Pengenalpastian dan pengesahan: konsep asas

Pengenalpastian dan pengesahan adalah asas perisian dan perkakasan moden keselamatan, seperti mana-mana perkhidmatan lain terutamanya bertujuan untuk servis mata pelajaran ini. Konsep-konsep ini mewakili sejenis barisan pertahanan pertama, memastikan keselamatan ruang maklumat organisasi.

Apa yang ia?

Pengenalpastian dan pengesahan mempunyai fungsi yang berbeza. Yang pertama merupakan subjek (pengguna atau proses yang bertindak bagi pihak) peluang untuk memberitahu nama mereka sendiri. Dengan cara pengesahan adalah bahagian yang kedua adalah benar-benar yakin bahawa subjek yang sebenarnya adalah salah satu yang baginya dia mendakwa. Selalunya, sebagai pengenalan sinonim dan pengesahan digantikan dengan frasa "nama Post" dan "pengesahan".

Mereka sendiri dibahagikan kepada beberapa jenis. Seterusnya, kita menganggap bahawa pengenalpastian dan pengesahan berada dan apa yang mereka.

pengesahan

Konsep ini memperuntukkan dua jenis: satu hala, pelanggan yang pertama mesti membuktikan kepada pelayan untuk mengesahkan, dan dua hala, iaitu, apabila pengesahan bersama dijalankan. contoh tipikal bagaimana untuk menjalankan pengenalan standard dan pengesahan dari pengguna - adalah untuk log masuk ke dalam sistem tertentu. Oleh itu, pelbagai jenis boleh digunakan dalam pelbagai objek.

Dalam persekitaran rangkaian, di mana pengenalpastian dan pengesahan pengguna dibuat pada geografi pihak tersebar, memeriksa perkhidmatan yang dibezakan oleh dua aspek utama:

• yang bertindak sebagai pengesah yang;
• bagaimana ia telah dianjurkan oleh pertukaran pengesahan data dan pengenalan dan bagaimana untuk melindunginya.

Untuk mengesahkan kesahihannya, mata pelajaran tersebut hendaklah dikemukakan kepada salah satu daripada entiti berikut:

• maklumat tertentu yang dia tahu (nombor peribadi, kata laluan, kunci kriptografi khas, dan lain-lain ...);
• perkara tertentu dia memiliki (kad peribadi atau peranti lain yang mempunyai tujuan yang sama);
• perkara tertentu, yang merupakan elemen daripadanya (cap jari, suara atau pengenalan biometrik lain dan pengesahan pengguna).

ciri-ciri sistem

Dalam persekitaran rangkaian terbuka, para pihak tidak mempunyai laluan yang dipercayai, dan dikatakan bahawa secara umum, maklumat yang dihantar oleh subjek akhirnya mungkin berbeza daripada maklumat yang diterima dan digunakan untuk pengesahan. keselamatan diperlukan sniffer rangkaian aktif dan pasif, iaitu, perlindungan terhadap pembetulan, pemintasan atau main balik data yang berbeza. pilihan pemindahan kata laluan yang jelas tidak memuaskan, dan tidak boleh menyelamatkan hari, dan kata laluan disulitkan, kerana mereka tidak disediakan, perlindungan main balik. Sebab itulah hari ini digunakan protokol pengesahan yang lebih kompleks.

pengenalan dipercayai adalah sukar bukan sahaja kerana pelbagai ancaman rangkaian, tetapi juga untuk pelbagai sebab-sebab lain. Pertama hampir mana-mana entiti pengesahan boleh diculik, atau memalsukan atau Pengakap. ketegangan antara kebolehpercayaan sistem yang digunakan juga hadir, dalam satu tangan, dan pentadbir sistem atau pengguna kemudahan - di pihak yang lain. Oleh itu, atas sebab-sebab keselamatan diperlukan dengan beberapa frekuensi meminta pengguna untuk maklumat pengesahan yang-pengenalan semula (seperti yang sebaliknya dia mungkin perlu duduk sesetengah orang lain), dan ia bukan sahaja mewujudkan masalah tambahan, tetapi juga ketara meningkatkan peluang untuk seseorang yang boleh mengungkit input maklumat. Di samping itu, kebolehpercayaan perlindungan yang bermakna kesan yang besar ke atas nilai.

sistem pengenalan dan pengesahan moden menyokong konsep single sign-on kepada rangkaian, yang terutamanya memenuhi keperluan dari segi user-keramahan. Jika standard rangkaian korporat mempunyai banyak perkhidmatan maklumat, mengadakan peruntukan bagi kemungkinan peredaran bebas, maka pentadbiran dibahagikan dengan data peribadi menjadi terlalu membebankan. Pada masa ini ia masih mustahil untuk mengatakan bahawa penggunaan single sign-on kepada rangkaian adalah perkara biasa, sebagai penyelesaian dominan belum terbentuk.

Oleh itu, ramai yang cuba untuk mencari kompromi antara kemampuan, keselesaan dan kebolehpercayaan dana, yang menyediakan pengenalan / pengesahan. kebenaran pengguna dalam kes ini dijalankan mengikut peraturan individu.

Perhatian khusus harus diberikan kepada hakikat bahawa perkhidmatan yang digunakan boleh dipilih sebagai objek serangan kepada ketersediaan. Jika konfigurasi sistem dibuat dalam apa-apa cara bahawa selepas beberapa percubaan gagal memasukkan kemungkinan telah dikunci, kemudian penyerang boleh menghentikan operasi pengguna yang sah dengan hanya beberapa ketukan kekunci.

pengesahan kata laluan

Kelebihan utama sistem ini adalah bahawa ia adalah amat mudah dan biasa untuk sebahagian besar. Kata laluan telah lama digunakan oleh sistem operasi dan perkhidmatan lain, dan dengan penggunaan yang betul keselamatan yang disediakan, yang agak boleh diterima bagi kebanyakan organisasi. Sebaliknya, dengan satu set umum ciri-ciri sistem tersebut adalah cara paling lemah di mana pengenalpastian / pengesahan boleh dilaksanakan. Kebenaran dalam kes ini menjadi agak mudah, kerana kata laluan yang perlu menjadi menarik, tetapi ia tidak sukar untuk meneka kombinasi mudah, terutamanya jika orang itu tahu citarasa pengguna tertentu.

Kadang-kadang ia berlaku bahawa kata laluan adalah, pada dasarnya, tidak dirahsiakan, kerana nilai-nilai cukup standard yang dinyatakan dalam dokumen yang tertentu, dan tidak selalu selepas sistem dipasang, menukar mereka.

Apabila anda memasukkan kata laluan anda, anda boleh lihat, dalam beberapa kes, orang walaupun menggunakan instrumen optik khusus.

Pengguna, mata pelajaran utama pengenalan dan pengesahan, kata laluan sering memberitahu rakan-rakan untuk mereka pada masa-masa tertentu telah berubah pemilik. Dalam teori, dalam keadaan seperti itu, ia akan menjadi lebih tepat untuk digunakan kawalan akses khas, tetapi dalam amalan ia tidak digunakan. Dan jika kata laluan yang tahu dua orang, ia sangat akan meningkatkan peluang bahawa di akhir itu dan mengetahui lebih lanjut.

Bagaimana untuk menetapkan?

Terdapat beberapa alat seperti pengenalan dan pengesahan boleh dilindungi. Komponen pemprosesan maklumat boleh menginsuranskan berikut:

• Pengenaan pelbagai batasan teknikal. Selalunya menetapkan peraturan tempoh kata laluan dan kandungan watak-watak tertentu.
• Pejabat tamat tempoh kata laluan, iaitu mereka perlu diganti secara berkala.
• akses yang terhad kepada fail kata laluan asas.
• Had jumlah bilangan percubaan yang gagal yang tersedia apabila anda log masuk. Kerana penyerang ini mesti dijalankan hanya tindakan untuk melaksanakan pengenalan dan pengesahan serta kaedah susunan tidak boleh digunakan.
• latihan awal dari pengguna.
• Menggunakan khusus penjana kata laluan perisian yang boleh membuat kombinasi seperti yang cukup merdu dan tidak dapat dilupakan.

Semua langkah-langkah boleh digunakan dalam mana-mana, walaupun bersama-sama dengan kata laluan yang juga akan menggunakan cara lain untuk pengesahan.

kata laluan satu masa

Penjelmaan di atas boleh diguna semula, dan dalam hal membuka gabungan penyerang mampu untuk melaksanakan operasi tertentu bagi pihak pengguna. Itulah sebabnya sebagai cara yang lebih kukuh tahan kemungkinan sniffer rangkaian pasif, menggunakan kata laluan satu masa di mana pengenalpastian dan sistem pengesahan adalah lebih selamat, walaupun tidak mudah.

Pada masa ini, salah satu perisian yang paling popular sekali penjana kata laluan adalah satu sistem yang dipanggil S / KEY, dikeluarkan oleh Bellcore. Konsep asas sistem ini adalah bahawa terdapat fungsi tertentu F, yang dikenali kepada kedua-dua pengguna dan pelayan pengesahan. Berikut adalah K kunci rahsia, yang hanya diketahui oleh pengguna tertentu.

Pada pengguna pentadbiran awal, fungsi ini digunakan untuk memasukkan beberapa kali, maka hasilnya disimpan pada pelayan. Selepas itu, prosedur pengesahan adalah seperti berikut:

1. Pada sistem pengguna dari pelayan datang ke nombor yang adalah 1 kurang daripada bilangan kali menggunakan fungsi untuk kunci.
2. fungsi pengguna digunakan untuk kunci rahsia dalam bilangan kali yang telah ditetapkan di tempat yang pertama, di mana hasil yang dihantar melalui rangkaian terus ke pelayan pengesahan.
3. pelayan menggunakan fungsi ini untuk nilai yang diperolehi, dan kemudian hasilnya dibandingkan dengan nilai yang disimpan sebelum ini. Jika keputusan perlawanan, maka identiti pengguna ditubuhkan, dan pelayan menyimpan nilai baru, dan kemudian berkurangan kaunter demi satu.

Dalam amalan, pelaksanaan teknologi ini mempunyai struktur agak lebih rumit, tetapi pada masa ini ia tidak mengapa. Kerana fungsi adalah tak boleh balik, walaupun pemintasan kata laluan atau mendapatkan akses yang tidak dibenarkan kepada pelayan pengesahan tidak memberikan kemungkinan untuk mendapatkan kunci persendirian dan apa-apa cara untuk meramalkan bagaimana ia betul-betul akan kelihatan seperti kata laluan satu masa berikut.

Di Rusia sebagai perkhidmatan bersatu, sebuah portal negeri khas - "sistem unik pengenalan / pengesahan" ( "Esia").

Satu lagi pendekatan kepada sistem pengesahan yang kukuh terletak pada hakikat bahawa kata laluan baru telah dijana pada jangka masa yang pendek, yang juga dicapai melalui penggunaan program khusus atau pelbagai kad pintar. Dalam kes ini, pelayan pengesahan mesti menerima algoritma menjana kata laluan yang sama dan parameter tertentu yang berkaitan dengan itu, dan di samping itu, perlu hadir sebagai pelayan penyegerakan jam dan pelanggan.

Kerberos

Kerberos pelayan pengesahan untuk pertama kalinya muncul pada pertengahan tahun 90-an abad yang lalu, tetapi sejak itu beliau telah menerima banyak perubahan asas. Pada masa ini, komponen-komponen individu sistem terdapat di dalam hampir setiap sistem pengendalian moden.

Tujuan utama perkhidmatan ini adalah untuk menyelesaikan masalah berikut: terdapat rangkaian tertentu tidak selamat dan nod dalam bentuk pekat dalam pelbagai pengguna mata pelajaran, dan sistem server dan perisian pelanggan. Setiap entiti itu pada masa sekarang kunci rahsia individu, dan mata pelajaran dengan peluang untuk membuktikan kesahihannya kepada subjek S, tanpa yang dia semata-mata tidak akan perkhidmatan, ia akan perlu bukan sahaja memanggil dirinya, tetapi juga untuk menunjukkan bahawa dia tahu beberapa kunci rahsia. Pada masa yang sama Dengan sekali tidak hanya menghantar ke arah S kunci rahsia anda seperti dalam contoh pertama rangkaian adalah terbuka, dan di samping itu, S tidak tahu, dan, pada dasarnya, tidak mengenal Dia. Dalam keadaan ini, menggunakan teknologi demonstrasi kurang jelas pengetahuan maklumat tersebut.

pengenalan elektronik / pengesahan melalui sistem Kerberos memperuntukkan penggunaannya sebagai pihak ketiga yang dipercayai, yang mempunyai maklumat mengenai kunci rahsia laman perkhidmatan dan membantu mereka dalam menjalankan pengesahan dari segi pasangan jika perlu.

Oleh itu, pelanggan pertama yang dihantar dalam pertanyaan yang mengandungi maklumat yang diperlukan tentang hal itu, dan juga perkhidmatan yang diminta. Selepas ini, Kerberos memberi dia jenis tiket yang disulitkan dengan kunci rahsia pelayan, serta salinan sebahagian daripada data dari itu, yang merupakan kunci rahsia pelanggan. Dalam hal yang ia ditubuhkan maklumat bahawa pelanggan telah ditafsirkan rekakannya, iaitu, dia mampu untuk menunjukkan bahawa kunci persendirian dikenali beliau benar-benar. Ini menunjukkan bahawa pelanggan adalah orang yang mana ia adalah.

perhatian yang istimewa di sini perlu diambil untuk memastikan bahawa penghantaran kunci rahsia yang tidak dijalankan di rangkaian, dan ia digunakan semata-mata untuk penyulitan.

pengesahan menggunakan biometrik

Biometrik melibatkan gabungan automatik pengenalan / pengesahan orang berdasarkan ciri-ciri tingkah laku atau fisiologi mereka. cara fizikal pengenalan dan pengesahan menyediakan imbasan retina dan mata kornea, cap jari, muka dan geometri tangan, serta maklumat peribadi yang lain. Ciri-ciri tingkah laku juga merangkumi gaya kerja dengan papan kekunci dan dinamik tandatangan. kaedah digabungkan adalah analisis ciri-ciri yang berbeza daripada suara manusia, serta pengiktirafan ucapannya.

pengenalan / pengesahan dan penyulitan sistem tersebut digunakan secara meluas di banyak negara di seluruh dunia, tetapi untuk masa yang lama, mereka adalah kos yang sangat tinggi dan kerumitan penggunaan. Baru-baru ini, permintaan untuk produk biometrik telah meningkat dengan ketara disebabkan oleh pembangunan e-dagang, kerana, dari sudut pandangan pengguna, adalah lebih mudah untuk hadir sendiri, daripada ingat beberapa maklumat. Oleh itu, permintaan mewujudkan bekalan, jadi pasaran mula muncul produk yang agak rendah dari, yang sebahagian besarnya tertumpu kepada pengiktirafan cap jari.

Dalam majoriti kes, biometrik digunakan dalam kombinasi dengan Pengesah lain seperti kad pintar. Sering pengesahan biometrik hanya garis pertahanan pertama dan bertindak sebagai satu cara untuk meningkatkan kad pintar, termasuk pelbagai rahsia kriptografi. Apabila menggunakan teknologi ini, template biometrik disimpan pada kad yang sama.

Aktiviti dalam bidang biometrik adalah cukup tinggi. konsortium yang sedia ada yang berkaitan, dan kerja-kerja yang sangat aktif sedang dijalankan untuk menyeragamkan pelbagai aspek teknologi. Hari ini kita boleh lihat banyak artikel pengiklanan bahawa teknologi biometrik dibentangkan sebagai satu cara yang ideal untuk menyediakan peningkatan keselamatan dan pada masa yang sama berpatutan kepada orang ramai.

Esia

sistem pengenalan dan pengesahan ( "Esia") adalah perkhidmatan khas yang direka untuk memastikan pelaksanaan pelbagai tugas yang berkaitan dengan pengesahan keaslian pemohon dan ahli-ahli kerjasama antara agensi sekiranya berlaku apa-apa perkhidmatan perbandaran atau awam dalam bentuk elektronik.

Dalam usaha untuk mendapatkan akses kepada "portal tunggal struktur negeri", serta mana-mana infrastruktur sistem maklumat lain e-kerajaan sedia ada, anda perlu mendaftar akaun dan hasilnya, mendapat AEDs.

tahap

Portal sistem bersatu pengenalan dan pengesahan menyediakan tiga peringkat asas akaun untuk individu:

• Dipermudahkan. Untuk pendaftarannya hanya termasuk nama pertama dan terakhir anda, serta beberapa saluran tertentu komunikasi dalam bentuk alamat e-mel atau telefon bimbit. Ini peringkat rendah, yang mana seseorang memberikan akses hanya kepada senarai terhad pelbagai perkhidmatan kerajaan, serta keupayaan sistem maklumat sedia ada.
• Standard. Untuk mendapatkan mulanya perlu untuk mengeluarkan akaun yang mudah, dan kemudian juga memberikan maklumat, termasuk maklumat daripada nombor pasport dan insurans akaun individu. Maklumat ini disemak secara automatik melalui sistem maklumat Kumpulan Wang Pencen, serta Perkhidmatan Migrasi Persekutuan, dan, jika ujian itu berjaya, akaun tersebut akan ditukar ke tahap yang standard, ia membuka pengguna ke senarai pengembangan dalam perkhidmatan kerajaan.
• Disahkan. Untuk mendapatkan tahap ini akaun, satu sistem yang bersatu pengenalan dan pengesahan memerlukan pengguna untuk akaun standard, serta sebagai bukti identiti, yang dilakukan melalui lawatan peribadi jabatan perkhidmatan yang diberi kuasa atau dengan mendapatkan kod pengaktifan melalui surat berdaftar. Sekiranya pengesahan individu berjaya, akaun akan pergi ke tahap yang baru, dan kepada pengguna akan mendapat akses kepada senarai lengkap perkhidmatan awam diperlukan.

Walaupun prosedur mungkin kelihatan cukup kompleks untuk benar-benar melihat senarai penuh data yang diperlukan boleh terus di laman web rasmi, jadi ia adalah mungkin untuk melengkapkan pendaftaran untuk beberapa hari.