Identifikaasje en autentikaasje: basis konsepten

Identifikaasje en autentikaasje binne de basis fan de moderne software en hardware feiligens, lykas alle oare tsjinsten binne benammen bedoeld foar servicing fan dizze ûnderwerpen. Dy konsepten fertsjintwurdigje in soarte fan earste line fan definsje, garandearjen fan feiligens fan ynformaasje romte organisaasje.

Wat is it?

Identifikaasje en autentikaasje hawwe ferskate funksjes. De earste jout in ûnderwerp (brûker of proses dat beslút, op namme fan) de gelegenheid om te fertellen harren eigen namme. Troch middel fan autentikaasje is it twadde kant is hielendal oertsjûge dat it ûnderwerp echt is it ien foar wa't er seit te wêzen. Faak, as synonym identifikaasje en autentikaasje wurde ferfongen troch de wurden "Post namme" en "ferifikaasje".

Sy sels binne ferdield yn ferskate rassen. Folgjende, wy beskôgje dat in identifikaasje en ferifikaasje binne en wat se binne.

autentikaasje

Dat konsept foarsjocht yn twa soarten: ien-wei, de klant moat earst bewize nei de tsjinner te ferifiearje, en bilaterale, dat is, doe't der in ûnderlinge befêstiging wurdt útfierd. Typysk foarbyld fan hoe't te fieren in standert identifikaasje en ferifikaasje fan brûkers - is te loggen yn in bepaald systeem. Sa, ferskillende typen kinne brûkt wurde yn ferskate foarwerpen.

Yn in netwurk omjouwing, dêr't de identifikaasje en de autentikaasje fan brûkers makke op geografysk gedispergeerd partijen, ûndersykje de tsjinst falt op troch twa wichtichste aspekten:

• dat fungearret as in authenticator;
• hoe't it wie organisearre troch de útwikseling fan gegevens ferifikaasje en identifikaasje en hoe te beskermjen is.

Te befêstigjen syn autentisiteit, it ûnderwerp moat oanbean wurde oan ien fan de neikommende entiteiten:

• bepaalde ynformaasje dy't er wit (persoanlike getal, in wachtwurd, in spesjale Kryptografysk toets, etc ...);
• wisse dat er eigener (persoanlike card of hokker oar apparaat hawwende in fergelykbere doel);
• bepaalde ding, dat is in elemint fan it (fingerprint, stim of oare fries identifikaasje en autentikaasje fan brûkers).

systeem features

Yn de iepen netwurk miljeu, de partijen ha net in fertroud paad, en it wurdt sein dat der yn it algemien, de ynformaasje oerbrocht troch it ûnderwerp kin úteinlik wêze oars út de ynformaasje krigen en brûkt wurde foar autentikaasje. Fereaske feiligens fan aktyf en passyf netwurk Sniffer, dat wol sizze, beskerming tsjin korreksjes, Interception of Wiedergabe fan ferskate gegevens. Wachtwurd oerdracht opsje yn de heldere is net befredigjend, mar krekt kin net rêde de dei, en fersifere wachtwurden, omdat se net foarsjoen, Wiedergabe beskerming. Dêrom hjoed wurdt brûkt komplekser autentikaasje protokollen.

Betroubere identifikaasje is dreech net allinnich fanwegen in ferskaat oan netwurk bedrigings, mar ek foar in ferskaat oan oare redenen. De earste benei gjin autentikaasje entity kin ûntfierd, of ferfalskje of Scouting. in spanning tusken de betrouberens fan it systeem dat brûkt is ek oanwêzich, oan 'e iene kant, en de systeembehearder of brûker foarsjennings - oan' e oare. Sa, om redenen fan feiligens nedich mei wat frekwinsje freegje de brûker te opnij ynfieren fan syn ferifikaasje yn (lykas ynstee hy kin moatte sitte in pear oare persoanen), en dat net allinnich skept ekstra problemen, mar ek gâns fergruttet de kâns op dat immen kin PRY ynformaasje input. Dêrneist binne de betrouberens fan 'e beskerming betsjut grutte ynfloed op syn wearde.

Moderne identifikaasje en autentikaasje systemen stypje it konsept fan ien teken-op nei it netwurk, dy't benammen Caters oan de easken op it mêd fan brûker-freonlikens. As de standert saaklike netwurk hat in soad ynformaasje tsjinsten, it fersoargjen foar de mooglikheid fan in ûnôfhinklike ferkear, dan de meardere bestjoer fan persoanlike gegevens wurdt te beswierlik. Op it stuit is it noch net te sizzen dat it brûken fan ien teken-on te netwurk is normaal, lykas de dominante oplossingen noch net foarme.

Sa, in protte besykje te finen in kompromis tusken betelberens, gemak en betrouberens fan fûnsen, dy't soarget foar identifikaasje / autentikaasje. Meidogger machtiging yn dit gefal wurdt útfierd neffens yndividuele regels.

Spesjaal omtinken wêze moatte foar it feit dat de tsjinst wurdt brûkt kin wurde selektearre as it objekt fan 'e oanslaggen op beskikberens. As it systeem konfiguraasje wurdt makke op sa'n wize, dat nei in oantal mislearre besykjen om te fieren de mooglikheid is ôfsletten, dan de oanfaller kin stopje operaasje legitime brûkers troch mar in pear toetsen.

password autentikaasje

It wichtichste foardiel fan dit systeem is dat it is hiel ienfâldich en fertroud te measte. Wachtwurden al lange tiid brûkt troch Betriebssystemen en oare tsjinsten, en mei de krekte brûken fan levere feiligens, dat is hiel akseptabel foar de measte organisaasjes. Oan de oare kant, troch in mienskiplike set fan de skaaimerken fan sokke systemen binne de swakste middels, dy't identifikaasje / autentikaasje meie wurde útfierd. Autorisaasje yn dit gefal wurdt hiel ienfâldich, want wachtwurden moatte wêze gehoar lizzende, mar it is net dreech om te rieden de kombinaasje fan ienfâldige, benammen as de persoan wit de foarkar fan in bepaalde brûker.

Soms bart it dat de wachtwurden wurde, yn begjinsel, net hâlden geheim, lykas binne moaie standert wearden oantsjutte yn de spesifike dokumintaasje, en net altyd nei it systeem ynstallearre is, feroarje se.

As jo ynfiere jo wachtwurd kinne jo sjen, yn guon gefallen, minsken sels brûke spesjalisearre optyske ynstruminten.

Users, de wichtichste ûnderwerpen fan de identifikaasje en autentikaasje, wachtwurden wurde faak ynformearje kollega oan dyjingen op bepaalde tiden binne feroare eigner. Yn teory, yn sokke situaasjes it soe mear korrekt te brûken spesjale tagong kontrôles, mar yn 'e praktyk is it net yn gebrûk. En as it wachtwurd wit twa persoanen, dat is hiel sterk fergruttet de kâns dat der yn 'e ein derfan en leare mear.

Hoe it te reparearjen?

Der binne ferskate ynstruminten lykas identifikaasje en autentikaasje kin wurde beskerme. De ynformaasje ferwurkjen komponint kin fersekerje folget:

• It oplizzen fan ferskate technyske beheinings. Meast faak set regels op wachtwurd lingte en ynhâld fan bepaalde personaazjes.
• Office wachtwurd ôfrinnen, dws se moatte wurde ferfongen periodyk.
• Beheinde tagong ta basis wachtwurdtriem.
• Beheining fan it totaal oantal mislearre besykjen dy't beskikber as jo ynlogge. Fanwegen dit oanfallers moatte wurde útfierd allinne de aksjes te fieren identifikaasje en autentikaasje likegoed as de sortearjen metoade kin net brûkt wurde.
• Foarriedige training fan brûkers.
• Mei help fan spesjalisearre software wachtwurd generator dy't jo meitsje sokke kombinaasjes dy't foldwaande fraaie en memorabel.

Allegearre fan dy maatregels kinne brûkt wurde yn alle gefallen, ek as tegearre mei wachtwurden sille ek brûke oare middels fan autentikaasje.

Ienmalige wachtwurden

It boppesteande embodiments binne reusable, en yn it gefal fan it iepenjen kombinaasjes oanfaller is by steat om te fieren bepaalde operaasjes oan de brûker fan út namme. Dat is wêrom as in sterker middel resistint oan de mooglikheid fan in passyf netwurk Sniffer, brûk ienmalige wachtwurden troch hokker identifikaasje en autentikaasje systeem is folle mear feilich, al is soks net handich.

Op it stuit, ien fan de meast populêre software ienmalige wachtwurd generator is in systeem neamd S / KEY, útbrocht troch Bellcore. De basis konsept fan dit systeem is dat der in bepaalde funksje fan it F, dat bekend stiet om sawol de brûker en de ferifikaasje tsjinner. De folgjende is in geheime kaai K, bekend allinnich oan in spesifyk brûker.

By inisjele bestjoer brûker, dizze funksje wurdt brûkt om kaai in oantal kearen, dan is it resultaat wurdt opslein op de tsjinner. Ferfolgens, de autentikaasje proseduere is as folget:

1. Op de brûker systeem fan de tsjinner komt oan it tal dat is 1 minder as it oantal kearen mei help fan de funksje foar de kaai.
2. Meidogger funksje wurdt brûkt om geheime kaaien yn it oantal kearen dat is ynsteld yn de earste punt, wêrnei't it resultaat wurdt ferstjoerd fia it netwurk streekrjocht nei de ferifikaasje tsjinner.
3. De tsjinner brûkt dizze funksje oan it ferkrigen wearde, en dan it resultaat wurdt ferlike mei it earder opslein wearde. As de resultaten match, dan de brûker syn identiteit fêstige is, en de tsjinner slacht it nije wearde, en dan sakket it teller troch ien.

Yn de praktyk, de útfiering fan dizze technology hat in wat mear komplisearre struktuer, mar op it stuit dat docht der net ta. Sûnt de funksje net ûngedien, sels as it wachtwurd Interception of it heljen sûnder foech tagong ta de ferifikaasje tsjinner net biede de mooglikheid om te krijen it privee kaai en eltse wize om te foarsizzen hoe't it sil krekt útsjen as de folgjende ienmalige wachtwurd.

Yn Ruslân as in ienriedigens service, in spesjale steat portal - "Unike systeem fan identifikaasje / ferifikaasje" ( "ESIA").

In oare oanpak fan sterke autentikaasje systeem leit yn it feit dat it nije wachtwurd is oanmakke op koarte tuskenskoften, dat wurdt ek realisearre troch it brûken fan spesjalisearre programma of ferskate smart kaarten. Yn dit gefal, de ferifikaasje tsjinner moat akseptearje de korrespondearjende wachtwurd yn it opwekjen algoritme en bepaalde parameters ferbûn mei, en boppedat, moat oanwêzich wêze as klok Syngronisaasje tsjinner en de klant.

Kerberos

Kerberos ferifikaasje tsjinner foar it earst ferskynde yn de mids jierren '90 fan de foarige ieu, mar sûnt doe hie er al in soad fûnemintele feroarings. Op it stuit, it yndividuele ûnderdielen fan it systeem binne oanwêzich yn hast alle moderne bestjoeringssysteem.

It wichtichste doel fan dizze tsjinst is op te lossen de folgjende probleem: der is in beskate net-feilige netwurk en de knopen yn syn konsintrearre foarm yn ferskate ûnderwerpen brûkers, en server en kliïnt software systemen. Elts sa'n entity is oanwêzich yndividuele geheime kaai, en oan ûnderwerpen mei in kâns om te bewizen harren autentisiteit oan it ûnderwerp de S, sûnder dat er gewoanwei sil net service is, dan sil moatte net allinnich neame himsels, mar ek om sjen te litten dat er wit wat geheime kaai. Tagelyk Mei gjin manier om gewoan stjoeren yn 'e rjochting fan jo geheime kaai S as yn earste ynstânsje it netwurk is iepen, en boppedat, S net kenne, en, yn begjinsel, moat net kenne him. Yn dizze situaasje, brûke minder rjochtlinige technology demonstraasje fan kennis fan dy ynformaasje.

Elektroanyske identifikaasje / autentikaasje fia Kerberos systeem soarget foar syn gebrûk as in fertroude tredde partij, dy't hat ynformaasje oer de geheime kaaien fan serviced lokaasjes en bysteane se by it útfieren fan pairwise autentikaasje as dat nedich is.

Sa, de klant earst stjoerde yn in sykopdracht dat befettet de nedige ynformaasje oer it, krektas de fersochte tsjinst. Nei dit, Kerberos jout him in soarte fan kaartsje dat is fersifere mei in geheime kaai fan de tsjinner, en ek in kopy fan guon fan 'e gegevens derfan, dat is geheime kaai fan de kliïnt. Yn it gefal dat it wurdt fêststeld dat de klant wie deciphered ynformaasje bedoeld is, dat wol sizze, hy koe oan te toanen dat it privee kaai is bekend him echt. Dat jout oan dat de kliïnt is de persoan dêr't it is.

Spesjaal omtinken moat hjir wurde nommen om te soargjen dat de oerdracht fan geheime kaaien binne net útfierd op it netwurk, en se wurde brûkt allinnich foar fersifering.

autentikaasje útfiere fia biometrics

Biometrics giet it om in kombinaasje fan automatisearre identifikaasje / autentikaasje fan minsken op grûn fan harren gedrachsproblemen of fysiologyske skaaimerken. Fysike middel fan identifikaasje en autentikaasje soargje foar in Retina scan en each Cornea, fingerprinten, gesicht en hân mjitkunde, lykas ek oare persoanlike ynformaasje. De gedrachsproblemen skaaimerken ek ûnder mear de styl fan it wurk mei it toetseboerd en de dynamyk fan 'e hantekening. Kombinearre metoaden binne de analyze fan 'e ûnderskate skaaimerken fan' e minsklike stim, likegoed as erkenning fan syn taspraak.

Sa'n identifikaasje / ferifikaasje en fersifering systemen wurde brûkt wiidferspraat yn in protte lannen oer de hiele wrâld, mar foar in lang skoft, se binne ekstreem hege kosten en de kompleksiteit fan gebrûk. Mear resint, de fraach nei fries produkten tanommen gâns as gefolch fan de ûntwikkeling fan 'e e-commerce, om't, út it eachpunt fan de brûker, is folle makliker te presintearjen himsels, as om te ûnthâlden wat ynformaasje. Accordingly, fraach skept oanbod, sadat de merk begûn te ferskinen relatyf lege-prize produkten, dy't benammen rjochte op fingerprint erkenning.

Yn de oerweldigjende mearderheid fan de gefallen, biometrics wurdt brûkt yn kombinaasje mei oare authenticators lykas smart cards. Faak fries autentikaasje is mar de earste line fan definsje en fungearret as in middel fan fergrutting de smartcard, wêrûnder ferskate kryptografyske geheimen. By it brûken fan dizze technology, it fries template wurdt opslein op it selde card.

Aktiviteit op it mêd fan biometrics is heech genôch. Relevant besteande consortium, en ek tige aktyf wurk is de gong fan standerdisearring fan ferskate aspekten fan de technology. Hjoed kinne wy sjogge in soad reklame artikels dy't fries technologyen wurde presintearre as in ideaal manieren om tanommen feiligens en tagelyk betelber foar de massa.

ESIA

systeem fan identifikaasje en ferifikaasje ( "ESIA") is in spesjale tsjinst ûntwurpen om te garandearjen de útfiering fan ferskate taken yn ferbân mei de ferifikaasje fan de autentisiteit fan de sollisitanten en de leden fan interagency gearwurking yn gefal fan in gemeentlike of publike tsjinsten yn elektroanyske foarm.

Om tagong te krijen ta in "ien portaal fan de steat struktueren", en ek alle oare ynformaasje systemen ynfrastruktuer fan besteande e-regear, jim earst moatte registrearjen de akkount en as gefolch, krije AEDs.

levels

Portal fan in ienriedigens systeem fan identifikaasje en autentikaasje jout trije basis nivo fan rekkens foar yndividuen:

• Ferienfâldige. Foar syn registraasje gewoan befetsje dyn earste en lêste namme, krektas guon bepaalde kanaal fan kommunikaasje yn de foarm fan in e-mailadres of in mobile telefoan. Dit primêr nivo, troch dêr't in persoan jout tagong allinnich ta in beheinde list fan ferskate rykstsjinsten, en ek de mooglikheden fan besteande ynformaasje systemen.
• Standert. To krijen earstoan nedich om in ferienfâldige account, en dan ek jouwe ekstra ynformaasje, ynklusyf ynformaasje fan de paspoart nûmer en de fersekering yndividuele akkount. Dizze ynformaasje wurdt automatysk kontrolearre troch de ynformaasje systeem fan de pensjoenfûnsen, en ek de Federale Migraasje Service, en, as de test is slagge, it account wurdt omsetten nei in standert nivo, dan iepent de brûker nei in útwreide list fan steat tsjinsten.
• Befêstige. Om krijen dit nivo fan akkount, ienriedigens systeem fan identifikaasje en autentikaasje freget om brûkers oan in standert account, likegoed as bewiis fan 'e identiteit, dat wurdt útfierd troch in persoanlike besite in talitten tsjinst ôfdieling of troch it heljen fan in aktivearjen koade fia in registrearre brief. Yn it gefal dat de yndividuele befêstiging is suksesfol, it account sil gean nei in nije nivo, en oan de brûker sil krije tagong ta in folsleine list fan nedich publike tsjinsten.

Nettsjinsteande it feit dat de prosedueres meie liket kompleks genôch om echt sjogge de folsleine list fan nedich gegevens kin direkt op 'e offisjele webside, dus is it mooglik om te foltôgjen registraasje foar in pear dagen.