Identifikatsiya va autentifikatsiya: asosiy tushunchalar

har qanday boshqa xizmatlar, asosan, bu sub'ektlarning xizmat uchun mo'ljallangan bo'lib, identifikatsiya va autentifikatsiya, zamonaviy dasturiy va apparat xavfsizlik asosi hisoblanadi. Bu tushunchalar xavfsizligini ta'minlash, mudofaa birinchi liniyasi bir xil vakili axborot makonini tashkil etish.

Bu nima?

Identifikatsiya va autentifikatsiya turli vazifalarga ega. birinchi o'z nomini aytib imkoniga (nomidan harakat foydalanuvchi yoki jarayonni) bir mavzuni beradi. autentifikatsiya orqali ikkinchi tomoni mavzusi, albatta, u deb da'vo kimga biri ekanini to'liq ishonch hosil bo'ladi. Ko'pincha, bir xil ma'noga identifikatsiya va autentifikatsiya kabi jumla "Post nomi" va "autentifikatsiya» bilan o'zgartiriladi.

Ular o'zlarini bir necha navlari bo'linadi. Keyingi, biz bir identifikatsiya va autentifikatsiya, deb o'ylab, ular nima bo'ladi.

Autentifikatsiya

Bu tushuncha ikki turi beradi: bir tomonlama, mijoz birinchi o'zaro tasdiqlash o'tkazilgan bo'lsa, ya'ni, aniqlashda serverga isbotlash va ikki tomonlama kerak. foydalanuvchilar standart identifikatsiya va autentifikatsiya o'tkazish uchun qanday namunaviy misol - muayyan tuzumga iborat. Shunday qilib, har xil turlari, turli ob'ektlar foydalanish mumkin.

foydalanuvchilar identifikatsiya va autentifikatsiya ikki asosiy jihatlari bilan ajralib turadi xizmat tekshirib, geografik dispers partiyalarga qilingan tarmoq muhitida, In:

• deb bir Authenticator sifatida bajaradi;
• u qanday ma'lumotlarni autentifikatsiya va aniqlash va qanday himoya qilish almashinuvi tomonidan tashkil etildi.

uning haqiqiyligini tasdiqlash uchun, mavzu quyidagi shaxslar biriga berilishi kerak:

• U biladi ayrim ma'lumotlar (shaxsiy raqami, parol, maxsus kriptografik kalit va hokazo ...);
• muayyan narsa, u (shaxsiy karta yoki shunga o'xshash maqsadga ega bo'lgan bir necha boshqa qurilma) egalik;
• bir uning elementi (barmoq izini, ovozini yoki boshqa biometrik identifikatsiya va autentifikatsiya) bo'lgan ayrim narsa.

tizim xususiyatlari

Ochiq tarmoq muhitida, tomonlar bir ishonchli yo'l yo'q, va u umuman, sub'ekt tomonidan uzatilgan axborot natijada olingan va autentifikatsiya qilish uchun ishlatiladigan ma'lumotlardan turli xil bo'lishi mumkin, deb aytiladi. ya'ni faol va passiv tarmoq sniffer kerakli xavfsizlik, tuzatishlar, oldini yoki har xil ma'lumotlar, ijro etish qarshi himoya. Ular, o'qila himoya taqdim emas, chunki aniq Parolni transfer variant, shifrlangan parollar qoniqarli emas, va faqat kun qutqara olmaydi, va. Bugun yana murakkab autentifikatsiya protokollarini ishlatiladi, shuning uchun.

Ishonchli identifikatsiya chunki tarmoq tahdidlarga turli, balki boshqa turli sabablarga ko'ra uchun emas, balki faqat qiyin. birinchi deyarli har qanday Autentifikatsiya shaxs o'g'irlab, yoki soxtalashtirishga yoki statistika mumkin. ishlatiladi tizimining ishonchliligi orasida kuchlanish, bir tomondan, ham mavjud, va tizim ma'muri yoki foydalanuvchi inshootlari - boshqa kuni. Shunday qilib, bir necha chastota bilan zarur xavfsizlik sabablarga ko'ra (u ba'zi boshqa odamlarni o'tirib bo'lishi mumkin o'rniga kabi), uning Autentifikatsiya axborot-joriy qayta foydalanuvchi so'rang, u nafaqat qo'shimcha muammo yaratadi, balki ancha ehtimolini oshiradi deb kimdir ma'lumot kiritishni orziqib mumkin. Bundan tashqari, himoya ishonchliligi, uning qiymati sezilarli darajada ta'sir degan ma'noni anglatadi.

Zamonaviy identifikatsiya va autentifikatsiya tizimlari, birinchi navbatda, foydalanuvchi do'stona jihatidan talablariga murojaat tarmog'i, yagona belgi-kuni tushunchasini qo'llab-quvvatlaydi. standart bo'lsa korporativ tarmoq mustaqil aylanishi imkoniyatini, axborot xizmatlari, bir poda bor, keyin shaxsiy ma'lumotlarni bir necha ma'muriyati ham og'ir bo'ladi. Ayni paytda u dominant echimlar hali hosil emas deb tarmog'iga yagona belgisi-kuni foydalanish, oddiy, deb aytish uchun hali ham mumkin emas.

Shunday qilib, ko'plab identifikatsiya / autentifikatsiya beradi mablag'lari arzonligi, qulayligi va ishonchliligi, o'rtasida murosaga topishga harakat qilmoqda. Bu holda foydalanuvchi Avtorizatsiya individual qoidalarga muvofiq amalga oshiriladi.

Maxsus e'tibor ishlatiladi xizmati mavjudligi haqida hujumlar ob'ekti sifatida tanlangan bo'lishi mumkin, deb aslida qaratish lozim. Agar Tizim konfiguratsiya ehtimoli kirishga urinishlari muvaffaqiyatsiz bir qator qulflangan keyin, keyin, tajovuzkor faqat bir necha tugmani bosib tomonidan operatsiya qonuniy foydalanuvchilarning to'xtatish mumkin, masalan, bir tarzda amalga oshiriladi.

Parolni Autentifikatsiya

Bu tizimning asosiy afzalligi eng juda oddiy va tanish deb. Parollar uzoq operatsion tizimlari va boshqa xizmatlar tomonidan foydalanish, va eng tashkilotlar uchun juda ma'qul taqdim xavfsizligi, to'g'ri foydalanish bilan qilingan. Boshqa tomondan, bunday tizimlar xususiyatlari umumiy majmui tomonidan identifikatsiya / Autentifikatsiya amalga oshirilishi mumkin bo'lgan tomonidan eng zaif vositasi. parollar yoqimli bo'lishi kerak, chunki bu holda Avtorizatsiya juda oddiy bo'lib, lekin u kishi bir alohida foydalanuvchi afzalliklarini biladi, ayniqsa, agar, oddiy birlashmasidan taxmin qilish qiyin emas.

Ba'zan parollar maxsus hujjatlarda belgilangan go'zal standart qiymatlari sifatida, asosan, sir saqlanishi emas, balki har doim tizimi o'rnatilgan so'ng, ularni o'zgartirish, deb sodir bo'ladi.

Agar parolni kiriting qachon, ko'rish mumkin, ayrim hollarda, odamlar, hatto maxsus optik asboblarni foydalaning.

Foydalanuvchilar, identifikatsiya va autentifikatsiya asosiy fanlar, parollar tez-tez egasiga o'zgardi ma'lum paytlarda o'sha hamkasblarni xabardor qilinadi. nazariyasi, bunday vaziyatlarda u maxsus foydalanish boshqaruvlari foydalanish uchun ko'proq to'g'ri bo'ladi, lekin amalda bu foydalanishda emas. Parolni ikki kishini bilsangiz, bu juda katta va u oxirida ko'proq o'rganish ehtimolini oshiradi.

Qanday buni tuzatish uchun?

himoyalangan mumkin, masalan, identifikatsiya va autentifikatsiya kabi bir necha vositalari bor. sug'urta mumkin axborotni qayta ishlash butlovchi quyidagicha:

• turli texnik cheklashlar yuklash. Eng tez-tez parol uzunligi va ba'zi belgilar mazmuni bo'yicha qoidalar belgilangan.
• Office parol o'tish, ya'ni ular vaqti-vaqti bilan o'zgartirilishi kerak.
• asosiy parol faylga Limited foydalanish.
• siz tizimga kirishingiz qachon mavjud muvaffaqiyatsiz urinishlar umumiy sonining cheklash. Bu hujum identifikatsiya va autentifikatsiya shuningdek saralash usulini amalga oshirish uchun faqat harakatlarni amalga oshirilishi kerak, chunki foydalanish mumkin emas.
• foydalanuvchilar dastlabki tayyorlash.
• etarli darajada yoqimli va unutilmas kabi tarkibi yaratishingiz mumkin ixtisoslashtirilgan dasturiy parol generator foydalanish.

parollar ham autentifikatsiya boshqa vositalarni qo'llaydi, hatto bilan birga, agar bu chora-tadbirlar barcha, har qanday holatda ham foydalanish mumkin.

Bir martalik parol

Yuqoridagi qoidalarning qayta foydalanish mumkin, va kombinatsiyalar hujum ochish taqdirda foydalanuvchi nomidan ma'lum operatsiyalarni amalga oshirish imkoniyatiga ega bo'ladi. passiv tarmoq sniffer imkoniyati chidamli bir kuchli vositasi sifatida, identifikatsiya va autentifikatsiya tizimi ancha xavfsiz bo'lgan bir martalik parol foydalanish sababdan, go'yo qulay emas, deb.

Ayni paytda, eng mashhur dasturiy ta'minot o'tgan parol generator biri Bellcore tomonidan ozod S / KEY deb nomlangan tizim hisoblanadi. Bu tizimining asosiy tushuncha foydalanuvchi va autentifikatsiya serveri ham ma'lum F, ma'lum bir vazifani bor, deb hisoblanadi. Quyidagi ma'lum bir foydalanuvchi faqat ma'lum bir maxfiy kalit K, deb.

boshlang'ich ma'muriyati foydalanuvchi da, bu vazifani bir necha marta, keyin natija serverda saqlanadi kiritish uchun ishlatiladi. quyidagicha Keyinchalik, autentifikatsiya tartibi hisoblanadi:

1. Serverdan foydalanuvchi tizimi to'g'risida kalit uchun funktsiyasidan foydalanib marta sonidan 1 kam raqamiga keladi.
2. Foydalanuvchi funktsiyasi natijasi Autentifikatsiya to'g'ridan-to'g'ri serverga tarmoq orqali yuboriladi keyin, birinchi nuqtasida etilgan marta soni maxfiy kalitlar uchun ishlatiladi.
3. server olingan qiymatiga bu vazifani foydalanadi, va keyin natija bundan oldin saqlangan qiymati bilan solishtiriladi. natijalar mos bo'lsa, keyin foydalanuvchi identifikatsiya belgilanadi, va server yangi qiymatini saqlaydi, keyin birin-counter kamayadi.

Amalda, bu texnologiyalarni joriy bir oz ko'proq murakkab tuzilishga ega, ammo hozirgi kunda bu muhim emas. funktsiya Parolni ushlash yoki olish bo'lsa ham, qat'iy bo'lgani ruxsatsiz foydalanish autentifikatsiya serveri uchun maxsus kalit va aniq quyidagi bir martalik parol kabi qarash qanday bashorat qilish har qanday yo'l olish imkoniyati bilan ta'minlash emas.

"Identifikatsiya / autentifikatsiya noyob tizimi" ( "ÇSED") - Rossiyada yagona xizmat, maxsus davlat portali sifatida.

kuchli Autentifikatsiya tizimiga yana bir yondashuv, yangi parol ham maxsus dasturlar yoki turli smart kartalar foydalanish orqali amalga oshiriladi qisqa-vaqti, hosil qilingan, deb aslida yotadi. Bu holda, autentifikatsiya server tegishli parol ishlab algoritmi va u bilan bog'liq muayyan parametrlarini qabul qilish kerak, va bundan tashqari, soat sinxronizatsiya server va mijoz sifatida mavjud bo'lishi kerak.

Kerberos

birinchi marta Kerberos autentifikatsiya qilish server o'tgan asrning o'rtalarida 90s paydo, lekin keyin beri u asosiy o'zgarishlar ko'p qabul allaqachon edi. Ayni paytda, tizimi individual qismlari deyarli har bir zamonaviy operatsion tizimida mavjud.

Bu xizmatning asosiy maqsadi quyidagi muammoni hal qilish emas: ma'lum bo'lmagan xavfsiz tarmoq va turli fanlar foydalanuvchilar o'z joyga jamlanganda qilingan formada tugunlari va server va mijoz dasturi tizimlari bor. Har bir bunday shaxs ushbu individual maxfiy kalit hisoblanadi, va u shunchaki uni xizmat emas, balki qaysi holda mavzu S, ularning haqiqiyligini isbotlash uchun bir imkoniyat sub'ektlariga, u nafaqat o'zini qo'ng'iroq qilish, balki u bir necha biladi ko'rsatish uchun kerak bo'ladi maxfiy kalit. faqat tamoyili, birinchi navbatda, tarmoq ochiq va qo'shimcha ravishda, S bilmaydi kabi sizning maxfiy kalit S yo'nalishi bo'yicha yuborish va hech qanday tarzda bir vaqtning o'zida, uni bilish kerak emas. Bu vaziyatda, bu ma'lumotlarning bilim kam to'g'ri texnologiya namoyish foydalaning.

Kerberos tizimi orqali elektron identifikatsiya / Autentifikatsiya xizmat saytlar maxfiy kalitlari haqida ma'lumot bor va agar zarur bo'lsa, o'zaro autentifikatsiya amalga oshirishda ularga yordam ishonchli uchinchi tomon sifatida foydalanish uchun beradi.

Shunday qilib, mijoz birinchi u haqida zarur ma'lumotlarni, shuningdek, talab xizmati o'z ichiga olgan so'rov yuborilgan. Shundan so'ng, Kerberos unga mijoz siri kalitidir server bir maxfiy kaliti, shuningdek, undan ma'lumotlarni ba'zi bir nusxasi bilan shifrlangan chipta bir turdagi beradi. u mijoz o'qiy deb ma'lumot belgilanadi holda ya'ni, u maxsus kalit, albatta, uni Ma'lumki, namoyish etish imkoniga ega bo'ldi, uni mo'ljallangan. Bu mijoz u bo'lgan shaxs ekanligini ko'rsatadi.

Alohida e'tibor bu erda maxfiy kalitlarni uzatish tarmog'ida amalga oshiriladi emas ishonch hosil qilish uchun olinishi kerak, va ular shifrlash uchun faqat ishlatiladi.

Autentifikatsiya yordamida biometrik

Biyometri ularning xulq-yoki fiziologik xususiyatlari asosida odamlar avtomatlashtirilgan identifikatsiya / autentifikatsiya bir birlashmasidan o'z ichiga oladi. identifikatsiya va autentifikatsiya jismoniy vositalari bir Retina-rish va ko'z shox pardaning, barmoq izlari, yuzini va qo'l geometriya, shuningdek boshqa shaxsiy ma'lumotlarni beradi. xulq-xususiyatlari, shuningdek, klaviatura bilan ish uslubi va imzo dinamikasini o'z ichiga oladi. Birlashgan usullari nutqida inson ovozi turli xususiyatlari tahlil qilish, shuningdek, tan bo'ladi.

Bunday identifikatsiya / autentifikatsiya va shifrlash tizimlari dunyoning ko'plab mamlakatlarida keng ishlatiladi, lekin uzoq vaqt davomida, ular juda yuqori baho va foydalanish murakkabligi bor. foydalanuvchi nuqtai nazaridan, ba'zi ma'lumotlarni eslash ko'ra, o'zini taqdim etish ancha oson bo'ladi, chunki yana yaqinda, biometrik mahsulotlar uchun talab tufayli elektron tijorat rivojiga sezilarli darajada oshdi. Shunga ko'ra, bu talabni kasb etadi, shuning uchun bozor asosan barmoq tan qaratilgan nisbatan-kam baholi mahsulotlari, paydo bo'la boshladi.

hollarda aksariyat yilda biometriyani Matnni kartochkalar kabi boshqa authenticators bilan birga ishlatiladi. Ko'pincha biometrik Autentifikatsiya mudofaa faqat birinchi chiziq va mustahkamlash vositasi sifatida harakat smartcard, turli kriptografik sirlari, shu jumladan,. Bu texnologiya yordamida, biometrik Andoza shu kartada saqlanadi.

biometriyani sohasida faoliyat yetarlicha yuqori. Tegishli mavjud konsortsiumi, shuningdek juda faol ish texnologiya turli jihatlarini standartlaştırmak borilmoqda. Bugun biz biometrik texnologiyalar ortib xavfsizligini ta'minlash ideal vositasi sifatida va ommaga affordable bir vaqtning o'zida taqdim etiladi reklama maqolalarni ko'p ko'rish mumkin.

ÇSED

identifikatsiya va autentifikatsiya ( "ÇSED") tizimi da'vogarlar haqiqiyligini va elektron shaklda har qanday shahar yoki davlat xizmatlari tadbirda idoralararo hamkorlik a'zolari tekshirish bilan bog'liq turli vazifalarni amalga oshirishni ta'minlash uchun mo'ljallangan maxsus xizmat.

a "davlat tuzilmalarining Yagona portal», shuningdek elektron hukumatni mavjud har qanday boshqa axborot tizimlari infratuzilmasini uchun ruxsat olish uchun, siz birinchi hisob ro'yxatdan o'tish kerak va buning natijasida, AEDs olish.

darajasi

identifikatsiya va autentifikatsiya yagona tizimini Portal jismoniy shaxslar uchun hisob uch asosiy darajasini beradi:

• Soddalashtirilgan. uning ro'yxatga olish uchun faqat birinchi va oxirgi nomini, shuningdek, elektron pochta manzili yoki mobil telefon shaklida muloqot ba'zi kanal o'z ichiga oladi. Bir kishi faqat turli davlat xizmatlari cheklangan ro'yxatiga ruxsat beradi qaysi, bu asosiy darajasi, shuningdek, mavjud axborot tizimlarini qobiliyat.
• Standard. soddalashtirilgan hisob berish dastlab zarur olish va keyin ham pasport raqami va sug'urta individual hisobidan axborot, shu jumladan, qo'shimcha ma'lumotlarni taqdim etish. Bu ma'lumotlar avtomatik ravishda sinov muvaffaqiyatli bo'lsa, hisob, bu davlat xizmatlari kengaytirilgan ro'yxatiga foydalanuvchi ochadi, bir standart darajada aylanadi, Pensiya jamg'armasi axborot tizimi, shuningdek, Rossiya Federal migratsiya xizmati orqali tekshiriladi va.
• Tasdiqlangan. hisob, bu darajada, aniqlash va hisobga olish yagona tizimini olish uchun standart hisob foydalanuvchilar, shuningdek, shaxsiy tashrifi vakolatli xizmat bo'limi orqali yoki orqali faollashtirish kodi olish tomonidan amalga oshiriladi hisobga olish, dalil talab ro'yxatdan maktubida. individual tasdiqlash muvaffaqiyatli taqdirda, hisob yangi bosqichga ketadi, va foydalanuvchi uchun zarur bo'lgan davlat xizmatlari to'liq ro'yxatiga ruxsat ega bo'ladi.

Bu bir necha kun davomida yozishni bajarish mumkin, shuning uchun protseduralar, aslida rasmiy veb-saytida to'g'ridan bo'lishi mumkin zarur ma'lumotlarni to'liq ro'yxatini ko'rish uchun etarli murakkab tuyulishi mumkin qaramay.