Identification at pagpapatotoo: pangunahing mga konsepto

Identification at authentication ay ang batayan ng modernong software at hardware na seguridad, tulad ng anumang iba pang mga serbisyo ay unang-una inilaan para sa pagbabayad ng mga paksa. Ang mga konseptong ito ay kumakatawan sa isang uri ng mga unang linya ng depensa, na tinitiyak ang seguridad ng impormasyon na espasyo samahan.

Ano ito?

Identification at authentication ay may iba't ibang mga pag-andar. Ang unang nagbibigay ng isang paksa (gumagamit o proseso na gawang sa ngalan ng) ng pagkakataon na sabihin sa kanilang sariling mga pangalan. Sa pamamagitan ng paraan ng authentication ay ang ikalawang bahagi ay ganap na kumbinsido na ang paksa ay tunay na ang isa para sa kanino siya claims na. Madalas, bilang isang kasingkahulugan pagkilala at authentication ay pinalitan ng ang pariralang "pangalan Post" at "authentication".

Sila mismo ay nahahati sa ilang mga varieties. Susunod, isaalang-alang namin na ang isang identification at authentication at kung ano ang mga ito.

pagpapatunay

konsepto na ito ay nagbibigay ng dalawang uri: ang isa-paraan, ang client ay dapat munang patunayan sa server upang mapatunayan, at bilateral, iyon ay, kapag ang isang mutual kumpirmasyon ay isinasagawa. Tipikal na halimbawa ng kung paano magsagawa ng isang karaniwang pagkilala at authentication ng mga user - ay upang mag-log sa isang tiyak na sistema. Kaya, iba't ibang mga uri ay maaaring gamitin sa iba't-ibang mga bagay.

Sa isang network na kapaligiran, kung saan ang pagkilala at authentication ng mga user na ginawa sa heograpiya dispersed mga partido, suriin ang mga serbisyo ay nakikilala sa pamamagitan ng dalawang pangunahing mga aspeto:

• na gumaganap bilang isang tagapagpatunay;
• kung paano ito ay inorganisa ng palitan ng data sa pagpapatotoo at pagkakakilanlan at kung paano upang maprotektahan ito.

Upang kumpirmahin ang pagpapatunay nito, ang paksa ay kailangang ipakita sa isa sa mga sumusunod na nilalang:

• tiyak na impormasyon na alam niya (personal number, password, isang espesyal na cryptographic key, atbp ...);
• tiyak na bagay na siya ang may-ari (personal card o ilang iba pang mga aparato pagkakaroon ng isang katulad na layunin);
• tiyak na bagay, na kung saan ay isang elemento nito (fingerprint, voice o iba pang biometric identification at authentication ng mga user).

mga tampok ng system

Sa bukas na network na kapaligiran, ang mga partido ay hindi magkaroon ng isang pinagkakatiwalaang landas, at ito ay sinabi na sa pangkalahatan, ang impormasyon na ipinadala sa pamamagitan ng ang paksa ay maaaring sa huli ay maaaring naiiba mula sa impormasyon na natanggap at ginamit para sa pagpapatotoo. Mga kinakailangang kaligtasan ng mga aktibo at pasibo network sniffer, iyon ay, proteksyon laban sa pagwawasto, pagharang o pag-playback ng iba't ibang mga data. Password transfer pagpipilian sa malinaw na ito ay hindi kasiya-siya, at lamang ay hindi maaaring i-save ang araw, at naka-encrypt na password, dahil sila ay hindi ibinigay, proteksyon playback. Iyon ang dahilan kung bakit ngayon ay ginagamit ng mas kumplikadong mga protocol authentication.

Maaasahang identification ay mahirap hindi lamang dahil sa isang iba't ibang mga pagbabanta sa network, ngunit din para sa iba't-iba pang mga kadahilanan. Ang unang halos anumang authentication entity ay maaaring abducted, o mameke o pagmamanman. isang pag-igting sa pagitan ng pagiging maaasahan ng system na ginagamit ay din kasalukuyan, sa isang kamay, at ang mga system administrator o gumagamit facility - sa isa. Kaya, para sa mga kadahilanan ng seguridad na kinakailangan sa ilang mga frequency tanungin ang user upang muling pagpapakilala ng impormasyon nito authentication (tulad ng sa halip na siya ay maaaring magkaroon upang umupo sa ilang ibang mga tao), at ito ay hindi lamang lumilikha ng karagdagang problema, ngunit din makabuluhang pinatataas ang pagkakataon ng na ang isang tao ay maaaring mapiga impormasyon input. Sa karagdagan, ang pagiging maaasahan ng proteksyon ay nangangahulugan makabuluhang epekto sa ang halaga nito.

Modern pagkilala at authentication system suportahan ang konsepto ng single sign-on sa network, na kung saan lalo na caters sa mga pangangailangan sa mga tuntunin ng user-kabaitan. Kung ang standard na corporate network ay may isang pulutong ng mga serbisyo ng impormasyon, na nagbibigay ng para sa posibilidad ng isang independiyenteng sirkulasyon, pagkatapos ay ang maramihang mga administrasyon ng personal na data ay nagiging masyadong mabigat. Sa sandaling ito ay imposible pa rin na sabihin na ang paggamit ng single sign-on sa network ay normal, bilang ang nangingibabaw na mga solusyon ay hindi pa nabuo.

Kaya, maraming sinusubukan upang makahanap ng isang kompromiso sa pagitan ng affordability, kaginhawahan at pagiging maaasahan ng mga pondo, na nagbibigay ng pagkakakilanlan / authentication. User pahintulot sa kasong ito ay isinasagawa ayon sa mga indibidwal na mga patakaran.

Espesyal na pansin ay dapat bayaran sa ang katunayan na ang serbisyo ay ginagamit ay maaaring pinili bilang ang object ng pag-atake sa availability. Kung ang sistema ng configuration ay ginawa sa paraan na matapos ang isang bilang ng mga nabigong mga pagtatangka upang ipasok ang posibilidad ay nai-lock, at pagkatapos ay ang magsasalakay ay maaaring ihinto ang operasyon lehitimong gumagamit sa pamamagitan lamang ng ilang mga keystroke.

pagpapatunay ng password

Ang pangunahing bentahe ng system na ito ay na ito ay lubhang simple at pamilyar sa karamihan. Ang mga password ay matagal nang ginagamit ng mga operating system at iba pang mga serbisyo, at sa tamang paggamit ng mga ibinigay na seguridad, na kung saan ay lubos na katanggap-tanggap para sa karamihan ng mga organisasyon. Sa kabilang dako, sa pamamagitan ng isang karaniwang hanay ng mga katangian ng naturang mga sistema ay ang pinakamahina paraan kung identification / authentication ay maaaring ipinatupad. Authorization sa kasong ito ay magiging medyo simple, dahil ang mga password ay dapat na kaakit-akit, ngunit ito ay hindi mahirap na hulaan ang kumbinasyon ng mga simple, lalo na kung ang taong nakakaalam ng mga kagustuhan ng isang partikular na gumagamit.

Minsan ito ang mangyayari na ang mga password ay, sa prinsipyo, hindi inilingid, tulad ng ay medyo karaniwang mga halaga na tinukoy sa mga tiyak na mga babasahin, at hindi palaging matapos ang sistema ay naka-install, baguhin ang mga ito.

Kapag ipinasok mo ang iyong password ng iyong nakikita, sa ilang mga kaso, ang mga tao ring gamitin specialized optical instrumento.

Mga gumagamit, ang mga pangunahing paksa ng pagkilala at authentication, password ay madalas na ipaalam sa mga kasamahan sa mga sa partikular na oras ay nagbago may-ari. Sa teorya, sa ganitong sitwasyon magiging mas tama na gumamit ng mga espesyal na mga kontrol access, ngunit sa kasanayan ito ay hindi ginagamit. At kung alam ang password ng dalawang tao, ito ay napaka-lubhang pinatataas ang mga pagkakataon na sa katapusan ng mga ito at matuto nang higit pa.

Kung paano ayusin ito?

Mayroong ilang mga kasangkapan tulad ng pagkilala at authentication ay maaaring protektado. Ang impormasyon sa pagpoproseso ng mga bahagi ay maaaring i-insure ang mga sumusunod:

• Ang pagpapataw ng iba't-ibang mga teknikal na limitasyon. Karamihan sa mga madalas na magtakda ng mga panuntunan sa haba ng password at nilalaman ng mga tiyak na mga character.
• expiration password Office, ibig sabihin na kailangan nila upang mapalitan pana-panahon.
• Limitadong pag-access sa mga pangunahing file password.
• Limitasyon ng ang kabuuang bilang ng mga nabigong mga pagtatangka na magagamit kapag nag-log in. Dahil dito attackers ay dapat na natupad lamang ang mga pagkilos upang maisagawa ang pagkilala at authentication pati na rin ang pag-uuri pamamaraan ay hindi maaaring gamitin.
• Preliminary pagsasanay ng gumagamit.
• Paggamit ng mga specialized generator software password na maaaring lumikha ng naturang mga kumbinasyon kung saan ay may sapat na malambing at di-malilimutang.

Ang lahat ng mga hakbang ay maaaring gamitin sa anumang kaso, kahit na kasama ng mga password ay maaari ring gamitin ang iba pang paraan ng pagpapatotoo.

One-time na password

Ang embodiments sa itaas ay magagamit muli, at sa kaso ng pagbubukas kumbinasyon attacker ay magagawang upang magsagawa ng ilang mga operasyon sa ngalan ng gumagamit. Iyon ay kung bakit tulad ng isang mas malakas na paraan lumalaban sa ang posibilidad ng isang passive network sniffer, gamitin ang isa-time na password sa pamamagitan ng na pagkilala at authentication system ay mas ligtas na, bagaman hindi bilang maginhawa.

Sa sandaling ito, isa sa mga pinaka-popular na software sa isang-oras password dyeneretor ay isang sistema na tinatawag na S / KEY, ipinalabas ng Bellcore. Ang mga pangunahing konsepto ng system na ito ay na may isang tiyak na pag-andar ng F, na kung saan ay kilala sa parehong mga gumagamit at ang authentication server. Ang sumusunod ay isang lihim na key K, kilala lamang sa isang partikular na user.

Sa inisyal na user administrasyon, function na ito ay ginagamit upang susi ng isang bilang ng beses, pagkatapos ay ang resulta ay naka-save sa server. Kasunod, ang authentication pamamaraan ay ang mga sumusunod:

1. Sa system user mula sa server pagdating sa mga numero na 1 mas mababa kaysa sa bilang ng beses na gamit ang function na ang susi.
2. User function ay ginagamit upang lihim na key sa bilang ng beses na na-set sa unang punto, pagkatapos niyon ang resulta ay ipinadala sa pamamagitan ng network ng direkta sa server authentication.
3. Ang server ay gumagamit ng function na ito sa nakuha na halaga, at pagkatapos ay ang resulta ay kumpara sa nakaraang naka-imbak na halaga. Kung ang resulta ay tumutugma, pagkatapos ay ang pagkakakilanlan ng gumagamit ay itinatag, at ang server nag-iimbak ang bagong mga halaga, at pagkatapos ay nababawasan ang counter sa pamamagitan ng isa.

Sa pagsasanay, ang pagpapatupad ng ang teknolohiyang ito ay may isang medyo mas kumplikadong istraktura, ngunit sa sandaling ito ay hindi mahalaga. Dahil ang function ay hindi maibabalik, kahit na ang password pagharang o pagkuha ng awtorisadong pag-access sa server authentication ay hindi nagbibigay ang posibilidad upang makuha ang pribadong key at ang anumang paraan upang mahulaan kung paano ito ay eksakto ang hitsura ng mga sumusunod na isang-beses na password.

Sa Russia bilang isang pinag-isang serbisyo, ng isang espesyal na estado portal - "Natatanging sistema ng pagkakakilanlan / authentication" ( "Esia").

Ang isa pang diskarte sa malakas na sistema ng authentication ay namamalagi sa ang katunayan na ang bagong password ay nabuo sa maikling pagitan, na kung saan ay natanto din sa pamamagitan ng paggamit ng mga specialized mga programa o mga iba't-ibang mga smart cards. Sa kasong ito, ang authentication server ay dapat tanggapin ang kaukulang pagbuo password algorithm at ilang mga parameter na nauugnay dito, at sa karagdagan, ay dapat na kasalukuyan bilang clock synchronization server at client.

Kerberos

Kerberos authentication server sa unang pagkakataon ay lumitaw sa kalagitnaan ng 90s ng huling siglo, ngunit dahil ito ay nangangahulugan na siya ay nakatanggap ng isang pulutong ng mga pangunahing pagbabago. Sa sandaling ito, ang mga indibidwal na mga bahagi ng sistema ay naroroon sa halos bawat modernong operating system.

Ang pangunahing layunin ng serbisyong ito ay upang malutas ang mga sumusunod na problema: may isang tiyak na di-secure na network at ang mga node sa kanyang puro form sa iba't-ibang mga gumagamit ng mga paksa, at server at client software system. Ang bawat gayong nilalang ay naroroon indibidwal na lihim na key, at sa mga paksang may isang pagkakataon upang patunayan ang kanilang pagiging tunay na paksa ng S, nang walang kung saan hindi rin siya serbisyo nito, ito ay kailangan upang hindi lamang tumawag sa kanyang sarili, ngunit din upang ipakita na alam niya ang ilan lihim na key. Kasabay Sa walang paraan upang magpadala lamang sa direksyon ng iyong lihim na key S tulad ng sa unang pagkakataon sa network ay bukas, at sa karagdagan, S ay hindi alam, at, sa prinsipyo, ay hindi dapat malaman sa kanya. Sa situasyon na ito, gamitin mas mababa prangka technology demonstration ng kaalaman sa impormasyon na iyon.

Electronic identification / authentication sa pamamagitan ng Kerberos sistema ay nagbibigay ng para sa paggamit nito bilang isang pinagkakatiwalaang third party, na kung saan ay may impormasyon tungkol sa mga lihim na susi ng serviced site at tulungan ang mga ito sa paggampan ng pairwise authentication kung kinakailangan.

Kaya, client ang unang ipinadala sa isang query na naglalaman ng mga kinakailangang impormasyon tungkol sa mga ito, pati na rin ang hiniling na serbisyo. Pagkatapos nito, Kerberos ay nagbibigay sa kanya ng isang uri ng tiket na na-encrypt na may isang lihim na key ng server, pati na rin ang isang kopya ng ilan sa mga data mula sa mga ito, na kung saan ay lihim na key ng client. Sa kaso na ito ay itinatag na ang client ay deciphered impormasyon inilaan ito, iyon ay, siya ay able sa ipakita na ang pribadong key ay kilala niya talaga. Ito ay nagpapahiwatig na ang client ay ang tao para sa kung saan ito ay.

Espesyal na atensiyon ay dapat dito na kinuha upang matiyak na ang paghahatid ng lihim na susi ay hindi natupad sa network, at sila ay ginagamit eksklusibo para sa pag-encrypt.

authentication gamit biometrics

Biometrics ay nagsasangkot ng isang kumbinasyon ng mga automated identification / authentication ng mga tao batay sa kanilang pag-uugali o physiological mga katangian. Pisikal na paraan ng pagkilala at authentication ay nagbibigay ng isang retina scan at mata kornea, mga fingerprint, mukha at kamay geometry, pati na rin ang iba pang mga personal na impormasyon. Ang asal na katangian isama rin ang estilo ng trabaho gamit ang keyboard at ang dynamics ng lagda. Pinagsama pamamaraan ay ang pag-aaral ng iba't ibang mga katangian ng tinig ng tao, pati na rin ang pagkilala ng kanyang pagsasalita.

Ang ganitong mga pagkakakilanlan / authentication at encryption systems ay ginagamit malawakan sa maraming mga bansa sa buong mundo, ngunit para sa isang mahabang panahon, ang mga ito ay lubos na mataas na gastos at pagiging kumplikado ng paggamit. Higit pang mga kamakailan lamang, ang demand para sa biometric mga produkto ay nadagdagan makabuluhang dahil sa ang pag-unlad ng e-commerce, dahil, mula sa punto ng view ng user, ay lubhang mas madaling upang ipakilala ang sarili, kaysa upang matandaan ang ilang impormasyon. Alinsunod dito, demand na lumilikha ng supply, kaya ang market ay nagsimulang upang lumitaw relatibong mababa ang presyo ng mga produkto, na kung saan ay higit sa lahat nakatutok sa mga fingerprint pagkilala.

Sa napakalaki karamihan ng mga kaso, biometrics ay ginagamit sa kumbinasyon sa iba pang mga authenticators tulad ng mga smart cards. Kadalasan biometric authentication ay lamang ang unang linya ng depensa at gumaganap bilang isang paraan ng pagpapabuti ng smartcard, kabilang ang mga iba't-ibang cryptographic lihim. Kapag gumagamit ng teknolohiyang ito, ang biometric template ay naka-imbak sa parehong card.

Aktibidad sa larangan ng biometrics ay sapat na mataas. May-katuturang mga umiiral na kasunduan, pati na rin ang napaka-aktibo trabaho ay isinasagawa upang ilagay sa pamantayan sa iba't-ibang mga aspeto ng teknolohiya. Ngayon maaari naming makita ang isang pulutong ng advertising artikulo na biometric na teknolohiya ay ipinakita bilang isang mainam na paraan ng pagbibigay ng mas mataas na kaligtasan at sa parehong oras abot-kayang sa mga masa.

Esia

sistema ng pagkilala at authentication ( "Esia") ay isang espesyal na serbisyo na dinisenyo upang matiyak ang pagpapatupad ng iba't-ibang mga gawain na may kaugnayan sa pag-verify ng ang pagiging tunay ng mga aplikante at ang mga kasapi ng interagency pakikipagtulungan sa kaganapan ng anumang mga munisipal o pampublikong serbisyo sa electronic form.

Upang makakuha ng access sa isang "solong portal ng mga istraktura ng estado", pati na rin ang anumang iba pang mga sistema ng impormasyon infrastructure ng mga umiiral na e-gobyerno, kailangan mo munang upang irehistro ang account at bilang isang resulta, kumuha ng AEDs.

antas

Portal ng isang pinag-isang sistema ng pagkilala at authentication ay nagbibigay ng tatlong pangunahing mga antas ng mga account para sa mga indibidwal:

• Pinasimple. Para sa pagpaparehistro nito simpleng isama ang iyong unang pangalan at apelyido, pati na rin ang ilang partikular na channel ng komunikasyon sa anyo ng isang email address o isang mobile phone. Ito pangunahing antas, sa pamamagitan ng kung saan ang isang tao ay nagbibigay ng access lamang sa isang limitadong listahan ng mga iba't ibang mga serbisyo ng gobyerno, pati na rin ang mga kakayahan ng mga umiiral na mga sistema ng impormasyon.
• Standard. Upang makakuha ng sa una kinakailangan upang maglalabas ng isang pinasimple na account, at pagkatapos ay magbigay ng karagdagang impormasyon, kabilang ang impormasyon mula sa mga numero ng pasaporte at insurance indibidwal na account. Ang impormasyon na ito ay awtomatikong naka-check sa pamamagitan ng mga sistema ng impormasyon ng Pension Fund, pati na rin ang Federal Migration Serbisyo, at, kung ang mga pagsubok ay matagumpay, ang account ay na-convert sa isang standard na antas, ito ay bubukas sa gumagamit na ng isang pinalawak na listahan ng mga serbisyo ng estado.
• Nakumpirma na. Upang makakuha ng ganitong antas ng account, isang pinag-isang sistema ng pagkilala at authentication ay nangangailangan ng mga user sa isang standard account, pati na rin ang patunay ng pagkakakilanlan, na kung saan ay ginanap sa pamamagitan ng isang personal na pagbisita isang awtorisadong service department o sa pamamagitan ng pagkuha ng isang activation code sa pamamagitan ng isang rehistradong sulat. Sa kaganapan na ang mga indibidwal na kumpirmasyon ay matagumpay, ang account ay pumunta sa isang bagong antas, at upang ang gumagamit ay makakuha ng access sa isang kumpletong listahan ng mga kinakailangan ng pampublikong serbisyo.

Sa kabila ng ang katunayan na ang mga pamamaraan ay maaaring mukhang kumplikado sapat upang aktwal na makita ang buong listahan ng mga kinakailangang data ay maaaring direkta sa opisyal na website, sa gayon ito ay posible upang makumpleto ang pagpaparehistro para sa isang ilang araw.