Identifikácia a autentizácia: základné pojmy

Identifikácia a autentizácia sú základom moderného softvérového a hardvérového zabezpečenia, ako všetky ostatné služby sú určené predovšetkým pre obsluhu týchto predmetov. Tieto pojmy predstavujú akúsi prvú líniu obrany, zaistenie bezpečnosti informačných kozmickej organizácie.

Čo je to?

Identifikácia a autentizácia majú rôzne funkcie. Prvá poskytuje objekt (používateľ alebo proces, ktorý koná v mene), možnosť oznámiť svoje meno. Prostredníctvom autentizácia je druhá strana je úplne presvedčený o tom, že predmet je skutočne jeden pre koho on tvrdí, že je. Často sa stáva, ako identifikácia a autentizácia synonymum sa nahrádzajú slovami "meno Post" a "autentizácie".

Oni sami sú rozdelené do niekoľkých odrôd. Ďalej sa domnievame, že identifikácia a autentizácia sú a čo sú.

overenie pravosti

Tento koncept umožňuje dva typy: jednosmerné, klient musí najprv preukázať servera na overenie a bilaterálna, to znamená, že ak je vzájomná potvrdenie vykonané. Typickým príkladom toho, ako viesť štandardné identifikáciu a autentizáciu používateľov - je prihlásiť do konkrétneho systému. Tak, rôzne druhy môžu byť použité v rôznych objektov.

V sieťovom prostredí, kde je identifikácia a autentizácia užívateľov vyrobené z geograficky rozptýlených strany, preverí služba sa vyznačuje dvoma hlavnými aspektmi:

• ktorá pôsobí ako overovací;
• ako to bolo organizované výmenu autentizácie a identifikácia dát a ako ju chrániť.

Pre potvrdenie jeho pravosti, musí byť predmet predloží jeden z týchto subjektov:

• určité informácie, ktoré pozná (osobné číslo, heslo, špeciálne šifrovací kľúč, atď ...);
• istá vec, ktorú vlastní (osobné preukaz alebo iný prístroj, ktorý má podobný účel);
• istá vec, čo je prvok nej (odtlačok prsta, hlas alebo iné biometrické identifikáciu a autentizáciu používateľa).

funkcie systému

V otvorenom sieťovom prostredí, účastníci nemajú dôveryhodné cestu, a hovorí sa, že vo všeobecnosti platí, že informácie zaslané subjektu môže nakoniec byť odlišné od informácií, ktoré dostal a overuje. Predpísané bezpečnostné aktívneho a pasívneho siete cvičenými, to znamená, že ochrana proti opravy odposluchu alebo prehrávanie rôznych dát. Možnosť prenosu hesla v jasné nie je uspokojivý, a jednoducho nemôže zachrániť deň a šifrovaných hesiel, pretože nie sú k dispozícii, ochranu prehrávanie. To je dôvod, prečo sa dnes používajú zložitejšie overovacích protokolov.

Spoľahlivá identifikácia je obtiažna a to nielen preto, že z rôznych sieťových hrozieb, ale aj z rôznych iných dôvodov. Prvý prakticky každý autentizácie entity môže byť unesený, falšovanie alebo skauting. napätie medzi spoľahlivosť systému, ktorý sa používa, je tiež prítomný na jednej strane a správca systému alebo užívateľ zariadenia - na strane druhej. Tak, z bezpečnostných dôvodov vyžadované určitou frekvenciou požiadať používateľa, aby znovu-zavedenie svoje overovací údaje (ako miesto on môže sedieť niekoľko ďalších ľudí), a to nielen vytvára ďalšie problémy, ale takisto významne zvyšuje pravdepodobnosť že niekto môže vypáčiť vstupné informácie. Okrem toho, spoľahlivosť ochrany znamená, že významný vplyv na jeho hodnotu.

Moderné systémy identifikácie a autentizácie podporuje koncept jediné prihlásenie k sieti, ktorý primárne vychádza v ústrety požiadavkám z hľadiska užívateľskej prívetivosti. V prípade, že štandardné podnikové siete má mnoho informačných služieb, ktoré poskytujú možnosť nezávislého obehu, potom násobkom správa osobných údajov príliš zaťažujúce. V tejto chvíli je to stále nie je možné povedať, že použitie jednotného prihlásenie k sieti je normálne, pretože dominantné riešenia nie sú doteraz tvoril.

Tak, veľa z nich sa snaží nájsť kompromis medzi cenovú dostupnosť, pohodlie a spoľahlivosť finančných prostriedkov, ktoré poskytuje Identifikácia / overovania. autorizácia používateľa v tomto prípade sa vykonáva podľa jednotlivých pravidiel.

Osobitná pozornosť by sa mala venovať tomu, že služba sa používa môže byť vybraný ako predmet útokov na dostupnosti. V prípade, že konfigurácia systému je vykonané takým spôsobom, že potom, čo bol uzamknutý počet neúspešných pokusov o zadanie možnosť, potom útočník môže vyradiť z prevádzky oprávnených užívateľov pomocou niekoľkých málo stlačení klávesov.

overovanie pomocou hesla

Hlavnou výhodou tohto systému je, že je veľmi jednoduchá a známa najviac. Heslá už dlho používa od operačných systémov a ďalších služieb, a riadne využívanie poskytnutých bezpečnosti, čo je celkom prijateľné pre väčšinu organizácií. Na druhej strane, spoločný súbor vlastností týchto systémov sú najslabšími prostriedky, ktorými môže byť identifikácia / autentifikácia implementované. Povolenie v tomto prípade sa stáva celkom jednoduchý, pretože heslá musí byť chytľavé, ale to nie je ťažké uhádnuť kombinácia jednoduchá, a to najmä v prípade, že človek vie, preferencie konkrétneho užívateľa.

Niekedy sa stáva, že heslá sú v zásade nie je držané v tajnosti, pretože sú celkom štandardné hodnoty uvedené v špecifických častí dokumentácie, a nie vždy sa po inštalácii systému zmeniť.

Po zadaní hesla môžete vidieť, v niektorých prípadoch ľudia dokonca použiť špeciálne optické prístroje.

Užívatelia sú hlavnými témami identifikácie a autentizácie, heslá sú často informovali kolegami na tie v určitej dobe zmenili majiteľa. Teoreticky by v takýchto situáciách by bolo správnejšie používať špeciálne riadenie prístupu, ale v praxi to nie je v prevádzke. A v prípade, že heslo poznať dvoch ľudí, je to veľmi výrazne zvyšuje šanca, že na konci to a dozviete sa viac.

Ako to opraviť?

Existuje niekoľko nástrojov, ako je identifikácia a autentizácia môžu byť chránené. Spracovanie informácií zložka môže poistiť nasledujúcim spôsobom:

• Uloženie rôznych technických obmedzení. Najčastejšie sa stanoviť pravidlá týkajúce sa dĺžky a obsahu určitých znakov hesla.
• vypršania platnosti hesla Office, to znamená, že je potrebné pravidelne meniť.
• Obmedzený prístup k základnému súboru s heslami.
• Obmedzenia celkového počtu neúspešných pokusov, ktoré sú k dispozícii, keď sa prihlásite. Kvôli tomuto útočníkov musí byť vykonaná iba akcie, ktoré vykonávajú identifikáciu a autentizáciu, ako aj spôsob radenia nemožno použiť.
• Predbežné školenie užívateľov.
• Pomocou špecializovaného softvéru generátor hesiel, ktoré môžu vytvárať také kombinácie, ktoré sú dostatočne melodický a zapamätateľné.

Všetky tieto opatrenia môžu byť použité v každom prípade, aj keď spolu s heslá budú tiež používať iný spôsob overenia pravosti.

jednorazová heslá

Vyššie uvedené vyhotovenia sú opakovane použiteľné, a v prípade otvorenia kombinácie útočník je schopný vykonávať určité operácie na účet užívateľa. To je dôvod, prečo ako silnejší prostriedkov odolných voči možnosti pasívnej siete cvičenými, používať jednorazové heslá, ktorými identifikačný a autentizačný systém je oveľa bezpečnejšie, aj keď nie tak pohodlné.

V súčasnej dobe je jedným z najviac populárne softvérové jednorazový generátor hesiel je systém s názvom S / KEY, vydané Bellcore. Základný koncept tohto systému je to, že existuje určitá funkcia F, ktorá je známa pre používateľov aj overovací server. Nasledujúce je tajný kľúč K, poznám len ku konkrétnemu užívateľovi.

Pri počiatočnom Správa užívateľov, táto funkcia sa používa na zadanie niekoľkokrát, potom výsledok je uložený na serveri. Potom sa postup overovania je nasledujúci:

1. Na užívateľskom systému zo servera ide o číslo, ktoré je o 1 menej, ako je počet časových obdobiach pri použití funkcie k tlačidlu.
2. Funkcia User sa používa pre tajné kľúče v počte časy, ktoré boli stanovené v prvom bode, pričom výsledok je odoslaný prostredníctvom siete priamo na overovací server.
3. Server používa túto funkciu k získanej hodnoty, a potom sa výsledok v porovnaní s skôr uložené hodnoty. V prípade zhody výsledkov, potom sa užívateľovho identita je založená, a server ukladá novú hodnotu, a potom sa zníži čítač o jednotku.

V praxi je implementácia tejto technológie má trochu zložitejšie štruktúry, ale v tejto chvíli na tom nezáleží. Pretože funkcia je nevratná, a to aj v prípade, že heslo odposluch alebo získanie neoprávneného prístupu k overovacím serverom neposkytuje možnosť získať súkromný kľúč a nejaký spôsob, ako predpovedať, ako to bude presne vyzerať nasledovne jednorazového hesla.

V Rusku ako jednotný servis, špeciálne štátne portál - "Unikátny systém identifikácie / overenia" ( "ESIA").

Iným prístupom k silnej autentizačný systém spočíva v tom, že nové heslo bolo vytvorené v krátkych časových intervaloch, čo je tiež realizovať pomocou špecializovaných programov alebo rôznych čipových kariet. V tomto prípade je overovací server musí prijať zodpovedajúce algoritmus generujúce hesla a určité parametre s ním spojené, a okrem toho musí byť prítomný ako synchronizačný hodiny serverom a klientom.

Kerberos

Kerberos authentication server prvýkrát objavil v polovici 90. rokov minulého storočia, ale od tej doby sa už dostala niekoľko zásadných zmien. V tomto okamihu sa jednotlivé komponenty systému sú prítomné v takmer každej modernej operačný systém.

Hlavným účelom tejto služby je vyriešiť nasledujúci problém: existuje určitý nezabezpečená sieť a uzly v koncentrovanej forme v rôznych užívateľov predmetov a serverom a klientom softvérové systémy. Každý takýto orgán je prítomný individuálna tajný kľúč, a subjekty s príležitosťou preukázať ich pravosť subjektu S, bez ktorého sa jednoducho nebude to služby, bude musieť hovoriť nielen, ale aj ukázať, že on vie, že niektoré tajný kľúč. Súčasne s žiadnym spôsobom stačí poslať v smere z vašich tajných kľúčových S ako v prvom prípade bude sieť otvorená, a navyše S nepozná, av zásade by ho nepoznal. V tejto situácii, používať menej priamočiaru technológií demonštrácie vedomostí týchto informácií.

Elektronická identifikácia / autentifikácia cez systém Kerberos umožňuje jeho použitie ako dôveryhodná tretia strana, ktorá má informácie o tajných kľúčov obsluhovaných miest a pomáhať im v prípade potreby vykonať párové overovania.

To znamená, že klient najprv poslaný do dotazu, ktorý obsahuje potrebné informácie o tom, rovnako ako požadované služby. Následne Kerberos mu dáva akúsi vstupenkou ktorý je šifrovaný s tajným kľúčom servera, rovnako ako kópia niektoré údaje z neho, čo je tajný kľúč klienta. V prípade, že sa preukáže, že klient bol rozlúštený informácie zamýšľali, to znamená, že sa mu podarilo dokázať, že súkromný kľúč je mu známe, naozaj. To znamená, že klient je osoba, pre ktorú je.

Tu je potrebné venovať osobitnú pozornosť, aby zabezpečili, že odovzdanie tajných kľúčov nie sú vykonávané na sieti, a sú použité výhradne pre šifrovanie.

autentizácia pomocou biometrie

Biometria zahŕňa kombináciu automatizovanú identifikáciu / overenie ľudí na základe ich správania a fyziologických vlastností. Fyzikálne spôsoby identifikácie a overovania pravosti poskytujú sietnice skenovanie a očnú rohovku, odtlačky prstov, tváre a geometria ruky, ako aj ďalšie osobné informácie. Charakteristiky správanie patrí aj štýl práce s klávesnicou a dynamiku podpisu. Kombinované metódy sú analýza rôznych charakteristík ľudského hlasu, rovnako ako uznanie jeho prejavu.

Takáto identifikácia / overenie a šifrovacie systémy sú široko využívané v mnohých krajinách po celom svete, ale po dlhú dobu, oni sú extrémne vysoké náklady a zložitosť použitia. V poslednej dobe sa dopyt po biometrických produktov výrazne vzrástol v dôsledku rozvoja elektronického obchodovania, pretože z pohľadu užívateľa, je oveľa ľahšie prezentovať, než mať na pamäti niektoré informácie. V súlade s tým, dopyt vytvára ponuku, takže na trhu sa začali objavovať relatívne nízkym cenám produktov, ktoré sú zamerané hlavne na rozpoznávanie odtlačkov prstov.

V drvivej väčšine prípadov, biometrie sa používa v kombinácii s inými autentizátory ako sú čipové karty. Často biometrické overenie je len prvú líniu obrany a pôsobí ako prostriedok k zvýšeniu inteligentné karty, vrátane rôznych kryptografických tajomstvo. Pri použití tejto technológie sa biometrická šablóna je uložená na rovnakú kartu.

Činnosť v oblasti biometrických údajov je dostatočne vysoká. Príslušné existujúce konzorcium, rovnako ako veľmi aktívna prebiehajú práce na štandardizáciu rôznych aspektov technológie. Dnes môžeme vidieť veľa reklamných predmetov, ktoré biometrické technológie sú prezentované ako ideálny prostriedok pre zaistenie vyššej bezpečnosti a zároveň cenovo dostupné pre masy.

ESIA

systém identifikácie a autentizácie ( "ESIA") je špeciálna služba určená na zabezpečenie plnenia rôznych úloh súvisiacich s overením pravosti žiadateľov a členov medzirezortnej spolupráce v prípade akýchkoľvek komunálnych alebo verejných služieb v elektronickej podobe.

S cieľom získať prístup do "jednotného portálu štátnych štruktúr", rovnako ako akýkoľvek iný informačných systémov infraštruktúry existujúcich e-government, musíte sa najskôr zaregistrovať na účet a v dôsledku toho dostať antiepileptiká.

úrovne

Portál jednotného systému identifikácie a autentizácie poskytuje tri základné úrovne účtov pre fyzické osoby:

• Zjednodušená. Pre svoju registráciu jednoducho uviesť svoje meno a priezvisko, rovnako ako niektoré zvláštne komunikačný kanál vo forme e-mailovú adresu alebo mobilný telefón. Táto základná úroveň, pri ktorých osoba umožňuje prístup len k obmedzenému zoznamu rôznych verejných služieb, ako aj schopnosti existujúcich informačných systémov.
• Štandardné. Ak chcete získať najprv nutné vyhotoviť zjednodušenú účet, a potom tiež poskytnúť ďalšie informácie, vrátane informácií od číslo pasu a poisťovníctva individuálny účet. Tieto informácie sa automaticky kontroluje prostredníctvom informačného systému dôchodkového fondu, ako aj Federálnej migračnej služby, a ak je test úspešný, účet je prevedený na štandardnej úrovni, otvorí používateľa na rozšírenom zozname štátnych služieb.
• Potvrdená. Ak chcete získať túto úroveň účtu, jednotný systém identifikácie a autentizácie vyžaduje, aby používatelia štandardné konto, rovnako ako doklad totožnosti, ktorý sa vykonáva prostredníctvom osobnej návštevy na autorizované servisné oddelenie alebo získaním aktivačného kódu prostredníctvom doporučeného listu. V prípade, že jednotlivec potvrdenie bude úspešná, bude účet prejsť na novú úroveň, a pre užívateľov bude prístup ku kompletnému zoznamu potrebných verejných služieb.

Napriek skutočnosti, že postupy sa môže zdať dosť zložité, aby skutočne vidieť úplný zoznam požadovaných údajov môže byť priamo na oficiálnych stránkach, takže je možné dokončiť registráciu po dobu niekoľkých dní.