Identifikavimas ir autentifikavimas: pagrindinės sąvokos

2024 Autorius: Howard Calhoun | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:34

Identifikavimas ir autentifikavimas yra šiuolaikinių programinės ir aparatinės įrangos saugos įrankių pagrindas, nes visos kitos paslaugos daugiausia skirtos šiems subjektams aptarnauti. Šios sąvokos yra tam tikra pirmoji gynybos linija, užtikrinanti organizacijos informacinės erdvės saugumą.

Kas tai?

Identifikavimas ir autentifikavimas atlieka skirtingas funkcijas. Pirmasis suteikia subjektui (vartotojui arba procesui, veikiančiam jo vardu) galimybę nurodyti savo vardą. Autentifikavimo pagalba antroji šalis pagaliau įsitikina, kad subjektas tikrai yra tas, kuo jis teigia esąs. Identifikavimas ir autentifikavimas dažnai pakeičiami frazėmis „vardo pranešimas“ir „autentifikavimas“kaip sinonimai.

Patys jie skirstomi į keletą veislių. Toliau apžvelgsime, kas yra identifikavimas ir autentifikavimas ir kas jie yra.

Autentifikavimas

Ši koncepcija numato du tipus: vienpusis, kai klientaspirmiausia turi įrodyti savo autentiškumą serveriui ir abipusiai, tai yra, kai atliekamas abipusis patvirtinimas. Standartinis pavyzdys, kaip atliekamas standartinis vartotojo identifikavimas ir autentifikavimas, yra prisijungimo prie konkrečios sistemos procedūra. Taigi skirtinguose objektuose gali būti naudojami skirtingi tipai.

Tinklo aplinkoje, kurioje naudotojo identifikavimas ir autentifikavimas atliekamas geografiškai išsklaidytose pusėse, aptariama paslauga skiriasi dviem pagrindiniais aspektais:

• kuris veikia kaip autentifikavimo priemonė;
• kaip tiksliai buvo organizuotas keitimasis autentifikavimo ir identifikavimo duomenimis ir kaip jie apsaugoti.

Norėdamas įrodyti savo tapatybę, subjektas turi pateikti vieną iš šių objektų:

• tam tikra jam žinoma informacija (asmens numeris, slaptažodis, specialus kriptografinis raktas ir kt.);
• tam tikras daiktas, kurį jis turi (asmeninė kortelė ar kitas panašios paskirties įrenginys);
• tam tikras dalykas, kuris yra pats savaime elementas (pirštų atspaudai, balsas ir kitos biometrinės priemonės naudotojams identifikuoti ir autentifikuoti).

Sistemos ypatybės

Atviroje tinklo aplinkoje šalys neturi patikimo maršruto, o tai reiškia, kad apskritai subjekto perduodama informacija galiausiai gali neatitikti gautos ir naudojamos informacijos.autentifikuojant. Būtina užtikrinti aktyvaus ir pasyvaus tinklo klausymosi saugumą, tai yra apsaugą nuo įvairių duomenų taisymo, perėmimo ar atkūrimo. Galimybė perduoti slaptažodžius paprastu tekstu yra nepatenkinama, taip pat slaptažodžių šifravimas negali išgelbėti dienos, nes jie neapsaugo nuo atkūrimo. Štai kodėl šiandien naudojami sudėtingesni autentifikavimo protokolai.

Patikimas identifikavimas yra sudėtingas ne tik dėl įvairių internetinių grėsmių, bet ir dėl įvairių kitų priežasčių. Visų pirma, beveik bet koks autentifikavimo objektas gali būti pavogtas, suklastotas arba numanomas. Taip pat yra tam tikras prieštaravimas tarp naudojamos sistemos patikimumo, viena vertus, ir sistemos administratoriaus ar vartotojo patogumo, kita vertus. Taigi saugumo sumetimais reikalaujama, kad vartotojas tam tikru dažnumu iš naujo įvestų savo autentifikavimo informaciją (nes jo vietoje jau gali sėdėti kitas asmuo), o tai ne tik sukelia papildomų problemų, bet ir gerokai padidina tikimybė, kad kažkas gali šnipinėti įvesdamas informaciją. Be kita ko, apsauginės įrangos patikimumas turi didelę įtaką jos kainai.

Šiuolaikinės identifikavimo ir autentifikavimo sistemos palaiko vieno prisijungimo prie tinklo koncepciją, kuri pirmiausia leidžia patenkinti naudotojo patogumo reikalavimus. Jei standartiniame įmonės tinkle yra daug informacijos paslaugų,numatant savarankiško gydymo galimybę, pakartotinis asmens duomenų įvedimas tampa pernelyg sudėtingas. Šiuo metu dar negalima teigti, kad vienkartinio prisijungimo naudojimas laikomas normaliu, nes dominuojantys sprendimai dar nesusiformavo.

Todėl daugelis bando rasti kompromisą tarp identifikavimo / autentifikavimo priemonių prieinamumo, patogumo ir patikimumo. Vartotojų autorizacija šiuo atveju vykdoma pagal individualias taisykles.

Ypatingą dėmesį reikėtų atkreipti į tai, kad naudojama paslauga gali būti pasirinkta kaip prieinamumo atakos objektas. Jei sistema sukonfigūruota taip, kad po tam tikro skaičiaus nesėkmingų bandymų galimybė įeiti būtų blokuojama, tokiu atveju užpuolikai gali sustabdyti legalių vartotojų darbą vos keliais klavišų paspaudimais.

Slaptažodžio autentifikavimas

Pagrindinis tokios sistemos privalumas yra tai, kad ji yra labai paprasta ir daugeliui pažįstama. Slaptažodžiai jau seniai naudojami operacinėse sistemose ir kitose tarnybose, o tinkamai naudojant užtikrina tokį saugumo lygį, kuris yra gana priimtinas daugumai organizacijų. Tačiau, kita vertus, kalbant apie bendrą charakteristikų rinkinį, tokios sistemos yra silpniausios priemonės, kuriomis galima atlikti identifikavimą / autentifikavimą. Autorizacija šiuo atveju tampa gana paprasta, nes slaptažodžiai turi būtiįsimintinus, bet tuo pačiu paprastus derinius nesunku atspėti, ypač jei žmogus žino konkretaus vartotojo pageidavimus.

Kartais nutinka taip, kad slaptažodžiai iš principo nėra laikomi paslaptyje, nes turi gana standartines reikšmes, nurodytas tam tikroje dokumentacijoje, o ne visada po sistemos įdiegimo jie pakeičiami.

Įvesdami slaptažodį matote, o kai kuriais atvejais žmonės netgi naudoja specializuotus optinius įrenginius.

Naudotojai, pagrindiniai identifikavimo ir autentifikavimo subjektai, dažnai gali pasidalyti slaptažodžiais su kolegomis, kad tam tikram laikui pakeistų savininką. Teoriškai tokiose situacijose geriausia būtų naudoti specialius prieigos valdiklius, tačiau praktiškai tuo niekas nenaudoja. Ir jei du žmonės žino slaptažodį, tai labai padidina tikimybę, kad galiausiai apie jį sužinos kiti.

Kaip tai ištaisyti?

Yra keletas būdų, kaip apsaugoti tapatybę ir autentifikavimą. Informacijos apdorojimo komponentas gali apsisaugoti taip:

• Įvairių techninių apribojimų įvedimas. Dažniausiai nustatomos taisyklės slaptažodžio ilgiui, taip pat tam tikrų jame esančių simbolių turiniui.
• Slaptažodžių galiojimo pabaigos valdymas, tai yra būtinybė juos periodiškai keisti.
• Prieiga prie pagrindinio slaptažodžio failo ribojama.
• Apribojant bendrą nepavykusių bandymų skaičių prisijungiant. AčiūTokiu atveju užpuolikai turėtų atlikti veiksmus tik prieš atlikdami identifikavimą ir autentifikavimą, nes negalima naudoti brutalios jėgos metodo.
• Išankstinis naudotojų mokymas.
• Naudojant specializuotą slaptažodžių generavimo programinę įrangą, kuri leidžia kurti derinius, kurie būtų pakankamai žavūs ir įsimenami.

Visos šios priemonės gali būti naudojamos bet kuriuo atveju, net jei kartu su slaptažodžiais naudojamos ir kitos autentifikavimo priemonės.

Vienkartiniai slaptažodžiai

Aukščiau aptartos parinktys yra pakartotinai naudojamos, o jei derinys atskleidžiamas, užpuolikas gauna galimybę atlikti tam tikras operacijas vartotojo vardu. Štai kodėl vienkartiniai slaptažodžiai naudojami kaip stipresnė priemonė, atspari pasyviojo tinklo klausymosi galimybei, kurios dėka identifikavimo ir autentifikavimo sistema tampa daug saugesnė, nors ir ne tokia patogi.

Šiuo metu viena iš populiariausių programinės įrangos vienkartinių slaptažodžių generatorių yra sistema S/KEY, kurią išleido „Bellcore“. Pagrindinė šios sistemos koncepcija yra ta, kad yra tam tikra funkcija F, kurią žino ir vartotojas, ir autentifikavimo serveris. Toliau pateikiamas slaptasis raktas K, kurį žino tik tam tikras vartotojas.

Pirminio vartotojo administravimo metu ši funkcija naudojama klavišuitam tikrą skaičių kartų, po kurio rezultatas išsaugomas serveryje. Ateityje autentifikavimo procedūra atrodys taip:

1. Skaičius ateina į vartotojo sistemą iš serverio, kuris yra 1 mažesnis nei kartų, kai funkcija naudojama klavišui.
2. Naudotojas naudoja turimo slaptojo rakto funkciją tiek kartų, kiek buvo nustatyta pirmoje pastraipoje, o po to rezultatas siunčiamas per tinklą tiesiai į autentifikavimo serverį.
3. Serveris naudoja šią funkciją gautai vertei, po kurios rezultatas lyginamas su anksčiau išsaugota reikšme. Jei rezultatai sutampa, vartotojas autentifikuojamas ir serveris išsaugo naują reikšmę, tada skaitiklį sumažina vienu.

Praktiškai šios technologijos įgyvendinimas turi šiek tiek sudėtingesnę struktūrą, tačiau šiuo metu tai nėra taip svarbu. Kadangi funkcija yra negrįžtama, net ir perėmus slaptažodį ar neteisėtai prisijungus prie autentifikavimo serverio, ji nesuteikia galimybės gauti slaptojo rakto ir jokiu būdu numatyti, kaip konkrečiai atrodys kitas vienkartinis slaptažodis.

Rusijoje kaip vieninga paslauga naudojamas specialus valstybinis portalas – „Vieninga identifikavimo / autentifikavimo sistema“(„ESIA“).

Kitas būdas sukurti tvirtą autentifikavimo sistemą – trumpais intervalais generuoti naują slaptažodį, kuris taip pat įgyvendinamas perspecializuotų programų ar įvairių lustinių kortelių naudojimas. Tokiu atveju autentifikavimo serveris turi priimti atitinkamą slaptažodžių generavimo algoritmą, taip pat tam tikrus su juo susijusius parametrus, be to, turi būti serverio ir kliento laikrodžio sinchronizavimas.

Kerberos

Kerberos autentifikavimo serveris pirmą kartą pasirodė praėjusio amžiaus 90-ųjų viduryje, tačiau nuo to laiko jis jau sulaukė daugybės esminių pakeitimų. Šiuo metu atskiri šios sistemos komponentai yra beveik kiekvienoje šiuolaikinėje operacinėje sistemoje.

Pagrindinis šios paslaugos tikslas yra išspręsti šią problemą: yra tam tikras neapsaugotas tinklas, o jo mazguose yra sutelkti įvairūs subjektai vartotojų, serverių ir klientų programinės įrangos sistemų pavidalu. Kiekvienas toks subjektas turi individualų slaptą raktą ir tam, kad subjektas C turėtų galimybę įrodyti savo autentiškumą subjektui S, be kurio jis jam tiesiog neaptarnaus, jam reikės ne tik įvardinti save, bet ir parodyti, kad jis žino tam tikrą slaptąjį raktą. Tuo pačiu metu C neturi galimybės tiesiog nusiųsti savo slaptojo rakto į S, nes, visų pirma, tinklas yra atviras, be to, S to nežino ir iš esmės neturėtų žinoti. Esant tokiai situacijai, šios informacijos žinioms parodyti naudojama ne tokia paprasta technika.

Tai numato elektroninis identifikavimas / autentifikavimas per Kerberos sistemąnaudoti kaip patikimą trečiąją šalį, kuri turi informacijos apie aptarnaujamų objektų slaptuosius raktus ir, jei reikia, padeda jiems atlikti porinį autentifikavimą.

Taigi klientas pirmiausia siunčia į sistemą užklausą, kurioje yra reikalinga informacija apie jį, taip pat apie prašomą paslaugą. Po to Kerberos jam pateikia savotišką bilietą, kuris yra užšifruotas slaptu serverio raktu, taip pat kai kurių duomenų iš jo kopiją, kuri yra užšifruota kliento raktu. Sutapimo atveju nustatoma, kad klientas iššifravo jam skirtą informaciją, tai yra sugebėjo įrodyti, kad tikrai žino slaptąjį raktą. Tai rodo, kad klientas yra būtent toks, koks jis teigia esąs.

Ypatingą dėmesį reikėtų atkreipti į tai, kad slaptieji raktai nebuvo perduodami tinkle, o jie buvo naudojami tik šifravimui.

Biometrinis autentifikavimas

Biometrija apima automatizuotų priemonių, skirtų identifikuoti / autentifikuoti žmones pagal jų elgesio ar fiziologines ypatybes, derinį. Fizinės tapatybės nustatymo ir tapatybės nustatymo priemonės apima akių tinklainės ir ragenos, pirštų atspaudų, veido ir rankų geometrijos ir kitos asmeninės informacijos patikrinimą. Elgsenos ypatybės apima darbo su klaviatūra stilių ir parašo dinamiką. Kombinuotasmetodai yra įvairių žmogaus balso ypatybių analizė, taip pat jo kalbos atpažinimas.

Tokios identifikavimo/autentifikavimo ir šifravimo sistemos yra plačiai naudojamos daugelyje pasaulio šalių, tačiau ilgą laiką jos buvo itin brangios ir sunkiai naudojamos. Pastaruoju metu biometrinių gaminių paklausa smarkiai išaugo dėl elektroninės prekybos plėtros, nes vartotojo požiūriu daug patogiau prisistatyti, nei įsiminti kokią nors informaciją. Atitinkamai, paklausa sukuria pasiūlą, todėl rinkoje pradėjo pasirodyti palyginti nebrangūs produktai, daugiausia orientuoti į pirštų atspaudų atpažinimą.

Daugeliu atvejų biometriniai duomenys naudojami kartu su kitais autentifikavimo įrenginiais, pvz., lustinėmis kortelėmis. Dažnai biometrinis autentifikavimas yra tik pirmoji gynybos linija ir veikia kaip priemonė suaktyvinti lustines korteles, kuriose yra įvairių kriptografinių paslapčių. Naudojant šią technologiją, biometrinis šablonas išsaugomas toje pačioje kortelėje.

Aktyvumas biometrinių duomenų srityje yra gana didelis. Atitinkamas konsorciumas jau yra, taip pat gana aktyviai vykdomi darbai, kuriais siekiama standartizuoti įvairius technologijos aspektus. Šiandien galite pamatyti daugybę reklaminių straipsnių, kuriuose biometrinės technologijos pristatomos kaip ideali priemonė saugumui didinti ir tuo pačiu prieinama plačiajai visuomenei.masės.

ESIA

Identifikavimo ir autentifikavimo sistema (ESIA) yra speciali paslauga, sukurta siekiant užtikrinti įvairių užduočių, susijusių su pareiškėjų ir tarpžinybinės sąveikos dalyvių tapatybės patikrinimu, įgyvendinimą teikiant bet kokios savivaldybės ar valstybės paslaugos elektronine forma.

Norėdami gauti prieigą prie „Vieno valdžios institucijų portalo“, taip pat bet kokių kitų esamos e. valdžios infrastruktūros informacinių sistemų, pirmiausia turėsite užregistruoti paskyrą ir dėl to, gaukite PES.

Lygiai

Vieningos identifikavimo ir autentifikavimo sistemos portalas suteikia tris pagrindinius asmenų paskyrų lygius:

• Supaprastinta. Norėdami jį užregistruoti, tereikia nurodyti savo pavardę ir vardą, taip pat tam tikrą konkretų ryšio kanalą el. pašto adreso ar mobiliojo telefono forma. Tai yra pirminis lygis, per kurį asmuo turi prieigą tik prie riboto sąrašo įvairių viešųjų paslaugų, taip pat turimų informacinių sistemų galimybių.
• Standartinis. Norėdami ją gauti, pirmiausia turite išduoti supaprastintą sąskaitą, o tada pateikti papildomus duomenis, įskaitant informaciją iš paso ir draudimo asmeninės sąskaitos numerį. Nurodyta informacija automatiškai tikrinama per informacines sistemasPensijų fondas, taip pat Federalinė migracijos tarnyba, o jei patikrinimas sėkmingas, sąskaita perkeliama į standartinį lygį, o tai atveria vartotojui išplėstinį viešųjų paslaugų sąrašą.
• Patvirtinta. Norint gauti tokio lygio paskyrą, vieninga identifikavimo ir autentifikavimo sistema reikalauja, kad vartotojai turėtų standartinę paskyrą, taip pat tapatybės patikrinimas, kuris atliekamas asmeniškai apsilankius įgaliotame aptarnavimo padalinyje arba registruotu paštu gaunant aktyvinimo kodą. Jei tapatybės patvirtinimas bus sėkmingas, paskyra bus perkelta į naują lygį ir vartotojas turės prieigą prie viso būtinų valstybinių paslaugų sąrašo.

Nepaisant to, kad procedūros gali atrodyti gana sudėtingos, su visu būtinų duomenų sąrašu galite susipažinti tiesiogiai oficialioje svetainėje, todėl pilna registracija yra visiškai įmanoma per kelias dienas.