Identifikimi dhe vertetimi: konceptet themelore

Identifikimi dhe vertetimi janë baza e software dhe hardware sigurisë moderne, si çdo shërbimet e tjera janë të destinuara kryesisht për servisimin e këtyre subjekteve. Këto koncepte përfaqësojnë një lloj të linjës së parë të mbrojtjes, garantimit të sigurisë së hapësirës informacion organizatës.

Çfarë është ajo?

Identifikimi dhe vertetimi kanë funksione të ndryshme. I pari jep një subjekt (përdorues ose procesin që vepron në emër të) mundësi për të treguar emrin e tyre. Me anë të vërtetimit është pala e dytë është plotësisht i bindur se subjekti me të vërtetë është ai për të cilin ai pretendon të jetë. Shpesh, si identifikimi sinonim dhe të legalizuara janë të zëvendësohet me shprehjen "për emrin Post" dhe "vertetimi".

Ata vetë janë të ndarë në disa varieteteve. Tjetra, ne konsiderojmë se një identifikimi dhe të legalizuara janë dhe çfarë ata janë.

vërtetim

Ky koncept parashikon dy lloje: një-mënyrë, klienti duhet së pari të provojë në server për të vërtetoj, dhe bilateral, që është, kur një konfirmim të përbashkët është kryer. shembull tipik se si për të kryer një identifikim standarde dhe vertetimi i përdoruesit - është që të hyni në një sistem të veçantë. Kështu, lloje të ndryshme mund të përdoret në objekte të ndryshme.

Në një mjedis të rrjetit, ku identifikimi dhe vertetimi i përdoruesit bërë në gjeografikisht parti të shpërndara, të shqyrtojë shërbimin dallohet nga dy aspekte kryesore:

• që vepron si një authenticator;
• se si ajo u organizua nga shkëmbimi i vërtetimit të dhënave dhe identifikimin dhe se si për të mbrojtur atë.

Për të konfirmuar vërtetësinë e saj, subjekti duhet të paraqitet në një prej subjekteve të mëposhtme:

• një informacion i caktuar të cilin ai e di (numri personal, një fjalëkalim, një çelës të veçantë kriptografike, etj ...);
• gjë e sigurt se ai zotëron (kartë personale ose ndonjë pajisje tjetër që ka një qëllim të ngjashëm);
• gjë të caktuar, e cila është një element të saj (gjurmë gishtash, zë ose identifikimin tjera biometrike dhe vertetimi i përdoruesve).

karakteristika të sistemit

Në mjedis të rrjetit të hapur, palët nuk kanë një rrugë të besuar, dhe thuhet se në përgjithësi, informacioni i transmetuar nga subjekti mund eventualisht të jenë të ndryshme nga të informacionit të marrë dhe përdorur për autentikim. Siguria e kërkuar e narkoman aktive dhe pasive të rrjetit, që është, mbrojtja kundër korrigjimeve, përgjimi apo rishikim të të dhënave të ndryshme. opsion transferimi Password në të qartë nuk është e kënaqshme, dhe thjesht nuk mund të shpëtojë ditë, dhe fjalëkalimet Encrypted, sepse ata nuk janë të siguruar, mbrojtje e riprodhimit. Kjo është arsyeja pse sot është përdorur protokollet më komplekse autentikimit.

identifikimi i besueshëm është e vështirë jo vetëm për shkak të një shumëllojshmëri të kërcënimeve të rrjetit, por edhe për një sërë arsyesh të tjera. ndonjë entitet i pari praktikisht authentication mund të jetë rrëmbyer, apo falsifikojnë ose Scouting. një tension në mes të besueshmërisë së sistemit duke u përdorur është gjithashtu i pranishëm, në njërën anë, dhe administratorin e sistemit apo përdoruesit objektet - nga ana tjetër. Kështu, për arsye të sigurisë së kërkuar me një frekuencë të kërkojë nga shfrytëzuesi për të ri-futjen e informatave të tij authentication (si në vend të kësaj ai mund të ketë për t'u ulur disa njerëz të tjerë), dhe kjo jo vetëm që krijon probleme shtesë, por edhe në mënyrë të konsiderueshme rrit mundësinë e që dikush mund të kureshtje të dhëna informative. Përveç kësaj, besueshmëria e mbrojtjes do të thotë ndikim të rëndësishëm në vlerën e saj.

identifikimit dhe të legalizuara Sistemet moderne të mbështesin konceptin e shenjë-në vetëm në rrjet, i cili kryesisht caters për kërkesat në aspektin e user-mirëdashësi. Nëse standardi rrjeti korporatave ka një shumë të shërbimeve të informacionit, duke siguruar për mundësinë e një qarkullim të pavarur, atëherë administrata shumëfish i të dhënave personale bëhet shumë e rëndë. Në këtë moment ajo është ende e pamundur të thuhet se përdorimi i shenjë-në e vetme të rrjetit është normale, pasi zgjidhjet dominuese nuk janë formuar ende.

Kështu, shumë janë duke u përpjekur për të gjetur një kompromis në mes përballueshmërinë, lehtësi dhe besueshmërinë e fondeve, i cili siguron të identifikimit / vertetimi. Autorizimi User në këtë rast është kryer sipas rregullave të veçanta.

Vëmendje e veçantë duhet t'i kushtohet faktit se shërbimi është përdorur mund të zgjedhur si objekt i sulmeve mbi disponueshmërinë. Nëse konfigurimit sistemi është bërë në mënyrë të tillë që pas disa përpjekjeve të dështuara për të hyrë mundësia ka qenë i mbyllur, atëherë sulmuesi mund të ndaluar funksionimin përdoruesit legjitime nga vetëm disa tasteve.

vërtetimi i fjalëkalimeve

Avantazhi kryesor i këtij sistemi është se ajo është jashtëzakonisht e thjeshtë dhe e njohur për shumicën. Fjalëkalimet kanë kohë që janë përdorur nga sistemet operative dhe shërbime të tjera, dhe me përdorimin e duhur të sigurisë të dhënë, i cili është mjaft i pranueshëm për shumicën e organizatave. Nga ana tjetër, nga një grup të përbashkët të karakteristikave të sistemeve të tilla janë mjetet më të dobëta me të cilat identifikimi / authentication mund të zbatohen. Autorizimi në këtë rast bëhet shumë e thjeshtë, sepse passwords duhet të jetë e të mbetet në mendje, por kjo nuk është e vështirë të mendoj kombinimin e thjeshtë, sidomos nëse personi e di preferencat e një përdorues të veçantë.

Ndonjëherë ndodh që fjalëkalimet janë, në parim, nuk mbahet sekret, pasi janë vlera mjaft standarde të përcaktuara në dokumentacionin specifik, dhe jo gjithmonë pasi sistemi është i instaluar, të ndryshuar ato.

Kur ju shkruani fjalëkalimin tuaj ju mund të shihni, në disa raste, njerëzit madje përdorin instrumente të specializuara optike.

Përdoruesit, subjektet kryesore të identifikimit dhe të legalizuara, fjalëkalimet janë shpesh të informojë kolegët me ato në kohë të caktuara kanë ndryshuar pronarin. Në teori, në situata të tilla do të ishte më e saktë për të përdorur kontrollet e veçanta të qasjes, por në praktikë kjo nuk është në përdorim. Dhe nëse fjalëkalimi di dy njerëz, ajo është shumë në masë të madhe rrit shanset që në fund të saj dhe të mësojnë më shumë.

Si për të rregulluar atë?

Ka disa mjete të tilla si identifikimi dhe të legalizuara mund të mbrohet. Komponenti përpunimin e informacionit të siguruar në vijim:

• Imponimi i kufizimeve të ndryshme teknike. Më shpesh të vendosur rregullat për gjatësinë fjalekalimin dhe përmbajtjen e karaktereve të caktuara.
• Zyra fjalëkalimin skadimit, pra ato duhet të zëvendësohen në mënyrë periodike.
• qasja e kufizuar në dosjen bazë fjalëkalimin.
• Kufizimi i numrit të përgjithshëm të përpjekjeve të dështuara që janë në dispozicion, kur ju të hyni. Për shkak të kësaj sulmuesit duhet të kryhet vetëm veprimet për të kryer identifikimin dhe legalizuara, si dhe metodën zgjidhja nuk mund të përdoret.
• trajnimin paraprak të përdoruesit.
• Duke përdorur gjenerator specializuar fjalëkalimin software që mund të të krijuar kombinime të tilla të cilat janë mjaft të ëmbël dhe i paharrueshëm.

Të gjitha këto masa mund të përdoret në çdo rast, edhe në qoftë se bashku me fjalëkalimet do të përdorë mjete të tjera të legalizuara.

passwords një herë

Mishërimet e mësipërme janë reusable, dhe në rastin e hapjes kombinime sulmues është në gjendje për të kryer operacione të caktuara në emër të përdoruesit. Kjo është arsyeja pse si një mjet të fortë rezistente për mundësinë e një narkoman rrjet pasiv, përdorni fjalëkalime një kohë me të cilat identifikimi dhe sistemi i vërtetimit është shumë më i sigurt, edhe pse jo aq i përshtatshëm.

Në këtë moment, një prej programeve më popullore vetëm një herë, gjenerator fjalëkalim është një sistem i quajtur S / KEY, lëshuar nga Bellcore. Koncepti themelor i këtij sistemi është se ka një funksion të caktuar të F, i cili është i njohur për të dy përdoruesit dhe serverit të legalizuara. Në vijim është një K sekret kyç, i njohur vetëm për një përdorues të veçantë.

Në përdorues administratës fillestare, ky funksion është përdorur për të kyç një numër i herë, atëherë rezultati është ruajtur në server. Më pas, procedura vertetimi është si vijon:

1. Në sistemin e përdoruesit nga serveri vjen me numrin që është 1 më pak se numri i herë duke përdorur funksionin për çelës.
2. Funksioni User është përdorur për çelësat sekrete në numrin e herë që ka qenë e përcaktuara në pikën e parë, pas së cilës rezultati është dërguar me anë të rrjetit direkt në server legalizuara.
3. Serveri përdor këtë funksion me vlerën e marrë, dhe atëherë rezultati krahasohet me vlerën e ruajtur më parë. Nëse rezultatet përputhen, atëherë identiteti i anëtarit është themeluar, dhe serveri ruan vlerën e re, dhe pastaj ul counter nga një.

Në praktikë, zbatimi i kësaj teknologjie ka një strukturë disi më e komplikuar, por në këtë moment kjo nuk ka rëndësi. Që funksioni është e pakthyeshme, edhe në qoftë se përgjimi fjalëkalimin ose marrjen qasje të paautorizuar në server legalizuara nuk parashikon mundësinë për të marrë çelësin privat dhe çdo mënyrë për të parashikuar se si saktësisht do të duket si në vijim një herë fjalëkalimin.

Në Rusi si një shërbim të unifikuar, një portal të veçantë shtet - "sistem unik i identifikimit / vërtetimit" ( "VNMS").

Një tjetër mënyrë për të sistemit të fortë të legalizuara qëndron në faktin se një fjalëkalim të ri është gjeneruar në intervale të shkurtra, e cila është realizuar edhe nëpërmjet përdorimit të programeve të specializuara apo kartat smart ndryshme. Në këtë rast, server vertetimi duhet të pranojë përkatëse algoritmin gjeneruese fjalëkalimin dhe parametrat e caktuara që lidhen me të, dhe përveç kësaj, duhet të jenë të pranishëm si server sinkronizimi ora dhe klientit.

Kerberos

Kerberos server authentication për herë të parë u shfaq në mes të viteve '90 të shekullit të kaluar, por që atëherë ai tashmë kishte marrë një shumë ndryshime themelore. Në këtë moment, komponentet individuale të sistemit janë të pranishme pothuajse në çdo sistem modern operativ.

Qëllimi kryesor i këtij shërbimi është për të zgjidhur problemin e mëposhtme: ka një rrjet të caktuar jo të sigurt dhe nyjet në formën e saj të përqendruara në përdorues të ndryshëm subjekteve, dhe server dhe software klientit sistemeve. Çdo entitet i tillë është i pranishëm çelësi sekret individual, dhe të subjekteve me një mundësi për të provuar vërtetësinë e tyre të subjektit s, pa të cilën ai thjesht nuk do të shërbejë atë, ajo do të duhet për të jo vetëm për të thirrur veten e tij, por edhe për të treguar se ai e di disa çelësi sekret. Në të njëjtën kohë me asnjë mënyrë për të vetëm dërguar në drejtim të fshehta S tuaja kryesore si në shkallën e parë e rrjetit është e hapur, dhe përveç kësaj, S nuk e di, dhe, në parim, të mos e njihnin. Në këtë situatë, përdorin më pak të drejtpërdrejtë demonstrim teknologji të njohjes së atij informacioni.

Identifikimi Elektronike / authentication nëpërmjet sistemit Kerberos parashikon përdorimin e saj si një palë e besuar e tretë, e cila ka informacion në lidhje me çelësat sekrete të vendeve të cilat shërbehen dhe ndihmuar ata në kryerjen e legalizuara pairwise nëse është e nevojshme.

Kështu, klienti i parë dërgohet në një pyetje që përmban informacionin e nevojshëm në lidhje me të, si dhe shërbimin e kërkuar. Pas kësaj, Kerberos i jep atij një lloj biletave që është koduar me një kyç të fshehtë të serverit, si dhe një kopje të disa të dhëna prej saj, i cili është çelësi i fshehtë i klientit. Në rast se ai është themeluar informacione se klienti ishte deshifruar qëllim atë, që është, ai ishte në gjendje të demonstrojë se çelësi private është e njohur atë me të vërtetë. Kjo tregon se klienti është personi për të cilin është.

duhet të merret një vëmendje e veçantë këtu për të siguruar që transmetimi i çelësat sekrete nuk janë kryer në rrjet, dhe ato janë përdorur ekskluzivisht për encryption.

autentifikimit përdorur biometrike

Biometrike përfshin një kombinim të automatizuar identifikimit / vertetimi i njerëzve në bazë të karakteristikave të tyre të sjelljes ose fiziologjike. mjetet fizike të identifikimit dhe të legalizuara të sigurojë një retinë scan dhe sy kornea, shenjat e gishtave, fytyrë dhe gjeometri dore, si dhe informacione të tjera personale. Karakteristikat e sjelljes të përfshijë edhe stilin e punës me tastierë dhe dinamikën e nënshkrimit. Metodat e kombinuara janë analiza e karakteristikave të ndryshme të zërit të njeriut, si dhe njohjen e fjalës së tij.

Këto identifikimit / origjinalitetit dhe encryption sisteme janë përdorur gjerësisht në shumë vende të botës, por për një kohë të gjatë, ata janë me kosto shumë të lartë dhe kompleksitetin e përdorimit. Kohët e fundit, kërkesa për produktet biometrike është rritur ndjeshëm për shkak të zhvillimit të e-tregtisë, për shkak se, nga pikëpamja e përdoruesit, është shumë më e lehtë për të prezantuar veten, se sa për të kujtuar disa informacione. Prandaj, kërkesa krijon furnizimit, kështu që tregu filloi të shfaqet produkte relativisht çmim të ulët, të cilat janë të fokusuara kryesisht në njohjen gjurmë gishtash.

Në shumicën dërrmuese të rasteve, biometrike është përdorur në kombinim me authenticators tjera të tilla si karta smart. Shpesh authentication biometrike është vetëm linja e parë e mbrojtjes dhe vepron si një mjet për rritjen e SmartCard, përfshirë sekretet ndryshme kriptografike. Kur duke përdorur këtë teknologji, template biometrike është ruajtur në të njëjtën kartë.

Aktiviteti në fushën e biometrike është mjaft e lartë. Relevante konsorcium ekzistuese, si dhe punë shumë aktive është duke u zhvilluar për të standardizohet aspekte të ndryshme të teknologjisë. Sot ne mund të shohim një shumë të artikujve reklamave që teknologjitë biometrike janë paraqitur si një mjet ideal të siguruar rritjen e sigurisë dhe në të njëjtën kohë të përballueshme për masat.

VNMS

sistemi i identifikimit dhe të legalizuara ( "VNMS") është një shërbim të veçantë projektuar për të siguruar zbatimin e detyrave të ndryshme që lidhen me verifikimin e autenticitetit të aplikuesit dhe anëtarëve të bashkëpunimit ndërinstitucional në rast të ndonjë shërbimet komunale ose publike në formë elektronike.

Në mënyrë për të fituar qasje në një "portal të vetëm të strukturave shtetërore", si dhe çdo informacion tjetër të sistemeve të infrastrukturës të e-qeverisë ekzistuese, ju së pari duhet të regjistroheni llogarinë dhe si rezultat, të marrë AEDs.

nivelet

Portal i një sistemi të unifikuar të identifikimit dhe të legalizuara ofron tre nivelet bazë të llogarive për individë:

• Thjeshtuar. Për regjistrimin e saj thjesht përfshijnë parë dhe të fundit emrin tuaj, si dhe disa kanal të veçantë të komunikimit në formën e një adresë email ose një telefon celular. Ky nivel primar, me të cilat një person i jep qasje vetëm në një listë të kufizuar të shërbimeve të ndryshme qeveritare, si dhe aftësitë e sistemeve ekzistuese të informacionit.
• Standarde. Për të marrë fillimisht është e nevojshme për të nxjerrë një llogari të thjeshtuar, dhe pastaj të ofrojë informata shtesë, duke përfshirë informacionin nga numri i pasaportës dhe llogari të sigurimit individuale. Ky informacion është i kontrolluar në mënyrë automatike përmes sistemit të informacionit të fondit pensional, si dhe Shërbimit Federal të Migracionit, dhe, nëse testi është i suksesshëm, llogaria është konvertuar në një nivel standard, ajo hap përdorues në një listë të zgjeruar të shërbimeve shtetërore.
• Konfirmuar. Për të marrë këtë nivel të llogarisë, një sistem të unifikuar të identifikimit dhe të legalizuara kërkon përdoruesve në një llogari standarde, si dhe dëshmi e identitetit, e cila është kryer me anë të një vizite personale një departamenti i shërbimit të autorizuar ose duke marrë një kod aktivizimi me anë të një letre të regjistruar. Në rast se konfirmimi individi është i suksesshëm, llogaria do të shkojnë në një nivel të ri, dhe për përdoruesit do të fitojnë qasje në një listë të plotë të shërbimeve publike të nevojshme.

Pavarësisht nga fakti se procedurat mund të duket e ndërlikuar të mjaftueshme për të vërtetë të parë listën e plotë të të dhënave të kërkuara mund të jetë direkt në faqen zyrtare, kështu që është e mundur për të përfunduar regjistrimin për disa ditë.