Identifitseerimine ja autentimine: põhikontseptsioonid

Identifitseerimine ja autentimine on aluseks kaasaegse tarkvara ja riistvara turvalisuse, kui mis tahes muid teenuseid peamiselt need on mõeldud nende teemade puhul. Need mõisted kujutavad endast omamoodi esimene kaitseliin, tagades turvalisuse teavet ruumi organisatsioon.

Mis see on?

Identifitseerimine ja autentimine on erinevad funktsioonid. Esimene pakub suhtes (kasutaja või protsessi, mis toimib nimel) võimaluse öelda oma nimi. Abil autentimist on teine pool on täiesti veendunud, et teema on tõesti üks, kelle jaoks ta väidab end olevat. Sageli sünonüümina identifitseerimise ja autentimise asendatakse fraas "Post nimi" ja "autentimine".

Nad ise on jagatud mitmeks sordid. Järgmine leiame, et identifitseerimise ja autentimise on ja mida nad on.

autentimine

See kontseptsioon näeb ette kahte tüüpi: ühe suuna peab klient kõigepealt tõestada server autentimiseks ning kahepoolsete, see on siis, kui vastastikuse kinnituse läbi. Tüüpiline näide sellest, kuidas viia läbi standard identifitseerimise ja autentimise kasutajate - on sisse logida konkreetse süsteemi. Seega, erinevat tüüpi võib kasutada erinevaid esemeid.

Võrgukeskkonnas, kus identifitseerimise ja autentimise kasutajate tehtud geograafiliselt hajutatud pooled, vaatab teenust eristada kahte peamist aspekti:

• mis toimib authenticator;
• kuidas see korraldas andmevahetuse autentimine ja identifitseerimine ja kuidas seda kaitsta.

Kinnitada selle autentsust, teema tuleb esitada üks järgmistest isikutest:

• Teatud teavet, mida ta teab (isiklik number, parooli, eriline krüptograafilise võtme, jne ...);
• Kindel ta omab (isiklik kaardi või mõne muu seadme, millel on sarnane eesmärk);
• Kindel, mis on osa sellest (sõrmejälgede, kõne- või muud biomeetrilist identifitseerimist ja autentimist).

süsteemi funktsioone

Avatud võrgu keskkonda, kui pooled ei ole usaldusväärne tee ja öeldakse, et üldiselt edastatud teabe suhtes võib lõpuks erineda saadud teavet ja kasutatakse autentimiseks. Nõutav ohutuse aktiivse ja passiivse võrgu Narkomaani, see tähendab, kaitse parandusi, pealtkuulamine või taasesituse erinevaid andmeid. Parool ülekande valik selge ei ole rahuldav, ja lihtsalt ei päästa päev ja krüpteeritud paroolid, sest neid ei osutata, taasesitus kaitse. See on põhjus, miks kasutatakse tänapäeval keerukam autentimise protokolle.

Usaldusväärne identifitseerimine on raske mitte ainult sellepärast, erinevaid võrgu ohtude, vaid ka paljude teiste põhjustel. Esimene praktiliselt iga autentimise üksus võib röövitud või võltsida või Skautlus. pingeid usaldusväärsuse süsteemist, mida kasutatakse ka käesolevas ühelt poolt ning süsteemiadministraatori või alla võimalustest - teiselt poolt. Seega julgeoleku kaalutlustel vaja mõningase sagedusega paluda kasutajal uuesti kasutusele võtmisest oma autentimise teavet (nagu selle asemel ta võib olla istuda mõned teised inimesed), ja see tekitab mitte ainult täiendavaid probleeme, vaid ka suurendab oluliselt võimalust et keegi ei piiluma teavet sisend. Lisaks usaldusväärsuse kaitse tähendab olulist mõju selle väärtust.

Modern identifitseerimise ja autentimise süsteemide kontseptsiooni toetamiseks single sign-on võrgustikku, mis peamiselt näeb nõudeid kasutajasõbralikkus. Kui standard ettevõtte võrgus on palju infoteenused, mis näeb ette võimaluse sõltumatu ringlusse, siis korduval manustamisel isikuandmete muutub liiga koormavaks. Praegu on veel võimalik öelda, et kasutada ühekordset sisselogimist võrgu on normaalne, kui domineeriva lahendusi ei ole veel moodustatud.

Seega, paljud üritavad leida kompromiss taskukohasuse, mugavust ja usaldusväärsust raha, mis annab identifitseerimise / autentimist. Kasutaja luba antud juhul toimub vastavalt individuaalsetele eeskirjad.

Erilist tähelepanu tuleks pöörata asjaolule, et teenust kasutada saab valitud objekti rünnakud kättesaadavust. Kui süsteemi konfiguratsioonist on tehtud nii, et pärast mitmeid ebaõnnestunud katseid siseneda võimalus on lukustatud, siis ründaja saab peatamiseks õigustatud kasutajate vaid mõne klahvivajutusega.

parooliga autentimist

Peamine eelis see süsteem on, et see on väga lihtne ja tuttav paljudele. Paroolid on ammu kasutatud operatsioonisüsteemide ja muid teenuseid, ja nõuetekohase kasutamise tagatised, mis on üsna vastuvõetav enamikule organisatsioonidele. Teiselt poolt, mille ühised omadused on sellised süsteemid nõrgima vahendid, mille identifitseerimine / autentimine võib rakendada. Luba antud juhul muutub üsna lihtne, sest paroolid peavad olema meeldejääv, kuid see ei ole raske ära arvata kombinatsioon lihtne, eriti kui inimene teab eelistusi konkreetse kasutaja.

Vahel juhtub, et paroolid on põhimõtteliselt ei hoitud saladus, mis on päris tavalised väärtused täpsustatud konkreetseid dokumente ja mitte alati pärast süsteemi paigaldatud, neid muuta.

Kui sisestate parooli näed, mõnel juhul inimesed isegi kasutada spetsiaalseid optilisi vahendeid.

Kasutajad on peamised teemad identifitseerimise ja autentimise, paroolid on sageli teavitada kolleege nende teatud aegadel muutunud omanik. Teoreetiliselt sellistes olukordades oleks õigem kasutada spetsiaalseid juurdepääsu kontroll, kuid praktikas ei ole kasutusel. Ja kui parooli tead kaks inimest, see on väga väga suurendab tõenäosust, et lõpuks see ja rohkem teada saada.

Kuidas seda parandada?

On mitmeid vahendeid nagu identifitseerimise ja autentimise saab kaitstud. Teave töötlemise komponent võib kindlustada järgmiselt:

• Kehtestamine eri tehnilisi piiranguid. Enamasti eeskirjade kehtestamiseks parooli pikkus ja sisu teatud märke.
• Office parool lõppemist, st neid tuleb perioodiliselt vahetada.
• Piiratud juurdepääs põhilistele parooli faili.
• Piiramine koguarvust ebaõnnestunud, mis on saadaval, kui sa sisse logida. Sellepärast ründajad tuleb läbi ainult tegevuste sooritamiseks identifitseerimise ja autentimise samuti sorteerimise meetod ei saa kasutada.
• Esialgne koolitus kasutajatele.
• Kasutades spetsiaalse tarkvara parooli generaator, mis võib luua sellised kombinatsioonid, mis on piisavalt meloodiline ja meeldejääv.

Kõik need meetmed saab kasutada igal juhul, isegi kui koos paroole kasutada ka muid vahendeid autentimist.

Ühekordne paroolid

Ülaltoodud teostustes on korduvkasutatavad ja puhul avatakse kombinatsioonid ründaja suudab teatud toiminguid kasutaja nimel. See on põhjus, miks nii tugevamaid resistentsed võimalust passiivne võrgu Narkomaani, kasutada ühekordseid paroole, mille identifitseerimine ja autentimise süsteem on palju turvalisem, kuigi mitte nii mugav.

Praegu üks populaarsemaid tarkvara ühekordne parool generaator on süsteem nimega S / KEY, vabastatakse Bellcore. Põhikontseptsiooni see süsteem on, et seal on teatud funktsioon F, mis on tuntud nii kasutaja ja autentimise server. Järgmised on salajane võti K, teada ainult konkreetse kasutaja.

Esmasel halduse alla, kasutatakse seda funktsiooni, et sisestada mitu korda, siis tulemus on salvestatud serverisse. Seejärel autentimise protseduur on järgmine:

1. Kasutaja süsteemi server jõuab arv, mis on 1 vähem kui mitu korda, kasutades funktsiooni võti.
2. Kasutaja funktsiooni kasutatakse salavõtmete mitu korda, mis on sätestatud esimeses punktis, kusjuures tulemus saadetakse võrgu kaudu otse autentimise server.
3. Serveris kasutab seda funktsiooni saadud väärtuse ja siis tulemus on võrreldes eelnevalt salvestatud väärtust. Kui tulemused sobivad, siis kasutaja isiku tõendamiseks ja server salvestab uue väärtuse ja seejärel väheneb leti ühe.

Praktikas rakendamisel selle tehnoloogia on mõnevõrra keerulisem struktuur, kuid hetkel ei ole oluline. Kuna funktsioon on pöördumatu, isegi kui parool pealtkuulamine või saada volitamata juurdepääsu autentimine server ei paku võimalust saada isikliku võtme ning kuidagi ennustada, kuidas see täpselt välja näeb järgmise ühekordne parool.

Venemaal ühtne teenuste spetsiaalne riigiportaali - "Unique identifitseerimise süsteem / autentimine" ( "Esia").

Teine lähenemine tugev autentimise süsteem seisneb selles, et uus parool loodud lühikeste ajavahemike järel, mis on ka realiseeritud kasutades spetsiaalseid programme või erinevate kiipkaardid. Sel juhul autentimise server peab aktsepteerima vastava parooli genereerimise algoritmi ning teatud parameetrite sellega seotud, ja lisaks tuleb esineda kella sünkroonimine serveriga ja klient.

Kerberos

Kerberose autentimine server esmakordselt ilmus 90ndate aastate keskpaigast eelmise sajandi, kuid kuna siis oli ta juba saanud palju olulisi muutusi. Praegu üksikute komponentide süsteemi esinevad peaaegu iga kaasaegse operatsioonisüsteemi.

Peamine eesmärk see teenus on lahendada järgmised probleemid: on olemas teatud mitte-turvaline võrk ja sõlmede oma kontsentreeritult erinevatel teemadel kasutajatele ja serveri ja kliendi tarkvara süsteemid. Iga selline üksus on käesoleva üksikute salajane võti ja kellel on võimalus tõestada oma autentsuse suhtes S, ilma milleta ta lihtsalt ei teenindada, see on vaja mitte ainult helistada ise, vaid ka näidata, et ta teab, mõned salajane võti. Samal ajal kuidagi lihtsalt saata suunas oma salajane võti S nagu esimese astme võrk on avatud, ja lisaks, S ei tea, ja põhimõtteliselt ei tohiks tean teda. Sellises olukorras kasutada ebaselgemaks tehnoloogia tutvustamise teadmisi, et teavet.

Elektrooniline identifitseerimine / autentimise kaudu Kerberose süsteem näeb ette selle kasutamist usaldusväärne kolmas osapool, kes on informatsioon salajased võtmed teenindatud saidid ja aidata neil teostada paarikaupa autentimine kui vaja.

Seega kliendi esimene saadetud päringu, mis sisaldab vajalikku teavet selle kohta, samuti soovitud teenuse. Pärast seda, Kerberos annab talle mingi pilet, mis on krüptitud salajane võti server, samuti koopia mõned andmed selle, mis on salajane võti kliendi. Juhul kui on kindlaks tehtud, et klient oli dešifreeritud mõeldud teabele see, see tähendab, ta oli võimeline näitama, et privaatvõti on teada teda tõesti. See näitab, et klient on isik, mille jaoks see on.

Erilist tähelepanu tuleks siin võtta, et tagada edastamine salajasi võtmeid ei läbi võrgu, ja neid kasutatakse ainult krüpteerimist.

autentimine biomeetriliste andmete kasutamise

Biomeetria hõlmab kombinatsiooni automaatne tuvastamine / autentimine inimeste põhineb nende käitumuslike ja füsioloogiliste tunnuste. Füüsilistel tuvastamine ja autentimine pakkuda võrkkesta skaneerimise ja silma sarvkest, sõrmejälgede, näo ja käe geomeetria, samuti muid isiklikke andmeid. Käitumuslik omadused ka stiilis tööd klaviatuuri ja dünaamika allkirja. Kombineeritud meetodid on analüüsi erinevate omadustega inimese hääl, samuti tunnustada tema kõnes.

Selline identifitseerimine / autentimise ja krüpteerimise süsteeme kasutatakse laialdaselt paljudes riikides üle kogu maailma, kuid pikka aega, nad on väga kõrge hind ja keerukus kasutamiseks. Veel hiljuti, nõudlus biomeetriliste tooted on märkimisväärselt suurenenud tänu arengule e-kaubanduse, sest alates seisukohast kasutaja, on palju lihtsam esitada ise, kui meeles pidada mõningaid andmeid. Seega nõudlus tekitab pakkumise, nii et turg hakkas ilmuma suhteliselt madala hinnaga tooteid, mis on keskendunud peamiselt sõrmejälgede tuvastamise.

Suurel osal juhtudest, biomeetria kasutatakse koos teiste autentimisvõimalused nagu kiipkaardid. Sageli biomeetriliste autentimine on alles esimene kaitseliin ja toimib seeläbi suurendada Kiipkaardi, sealhulgas erinevate krüptograafiliste saladusi. Kui kasutate seda tehnoloogiat, biomeetriliste malli on salvestatud sama kaarti.

Aktiivsus valdkonnas biomeetria on piisavalt kõrge. Asjakohaste olemasolevate konsortsium, samuti väga aktiivne töö on käimas standardiseerida erinevaid aspekte tehnoloogia. Täna näeme palju reklaami artikleid, mis biomeetriliste tehnoloogiate esitatakse nii ideaalne vahend kõigile suurema ohutuse ja samal ajal taskukohane massid.

Esia

süsteemi tuvastamine ja autentimine ( "Esia") on eriline teenus, mille eesmärk on tagada rakendamise erinevaid ülesandeid, mis on seotud autentsuse kontrollimise kohta taotlejatelt ja ametkondadevaheline koostöö korral mis tahes kohaliku omavalitsuse või avalikke teenuseid elektroonilisel kujul.

Et pääseda "ühtne portaal riigi struktuurid", samuti kõik muud infosüsteemide infrastruktuuri olemasolevate e-valitsuse, peate esmalt registreerima konto ja selle tulemusena saada AED-d.

tasemed

Portaal ühtne süsteem tuvastamine ja autentimine annab kolmes põhilises osas kontode isikuid:

• Lihtsustatud. Selle registreerimise lihtsalt lisada oma ees- ja perekonnanimi, samuti mõned eriti suhtluskanal kujul e-posti aadress või mobiiltelefoni. See esmane tase, mille käigus isik pääseb vaid piiratud nimekirja erinevate valitsuse teenuste, samuti võimalusi olemasolevate infosüsteemide.
• Standard. Et saada esmalt vaja väljastada lihtsustatud konto ja seejärel ka täiendavat teavet, sealhulgas teavet passi number ja kindlustus isikliku konto. See teave automaatselt kontrollida infosüsteemi kaudu Pensionifond, samuti Federal Ränne Service, ja kui katse on edukas, konto muundatakse standard tase, see avab kasutaja laiendatud nimekirja riigi teenuseid.
• Kinnitatud. Et saada selle taseme konto ühtne süsteem tuvastamine ja autentimine nõuab kasutajatelt tavalist kontot, samuti isikut tõendava dokumendi, mis teostatakse läbi isikliku visiidi volitatud teenindus või hankides aktiveerimiskoodi tähtkirjaga. Juhul kui üksikud kinnitus on edukas, siis konto minna uuele tasemele ja kasutaja juurdepääsu täieliku nimekirja vaja avalikke teenuseid.

Vaatamata sellele, et menetlused võib tunduda keeruline piisavalt tegelikult näha täielikku nimekirja saab vajalikud andmed otse ametlikul kodulehel, et on võimalik täita registreerimise paar päeva.