pakalpojumu, īpašu valsts portāls - "Unikāls identifikācijas sistēma / autentifikāciju" ( "Esia").

Cita pieeja spēcīgu autentifikācijas sistēmu slēpjas faktā, ka jaunā parole tika iegūti pēc īsiem intervāliem, kas ir arī realizēta izmantojot specializētas programmas vai dažādu viedkartēm. Tādā gadījumā autentifikācijas serveris ir jāpieņem atbilstošo paroli ģenerēšanas algoritmu un noteiktiem parametriem, kas saistīti ar to, un turklāt, jābūt klāt, jo pulksteni sinhronizācijas serveri un klientu.

Kerberos

Kerberos autentifikācijas servera, kas pirmo reizi parādījās 90. gadu vidū no pagājušā gadsimta, taču kopš tā laika viņš jau bija saņēmis daudz būtiskām izmaiņām. Šobrīd, atsevišķās sistēmas sastāvdaļas ir klāt gandrīz katrā mūsdienu operētājsistēmu.

Galvenais mērķis šo pakalpojumu, ir, lai atrisinātu šo problēmu: ir noteikta nedrošās tīklu un mezgliem tā koncentrētā veidā dažādos priekšmetos lietotājiem, un servera un klienta programmatūras sistēmas. Katrs šāda iestāde ir klāt individuāla slepeno atslēgu, un cilvēkiem ar iespēju pierādīt savu autentiskumu objektam S, bez kura viņš vienkārši nevar apkalpot, tā būs ne tikai zvanīt pats, bet arī parādīt, ka viņš zina, daži slepenā atslēga. Tajā pašā laikā ar nekādā veidā, lai tikai nosūtītu virzienā slepeno atslēgu S kā pirmajā instancē tīkls ir atvērts, un turklāt, S nezina, un, principā, nevajadzētu viņam zināt. Šādā situācijā, izmantot mazāk vienkāršu tehnoloģiju demonstrācijas zināšanu šo informāciju.

Elektroniskās identifikācijas / autentifikācijas izmantojot Kerberos sistēma nodrošina, lai to izmantotu kā uzticamas trešās puses, kas ir informācija par slepeno atslēgu apkalpoto vietām un palīdzētu tām veikt pairwise autentifikāciju, ja nepieciešams.

Tādējādi, klients vispirms nosūtīts vaicājumu, kas satur nepieciešamo informāciju par to, kā arī pieprasīto pakalpojumu. Pēc tam, Kerberos dod viņam veida biļete, kas ir šifrēts ar slepeno atslēgu servera, kā arī kopiju dažus datus no tā, kas ir slepeno atslēgu klienta. Gadījumā, ja tiek konstatēts, ka klients tika atšifrētas informāciju paredzēts to, tas ir, viņš varēja pierādīt, ka privātā atslēga ir zināms viņam tiešām. Tas norāda, ka klients ir persona, par kuru tas ir.

Īpaša uzmanība būtu šeit, jāveic, lai nodrošinātu to, ka datu pārraide slepeno atslēgas netiek veiktas tīklā, un tie tiek izmantoti tikai un vienīgi šifrēšanai.

autentifikācijas izmantojot biometrijas

Biometrija ietver kombinācija automatizētas identifikācijas / autentifikācijas cilvēkiem, pamatojoties uz viņu uzvedības vai fizioloģiskām īpašībām. Fizikālās līdzekļi identifikācijas un autentifikācijas nodrošina tīklenes skenēšanas un acu radzenes, pirkstu nospiedumiem, seju un rokas ģeometrija, kā arī citu personīgo informāciju. Uzvedības īpašības ietver arī darba stilu ar klaviatūru un dinamiku parakstu. Kombinētie metodes analīze dažādas īpašības cilvēka balss, kā arī atzīšanu par viņa runu.

Šādi identifikācijas / autentifikācijas un šifrēšanas sistēmas plaši izmanto daudzās valstīs visā pasaulē, bet uz ilgu laiku, tie ir ļoti augstas izmaksas un sarežģītību lietošanai. Vēl nesen, pieprasījums biometrisko produktiem ir ievērojami pieaudzis, pateicoties attīstību e-komercijas, jo, no viedokļa lietotājs, ir daudz vieglāk prezentēt sevi, nevis atcerēties kādu informāciju. Attiecīgi, pieprasījums rada piedāvājumu, tāpēc tirgus sāka parādīties relatīvi zemas cenas produktiem, kas galvenokārt vērstas uz pirkstu nospiedumu atpazīšanas.

Jo vairumā gadījumu, biometrija lieto kombinācijā ar citiem authenticators, piemēram, viedkartēm. Bieži biometrijas autentifikācija ir tikai pirmais aizsardzības līnija un darbojas kā līdzekli, lai palielinātu to viedkarti, ieskaitot dažādus kriptogrāfijas noslēpumiem. Izmantojot šo tehnoloģiju, biometrisko veidne tiek glabāta vienā kartē.

Aktivitāte jomā biometrijas ir pietiekami augsta. Attiecīgā esošo konsorcijs, kā arī ļoti aktīvi ir uzsākts darbs standartizēt dažādus aspektus tehnoloģiju. Šodien mēs varam redzēt daudz reklāmas rakstus, kas biometrijas tehnoloģijas tiek pasniegta kā ideāls līdzeklis nodrošina lielāku drošību un tajā pašā laikā, pieejamu masām.

Esia

sistēma identifikāciju un autentifikāciju ( "Esia") ir īpašs dienests, kas izveidots, lai nodrošinātu izpildi dažādus uzdevumus, kas saistīti ar autentiskuma pārbaudi prasītāju un locekļu iestāžu sadarbību, ja jebkuru pašvaldību vai publisko pakalpojumu elektroniskajā formā.

Lai iegūtu piekļuvi "vienotu portāla valsts struktūru", kā arī jebkuru citu informācijas sistēmu infrastruktūras esošā e-valdība, vispirms ir nepieciešams reģistrēt kontu un kā rezultātā, iegūt PEL.

līmeņi

Portāls par vienotu sistēmu identifikācijas un autentifikācijas nodrošina trīs galvenās līmeņu kontu privātpersonām:

• Vienkāršota. Par tās reģistrācijas vienkārši iekļaut savu vārdu un uzvārdu, kā arī kādu konkrētu kanālu komunikācijas veidā uz e-pasta adresi vai mobilā tālruņa. Šajā pamatskolā līmenis, ar kuru personai dod piekļuvi tikai ierobežotam skaitam dažādu valsts dienestu, kā arī spējas esošajās informācijas sistēmās.
• Standard. Lai iegūtu sākotnēji nepieciešams izsniegt vienkāršotu kontu, un pēc tam arī sniegt papildu informāciju, tostarp informāciju no pases numuru un apdrošināšanas individuālajā kontā. Šī informācija tiek automātiski pārbaudīts, izmantojot informācijas sistēmu, pensiju fonda, kā arī Federālā migrācijas dienesta, un, ja tests ir veiksmīgs, tad konts tiek pārvērsts standarta līmenim, tas atver lietotājam paplašināto sarakstu valsts pakalpojumiem.
• Apstiprināts. Lai iegūtu šo līmeni konta, vienotu sistēmu identifikācijas un autentifikācijas prasa lietotājus uz standarta kontu, kā arī personu apliecinošs dokuments, kas tiek veikta, izmantojot personīgo vizīti pilnvarotajā servisa departaments vai iegūstot ar aktivizācijas kodu ierakstītā vēstulē. Gadījumā, ka indivīds apstiprinājums ir veiksmīgs, konta dosies uz jaunu līmeni, un, lai lietotājs iegūs piekļuvi pilnu sarakstu vajadzīgi sabiedrisko pakalpojumu sniegšanu.

Neskatoties uz to, ka procedūras var šķist pietiekami sarežģīta, lai faktiski redzēt pilnu sarakstu ar nepieciešamajiem datiem, var būt tieši oficiālajā mājas lapā, tāpēc tas ir iespējams, lai pabeigtu reģistrāciju uz dažām dienām.