Идентификация и удостоверяване: основни понятия
Идентификацията и автентичността са в основата на съвременните инструменти за сигурност на софтуера и хардуера, тъй като всички други услуги са предназначени предимно за обслужване на тези обекти. Тези понятия представляват един вид първа линия на защита, която осигурява сигурност информационно пространство организация.
съдържание
Какво е това?
Идентификацията и автентичността имат различни функции. Първият предоставя на субекта (потребител или процес, който действа от негово име) възможността да съобщи собственото си име. С помощта на удостоверяването, втората страна е окончателно убедена, че субектът наистина представлява кой твърди, че е. Често, като синоним, идентификацията и удостоверяването се заменят с фразата "име съобщение" и "удостоверяване".
Самите те са разделени на няколко разновидности. След това ще видим каква е самоличността и автентичността и какви са те.
заверка
Тази концепция предвижда два типа: едностранно, когато клиентът трябва първо да докаже на сървъра своята автентичност и двустранно, т.е. когато се извършва взаимно потвърждение. Стандартен пример за това как се извършва стандартното удостоверяване и удостоверяване на потребителя е процедурата за въвеждане на конкретна система. По този начин, различни видове могат да бъдат използвани в различни обекти.
В мрежова среда, когато идентификацията и удостоверяването на потребителите се извършват на географски разпръснати страни, въпросната услуга се различава в два основни аспекта:
- който действа като автентификатор;
- как точно беше организиран обменът на данни за идентификация и идентификация и как е осигурена неговата защита.
За да се потвърди автентичността му, на субекта трябва да бъде представено едно от следните елементи:
- известна информация (личен номер, парола, специален криптографски ключ и т.н.);
- определено нещо, което притежава (лична карта или друго устройство, имащо подобна цел);
- определено нещо, което е елемент от него (пръстови отпечатъци, глас и други биометрични средства за идентификация и удостоверяване на потребителя).
Характеристики на системите
В отворена мрежова среда страните нямат доверен маршрут, което означава, че като цяло информацията, предавана от субекта, в крайна сметка не може да съвпадне с информацията, получена и използвана при удостоверяването. Необходимо е да се гарантира сигурността на активното и пасивното слушане на мрежата, т.е. защита от корекция, прихващане или възпроизвеждане на различни данни. Опцията за изпращане на пароли в изчистването е незадоволителна и не може да запази позицията и шифроването на пароли по същия начин, тъй като те не са защитени от възпроизвеждане. Ето защо се използват по-сложни протоколи за удостоверяване.
Надеждната идентификация е трудна не само заради различията мрежови заплахи, но и поради различни други причини. На първо място, почти всяка идентификационна единица може да бъде откраднато, фалшифицирано или сканирано. Съществува и известно противоречие между надеждността на използваната система, от една страна, и удобствата на системния администратор или на потребителя, от друга. Поради това от съображения за сигурност е необходимо с определена честота да се поиска от потребителя да въведе отново информацията си за установяване на автентичността (тъй като някой друг вече може да седи на негово място) и това не само създава допълнителни задачи, но също така значително увеличава шанса, че някой може да шпионира информацията. Наред с други неща, надеждността на защитата оказва значително влияние върху нейната стойност.
Модерните системи за удостоверяване и удостоверяване на автентичността подкрепят концепцията за единично включване в мрежата, която на първо място позволява удовлетворяване на изискванията по отношение на удобството за използване. Ако стандартът корпоративна мрежа има много информационни услуги, които осигуряват възможност за самостоятелно лечение, след това многократното въвеждане на лични данни става твърде обременително. В момента все още не е възможно да се каже, че използването на едно влизане в мрежата се счита за нормално, тъй като доминиращите решения все още не са създадени.
По този начин много хора се опитват да намерят компромис между достъпността, удобството и надеждността на средствата, чрез които се осигурява автентификация / удостоверяване. Разрешението на потребителите в този случай се извършва съгласно индивидуални правила.
Специално внимание трябва да се обърне на факта, че използваната услуга може да бъде избрана като атакуващ обект за наличност. Ако конфигурация на системата се изпълнява по такъв начин, че след известен брой неуспешни опити възможността за въвеждане е блокирана, тогава в този случай нарушителите могат да спрат работата на юридически потребители само с няколко натискания на клавиши.
Удостоверяване с парола
Основното предимство на такава система е, че тя е изключително проста и позната на повечето. Паролите отдавна са използвани от операционни системи и други услуги и при правилна употреба те осигуряват ниво на сигурност, което е приемливо за повечето организации. От друга страна, за общ набор от характеристики тези системи са най-слабото средство, чрез което може да се извърши удостоверяване / удостоверяване. Разрешението в този случай е доста проста, тъй като паролите трябва да бъдат запомнящи се, но лесно се познават прости комбинации, особено ако човек знае предпочитанията на конкретен потребител.
Понякога се случва, че паролите по принцип не пазят тайна, тъй като имат доста стандартни стойности, определени в определена документация, а не винаги след инсталирането на системата, те се променят.
При въвеждане на паролата можете да видите и в някои случаи хората използват дори специализирани оптични устройства.
Потребителите, главните субекти на идентификация и удостоверяване, често могат да съобщават пароли на колегите си, така че да променят собственика за определен период от време. На теория в такива ситуации ще бъде по-подходящо да се използва специален контрол на достъпа, но на практика той не се използва от никого. И ако двама души знаят паролата, това значително увеличава шансовете, които в крайна сметка и други ще научат за нея.
Как мога да поправя това?
Има няколко начина, по които удостоверяването и удостоверяването могат да бъдат защитени. Компонентът за обработка на информация може да бъде защитен със следното:
- Налагане на различни технически ограничения. Най-често срещаните правила за продължителността на паролата, както и съдържанието в нея на някои знаци.
- Управление на валидността на паролите, т.е. необходимостта от тяхната периодична подмяна.
- Ограничаване на достъпа до основния файл с пароли.
- Ограничете общия брой неуспешни опити, които са налице, когато влезете в системата. Благодарение на този нападател, трябва да се извършат само действия, преди да се извърши автентификация и удостоверяване, тъй като грубата сила не може да бъде използвана.
- Предварително обучение на потребителите.
- Използване на специализирани генератори на пароли за софтуер, които ви позволяват да създавате такива комбинации, които са еуфонични и доста запомнящи се.
Всички тези мерки могат да се използват във всеки случай, дори ако се използват други методи за удостоверяване заедно с паролите.
Еднократни пароли
Горепосочените опции могат да се използват повторно, а ако комбинацията е разкрита, нападателят може да изпълнява определени операции от името на потребителя. Ето защо еднократните пароли се използват като по-силен инструмент, който е устойчив на възможността за слушане на пасивна мрежа, благодарение на което системата за удостоверяване и удостоверяване става много по-безопасна, макар и не толкова удобна.
В момента един от най-популярните софтуерни генератори на еднократни пароли е системата, наречена S / KEY, издадена от Bellcore. Основната концепция на тази система е, че има определена функция F, която е известна както на потребителя, така и на сървъра за удостоверяване. Следва тайният ключ К, който е известен само на конкретен потребител.
При първоначалното администриране на потребителя тази функция се използва за ключа няколко пъти, след което съхраняваният резултат се съхранява на сървъра. В бъдеще процедурата за удостоверяване изглежда така:
- В системата на потребителя число идва от сървъра, което е по-малко от колко пъти функцията се използва за ключа.
- Потребителят използва функцията към съществуващия таен ключ, който е броят пъти, зададени в първия абзац, след което резултатът се изпраща през мрежата директно към сървъра за удостоверяване.
- Сървърът използва тази функция, за да получи стойността, след което резултатът се сравнява със запазената по-рано стойност. Ако резултатите са еднакви, тогава автентичността на потребителя е зададена и сървърът запазва новата стойност и след това намалява брояча с една.
На практика прилагането на тази технология има малко по-сложна структура, но в момента тя не е толкова важна. Тъй като функцията е необратима, дори ако паролата е задържана или получена неоторизиран достъп към сървъра за удостоверяване не дава възможност да се получи таен ключ и по никакъв начин да се предскаже как следващата еднократна парола ще изглежда точно.
В Русия, като унифицирана услуга, се използва специален държавен портал - "Единната система за идентификация / удостоверяване" ("ESIA").
Друг подход към надеждна система за удостоверяване е генерирането на нова парола на кратки интервали, което се осъществява и чрез използването на специализирани програми или различни смарт карти. В този случай сървърът за удостоверяване трябва да приеме подходящия алгоритъм за генериране на пароли, както и някои свързани параметри, а освен това трябва да има синхронизация на сървъра и часовника на клиента.
Kerberos
За първи път сървърът за удостоверяване на Kerberos се появи в средата на 90-те години на миналия век, но оттогава той успя да получи огромен брой основни промени. В момента отделните компоненти на тази система се намират в почти всички съвременни операционни системи.
Основната цел на тази услуга е за решаване на следния проблем: не е определено не е защитена мрежа и възлите в концентрирана форма в различни потребители предмети, и сървърни и клиентски софтуерни системи. Всеки такъв субект е налице индивидуална таен ключ, както и за лица с възможност за доказване на автентичността им с предмета на S, без които той просто няма да го обслужва, той ще трябва не само да се обадя, но и да покаже, че той знае, някои таен ключ. В същото време с никакъв начин да се изпрати само по посока на таен ключ S като на първа инстанция на мрежата е отворена, и в допълнение, S не знае, и по принцип не трябва да го знаеш. В тази ситуация се използва по-проста технология, за да се докаже знанието на тази информация.
Електронната идентификация / удостоверяване чрез системата Kerberos осигурява нейното използване като надеждна трета страна, която има информация за тайните ключове на изпълняваните обекти и, ако е необходимо, ги подпомага при извършване на двойно удостоверяване.
По този начин клиентът първо изпраща искане до системата, която съдържа необходимата информация за нея, както и заявената услуга. След това Kerberos му предоставя уникален билет, който е шифрован със секретния ключ на сървъра, както и копие на някои от данните от него, което се класифицира по ключовете на клиента. В случай на съвпадение се установява, че клиентът е разчитал на информацията, предназначена за него, т.е. той е могъл да докаже, че тайният ключ е наистина известен на него. Това показва, че клиентът е точно човекът, за когото се издава сам.
Специално внимание трябва да се обърне на факта, че прехвърлянето на тайни ключове не се извършва в мрежата и те се използват изключително за криптиране.
Удостоверяване с биометрични данни
Биометричните данни включват комбинация от автоматизирани средства за идентификация / удостоверяване на хора въз основа на техните поведенчески или физиологични характеристики. Физическите средства за удостоверяване и идентификация осигуряват проверка на ретината и роговицата на очите, пръстовите отпечатъци, геометрията на лицето и ръката, както и друга индивидуална информация. Същите характеристики, свързани с поведението, включват стила на работа с клавиатурата и динамиката на подписа. Комбинираните методи са анализ на различните характеристики на гласа на човека, както и признаването на речта му.
Такива системи за идентификация / удостоверяване и криптиране се използват навсякъде в много страни по света, но от дълго време те са изключително скъпи и трудни за използване. Напоследък търсенето на биометрични продукти се е увеличило значително поради развитието на електронната търговия, тъй като от гледна точка на потребителя е много по-удобно да се представим, отколкото да си спомним някаква информация. Съответно, търсенето генерира доставки, така че сравнително евтини продукти започнаха да се появяват на пазара, които са съсредоточени основно върху разпознаването на пръстови отпечатъци.
В повечето случаи биометричните данни се използват в комбинация с други идентификатори като интелектуални карти. Често биометричната идентификация е само първата линия на защита и действа като средство за активиране на интелектуални карти, включително и на различни криптографски тайни. С тази технология биометричният шаблон се съхранява на същата карта.
Дейността в областта на биометричните данни е доста висока. Вече съществува подходящ консорциум, а работата по стандартизирането на различни аспекти на технологията е доста активна. Днес можете да видите много рекламни статии, в които биометричните технологии се представят като идеално средство за осигуряване на по-голяма сигурност и същевременно достъпни за масите.
ОВОСС
система за идентификация и автентификация ( "ОВОС") е специална услуга, предназначена да гарантира изпълнението на различни задачи, свързани с проверката на автентичността на кандидатите и членовете на междуведомственото сътрудничество в случай на каквито и да било общински или обществени услуги в електронна форма.
За да получите достъп до "Единния портал на държавните структури", както и до други информационни системи на инфраструктурата на текущото електронно правителство, първо трябва да регистрирате своята сметка и в резултат на това да получите PEP.
нива
Порталът на единната система за идентификация и удостоверяване предвижда три основни нива на сметки за физически лица:
- Опростена. За да го регистрирате, достатъчно е само да посочите името и фамилията си, както и конкретен комуникационен канал под формата на имейл или мобилен телефонен адрес. Това е основното ниво, с което дадено лице има достъп само до ограничен списък от различни обществени услуги, както и възможностите на съществуващите информационни системи.
- Standard. За да го получите, първо трябва да издадете опростен профил и след това да предоставите допълнителна информация, включително информация от паспорта и номера на застрахователния индивидуален акаунт. Тази информация се проверява автоматично чрез информационната система на пенсионен фонд, както и на Федералната миграционна служба, и ако тестът е успешен, сметката се превръща в стандартно ниво, той се отваря на потребителя да разширен списък на държавни услуги.
- Потвърдено. За да се получи такова ниво на сметка, единната система за идентификация и удостоверяване изисква потребителите да имат стандартна сметка, както и проверка на самоличността, която се извършва чрез лично посещение в клона на упълномощената служба или чрез получаване на код за активиране препоръчано писмо. В случай, че потвърждението на самоличността е успешно, профилът ще се премести на ново ниво и потребителят ще има достъп до пълен списък на необходимите обществени услуги.
Въпреки факта, че процедурите може да изглеждат доста сложни, всъщност можете да се запознаете с пълния списък с необходимите данни директно на официалния сайт, така че пълната регистрация е напълно възможна в продължение на няколко дни.
- Къде да напиша кода за удостоверяване на Apple ID и къде го получа?
- Методи и средства за защита на информацията
- Автентичността е една същност, разпръсната на ръба на различни научни сфери
- Информация за служителя по въпросите на персонала: как да се провери автентичността на дипломата за…
- Упълномощаване: какво е това и какво е необходимо
- Грешка при удостоверяване с WiFi: таблет или телефон на Android не може да се свърже с мрежата
- Удостоверяване. Автентичност на Windows - Как да деактивирате в различни версии на операционната…
- Как да премахнете автентичността на Windows 7 или да се борите с копията
- Как да проверите лиценз за Windows 7: Инструкции
- Какво представлява грешка при удостоверяване?
- EDS - какво е това? Електронен електронен подпис: инструкции за начинаещи
- Xiaomi Телефон: удостоверяване и основни нюанси
- Паспорт: удостоверяване на паспорта на Руската федерация
- Криптографски методи за защита на информацията: концепция, характеристики, ключови позиции
- Идентифициране на портфейла с киви: какво е това, защо е необходимо и как да минете през него
- Идентификацията е механизъм за защита срещу вътрешен агресор
- Какво означава, че възникна грешка при удостоверяване?
- Как работи удостоверяването на Windows 7: информация, която е полезна
- Софтуер за защита на информацията - основата на работата на компютърната мрежа
- Удостоверяването е удостоверяване на самоличността в Интернет
- Какво представлява удостоверяването по интернет?