Идентифициране и удостоверяване: основни понятия

Идентифициране и удостоверяване са в основата на съвременния софтуер и хардуер за сигурност, тъй като всички други услуги са предназначени предимно за обслужване на тези теми. Тези концепции представляват един вид първа линия на защита, като се гарантира сигурността на информацията пространство организация.

Какво е това?

Идентифициране и удостоверяване имат различни функции. Първият предвижда обект (потребител или процес, който действа от името на) възможност да разкаже собствената си име. С помощта на удостоверяване е втората страна е напълно убеден, че темата наистина е този, за когото твърди, че е. Често, като идентификация и автентификация синоним се заменят с израза "Мнение име" и "идентификация".

Те от своя страна са разделени в няколко разновидности. На следващо място, ние считаме, че за идентифициране и удостоверяване са и какви са те.

заверка

Тази концепция предвижда два вида: едната посока, клиентът първо трябва да докаже на сървъра за удостоверяване, и двустранно, което е, когато се провежда взаимно потвърждение. Типичен пример за това как да се проведе стандартно идентификация и автентификация на потребителите - е да влезете в специфична система. По този начин, различни видове могат да бъдат използвани в различни обекти.

В мрежова среда, където идентификация и автентикация на потребителите прави на разпръснатите в географски страни, разглежда услугата се отличава с два основни аспекта:

• който действа като Удостоверител;
• как е било организирано от обмена на оторизация и идентификация на данни и как да го защити.

За да потвърдите автентичността му, темата трябва да бъде представена в една от следните лица:

• определена информация, която той знае (личен номер, парола, специален криптографски ключ, и т.н. ...);
• определено нещо, което е собственик (лична карта или друго приспособление, който има подобна цел);
• определено нещо, което е елемент от нея (пръстови отпечатъци, глас или друга биометрична идентификация и автентификация на потребителите).

системни функции

В отворено мрежата на околната среда, страните не разполагат с надежден път, и се казва, че като цяло, информацията, предадена от темата в крайна сметка може да се различава от получената информация и се използва за удостоверяване. Задължително безопасност на активна и пасивна мрежа обучени, т.е. защита срещу корекции, прихващане или възпроизвеждането на различни данни. опция трансфер парола в ясен, не е задоволително, и просто не може да спаси положението, и криптирани пароли, защото те не са предвидени, защита на възпроизвеждане. Ето защо днес се използва по-сложни протоколи за удостоверяване.

Надеждно идентифициране е трудно не само заради най-различни заплахи в мрежата, но и за редица други причини. Първият почти никакво удостоверяване лице може да бъде отвлечен, фалшифицирате или скаутите. напрежение между надеждността на системата, която се използва, е също присъства, от една страна, и на системния администратор или потребителски съоръжения - от друга. По този начин, от съображения за сигурност, изисквано с определена честота поиска от потребителя да се възстанови въвеждане на своята информация за удостоверяване (като вместо това той може да се наложи да седне някои други хора), и то не само създава допълнителни проблеми, но също така значително увеличава вероятността от че някой може да се измъкнат информация вход. В допълнение, на надеждността на защитата означава значително влияние върху стойността му.

Съвременните системи за идентификация и автентификация подкрепят идеята за единен вход към мрежата, която привлича главно на изискванията по отношение на лекотата на употреба. Ако стандартната корпоративната мрежа има много информационни услуги, като предоставя възможност за независим обръщение, а след това многократно администрацията на личните данни става прекалено тежко. В момента тя все още е невъзможно да се каже, че използването на единен вход за мрежа е нормално, тъй като все още не са формирани доминиращите решения.

По този начин, много от тях са се опитва да намери компромис между достъпност, удобство и надеждност на средства, което осигурява идентификация / автентикация. разрешението на потребителя в този случай се извършва в съответствие с индивидуалните правила.

Специално внимание трябва да се обърне внимание на факта, че услугата се използва може да бъде избрана като обект на нападения срещу наличността. Ако конфигурацията на системата е направена по такъв начин, че след няколко неуспешни опита за въвеждане на възможност е била заключена, а след това на нападателя може да спре работа легитимни потребители от само няколко натискания на клавиши.

удостоверяване с парола

Основното предимство на тази система е, че тя е изключително прост и познат на повечето хора. Паролите отдавна се използват като операционни системи и други услуги, както и с правилното използване на предоставяне на обезпечение, което е доста приемлива за повечето организации. От друга страна, чрез общ набор от характеристики на тези системи са най-слабите средствата, чрез които идентификация / автентикация могат да бъдат приложени. Разрешение в този случай става доста просто, защото паролите трябва да са запомнящи се, но не е трудно да се отгатне комбинация от прост, особено ако лицето не знае предпочитанията на даден потребител.

Понякога това се случва, че паролите са по принцип не пази в тайна, тъй като са доста стандартни стойности, определени в специфичната документация, и не винаги след монтажа на системата, да ги променят.

Когато въведете паролата си можете да видите в някои случаи, дори хора използват специализирани оптични инструменти.

Потребители, сред основните теми за идентификация и автентификация, пароли често се информират колегите на тези, в определени моменти са се променили собственик. На теория, в такива ситуации, че би било по-правилно да се използват специални контрол на достъпа, но на практика това не е в употреба. И ако паролата знам двама души, това е много значително увеличава шансовете, че в края на това и да научат повече.

Как да го оправя?

Съществуват няколко инструмента, като например идентифициране и удостоверяване могат да бъдат защитени. Компонентът за обработка на информация могат да са сигурни следва:

• Налагането на различни технически ограничения. Най-често въвежда правила за дължина на паролата и съдържание на определени знаци.
• Офис на валидност на паролата, т.е. те трябва да бъдат заменени периодично.
• Ограничен достъп до основни файла с паролите.
• Ограничение на общия брой на неуспешните опити, които са налични, когато влезете. Поради тази атакуващите трябва да се извършва само действията, които извършват идентифициране и удостоверяване, както и метода за сортиране не може да се използва.
• Предварителна подготовка на потребители.
• Използването на специализиран софтуер парола генератор, който може да създаде такива комбинации, които са достатъчно мелодична и запомняща се.

Всички тези мерки може да се използва във всеки случай, дори ако заедно с пароли също ще използват други средства за идентификация.

еднократни пароли

Горните примери са за многократна употреба, и в случай на отваряне комбинации хакер може да изпълнява някои операции от името на потребителя. Ето защо, както е по-силен средства, устойчиви на възможността за пасивна за подслушване на мрежата, използвайте еднократни пароли, чрез която за идентифициране и удостоверяване система е много по-сигурен, макар и не толкова удобно.

В момента един от най-популярния софтуер за еднократна парола генератор е система, наречена S / KEY, издаден от Bellcore. Основната идея на тази система е, че има определена функция на F, който е известен както на потребителя и сървъра за удостоверяване. По-долу е таен ключ К, известен само на конкретен потребител.

При първоначалното потребителското администрация, тази функция се използва, за да въведете няколко пъти, а след това резултатът се записва на сървъра. Впоследствие процедурата за удостоверяване е както следва:

1. От системата на потребителя от сървъра въпрос за броя, което е по-малко от 1 на броя пъти, като използвате функцията за ключа.
2. Потребителят функция се използва за тайни ключове на броя пъти, които са били поставени на първо място, след което резултатът се изпраща по мрежата директно на сървъра за удостоверяване.
3. Сървърът използва тази функция за получената стойност и след това резултатът се сравнява с предварително съхранени стойност. Ако резултатите съвпадат, тогава самоличността на потребителя е установено, и сървъра съхранява новата стойност, а след това намалява тезгяха по един.

На практика прилагането на тази технология има малко по-сложна структура, но в момента това няма значение. Тъй като функцията е необратима, дори и ако прихващането на парола или за получаване на неоторизиран достъп до сървъра за удостоверяване не дава възможност за получаване на частния ключ и по никакъв начин да се предскаже как точно ще изглежда подобно на еднократна парола.

В Русия като единна услуга, специален държавен портал - "Уникален система за идентификация / автентикация" ( "ОВОС").

Друг подход за силна система за удостоверяване, се крие във факта, че новата парола е генерирана през кратки интервали, които също се осъществява чрез използването на специализирани програми или различни смарт карти. В този случай, сървъра за удостоверяване трябва да приеме съответния алгоритъм за генериране на парола и някои параметри, свързани с него, и в допълнение, трябва да присъства като сървър за синхронизация на часовници и клиента.

Kerberos

Kerberos удостоверяване на сървъра за първи път се появява в средата на 90-те години на миналия век, но оттогава той вече е получил много фундаментални промени. В момента на отделните компоненти на системата са налични в почти всяка съвременна операционна система.

Основната цел на тази услуга е за решаване на следния проблем: не е определено не е защитена мрежа и възлите в концентрирана форма в различни потребители предмети, и сървърни и клиентски софтуерни системи. Всеки такъв субект е налице индивидуална таен ключ, както и за лица с възможност за доказване на автентичността им с предмета на S, без които той просто няма да го обслужва, той ще трябва не само да се обадя, но и да покаже, че той знае, някои таен ключ. В същото време с никакъв начин да се изпрати само по посока на таен ключ S като на първа инстанция на мрежата е отворена, и в допълнение, S не знае, и по принцип не трябва да го знаеш. В тази ситуация, да се използва по-малко ясна технология демонстрация на знания на тази информация.

Електронната идентификация / автентикация чрез Kerberos система предвижда използването му като доверена трета страна, която има информация за тайни ключове, на обслужваните обекти и да ги подпомагат при изпълнението на двойки удостоверяване, ако е необходимо.

По този начин, клиентът първо изпратен в заявка, която съдържа необходимата информация за него, както и исканата услуга. След това Kerberos му дава един вид билет, който е криптиран с таен ключ на сървъра, както и копие от някои от данните от него, което е таен ключ на клиента. В случай че се установи, че клиентът е дешифрирана информация за намерението си, тоест, той е в състояние да докаже, че частният ключ е известен него наистина. Това показва, че клиентът е лицето, за което е то.

Тук трябва да се вземе специално внимание, за да се гарантира, че предаването на секретни ключове не се извършват в мрежата, и те се използват изключително за криптиране.

удостоверяване с помощта на биометрични данни

Биометрични данни включва комбинация от автоматична идентификация / автентикация на потребителите въз основа на техните поведенчески или физиологични характеристики. Физически средства за идентификация и автентификация осигуряват роговица ретина сканиране и очите, отпечатъци от пръсти, лицето и геометрия на ръката, както и друга лична информация. Поведенческите характеристики включват и стила на работа с клавиатурата и динамиката на подписа. Комбинирани методи са анализ на различните характеристики на човешкия глас, както и признаването на речта си.

Този идентификационен / удостоверяване и шифроване системи се използват широко в много страни по света, но за дълго време, те са изключително високи разходи и сложност на използване. Съвсем наскоро, на търсенето на биометрични продукти се е увеличил значително в резултат на развитието на електронната търговия, тъй като, от гледна точка на потребителя, на, е много по-лесно да се представи, отколкото да си спомни някаква информация. Съответно, търсенето създава предлагане, така че на пазара започнаха да се появяват сравнително ниски цени продукти, които са насочени основно към разпознаване на пръстови отпечатъци.

В по-голямата част от случаите, биометричните данни се използва в комбинация с други authenticators като смарт карти. Често биометрична идентификация е само първата линия на отбраната и действа като средство за увеличаване на смарткарта, включително различни криптографски тайни. При използване на тази технология, биометрични шаблона се съхранява на една и съща карта.

Дейност в областта на биометричните данни е достатъчно високо. Съответна съществуващ консорциум, както и много активна работа е в ход да се стандартизира различните аспекти на технологията. Днес можем да видим много рекламни статии, които биометрични технологии са представени като идеално средство за предоставяне на по-голяма безопасност и в същото време достъпни за масите.

ОВОСС

система за идентификация и автентификация ( "ОВОС") е специална услуга, предназначена да гарантира изпълнението на различни задачи, свързани с проверката на автентичността на кандидатите и членовете на междуведомственото сътрудничество в случай на каквито и да било общински или обществени услуги в електронна форма.

За да получите достъп до "единен портал на държавните структури", както и всяка друга информация, системи за инфраструктурата на съществуващата е-правителство, първо трябва да се регистрирате за сметка и в резултат на това се АЕЛ.

нива

Портал на единна система за идентификация и автентификация осигурява три основни нива на сметки на физически лица:

• Опростена. За регистрацията й трябва само да включите вашето собствено и фамилно име, както и някои специално канал за комуникация под формата на имейл адрес или мобилен телефон. Това първично ниво, чрез което дадено лице дава достъп само до ограничен списък на различни правителствени служби, както и на възможностите на съществуващите информационни системи.
• Standard. За да се получи първоначално е необходимо да се издава опростена сметка, а след това също така предоставя допълнителна информация, включително информация от номера на паспорта и застраховка индивидуалната партида. Тази информация се проверява автоматично чрез информационната система на пенсионен фонд, както и на Федералната миграционна служба, и ако тестът е успешен, сметката се превръща в стандартно ниво, той се отваря на потребителя да разширен списък на държавни услуги.
• Потвърдено. За да се получи това ниво на внимание, единна система за идентификация и автентификация изисква от потребителите да стандартен акаунт, както и документ за самоличност, който се извършва чрез лично посещение оторизиран сервизен отдел или чрез получаване на код за активиране по препоръчано писмо. В случай, че индивидуалната потвърждението е успешно, сметката ще отидат до ново ниво, както и за потребителя ще получи достъп до пълния списък с необходимите обществени услуги.

Въпреки факта, че процедурите, може да изглежда достатъчно сложни, за да всъщност видите пълния списък на необходимите данни могат да бъдат директно на официалния сайт, така че е възможно да се завърши регистрацията в продължение на няколко дни.