Tunnistaminen ja todentaminen: peruskäsitteet

Tunnistaminen ja todentaminen ovat perusta nykyaikaisen ohjelmiston ja laitteiston turvallisuus, koska kaikki muut palvelut on tarkoitettu lähinnä huoltoon näistä aiheista. Nämä käsitteet ovat eräänlaista etulinja tietoturvan varmistaminen tiedon tilaa organisaation.

Mikä se on?

Tunnistaminen ja todentaminen on eri tehtävät. Toinen tarjoaa aihe (käyttäjä tai prosessi, joka toimii sen puolesta) mahdollisuus kertoa omat nimensä. Avulla autentikointi on toinen puoli on täysin vakuuttunut siitä, että aihe todella on yksi, jolle hän väittää olevansa. Usein synonyyminä tunnistaminen ja todentaminen on ilmaisulla "Lähetä nimi" ja "autentikointi".

He itse on jaettu useita lajikkeita. Seuraavaksi katsomme, että tunnistaminen ja todentaminen ovat ja mitä he ovat.

todennus

Tämä konsepti tarjoaa kahdenlaisia: yksisuuntainen, asiakkaan on ensin todistettava palvelimelle todentamaan, ja kahdenvälisiä, että on, kun keskinäinen vahvistus tehdään. Tyypillinen esimerkki siitä, miten tehdä standardin tunnistaminen ja todentaminen käyttäjien - on kirjautua tiettyyn järjestelmään. Siten, erityyppiset voidaan käyttää erilaisia esineitä.

Verkkoympäristössä, jossa tunnistaminen ja todentaminen käyttäjien tehdään maantieteellisesti hajallaan osapuolia, tutkia palvelu erottuu kahdesta näkökulmasta:

• joka toimii autentikaattorina;
• miten se järjesti tietojenvaihto todennus ja tunnistus sekä kuinka suojella sitä.

Vahvistamaan aitous, aihe on esitettävä jokin seuraavista yksiköt:

• tiettyjä tietoja, jotka hän tietää (henkilötunnus, salasanan, erityinen salausavaimen, jne ...);
• Varmaa hän omistaa (henkilökohtainen kortti tai jokin muu laite, jolla on samanlainen tarkoitus);
• Varmaa, joka on osa sitä (sormenjälki, ääni tai muu biometristä tunnistusta ja käyttäjien autentikointi).

järjestelmäominaisuudet

Avoimessa verkkoympäristössä, osapuolet eivät ole luotettu polku, ja sanotaan, että yleensä lähettämät tiedot asiasta voi lopulta olla erilainen kuin saadut tiedot ja käytetään todentamiseen. Vaaditaan turvallisuutta aktiivisen ja passiivisen verkko narkomaani, eli suojaa korjauksia tai kuuntelua toisto eri tietoja. Salasana siirtämismahdollisuus kirkkaissa ei ole tyydyttävä, ja vain ei voi pelastaa päivän, ja salattuja salasanoja, koska niitä ei tarjota, toistoa suojaa. Siksi nykyään käytetään monimutkaisempia oikeaksitodentamisprotokolliin.

Luotettava tunnistaminen on vaikeaa, ei pelkästään erilaisia verkon uhkia, mutta myös monia muita syitä. Ensimmäinen lähes mitä tahansa todentamisyksikön voidaan kaapattu tai väärentää tai partiossa. jännitteitä luotettavuuden järjestelmää käytetään on myös läsnä, toisaalta, ja järjestelmän pääkäyttäjä tai käyttäjä tilat - toisella. Siten turvallisuussyistä vaaditaan jollakin taajuudella pyytää käyttäjää uudelleen käyttöön sen autentikointi tietoja (kuten sen sijaan hän voi joutua istumaan joitakin muita ihmisiä), ja se ei ainoastaan luo uusia ongelmia, mutta myös merkittävästi lisää mahdollisuuksia että joku voi urkkia tietojen syöttö. Lisäksi luotettavuus suojavälineet merkittävä vaikutus sen arvoon.

Moderni tunnistaminen ja todentaminen tukevat käsitteen kertakirjautumisen verkkoon, joka ensisijaisesti palvelee vaatimusten kannalta käyttäjäystävällisyys. Jos standardi yritysverkkoon on paljon tietoa tarjoavia mahdollisuudesta riippumattoman liikkeeseen, niin useita hallinnon henkilötietojen tulee liian työlästä. Tällä hetkellä on vielä mahdotonta sanoa, että käyttö kertakirjautumisen verkon on normaalia, koska hallitseva ratkaisuja ei ole muodostunut.

Niinpä monet yrittävät löytää kompromissi kohtuuhintaisuus, mukavuus ja luotettavuus varojen, joka tarjoaa identifiointi /. Käyttäjä lupaa tässä tapauksessa tehdään yksilöllisten sääntöjä.

Erityistä huomiota olisi kiinnitettävä siihen, että palvelua käytetään voidaan valita kohde hyökkäyksiä saatavuudesta. Jos järjestelmän kokoonpano on valmistettu siten, että sen jälkeen, kun useita epäonnistuneita tulla mahdollisuus on lukittu, niin hyökkääjä voi pysäyttää toiminnan oikeutetut käyttäjät vain muutaman näppäimen painalluksella.

salasanatodennusta

Tärkein etu tässä järjestelmässä on, että se on erittäin yksinkertainen ja tuttu. Salasanat on pitkään käytetty käyttöjärjestelmien ja muita palveluja, ja asianmukaista käyttöä edellyttäen turvallisuus, mikä on täysin hyväksyttävää useimmille organisaatioille. Toisaalta, jonka samat piirteet tällaisista järjestelmistä ovat heikoimpia keinoja, joilla identifiointi / voidaan toteuttaa. Valtuutus tulee tässä tapauksessa melko yksinkertainen, koska salasanat on tarttuva, mutta se ei ole vaikea arvata yhdistelmä yksinkertainen, erityisesti jos henkilö tietää mieltymykset tietyn käyttäjän.

Joskus käy niin, että salasanat, ei periaatteessa salaisia, koska ovat melko vakiona arvoissa dokumentaatio, eikä aina kun järjestelmä on asennettu, muuttaa niitä.

Kun kirjoitat salasanan näette, joissain tapauksissa jopa käyttävät erikoistuneita optisten instrumenttien.

Käyttäjille, pääaiheista tunnistaminen ja todentaminen, salasanat ovat usein ilmoittaa kollegoille, jotka tiettyinä aikoina ovat muuttuneet omistajalle. Teoriassa tällaisissa tilanteissa olisi oikeampaa käyttää erityisiä pääsynvalvonta, mutta käytännössä se ei ole käytössä. Ja jos salasana tietää kaksi ihmistä, se on hyvin paljon lisää mahdollisuuksia, että sen lopussa ja oppia lisää.

Miten korjata?

On olemassa useita välineitä, kuten tunnistaminen ja todentaminen voidaan suojata. Tietojen käsittely komponentti voi vakuuttaa seuraavasti:

• Määrääminen erilaisia teknisiä rajoituksia. Useimmiten asettaa sääntöjä salasanan pituudesta ja sisällöstä tiettyjä merkkejä.
• Office Password kulunut, eli ne on vaihdettava säännöllisesti.
• Rajoitettu pääsy perus salasanan tiedostoon.
• Rajoittaminen kokonaismäärästä epäonnistuneita, jotka ovat käytettävissä, kun kirjaudut sisään. Tämän vuoksi hyökkääjät saa suorittaa vain toimien suorittamiseen tunnistaminen ja todentaminen sekä lajittelu menetelmää ei voida käyttää.
• Valmistavaa koulutusta käyttäjille.
• Käyttäen erikoistunut ohjelmisto salasanan generaattori, joka voi luoda tällaisia yhdistelmiä, jotka ovat riittävän melodista ja mieleenpainuva.

Kaikkien näiden toimenpiteiden voidaan käyttää missä tahansa tapauksessa, vaikka yhdessä salasanat käyttää myös vahvistettava muulla tavoin.

Kertakäyttöiset salasanat

Edellä olevat suoritusmuodot ovat uudelleenkäytettäviä, ja siinä tapauksessa, avautumiskombinaatioita hyökkääjä kykenee suorittamaan tiettyjä toimintoja käyttäjän puolesta. Siksi, koska vahva keino vastustuskykyinen mahdollisuutta passiivisen verkko narkomaani, käytä kertakäyttöisiä salasanoja, joiden tunnistaminen ja todentaminen järjestelmä on huomattavasti turvallisempi, joskaan ei niin kätevä.

Tällä hetkellä yksi suosituimmista ohjelmisto kertakäyttösalasanan generaattori on nimeltään S / KEY julkaisema Bellcore. Peruskäsite tämä järjestelmä on, että on olemassa tietty funktio F, joka on tunnettu sekä käyttäjän ja autentikointipalvelimen. Seuraavassa on salainen avain K, joka tunnetaan vain tietylle käyttäjälle.

On ensimmäisen antamisen käyttäjän, tätä toimintoa käytetään näppäillä useita kertoja, niin tulos on tallennettu palvelimelle. Myöhemmin autentikointi tapahtuu seuraavasti:

1. Käyttäjän järjestelmän palvelimelta tulee numero, joka on 1 vähemmän kuin määrä kertoja käyttäen toiminnon näppäintä.
2. Käyttäjän toimintoa käytetään salaisia avaimia määrä kertoja, joka on asetettu ensimmäiseen kohtaan, minkä jälkeen tulos lähetetään verkon kautta suoraan autentikointipalvelimelle.
3. Palvelin käyttää tätä toimintoa saatu arvo, ja sitten tulosta verrataan aiemmin tallennetun arvon. Jos tulokset vastaavat toisiaan, käyttäjän henkilöllisyys on vahvistettu, ja palvelin tallentaa uusi arvo, ja sitten laskee laskuri yhdellä.

Käytännössä täytäntöönpanoa tätä tekniikkaa on hieman monimutkaisempi rakenne, mutta tällä hetkellä se ei ole väliä. Koska toiminta on peruuttamaton, vaikka salasanalla tai kuuntelua saamisen luvattoman käytön laillisuustarkistuspalvelimen ei anna mahdollisuutta saada yksityistä avainta ja mitenkään ennustaa, miten se tarkalleen näyttää seuraavalta kertakäyttöisellä salasanalla.

Venäjällä yhtenäisenä palvelu, erityinen valtion portaali - "ainutlaatuisen järjestelmän identifiointi /" ( "ESIA").

Toinen lähestymistapa vahvan tunnistuksen järjestelmä on se, että uusi salasana luotiin lyhyin väliajoin, mikä on myös toteutettu käyttämällä erikoistuneita ohjelmia tai erilaisia älykortteja. Tässä tapauksessa, autentikointipalvelin on hyväksyttävä vastaava salasana tuottavan algoritmin ja tiettyjen parametrien liittyy siihen, ja lisäksi on oltava läsnä kellon synkronointi palvelimen ja asiakkaan.

Kerberos

Kerberos-palvelin ensimmäisen kerran ilmestyi 90-luvun puolivälissä ja viime vuosisadalla, mutta sen jälkeen hän oli jo saanut paljon perustavanlaatuisia muutoksia. Tällä hetkellä yksittäisiä komponentteja järjestelmän on läsnä lähes jokaisessa nykyaikaisen käyttöjärjestelmän.

Päätarkoitus tämä palvelu on ratkaista seuraava ongelma: on tiettyjä ei-suojatun verkon ja solmujen sen konsentroidussa muodossa eri aiheista käyttäjät, ja palvelimen ja asiakkaan ohjelmistoja. Kukin tällainen kokonaisuus on läsnä yksittäisiä salainen avain, ja henkilöille, joilla on mahdollisuus todistaa aitouden aiheeseen S, jota ilman hän ei yksinkertaisesti huoltaa sitä, se tarvitsee paitsi kutsua itseään, vaan myös osoittaa, että hän tietää joitakin salainen avain. Samalla mitään keinoa vain lähettää suuntaan salainen avain S kuin ensimmäisessä oikeusasteessa verkko on avoin, ja lisäksi S ei tiedä, ja periaatteessa ei pitäisi tunne häntä. Tässä tilanteessa käyttää vähemmän yksinkertaista tekniikkaa osoittaminen tätä tietoa.

Sähköinen tunnistus / todennus tapahtuu Kerberos tarjoaa sen käyttöön luotettu kolmas osapuoli, jolla on tietoa salaisesta avaimet huollettu sivustoja ja auttaa niitä suorittaessaan pareittaisina todennus tarvittaessa.

Siten, asiakas ensimmäinen lähetetty kysely, joka sisältää tarvittavat tiedot siitä, sekä pyydetyn palvelun. Tämän jälkeen Kerberos antaa hänelle eräänlainen lippu, joka on salattu salaisen avaimen palvelimen sekä kopio joitakin tietoja siitä, mikä on salainen avain asiakkaan. Siinä tapauksessa, että on osoitettu, että asiakas oli puretut tarkoitettuja tietoja siitä, että on, hän pystyi osoittamaan, että yksityinen avain on tiedossa häntä todella. Tämä osoittaa, että asiakas on henkilö, jota varten se on.

Erityistä huomiota on tässä yhteydessä varmistettava, että siirto salausavaimia ei suoriteta verkossa, ja niitä käytetään yksinomaan salausta.

todennus käyttää biometrisiä

Biometriikka liittyy yhdistelmä automaattiseen tunnistukseen ja / tai varmentaminen ihmisiä perustuu niiden käyttäytymiseen tai fysiologiset ominaisuudet. Fyysisillä tunnistamisen ja todentamisen aikaan verkkokalvon skannauksen ja silmän sarveiskalvon, sormenjälkiä, kasvot ja käsi geometria, sekä muita henkilökohtaisia tietoja. Käyttäytymistieteellisen ominaisuudet sisältävät myös tyyliin työtä näppäimistöllä ja dynamiikkaa allekirjoituksen. Yhdistetty menetelmät ovat analyysin erilaisista ominaisuuksista ihmisäänen, sekä tunnustuksena puheessaan.

Tämä tunnistaminen / todennus ja salaus järjestelmiä käytetään laajasti monissa maissa ympäri maailmaa, mutta pitkään, ne ovat erittäin korkeat kustannukset ja monimutkaisuus käyttöä. Viime aikoina kysyntä biometristen kauppa on kasvanut merkittävästi, koska kehitystä sähköisen kaupankäynnin, koska siitä näkökulmasta käyttäjä, on paljon helpompi esittää itsensä, kuin muistaa joitakin tietoja. Vastaavasti kysyntä luo tarjontaa, joten markkinat alkoivat näkyä suhteellisen edullisia tuotteita, jotka ovat pääasiassa keskittyneet sormenjälkien tunnistus.

Valtaosassa tapauksista, biometrisiä tunnisteita käytetään yhdessä muiden autentikaattoreissa kuten älykortteja. Usein biometrinen tunnistus on vasta ensimmäinen puolustuslinja ja toimii keinona parantaa älykortin, kuten erilaisia salauksen salaisuuksia. Kun tätä tekniikkaa, Biometrinen tunniste on tallennettu samalle kortille.

Aktiivisuus alalla biometristen on riittävän korkea. Oleellinen olemassa oleva konsortio sekä hyvin aktiivinen työ on käynnissä yhtenäistää eri osa tekniikkaa. Tänään voimme nähdä paljon mainontaa artikkeleita, biometrisiä teknologioita esitetään ihanteellinen tapa tuottaa lisännyt turvallisuutta ja samalla edullinen massoista.

ESIA

tunnistus- ja autentikoinnin ( "ESIA") on erityinen palvelu tarkoituksena on varmistaa täytäntöönpanon erilaisia tehtäviä, jotka liittyvät oikeaksi todistaminen hakijoiden ja jäsenten välistä yhteistyötä, jos jokin kunta tai julkinen palvelujen sähköisessä muodossa.

Saadakseen pääsyn "yhden portaalin valtion rakenteita", samoin kuin kaikki muut tietojärjestelmät infrastruktuurin nykyisten sähköisen hallinnon, sinun on ensin rekisteröidyttävä tiliä ja sen seurauksena, saat epilepsialääkkeitä.

tasot

Portaali yhtenäiseen tunnistamisen ja todentamisen tarjoaa kolme perustasoa tilien yksilöille:

• Yksinkertaistettu. Tuotteen rekisteröinnistä yksinkertaisesti olla etu- ja sukunimi, sekä joitakin erityisen viestintäkanavana muodossa sähköpostiosoitteen tai matkapuhelimen. Tämä asteella, jossa henkilö antaa pääsyn vain rajoitetusti luettelo erilaisista julkiset palvelut, samoin kuin valmiuksia nykyisten tietojärjestelmien.
• Standardia. Hankkia aluksi tarpeen laatia yksinkertaistettu tilille, ja sitten myös antamaan lisätietoja, mukaan lukien tiedot passin numero ja vakuutuksen yksittäisen tilin. Nämä tiedot tarkistetaan automaattisesti tietojärjestelmän kautta eläkerahaston sekä liittovaltion maahanmuuttovirasto, ja jos testi onnistuu, tili muunnetaan standardin tasolle, se avaa käyttäjälle laajennetun listan valtion palveluista.
• Vahvistettu. Voit hankkia tämän tason tilin, yhtenäiseen tunnistaminen ja todentaminen vaatii käyttäjiä tavalliselle tilille, sekä todistaa henkilöllisyytensä, joka suoritetaan kautta henkilökohtaisen käynnin valtuutettuun huoltoon tai hankkimalla aktivointikoodi kirjattu kirje. Siinä tapauksessa, että yksittäiset vahvistus on onnistunut, tili menee uudelle tasolle, ja käyttäjä saa käyttöönsä täydellisen listan tarvitaan julkisia palveluja.

Huolimatta siitä, että menettelyt voivat tuntua monimutkainen tarpeeksi itse nähdä täydellisen luettelon tarvittavat tiedot voidaan suoraan virallisilla verkkosivuilla, joten on mahdollista suorittaa rekisteröinnin muutaman päivän.