Identifikation og autentifikation: grundlæggende begreber

Identifikation og autentifikation er grundlaget for moderne software og hardware sikkerhed, som andre tjenester primært er beregnet til servicering af disse fag. Disse begreber udgør en slags første linje i forsvaret, sikring af information space organisation.

Hvad er det?

Identifikation og autentifikation har forskellige funktioner. Den første giver et emne (bruger eller proces, der handler på vegne af) mulighed for at fortælle deres eget navn. Ved hjælp af autentificering er den anden side er helt overbevist om, at emnet er virkelig den ene, for hvem han hævder at være. Ofte som et synonym identifikation og autentificering erstattes af udtrykket "post navn" og "godkendelse".

De selv er opdelt i flere sorter. Dernæst mener vi, at en identifikation og autentifikation er, og hvad de er.

autentificering

Dette koncept giver mulighed for to typer: en-vejs, skal kunden først bevise over for serveren til at godkende, og bilateralt, dvs. når en gensidig bekræftelse gennemføres. Typisk eksempel på, hvordan man fører en standard identifikation og autentifikation af brugere - er at logge ind i et bestemt system. Således kan forskellige typer anvendes i forskellige genstande.

I et netværksmiljø, hvor identifikation og autentifikation af brugere foretaget på geografisk spredte parter, undersøge tjenesten er kendetegnet ved to hovedaspekter:

• der fungerer som en autentifikator;
• hvordan det blev arrangeret af udveksling af autentificering og identifikation af data, og hvordan man beskytte den.

For at bekræfte dens ægthed, skal emnet blive præsenteret for en af følgende enheder:

• visse oplysninger, som han kender (personnummer, en adgangskode, en særlig kryptografisk nøgle, etc ...);
• bestemt ting han ejer (personligt kort eller en anden anordning med et lignende formål);
• bestemt ting, som er et element af det (fingeraftryk, tale eller anden biometrisk identifikation og autentificering af brugere).

systemets funktioner

I det åbne netværk, behøver parterne ikke har en betroet vej, og det siges, at i almindelighed, kan de oplysninger, som emnet i sidste ende være forskellig fra de modtagne oplysninger og bruges til godkendelse. Nødvendig sikkerhed for aktiv og passiv netværk sniffer, det vil sige, beskyttelse mod korrektioner, aflytning eller afspilning af forskellige data. Password overførsel option i det klare, er ikke tilfredsstillende, og kan bare ikke redde dagen, og krypterede adgangskoder, fordi de ikke leveres, beskyttelse afspilning. Det er derfor, der bruges i dag mere komplekse protokoller authentication.

Pålidelig identifikation er vanskelig ikke kun på grund af en række netværk trusler, men også for en række andre årsager. Den første stort set alle autentificering enhed kan bortført eller forfalske eller spejderprogrammet. en spænding mellem pålideligheden af systemet, der anvendes, er også til stede på den ene side og systemadministratoren eller brugerfaciliteter - på den anden. Således af hensyn til sikkerhed, der kræves med en vis hyppighed bede brugeren om at re-introduktion af sin autentificering oplysninger (som i stedet kan han nødt til at sidde nogle andre mennesker), og det ikke kun skaber yderligere problemer, men også i høj grad øger chancen for at nogen kan lirke oplysninger input. Hertil kommer, at pålideligheden af beskyttelsen betyder betydelig indvirkning på dens værdi.

Moderne identifikation og autentificering systemer understøtter begrebet single sign-on til netværket, som primært henvender sig til de krav med hensyn til brugervenlighed. Hvis standarden virksomhedsnetværk har en masse informationstjenester, der giver mulighed for en uafhængig cirkulation, så den gentagne doseringer af personoplysninger bliver for belastende. I øjeblikket er det stadig umuligt at sige, at brugen af single sign-on til netværket er normal, da de dominerende løsninger endnu ikke er dannet.

Således mange forsøger at finde et kompromis mellem overkommelige priser, bekvemmelighed og pålidelighed af midler, som giver identifikation / autentifikation. Bruger tilladelse i dette tilfælde udføres i henhold til de enkelte regler.

Særlig opmærksomhed bør rettes mod det faktum, at der bruges tjenesten kan vælges som genstand for angreb på tilgængelighed. Hvis systemkonfigurationen er lavet på en sådan måde, at efter en række mislykkede forsøg på at indtaste muligheden er blevet låst, så angriberen kan stoppe drift legitime brugere ved nogle få tastetryk.

autentificering adgangskode

Den største fordel ved dette system er, at det er ekstremt simpelt og velkendt for de fleste. Passwords har længe været brugt af operativsystemer og andre tjenester, og med den rette brug af stillet sikkerhed, hvilket er helt acceptabelt for de fleste organisationer. På den anden side, ved et fælles sæt af karakteristika for sådanne systemer er de svageste midler, hvormed identifikation / autentificering kan implementeres. Autorisation i dette tilfælde bliver ganske simpelt, fordi adgangskoder skal være iørefaldende, men det er ikke svært at gætte kombinationen af enkle, især hvis personen kender præferencer en bestemt bruger.

Nogle gange sker det, at de adgangskoder, i princippet ikke hemmeligholdes, som er temmelig standard der er angivet i den specifikke dokumentation, og ikke altid efter at systemet er installeret, ændre dem.

Når du indtaster din adgangskode, kan du se, i nogle tilfælde, folk endda bruge specialiserede optiske instrumenter.

Brugere, de vigtigste emner for identifikation og autentificering, adgangskoder ofte informere kollegaer til dem på bestemte tidspunkter har ændret ejer. I teorien, i sådanne situationer ville det være mere korrekt at bruge specielle adgangskontrol, men i praksis er det ikke er i brug. Og hvis adgangskoden kender to mennesker, er det meget øger chancerne for, at i slutningen af det og lære mere.

Hvordan til at ordne det?

Der er flere værktøjer som identifikation og autentifikation kan beskyttes. Informationsbehandlingssystemet komponent kan forsikre følger:

• Indførelsen af forskellige tekniske begrænsninger. Oftest fastsætte regler om kodeord længde og indholdet af visse tegn.
• Office-adgangskode udløb, dvs. de skal udskiftes med jævne mellemrum.
• Begrænset adgang til grundlæggende password fil.
• Begrænsning af det samlede antal mislykkede forsøg, der er tilgængelige, når du logger på. På grund af denne angribere skal foretages kun de handlinger at udføre identifikation og autentifikation samt sorteringsmetoden kan ikke bruges.
• Indledende uddannelse af brugere.
• Ved hjælp af specialiseret software password generator, der kan skabe sådanne kombinationer, der er tilstrækkeligt melodiøs og mindeværdig.

Alle disse foranstaltninger kan bruges i alle tilfælde, selv om sammen med adgangskoder også vil anvende andre midler til godkendelse.

adgangskoder Engangs-

De ovennævnte udførelsesformer kan genbruges, og i tilfælde af at åbne kombinationer hacker er i stand til at udføre visse operationer på brugerens vegne. Det er derfor, som en stærkere midler er resistente over for muligheden for et passivt netværk sniffer, bruge engangsadgangskoder ved hvilken identifikation og godkendelse system er meget mere sikker, men ikke så praktisk.

I øjeblikket et af de mest populære software engangs-password generator er et system kaldet S / KEY, udgivet af Bellcore. Det grundlæggende koncept for dette system er, at der er en vis funktion af F, som er kendt for både brugeren og godkendelsesserveren. Det følgende er en hemmelig nøgle K, kun kendt af en bestemt bruger.

Ved første administration bruger er denne funktion bruges til at indtaste et antal gange, så resultatet bliver gemt på serveren. Efterfølgende bekræftelsesproceduren er som følger:

1. På brugerens system fra serveren kommer til det nummer, der er en mindre end det antal gange ved hjælp af funktionen til tasten.
2. Bruger funktionen bruges til hemmelige nøgler i det antal gange, der er blevet sat i det første punkt, hvorefter resultatet sendes via netværket direkte til godkendelsesserveren.
3. Serveren bruger denne funktion til den opnåede værdi, og derefter resultatet sammenlignes med den tidligere lagrede værdi. Hvis resultaterne stemmer overens, så brugerens identitet fastslås, og serveren gemmer den nye værdi, og derefter falder tælleren med én.

I praksis gennemførelsen af denne teknologi har en noget mere kompliceret struktur, men i øjeblikket er det ligegyldigt. Da funktionen er irreversibel, selv hvis adgangskoden aflytning eller opnåelse uautoriseret adgang til godkendelsesserveren ikke giver mulighed for at få den private nøgle og nogen måde at forudsige, hvordan det vil netop se ud som følger engangs-adgangskode.

I Rusland som en samlet tjeneste, en særlig tilstand portal - "Unikt system til identifikation / autentifikation" ( "ESIA").

En anden tilgang til stærk godkendelsessystem ligger i det faktum, at den nye adgangskode blev genereret med korte mellemrum, som også er realiseret gennem brug af specialiserede programmer eller forskellige smartcards. I dette tilfælde skal godkendelsesserveren acceptere den tilsvarende adgangskode genererer algoritme og visse parametre, der er forbundet med det, og desuden skal være til stede som ur synkronisering serveren og klienten.

Kerberos

Kerberos-server for første gang dukkede op i midten af 90'erne i sidste århundrede, men siden har han allerede havde modtaget en masse grundlæggende ændringer. I øjeblikket er de enkelte komponenter i systemet er til stede i næsten alle moderne operativsystem.

Hovedformålet med denne service er at løse følgende problem: der er en vis ikke-sikkert netværk og knuder i koncentreret form i forskellige fag brugere, og server og klient software systemer. Hver sådan enhed er til stede individuel hemmelige nøgle, og at personer med en mulighed for at bevise deres ægthed til emnet S, uden hvilken han simpelthen ikke vil servicere det, vil det være nødvendigt at ikke kun kalde sig, men også at vise, at han kender nogle hemmelig nøgle. Samtidig med ingen måde at bare sende i retning af din hemmelige nøgle S som i første omgang netværket er åbent, og derudover har S ikke kender, og i princippet burde ikke kender ham. I denne situation, bruger mindre ligetil teknologi demonstration af viden om disse oplysninger.

Elektronisk identifikation / godkendelse via Kerberos-systemet sørger for dets anvendelse som en betroet tredjepart, som har oplysninger om de hemmelige nøgler servicerede steder og hjælpe dem med at udføre parvis godkendelse, hvis det er nødvendigt.

Således kunden først sendt i en forespørgsel, der indeholder de nødvendige oplysninger om det, samt den ønskede service. Efter dette, Kerberos giver ham en slags billet, er krypteret med en hemmelig nøgle på serveren, samt en kopi af nogle af dataene fra det, som er hemmelig nøgle af klienten. I tilfælde af, at det godtgøres, at klienten blev tydet oplysninger tilsigtet det, det vil sige, han var i stand til at påvise, at den private nøgle er kendt ham virkelig. Dette indikerer, at klienten er den person, som det er.

bør her tages særlig vægt på at sikre, at transmissionen af hemmelige nøgler ikke udføres på netværket, og de anvendes udelukkende til kryptering.

autentificering anvendelse biometri

Biometri involverer en kombination af automatiseret identifikation / autentificering af personer baseret på deres adfærdsmæssige eller fysiologiske egenskaber. Fysiske midler til identifikation og autentificering giver en nethinde scanning og øje hornhinde, fingeraftryk, ansigt og hånd geometri, samt andre personlige oplysninger. De adfærdsmæssige karakteristika omfatter også den stil af arbejde med tastaturet og dynamikken i signaturen. Kombinerede metoder er analysen af de forskellige karakteristika ved den menneskelige stemme, samt anerkendelse af hans tale.

Sådanne identifikation / autentificering og kryptering systemer anvendes bredt i mange lande rundt om i verden, men i lang tid, de er ekstremt høje omkostninger og kompleksitet brug. På det seneste er efterspørgslen efter biometriske produkter steget betydeligt som følge af udviklingen af e-handel, fordi, fra synspunkt af brugeren, er meget lettere at præsentere sig selv, end at huske nogle oplysninger. Derfor efterspørgsel skaber udbud, så markedet begyndte at dukke relativt billige produkter, som hovedsagelig fokuseret på identifikation af fingeraftryk.

I langt de fleste tilfælde er biometri anvendes i kombination med andre autentifikatorer såsom smart cards. Ofte biometrisk autentificering er kun den første linje i forsvaret og fungerer som et middel til at øge chipkortet, herunder forskellige kryptografiske hemmeligheder. Ved brug af denne teknologi, er den biometriske skabelon gemt på det samme kort.

Aktivitet inden for biometri er tilstrækkelig høj. Relevant eksisterende konsortium, såvel som meget aktiv arbejdes på at standardisere forskellige aspekter af teknologien. I dag kan vi se en masse reklame artikler, som biometriske teknologier præsenteres som et ideelt middel til at give øget sikkerhed og samtidig overkommelige for masserne.

ESIA

ordning for identifikation og autentifikation ( "ESIA") er en særlig service til formål at sikre gennemførelsen af forskellige opgaver i forbindelse med kontrol af ægtheden af ansøgerne og medlemmerne af tværinstitutionelle samarbejde i tilfælde af eventuelle kommunale eller offentlige tjenester i elektronisk form.

For at få adgang til et "enkelt portal af de statslige strukturer", såvel som alle andre informationssystemer infrastruktur eksisterende e-forvaltning, skal du først registrere kontoen og som et resultat, får hjertestartere.

niveauer

Portal af en fælles ordning for identifikation og autentifikation giver tre grundlæggende niveauer af konti for enkeltpersoner:

• Forenklet. For sin tilmelding simpelthen inkludere din første og sidste navn, samt nogle bestemt kanal for kommunikation i form af en e-mail-adresse eller en mobiltelefon. Denne primære niveau, hvorved en person giver kun adgang til en begrænset liste over forskellige offentlige tjenester, samt mulighederne i eksisterende informationssystemer.
• Standard. For at opnå indledningsvis nødvendigt at udstede en forenklet konto, og så også give yderligere oplysninger, herunder oplysninger fra pasnummer og forsikring individuel konto. Disse oplysninger bliver automatisk kontrolleret gennem informationssystemet for pensionskassen, samt Federal Migration Service, og, hvis testen er vellykket, er den konto konverteret til en standard niveau, åbner brugeren til en udvidet liste over statslige tjenester.
• Bekræftet. For at opnå dette niveau af konto, en fælles ordning for identifikation og autentifikation kræver, at brugerne til en standard konto, samt legitimation, som udføres gennem et personligt besøg en autoriseret serviceafdeling eller ved at opnå en aktiveringskode via et anbefalet brev. I tilfælde af, at den enkelte bekræftelse lykkes, vil kontoen gå til et nyt niveau, og at brugeren vil få adgang til en komplet liste over nødvendige offentlige tjenester.

På trods af, at de procedurer kan virke komplekst nok til rent faktisk at se den fulde liste over nødvendige data kan være direkte på den officielle hjemmeside, så det er muligt at fuldføre registreringen i et par dage.