Identifikacija in avtentikacija: osnovni pojmi

Identifikacija in avtentikacija so temelj sodobne programske in strojne opreme, varnosti, saj so vse druge storitve, namenjene predvsem za servisiranje teh predmetov. Ti koncepti predstavljajo neke vrste prva obrambna linija, ki zagotavlja varnost informacijskih vesoljske organizacije.

Kaj je to?

Identifikacija in avtentikacija imajo različne funkcije. Prvi določa predmet (uporabnik ali proces, ki deluje v imenu) možnost, da pove svoje ime. S pomočjo avtentikacije je druga stran je popolnoma prepričan, da je res velja tista, za katero trdi, da je. Pogosto, kot identifikacijo in avtentikacijo sopomenk se nadomesti z besedilom "Post ime" in "preverjanje pristnosti".

Oni sami so razdeljene v več sort. Dalje, menimo, da so identifikacija in avtentikacija in kaj so.

preverjanje pristnosti

Ta koncept predvideva dve vrsti: enosmerno, mora stranka najprej dokazati, da je strežnik za preverjanje pristnosti, in dvostranski, da je, ko se izvaja vzajemni potrditev. Tipičen primer, kako izvesti standardni identifikacijo in avtentikacijo uporabnikov - je, da se prijavite v poseben sistem. Tako lahko različne vrste se uporabljajo v različnih predmetov.

V omrežnem okolju, kjer je identifikacija in avtentikacija uporabnikov, ki na geografsko razpršenih stranke, preuči storitev se odlikuje po dveh glavnih vidikov:

• da deluje kot Authenticator;
• kako je bilo organizirano z izmenjavo preverjanje pristnosti podatkov in identifikaciji in kako jih zaščititi.

Za potrditev njene verodostojnosti, mora biti predmet treba predložiti enega od naslednjih subjektov:

• nekatere informacije, ki jih pozna (osebno številko, geslo, poseben šifrirni ključ, itd ...);
• določeno stvar, ki jo ima v lasti (osebno izkaznico ali drugo napravo, ki ima podoben namen);
• določeno stvar, ki je element njo (prstni odtis, glas ali drugo biometrično identifikacijo in avtentikacijo uporabnikov).

lastnosti sistema

V odprtem okolju omrežja, stranke nimajo zaupanja vredno pot, in je dejal, da na splošno, lahko podatke, ki jih ob prenašajo na koncu drugačen od prejetih informacij in se uporablja za preverjanje pristnosti. Zahtevana varnosti aktivnega in pasivnega omrežja vohanje, to je zaščita pred popravki, prestrezanje ali predvajanje različnih podatkov. Prenos geslo možnost v jasno ni zadovoljiva, in samo ne more rešiti dan, in šifrirana gesla, ker niso pod pogojem, zaščito predvajanja. To je razlog, zakaj se danes uporabljajo bolj zapletene protokole za preverjanje pristnosti.

Zanesljiva identifikacija je težko, ne samo zaradi številnih groženj omrežja, ampak tudi za vrsto drugih razlogov. Prvi praktično vsak pristnosti subjekt lahko ugrabili, ali ponarejati ali skavtstvo. napetost med zanesljivosti sistema, ki ga uporablja, je prisotna tudi na eni strani, in skrbnik sistema ali uporabnik objektov - na drugi strani. Tako zaradi varnosti zahteva z določeno frekvenco od uporabnika zahteva ponovno uvedbo svoje podatke za preverjanje pristnosti (kot je namesto tega je lahko, da bi sedel nekaj drugih ljudi), in ustvarja ne le dodatne težave, ampak tudi bistveno poveča možnost da je nekdo lahko ločite vnos informacij. Poleg tega je zanesljivost zaščite pomeni bistveno vplivajo na njeno vrednost.

Sodobne metode identifikacije in avtentikacije sistemi podpirajo koncept enotno prijavo v omrežje, ki v prvi vrsti skrbi za zahteve v smislu prijaznosti do uporabnika. Če standard omrežje podjetja je veliko informacijskih storitev, ki zagotavlja možnost samostojnega promet, potem večkratno dajanje osebnih podatkov postane preveč obremenjujoče. V tem trenutku je še nemogoče reči, da je uporaba enotno prijavo v omrežje normalno, saj se še ni oblikovana prevladujoče rešitve.

Tako mnogi poskušajo najti kompromis med cenovno dostopnostjo, udobje in zanesljivost sredstev, ki omogoča identifikacijo / pristnosti. Dovoljenje uporabnik v tem primeru se izvede po posameznih predpisov.

Posebno pozornost je treba nameniti dejstvu, da se storitev uporablja lahko izbrani kot predmet napadov na voljo. Če konfiguracija sistem je narejen tako, da potem, ko je bilo več neuspešnih poskusov za vstop možnost zaklenjena, potem napadalec lahko ustavi delovanje legitimnim uporabnikom z le nekaj pritiski na tipke.

preverjanje pristnosti gesla

Glavna prednost tega sistema je, da je zelo preprost in domač najbolj. Gesla so že dolgo uporabljajo ga operacijskih sistemov in drugih storitev, ter s pravilno uporabo, ki varnosti, ki je zelo sprejemljiva za večino organizacij. Po drugi strani, s skupnim nizom značilnosti teh sistemov so najšibkejši sredstva, s katerimi se lahko izvajajo identifikacija / pristnosti. Dovoljenje v tem primeru postane zelo preprost, saj mora gesla biti privlačen, vendar je ni težko uganiti kombinacijo preprost, še posebej, če je oseba, ki pozna želje posameznega uporabnika.

Včasih se zgodi, da so gesla, načeloma ni skrivnost, saj so precej standardne vrednosti, določene v posebnem dokumentacijo, in ne vedno, ko je nameščen sistem, jih spremeniti.

Ko vnesete geslo si lahko ogledate, v nekaterih primerih, ljudje celo uporabo posebnih optičnih instrumentov.

Uporabniki, glavni predmet identifikacije in avtentikacije, gesla so pogosto obvestiti kolege s tistimi ob določenem času so se spremenili lastnika. V teoriji, v takih primerih bi bilo bolj pravilno uporabiti posebne kontrole dostopa, v praksi pa ni v uporabi. In če je geslo vem, dve osebi, ki se je zelo močno poveča možnosti, da na koncu od tega in se učijo več.

Kako to popraviti?

Obstaja več orodij, kot so identifikacije in avtentikacije lahko zaščiteni. Komponenta za obdelavo podatkov se lahko zavarujejo sledi:

• Uvedba različnih tehničnih omejitev. Najbolj pogosto postavljajo pravila o dolžini in vsebini nekaterih znakov gesla.
• Urad za geslo poteka, kar pomeni, da je treba občasno zamenjati.
• Omejen dostop do osnovnih gesla datoteke.
• Omejitev skupnega števila neuspešnih poskusov, ki so na voljo, ko se prijavite. Zaradi tega napadalcev je treba opraviti le ukrepe za izvajanje identifikacije in avtentikacije, kot tudi način razvrščanja ni mogoče uporabiti.
• Predhodno usposabljanje uporabnikov.
• Uporabo posebne programske opreme geslo generator, ki lahko ustvari takšne kombinacije, ki so dovolj melodičnost in nepozabno.

Vse te ukrepe je mogoče uporabiti v vsakem primeru, tudi če skupaj z bodo gesla uporabljajo tudi druga sredstva za preverjanje pristnosti.

Enkratna gesla

Zgoraj izvedbe so za enkratno uporabo, in v primeru odpiranja kombinacije napadalec je sposoben za opravljanje določenih poslov v imenu uporabnika. Zato je kot strožji odpornih na možnost pasivnega omrežja vohanje, uporabo enkratnih gesel, s katerim je identifikacija in preverjanje pristnosti sistema bolj varen, čeprav ni tako priročno.

Trenutno je eden izmed najbolj priljubljenih programske opreme enkratnim geslom generatorja je sistem, imenovan S / KEY, ki jih Bellcore sprosti. Osnovni koncept tega sistema je, da je neka funkcija F, ki je znano, da sta uporabnik in strežnik za preverjanje pristnosti. V nadaljevanju je tajni ključ K, je znano le, da določenega uporabnika.

Na začetnem uporabnika uprave, se ta funkcija uporablja za vpisovanje večkrat, potem je rezultat shranjen na strežniku. Nato postopek overjanja, kot sledi:

1. Na uporabniškega sistema od strežnika gre za številko, ki je 1 manj od števila časih pri uporabi funkcijo tipke.
2. Funkcija Uporabnik se uporablja za tajne ključe števila časov, ki je bil iz prve točke, nakar je rezultat pošlje prek omrežja neposredno na strežnik za preverjanje pristnosti.
3. Strežnik uporablja to funkcijo na pridobljene vrednosti, nato pa se je rezultat v primerjavi s predhodno shranjeno vrednostjo. Če se rezultati ujemajo, potem je uporabnikova identiteta ustanovljena, in strežnik shrani na novo vrednost, in nato zmanjša števec za eno.

V praksi se je izvajanje te tehnologije je nekoliko bolj zapleteno strukturo, vendar pa v tem trenutku ni važno. Ker je funkcija je nepovratno, tudi če je geslo prestrezanje ali pridobitev nepooblaščenega dostopa do strežnika za preverjanje pristnosti ne zagotavlja možnost, da pridobijo zasebni ključ in vse mogoče predvideti, kako se bo točno izgledal naslednji enkratno geslo.

V Rusiji kot enotna storitev, poseben državni portal - "Unique sistem identifikacije / preverjanje pristnosti" ( "ESIA").

Drug pristop k močan sistem za preverjanje pristnosti je v tem, da je bilo novo geslo ustvarjenega v kratkih intervalih, ki je tudi realizirano z uporabo posebnih programov ali različnimi pametnimi karticami. V tem primeru mora strežnik za preverjanje pristnosti sprejme ustrezne generiranje gesla algoritem in nekatere parametre, povezane z njo, poleg tega pa mora biti prisoten kot sinhronizacijo ure strežnikom in stranko.

Kerberos

Kerberos strežnik za preverjanje pristnosti je prvič pojavil v sredini 90. let prejšnjega stoletja, ampak od takrat je že prejel veliko temeljnih sprememb. V tem trenutku, posamezne komponente sistema so prisotni v skoraj vsaki sodobni operacijski sistem.

Glavni namen te storitve je rešiti naslednji problem: obstaja neka ne-varnega omrežja in vozlišč v svoji zgoščeni obliki v različnih uporabnikov predmetih, in strežniške in programske opreme odjemalca sistemi. Vsaka takšna oseba je prisotna individualna tajni ključ, in pri osebah z priložnost, da dokaže svojo verodostojnost na osebku S, brez katerega je preprosto ne bo osebje, bo potrebno ne samo poklicati sam, ampak tudi pokazati, da ve nekaj skrivni ključ. Hkrati Z ničemer ne samo poslali v smeri svojih tajnih ključnih S kot na prvi stopnji omrežje je odprto, in poleg tega, S ne ve, in načeloma ga ne sme vedeti. V tem primeru, porabijo manj enostavne tehnologije dokazovanje znanja teh informacij.

Elektronska identifikacija / avtentikacija preko Kerberos sistem omogoča uporabo kot zaupanja vredna tretja oseba, ki ima podatke o tajnih ključev servisirana mestih in jim pri tem pomaga, če je potrebno izvedbo parne preverjanje pristnosti.

Tako je stranka najprej pošlje poizvedbo, ki vsebuje vse potrebne informacije o tem, kot tudi zahtevane storitve. Po tem, Kerberos mu daje neke vrste vozovnice, ki je šifriran s tajnim ključem strežnika, kot tudi kopije nekaterih podatkov iz nje, ki je skrivni ključ odjemalca. V primeru, da se ugotovi, da je bila stranka dešifrirati podatke je namenjen, to pomeni, da je bil sposoben dokazati, da je zasebni ključ ga že res. To pomeni, da je stranka oseba, za katero je to.

Posebno pozornost je treba tu treba zagotoviti, da se prenos tajnih ključev ne izvajajo v omrežju, in se uporabljajo izključno za šifriranje.

preverjanje pristnosti z uporabo biometrije

Biometrija vključuje kombinacijo avtomatizirane identifikacije / pristnosti ljudi na podlagi njihove vedenjske in fiziološke lastnosti. Fizikalne sredstvo za identifikacijo in avtentikacijo zagotavljajo retina skeniranja in oči roženica, prstne odtise, obraz in roke geometrijo, kot tudi druge osebne podatke. Vedenjski značilnosti vključujejo tudi slog dela s tipkovnico in dinamiko podpisa. Kombinirane metode analize različnih značilnosti človeškega glasu, kakor tudi priznavanje njegovega govora.

Takšne identifikacijske / overjanja in šifriranja sistemi se pogosto uporabljajo v številnih državah po svetu, vendar pa je za dolgo časa, so izredno visoke stroške in kompleksnost uporabe. V zadnjem času se je povpraševanje po biometričnih izdelkov znatno povečal zaradi razvoja elektronskega poslovanja, saj iz vidika uporabnika, je veliko lažje, da se predstavijo, kot da se spomnimo nekaj informacij. V skladu s tem povpraševanje ustvarja ponudbo, tako da je trg začel pojavljati relativno poceni izdelke, ki so v glavnem osredotočene na prepoznavanje prstnih odtisov.

V veliki večini primerov, se biometrični podatki se uporabljajo v kombinaciji z drugimi authenticators kot pametne kartice. Pogosto biometrična avtentikacija je le prva obrambna linija in deluje kot sredstvo za krepitev na pametne kartice, vključno z različnimi kriptografskih skrivnosti. Pri uporabi te tehnologije, je biometrični predlogo shranjene na isto kartico.

Dejavnost na področju biometrije je dovolj visoka. Ustreznih obstoječih konzorcij, kakor tudi zelo aktivno potekajo dela za poenotenje različnih vidikov tehnologije. Danes lahko vidimo veliko oglaševanje izdelkov, ki so biometrične tehnologije predstavljene kot idealno sredstvo za zagotavljanje večje varnosti in hkrati dostopni množicam.

ESIA

Sistem identifikacije in avtentikacije ( "ESIA") je posebna služba namen je zagotoviti izvajanje različnih nalog, povezanih s preverjanjem pristnosti vlagateljev in članov medresorskega sodelovanja v primeru kakršnih koli komunalnih ali javnih storitev v elektronski obliki.

Da bi pridobili dostop do "enotnega portala državnih struktur", kot tudi vse druge informacijske sisteme infrastrukture obstoječih e-uprave, morate najprej registrirati račun in kot rezultat, dobili AED.

ravni

Portal enotnega sistema identifikacije in avtentikacije nudi tri osnovne ravni računov za fizične osebe:

• Poenostavljeno. Pri registraciji enostavno vključujejo vaše ime in priimek, pa tudi kak poseben kanal komuniciranja v obliki e-poštni naslov ali mobilni telefon. Ta primarni ravni, na podlagi katerih oseba omogoča dostop le do omejenega seznama različnih vladnih služb, kot tudi zmogljivosti obstoječih informacijskih sistemov.
• Standardna. Za pridobitev najprej potrebno izdati poenostavljenega računa, nato pa tudi dodatne informacije, vključno z informacijami iz številke potnega lista in zavarovanja posameznega računa. Te informacije se samodejno preveri prek informacijskega sistema pokojninskega sklada, kot tudi zvezno službo za migracije, in, če je test uspešen, je račun pretvori v standardni ravni, se odpre uporabnika na razširjenem seznamu državnih služb.
• Potrjena. Za pridobitev te ravni računa, enoten sistem identifikacije in avtentikacije uporabnikov zahteva za standardni račun, kakor tudi dokaz o identiteti, ki se izvaja prek osebnega obiska pooblaščena servisna služba ali pridobitev aktivacijske kode prek priporočeno pismo. V primeru, da je posameznik potrditev uspešna, bo račun šel na novo raven, in za uporabnika bo dostop do popolnega seznama potrebnih javnih storitev.

Kljub temu, da se lahko postopki zdi dovolj zapleten, da bi dejansko videli celoten seznam zahtevanih podatkov lahko neposredno na uradni spletni strani, zato je mogoče zaključiti registracijo za nekaj dni.