Identifikavimas ir atpažinimas: pagrindinės sąvokos

Identifikavimas ir autentifikavimas yra šiuolaikinių programinės įrangos ir aparatūros apsaugos priemonių pagrindas, nes visos kitos paslaugos daugiausia skirtos šių subjektų priežiūrai. Šios sąvokos yra pirmoji gynybos rūšis, užtikrinanti organizacijos informacinės erdvės saugumą.

Kas tai yra

Identifikavimas ir autentifikavimas turi skirtingas funkcijas. Pirmasis subjektas (vartotojas arba jo vardu veikiantis procesas) suteikia galimybę perduoti savo vardą. Pagal autentifikavimą, antroji šalis pagaliau yra įsitikinusi, kad tema iš tikrųjų atstovauja tai, kam jis teigia esąs. Dažnai, kaip sinonimą, identifikavimas ir autentiškumas yra pakeičiami frazėmis "message name" ir "authentication".

Jie patys yra suskirstyti į kelias veisles. Toliau aptarsime, kas yra tapatybė ir autentiškumas, ir kokie jie yra.

Autentifikavimas

Ši koncepcija numato du tipus: vienpusius, kai klientas pirmiausia turi įrodyti serveriui jo autentiškumą ir dvipusis, tai yra, kai atliekamas abipusis patvirtinimas. Standartinis pavyzdys, kaip atliekamas standartinis autentifikavimas ir vartotojo autentifikavimas, yra konkrečios sistemos įvedimo procedūra. Taigi skirtinguose objektuose gali būti naudojami skirtingi tipai.

Tinklinėje aplinkoje, kurioje naudotojų identifikavimas ir autentiškumas yra atliekamas geografiškai paskirstytų šalių atžvilgiu, nagrinėjama paslauga būdinga dviems pagrindiniams aspektams:

• Tai veikia kaip autentifikatorius;
• Kaip tiksliai buvo organizuota autentiškumo ir identifikavimo duomenų mainai ir kaip užtikrinama jų apsauga.

Norint patvirtinti jo autentiškumą, subjektui turi būti pateiktas vienas iš šių subjektų:

• Tam tikra jam žinoma informacija (asmens kodas, slaptažodis, specialusis kriptografinis raktas ir kt.);
• Tam tikras dalykas, kurį jis turi (asmeninė kortelė ar kitas prietaisas, turintis panašų tikslą);
• Tam tikras dalykas, kuris yra jo elementas (pirštų atspaudai, balso ir kitos biometrinės identifikavimo priemonės ir vartotojo autentifikavimas).

Sistemų ypatybės

Atvirosios tinklo aplinkoje šalys neturi patikimo maršruto, taigi paprastai informacija, kurią perduoda subjektas, galiausiai nesutampa su gautąja informacija ir naudojama autentifikavimui. Būtina užtikrinti aktyviojo ir pasyviojo tinklo klausymo apsaugą, ty apsaugą nuo įvairių duomenų pataisymo, perėmimo ar atkūrimo. Sparčiųjų slaptažodžių siuntimo galimybė yra nepatenkinama ir slaptažodžių pozicija ir šifravimas negali būti išsaugoti tokiu pačiu būdu, nes jie nėra apsaugoti nuo atkūrimo. Štai kodėl šiandien naudojami sudėtingesni autentifikavimo protokolai.

Patikimas identifikavimas yra sunkus ne tik dėl įvairių tinklo grėsmių, bet ir dėl daugybės kitų priežasčių. Visų pirma, beveik bet koks autentifikavimo subjektas gali būti pavogtas, suklastotas ar užmuštas. Taip pat yra tam tikras prieštaravimas tarp naudojamos sistemos patikimumo ir, kita vertus, sistemos administratoriaus ar vartotojo patogumų. Todėl saugumo sumetimais tam tikru dažnumu reikia paprašyti naudotojo pakartotinai įvesti savo autentifikavimo informaciją (nes kažkas jau gali sėdėti savo vietoje), o tai ne tik sukuria papildomų darbų, bet ir žymiai padidina tikimybę, kad Tas, kad kas nors gali šnipinėti dėl informacijos įvedimo. Be kita ko, apsaugos patikimumas daro didelę įtaką jo kainai.

Šiuolaikinės autentifikavimo ir autentifikavimo sistemos palaiko vieno prisijungimo prie tinklo koncepciją, kuri pirmiausia leidžia patenkinti naudotojo patogumo reikalavimus. Jei standartiniame korporaciniame tinkle yra daug informacijos paslaugų, kurios numato nepriklausomo gydymo galimybę, pakartotinis asmens duomenų pateikimas tampa pernelyg sudėtingas. Šiuo metu dar negalima teigti, kad vieno prisijungimo prie tinklo naudojimas laikomas įprasta, nes dominuojantys sprendimai dar nėra suformuoti.

Taigi daugelis žmonių bando rasti kompromisą tarp prieinamumo, patogumo ir patikimumo priemonių, kuriomis užtikrinamas autentiškumas / autentifikavimas. Vartotojų įgaliojimas šiuo atveju atliekamas pagal atskiras taisykles.

Ypatingą dėmesį reikėtų atkreipti į tai, kad naudojamą paslaugą galima pasirinkti kaip prieinamumo ataką. Jei sistemos konfigūracija yra sukonfigūruota taip, kad po tam tikrų nesėkmingų bandymų įvesties galimybė buvo užblokuota, šiuo atveju užpuolikai gali sustabdyti teisėtų vartotojų darbą tik keliais klavišų paspaudimais.

Slaptažodžio autentifikavimas

Pagrindinis tokios sistemos privalumas yra tas, kad jis yra labai paprastas ir daugeliui žinomas. Slaptažodžiai jau seniai naudojami operacinėse sistemose ir kitose tarnybose, o naudojant tinkamą naudojimą jie užtikrina aukštą saugumo lygį, kuris yra priimtinas daugeliui organizacijų. Kita vertus, norint nustatyti bendrą charakteristikų rinkinį, tokios sistemos yra silpniausia priemonė autentiškumui / autentifikavimui atlikti. Šiuo atveju autorizacija tampa gana paprasta, nes slaptažodžiai turėtų būti įsimenami, tačiau paprasta derėtis nėra sunku atspėti, ypač jei asmuo žino konkretaus vartotojo pageidavimus.

Kartais būna, kad slaptažodžiai iš esmės nėra laikomi paslaptyje, nes jie turi gana standartines vertes, nurodytas tam tikruose dokumentuose, o ne visada po sistemos įdiegimo, jie yra pakeisti.

Įvesdami slaptažodį galite pamatyti, o kai kuriais atvejais žmonės naudoja net specializuotus optinius įrenginius.

Naudotojai, pagrindiniai identifikavimo ir autentiškumo subjektai, dažnai gali pranešti kolegoms slaptažodžius, kad tam tikru laikotarpiu jie pakeistų savininką. Teoriškai tokiose situacijose labiausiai tikslinga naudoti specialią prieigos kontrolę, tačiau praktiškai ji niekam netinka. Ir jei du žmonės žino slaptažodį, tai labai padidina tikimybę, kad galų gale kiti taip pat sužinos apie tai.

Kaip tai ištaisyti?

Yra keletas būdų, kuriais galima apsaugoti autentifikavimą ir autentifikavimą. Informacijos apdorojimo komponentas gali būti apsaugotas taip:

• Įvairių techninių apribojimų įvedimas. Dažniausiai nustatomos slaptažodžio ilgio ir tam tikrų jo simbolių turinio taisyklės.
• Slaptažodžių galiojimo valdymas, tai yra jų periodiško pakeitimo poreikis.
• Prieigos prie pagrindinio slaptažodžio failo apribojimas.
• Apriboti bendrą nepavykusių bandymų skaičių, kuris yra pasiekiamas prisijungiant prie sistemos. Šio užpuoliko dėka, prieš identifikavimą ir autentifikavimą atliekami tik veiksmai, nes negalima naudoti brutalia jėga.
• Preliminarus naudotojų mokymas.
• Naudojant specializuotus programinės įrangos slaptažodžių generatorius, kurie leidžia kurti tokius derinius, kurie yra euphonic ir gana įsimenami.

Visos šios priemonės gali būti naudojamos bet kuriuo atveju, net jei kartu su slaptažodžiais naudojami kiti autentifikavimo metodai.

Vienkartiniai slaptažodžiai

Pirmiau aptarti variantai yra pakartotinai naudojami, o jei šis derinys atskleidžiamas, užpuolikas gali atlikti tam tikras operacijas vartotojo vardu. Štai kodėl vienkartiniai slaptažodžiai naudojami kaip stipresnė priemonė, kuri yra atspari pasyviojo tinklo klausymo galimybei, dėl kurios autentifikavimo ir autentifikavimo sistema tampa kur kas saugesnė, nors ir ne tokia patogu.

Šiuo metu viena iš populiariausių vienkartinių slaptažodžių programinės įrangos generatorių yra "S / KEY" sistema, kurią išleido "Bellcore". Pagrindinė šios sistemos samprata yra tai, kad yra tam tikra funkcija F, kuri žinoma ir vartotojui, ir autentifikavimo serveriui. Toliau pateikiamas slaptasis raktas K, kuris yra žinomas tik konkrečiam vartotojui.

Pradiniame vartotojo administravime ši funkcija tam tikram skaičiui kartų naudojama klavišui, po kurio saugomas rezultatas saugomas serveryje. Ateityje autentiškumo tikrinimo procedūra bus tokia:

1. Naudotojo sistemoje numeris ateina iš serverio, kuris yra 1 mažesnis už naudojamo rakto skaičių.
2. Vartotojas naudoja šią funkciją esamam slaptam raktui, kuris yra pirmoje pastraipoje nustatytų kartų skaičius, po kurio rezultatas per tinklą siunčiamas tiesiogiai prie autentifikavimo serverio.
3. Serveris naudoja šią funkciją, norėdami gauti vertę, po kurios rezultatas lyginamas su anksčiau išsaugota verte. Jei rezultatai yra vienodi, tada nustatomas vartotojo autentiškumas, o serveris išsaugo naują vertę, o po to sumažina skaitiklį.

Praktiškai šios technologijos įgyvendinimas yra šiek tiek sudėtingesnis, tačiau šiuo metu tai nėra taip svarbu. Kadangi funkcija yra negrįžtama, net jei įsiterpiate slaptažodį arba gaunate neleistiną prieigą prie autentifikavimo serverio, ji nesuteikia galimybės gauti slapto rakto ir bet kokiu būdu nuspėti, kaip tiksliai atrodys kitas vienkartinis slaptažodis.

Rusijoje kaip bendroji tarnyba naudojamas specialus valstybinis portalas - "Vieningoji atpažinimo / autentifikavimo sistema" ("ESIA").

Kitas požiūris į patikimą autentiškumo tikrinimo sistemą yra trumpą laiką generuoti naują slaptažodį, kuris taip pat realizuojamas naudojant specializuotas programas ar įvairias intelektualias korteles. Tokiu atveju autentifikavimo serveris turėtų priimti atitinkamą slaptažodžių generavimo algoritmą, taip pat tam tikrus susijusius parametrus, be to, turi būti sinchronizuojamas serveris ir kliento laikrodis.

Kerberos

Pirmą kartą "Kerberos" autentifikavimo serveris pasirodė praėjusio šimtmečio 90-ųjų viduryje, tačiau nuo tada jis sugebėjo gauti daugybę esminių pakeitimų. Šiuo metu atskiros šios sistemos sudedamosios dalys yra beveik kiekvienoje šiuolaikinėje operacinėje sistemoje.

Pagrindinis šios paslaugos tikslas yra išspręsti šią problemą: yra tam tikras neapsaugotas tinklas, o jo mazgai yra susitelkę į skirtingus vartotojus, taip pat serverių ir klientų programinės įrangos sistemas. Kiekvienas toks dalykas turi atskirą slaptą raktą, ir norint, kad subjektas C turėtų galimybę įrodyti savo autentiškumą S dalykui, be kurio jis tiesiog jam nepadeda, jam reikės ne tik identifikuoti save, bet ir parodyti, kad jis žino tam tikrą Slaptas raktas. Tuo pačiu metu C neturi galimybės tik išsiųsti savo slaptą raktą į S, nes tinklas iš esmės yra atidarytas, be to, S nežino ir iš principo to nereikia žinoti. Šioje situacijoje, siekiant parodyti žinias apie šią informaciją, naudojama mažiau paprastoji technologija.

Elektroninis autentifikavimas per autentifikavimą naudojant "Kerberos" sistemą numato, kad jis bus naudojamas kaip patikima trečioji šalis, turinti informaciją apie tarnaujamų objektų slaptus raktus ir prireikus padeda jiems atlikti porinę autentiškumo tikrinimo funkciją.

Taigi, klientas pirmiausia siunčia prašymą sistemai, kuriame yra reikiama informacija apie ją, taip pat prašoma paslauga. Po to "Kerberos" pateikia jam unikalų bilietą, kuris yra šifruotas su serverio slaptu raktu, taip pat kai kurių iš jo duomenų kopiją, kuri klasifikuojama pagal kliento raktą. Atsitiktinumo atveju nustatyta, kad klientas buvo iššifruotas jam skirtos informacijos, ty jis galėjo įrodyti, kad slaptas raktas jam tikrai žinomas. Tai rodo, kad klientas yra būtent tas asmuo, už kurį jis pats išleidžia.

Ypatingą dėmesį reikėtų atkreipti į tai, kad slaptųjų raktelių perdavimas tinkle nebuvo atliekamas ir jie buvo naudojami tik šifravimui.

Autentifikavimas naudojant biometrinius duomenis

Biometriniai duomenys apima automatines žmonių identifikavimo / autentiškumo nustatymo priemones, remiantis jų elgesio ar fiziologinėmis savybėmis. Fizinės tapatybės nustatymo ir identifikavimo priemonės apima akių tinklainės ir ragenos, pirštų atspaudų, veido ir rankų geometrijos tikrinimą, taip pat kitą individualią informaciją. Tie patys elgsenos ypatumai yra stiliaus darbo su klaviatūra ir parašo dinamika. Kombinuotieji metodai yra įvairių žmogaus balso savybių analizė, taip pat jo kalbos pripažinimas.

Tokios atpažinimo / autentifikavimo ir šifravimo sistemos yra naudojamos visur daugelyje pasaulio šalių, tačiau ilgą laiką jos buvo labai brangios ir sunkiai naudojamos. Pastaruoju metu dėl elektroninės prekybos plėtros ženkliai padidėjo biometrinių produktų paklausa, nes naudotojo požiūriu yra daug patogiau pristatyti save, nei prisiminti kai kurią informaciją. Todėl paklausa sukuria tiekimą, todėl rinkoje atsirado palyginti nebrangūs produktai, daugiausia susiję su pirštų atspaudų atpažinimo funkcija.

Daugeliu atvejų biometrija naudojama kartu su kitais autentifikavimo programomis, pvz., "Lustinėmis" kortelėmis. Dažnai biometrinė atpažinimas yra tik pirmoji gynybos linija ir veikia kaip intelektinių žemėlapių, įskaitant įvairias kriptografines paslaptis, aktyvavimo priemonė. Naudojant šią technologiją, biometrinis šablonas yra saugomas tame pačiame žemėlapyje.

Veikla biometrinių duomenų srityje yra gana didelė. Jau yra tinkamas konsorciumas, taip pat aktyviai atliekamas darbas, kurio tikslas - standartizuoti įvairius technologijos aspektus. Šiandien jūs galite pamatyti daugybę reklaminių straipsnių, kuriuose biometrinės technologijos pristatomos kaip ideali priemonė, užtikrinanti didesnį saugumą ir tuo pat metu prieinamus masėms.

ESIA

Identifikavimo ir autentiškumo tikrinimo sistema yra speciali paslauga, sukurta siekiant užtikrinti įvairių uždavinių, susijusių su pareiškėjų ir tarpžinybinio bendradarbiavimo dalyvių autentiškumo patikrinimu, teikiant bet kokias savivaldybių ar viešąsias paslaugas elektronine forma, įgyvendinimą.

Norint gauti prieigą prie "vieno portalo valstybinių struktūrų", taip pat bet kuri kita informacinių sistemų infrastruktūros esamos elektroninės valdžios, pirmiausia turite užsiregistruoti sąskaitą ir, kaip rezultatas, gauti AEV.

lygiai

Portalas vieningą sistemą identifikavimo ir autentifikavimo numato tris pagrindinius lygius sąskaitų fiziniams asmenims:

• Supaprastintas. Savo registracijos, tiesiog įtraukti savo vardą ir pavardę, taip pat tam tikros ryšio kanalą į elektroninio pašto adresą arba mobilaus telefono formos. Tai pagrindinis lygis, pagal kurį asmuo suteikia prieigą tik ribotam sąrašą įvairių valdžios paslaugų, taip pat esamų informacinių sistemų galimybes.
• Standartą. Norėdami gauti pradžių reikia išduoti supaprastintą sąskaitą, ir tada taip pat pateikti papildomą informaciją, įskaitant informaciją iš paso numeris ir draudimo atskiroje sąskaitoje. Ši informacija yra automatiškai patikrinti per informacinę sistemą Pensijų fondo, taip pat Federalinio migracijos tarnybos, o jei bandymas sėkmingas, sąskaita paverčiama standartinės lygio, ji atveria vartotoją į išplėstinį sąrašą valstybės paslaugas.
• Patvirtino. Norėdami gauti šią sąskaitą lygį, vieningą sistemą identifikavimo ir autentifikavimo vartotojai turi standartinę sąskaitą, taip pat asmens tapatybės dokumentą, kuris yra atliekamas per asmeninį apsilankymo įgaliotas aptarnavimo skyrius arba gauti aktyvacijos kodą per registruotu laišku. Tuo atveju, kai individualios patvirtinimas yra sėkmingas, sąskaita bus eiti į naują lygį, o vartotojui bus gauti prieigą prie visą sąrašą reikalingų viešųjų paslaugų.

Nepaisant to, kad procedūros gali atrodyti pakankamai sudėtinga, kad iš tikrųjų pamatyti pilną sąrašą reikalingų duomenų gali būti tiesiogiai oficialioje svetainėje, todėl yra įmanoma užbaigti registraciją kelias dienas.