Сәйкестендіру және аутентификация: негізгі ұғымдар

кез келген басқа да қызметтер негізінен осы субъектілерінің қызмет көрсету үшін арналған ретінде анықтау және аутентификация, қазіргі заманғы бағдарламалық және аппараттық қауіпсіздік негізі болып табылады. Бұл ұғымдар қауіпсіздігін қамтамасыз ету, бірінші қорғаныс желісі түрін білдіретін ақпараттық кеңістік туралы ұйымдастыру.

Бұл не?

Сәйкестендіру және аутентификация түрлі функцияларды бар. Бірінші тақырып (атынан әрекет пайдаланушы немесе процесс) өз атын айтып мүмкіндік береді. Түпнұсқалық растама арқылы екінші жағы жатады шынымен ол бекітеді кімге бірі екенін толық сенімді болып табылады. Жиі, синонимі сәйкестендіру және аутентификация ретінде фраза «Post атауы» және «аутентификация» деген сөздермен ауыстырылады.

Олар өздері бірнеше сорттарын бөлінеді. Келесі, біз сәйкестендіру және аутентификация екенін және олар қандай қарастыру.

аутентификация

Бұл тұжырымдама екі түрі қарастырылған: бір жолды, клиент бірінші өзара растау жүргізіледі, бұл кезде, болып табылады, түпнұсқалығын растау үшін серверге дәлелдеуге, және екі жақты керек. пайдаланушылардың стандартты анықтау және аутентификациясын жүргізу қалай типтік үлгісі - нақты жүйеге кіру болып табылады. Осылайша, әр түрлі түрлері әр түрлі объектілерді пайдалануға болады.

пайдаланушылардың сәйкестендіру және аутентификация географиялық тараптарды жасалған желілік ортада, жылы, қызмет екі негізгі аспектілері ерекшеленеді зерттеуге:

• бұл түпнұсқалықты растаушы ретінде әрекет етеді;
• ол қалай деректер аутентификация мен сәйкестендіру және оны қалай қорғауға алмасу ұйымдастырылды.

оның түпнұсқалығын растау үшін, пәндік мына тұлғалардың бірі ұсынылуы тиіс:

• Ол біледі, белгілі бір ақпарат (және т.б. жеке нөмірі, құпия сөз, арнайы криптографиялық кілт, ...);
• ол ие, белгілі бір нәрсе (жеке куәлiгiнiң немесе ұқсас мақсаты бар қандай да бір басқа құрылғы);
• оның элементі (саусақ іздері, дауыстық немесе пайдаланушылардың басқа да биометриялық сәйкестендіру және аутентификация) болып табылады белгілі бір нәрсе.

жүйесі ерекшеліктері

Ашық желі ортасында, тараптар сенімді жолын жоқ, және ол тұтастай алғанда, субъект берілетін ақпарат, сайып келгенде, аутентификация үшін алынған және пайдаланылатын ақпаратты өзгеше болуы мүмкін дейді. белсенді және пассивті желілік анализаторы қажетті қауіпсіздік, түрлі деректер, яғни түзетулер қарсы қорғау, ұстап немесе ойнату. ашық Password аударым опция қанағаттанарлық емес болып табылады, және тек күн сақтап, және олар, ойнату қорғауды қамтамасыз емес, себебі, құпия сөздерді шифрланған мүмкін емес. бүгін неғұрлым күрделі аутентификация протоколдарды пайдаланылады сондықтан.

Сенімді сәйкестендіру, өйткені желілік қауіп-қатерлер түрлі, сонымен қатар басқа да бірқатар себептер бойынша ғана емес, қиын. Бірінші іс жүзінде кез келген аутентификация тұлға ұрлап, немесе жалған немесе Scouting мүмкін. екінші жағынан - пайдаланылады жүйесінің сенімділігі арасында шиеленіс бір жағынан, сондай-ақ, осы болып табылады, және жүйе әкімшісі немесе пайдаланушы нысан. Осылайша, кейбір жиілігі қажетті қауіпсіздік себептер бойынша, оның аутентификация ақпаратты қайтадан енгізу (оның орнына, ол қандай да бір басқа адам отыруға болуы мүмкін) пайдаланушыға сұраңыз және ол қосымша қиындықтар тудырады, сонымен қатар айтарлықтай мүмкіндік арттырады ғана емес бұл біреу ақпарат кірісті шығарыңыз болады. Сонымен қатар, қорғау сенімділігі оның құнына айтарлықтай әсер білдіреді.

Қазіргі заманғы сәйкестендіру және аутентификация жүйелері бірыңғай кіру туралы желісіне, ең алдымен пайдаланушы достық талаптармен қамдап тұжырымдамасын қолдайды. стандартты Егер корпоративтік желі тәуелсіз айналымының мүмкіндігі қамтамасыз ету, ақпараттық қызмет көп, содан кейін жеке деректерді бірнеше әкімшілігі тым ауыртпалықты болып. Қазіргі уақытта бұл үстем шешімдер әлі құрылған жоқ, сондай-ақ желіге бірыңғай кіру пайдалану, қалыпты деп айтуға әлі мүмкін емес.

Осылайша, көптеген сәйкестендіру / аутентификациясын қамтамасыз қаражат, қолжетімділігі, ыңғайлы және сенімділік арасындағы ымыраға табуға тырысады. Бұл жағдайда авторландыру жеке ережелерге сәйкес жүзеге асырылады.

Ерекше назар қызмет қолжетімділігін шабуыл объектісі ретінде таңдауға болады пайдаланылатын фактісі аударылуға тиіс. Егер жүйе конфигурациясы мүмкіндігін енгізу үшін сәтсіз әрекет санынан кейін құлыпталынған етіп жүргізіледі, содан кейін шабуылшы бірнеше ғана пернелердің көмегімен операция заңды пайдаланушыларды тоқтатуға болады.

құпия сөз түпнұсқалық растамасы

Бұл жүйенің басты артықшылығы, ол ең өте қарапайым және таныс болып табылады. Құпия сөздер ұзақ операциялық жүйелерді және басқа да қызметтер пайдаланылатын, және ең ұйымдар үшін өте қолайлы болып табылады көзделген қауіпсіздік, дұрыс пайдалана отырып шықты. Екінші жағынан, мұндай жүйелердің сипаттамаларын ортақ жиынтығы сәйкестендіру / аутентификация жүзеге асырылуы мүмкін, ол арқылы әлсіз құралы болып табылады. парольдер Қақпаға болуы керек, өйткені бұл жағдайда Авторландыру, өте қарапайым болып, бірақ ол адам белгілі бір пайдаланушының теңшелімдерін біледі, әсіресе, егер қарапайым комбинациясын тап қиын емес.

жүйесі орнатылғаннан кейін Кейде ол әрқашан емес нақты құжаттамада көрсетілген өте стандартты мәндер болып табылады, өйткені, құпия сақталады емес, парольдер негізінен, екенін жүреді, және, оларды өзгерту.

Егер сіз құпия сөзді енгізгенде, сіз көре аласыз, кейбір жағдайларда, адамдар тіпті арнайы оптикалық приборлар пайдаланыңыз.

Пайдаланушылар, сәйкестендіру және түпнұсқалық негізгі субъектілері, парольдер жиі белгілі бір уақытта адамдарға әріптестерін хабардар етіледі иесіне өзгерді. теориясы, мұндай жағдайларда ол арнайы қатынас басқару элементтерін пайдалану үшін неғұрлым дұрыс болар еді, бірақ іс жүзінде пайдалану болып табылады. құпия сөз екі адам біледі болса, бұл өте қатты оның соңында және қосымша ақпарат алу мүмкіндігі көбейтеді.

оны қалай түзетуге болады?

мұндай сәйкестендіру және аутентификация ретінде бірнеше құралдар қорғалған болуы мүмкін бар. құрамдас сақтандыра алады ақпаратты өңдеу мынадай:

• түрлі техникалық шектеулер салу. Ең жиі пароль ұзындығы және белгілі бір таңбалар мазмұнына ережелерін орнатыңыз.
• Office пароль жарамдылық, яғни олар мезгіл ауыстыру қажет.
• негізгі пароль файлға шектеулі қол жеткізу.
• Сіз кірген кезде қол жетімді сәтсіз әрекеттен жалпы санының шектеу. Себебі осы шабуыл анықтау және аутентификациясын, сондай-ақ сұрыптау әдісін орындау үшін ғана іс-шаралар қолдану мүмкін емес жүзеге асырылуға тиіс.
• пайдаланушылардың алдын ала дайындау.
• жеткілікті әуезді және естелік болып осындай тіркесімдерін жасауға болады мамандандырылған бағдарламалық қамтамасыз ету пароль генераторын пайдалану.

Осы іс-шаралардың барлығы бірге парольдер, сондай-ақ аутентификация басқа да құралдар пайдаланады, тіпті егер кез келген жағдайда пайдалануға болады.

Біржолғы парольдер

Жоғарыда нұсқаларын жүзеге асыру ауысымды және комбинациялары шабуыл ашу жағдайда пайдаланушының атынан белгілі бір операцияларды орындауға қабілетті болып табылады. неге енжар желілік анализаторы мүмкіндігі төзімді күшті құралы ретінде бұл сондай-ақ ыңғайлы емес, дегенмен сәйкестендіру және аутентификация жүйесі, әлдеқайда қауіпсіз болып табылатын бір реттік құпия сөздерді пайдалануға, болып табылады.

Қазіргі уақытта, ең танымал бағдарламалық қамтамасыз ету бір реттік пароль генератордың бірі Bellcore шығарған, S / KEY деп аталатын жүйе болып табылады. Бұл жүйенің негізгі тұжырымдамасы пайдаланушы мен аутентификация серверіне де белгілі F, белгілі бір функциясы бар болып табылады. Келесі ғана нақты пайдаланушыға белгілі құпия кілт K болып табылады.

Бұл функция рет Санды пернеге пайдаланылады бастапқы әкімшілік пайдаланушы кезде, содан кейін нәтиже серверде сақталады. төмендегідей Кейіннен аутентификация рәсімі болып табылады:

1. серверден пайдаланушы жүйеге пернеге функциясын пайдаланып рет санына қарағанда 1 аз санына келеді.
2. Пайдаланушы функциясы бірінші нүктесінде орнатылған рет санының құпия кілттер үшін пайдаланылады, нәтиже содан кейін тікелей аутентификация серверіне желі арқылы жіберіледі.
3. сервер алынған құны осы атқаратын қызметімді пайдаланады, содан кейін нәтиже бұрын сақталған мәнімен салыстырылады. нәтижелері матч болса, онда пайдаланушының жеке басын куәландыратын белгіленген, және сервер жаңа мәні сақтайды, содан кейін бірі санауышын кемиді.

Іс жүзінде, бұл технологияның іске асыру бірнеше күрделі құрылымы бар, бірақ қазіргі уақытта ол маңызды емес. функциясы, қайтымсыз болып табылады пароль ұстап немесе алу, тіпті егер бері рұқсатсыз қол аутентификация серверіне жеке кілт және ол дәл мынадай бір-парольмен көрінеді қалай болжауға кез келген жолын алу мүмкіндігін қамтамасыз етпейді.

Ресейде бірыңғай қызмет, арнаулы мемлекеттік порталы ретінде - «сәйкестендіру / аутентификация Бірегей жүйесі» ( «ESIA»).

күшті аутентификация жүйесі тағы бір тәсіл жаңа құпия, сондай-ақ мамандандырылған бағдарламаларды немесе түрлі смарт-карталарын пайдалану арқылы жүзеге асырылады қысқа аралығы, жинақталатын болды табылатындығында. Бұл жағдайда, аутентификация сервері онымен байланысты тиісті құпия сөз генерациялайтын алгоритмі және белгілі бір параметрлерді қабылдауы керек, сонымен қатар, сағат үндестіру сервер мен клиент ретінде осы болуы керек.

Kerberos

алғаш рет Kerberos аутентификация сервері өткен ғасырдың ортасында 90-шы жылдары пайда болды, бірақ содан бері ол қазірдің өзінде іргелі өзгерістер көп алды. Қазіргі уақытта, жүйенің жеке компоненттері сайын дерлік заманауи операциялық жүйесінде бар.

онда белгілі бір емес қауіпсіз желі болып табылады және әр түрлі субъектілер пайдаланушылар, сондай-ақ серверлік және клиенттік бағдарламалық жүйелерде оның шоғырланған түрінде түйіндер: осы қызметтің негізгі мақсаты мынадай мәселені шешу болып табылады. Әрбір осындай ұйым негізгі, және ол жай ғана оны қызмет емес, онсыз пән S олардың дұрыстығын дәлелдеуге мүмкіндік субъектілері, ол өзін қоңырау шалу үшін ғана емес, сонымен қатар ол кейбір біледі екенін көрсету қажет болады, осы жеке құпия болып табылады құпия кілт. Негізінде, оны білемін тиіс емес, Сонымен қатар, жай ғана бірінші сатыдағы ретінде сіздің құпия кілт S бағытында жіберуге ешқандай жолмен бірге желі ашық болып табылады, және сонымен қатар, S білмейді, және. Бұл жағдайда, бұл ақпаратты білім аз қарапайым технологиясы көрсетілімін пайдаланады.

Kerberos жүйесі арқылы / аутентификация электронды сәйкестендіру қызмет сайттар құпия кілттер туралы ақпараты бар және қажет болған жағдайда, попарно аутентификациясын жүзеге асыратын, оларға көмектесу сенімді үшінші тарап ретінде оны пайдалану үшін береді.

Осылайша, клиент бірінші ол туралы қажетті ақпаратты, сондай-ақ сұраған қызметті қамтитын сұрауда жіберді. Осыдан кейін, Kerberos оған клиент құпия кілт болып сервердің құпия кілт, сондай-ақ оған кейбір деректер көшірмесі, бар шифрланған билеттің түрін береді. ол клиент ақпараттық оны арналған қабылдамау деп белгіленген бұл жағдайда, бұл, ол жеке кілт оны шын мәнінде белгілі, бұл көрсетуге мүмкіндік туды. Бұл клиент ол болып табылатын тұлға екенін көрсетеді.

Ерекше назар мұнда құпия кілттерге беру желісін жүзеге асырылмайды, және олар шифрлау үшін тек қана пайдаланылады қамтамасыз ету үшін қабылдануы тиіс.

қолдану биометрия аутентификация

Биометрия олардың мінез-құлық немесе физиологиялық ерекшеліктеріне негізделген адамдардың автоматтандырылған сәйкестендіру / аутентификация тіркесімін көздейді. сәйкестендіру және түпнұсқалық дене құралдары сетчатки Сканерлеуді және көз роговица, саусақ іздері, бет және қолмен геометрия, сондай-ақ басқа да жеке ақпаратты қамтамасыз етеді. мінез-құлық сипаттамасы, сондай-ақ пернетақта мен қол қойылған динамикасы жұмыс стилі қамтиды. Аралас әдістері адам дауысы әртүрлі сипаттамаларын талдау, сондай-ақ өз сөзінде тану болып табылады.

Мұндай сәйкестендіру / аутентификация және шифрлау жүйелері әлемнің көптеген елдерінде кеңінен қолданылады, бірақ ұзақ уақыт бойы, олар пайдалану өте жоғары құны мен күрделілігі болып табылады. пайдаланушының тұрғысынан, кейбір мәліметтерді есте қарағанда, өзін таныстыру әлдеқайда оңай, өйткені жақында астам, биометриялық өнімге сұраныс, салдарынан электрондық коммерцияны дамыту үшін айтарлықтай өсті. Тиісінше, сұраныс ұсыныстан жасайды, сондықтан нарықтық негізінен саусақ тану туралы шоғырланған салыстырмалы Қымбат емес өнімдерді, пайда бола бастады.

жағдайларды басым көпшілігінде, биометрия мұндай смарт-карталар сияқты басқа authenticators ұштастыра отырып пайдаланылады. Жиі биометриялық аутентификация арттыру құралы ретінде қорғаныс және актілерді тек бірінші желісі болып табылады SmartCard, түрлі криптографиялық құпияларды қоса алғанда. Осы технологияны пайдаланған кезде, биометриялық үлгісі бірдей картасына сақталады.

биометрия саласындағы қызмет жеткілікті жоғары. Тиісті қолданыстағы консорциум, сондай-ақ өте белсенді жұмыс техниканың әр түрлі аспектілерін стандарттауға жүргізілуде. Бүгін біз биометриялық технологиялар жоғары қауіпсіздігін қамтамасыз ету және массасы қолжетімді бір мезгілде тамаша құралы ретінде ұсынылған жарнамалық мақалалар көп көруге болады.

ЭӘӘБ

сәйкестендіру және түпнұсқалық жүйесі ( «ESIA») электрондық нысанда кез келген муниципалды немесе мемлекеттік қызмет көрсету жағдайда өтініш берушілер мен ведомствоаралық ынтымақтастық мүшелерінің түпнұсқалығын тексеру байланысты түрлі міндеттерді жүзеге асыруды қамтамасыз етуге арналған арнайы қызмет болып табылады.

а «мемлекеттік құрылымдардың бірыңғай порталы», сондай-ақ қолданыстағы электрондық үкімет кез келген басқа ақпараттық жүйелер инфрақұрылымын қол жеткізу үшін, сіз тіркелу және нәтижесінде бірінші қажеттілігі, қарастырған ПЭС алуға.

деңгейлері

сәйкестендіру бірыңғай жүйесін порталы және аутентификация жеке тұлғалар үшін шоттар үш негізгі деңгейлерін қамтамасыз етеді:

• Жеңілдетілген. оның тіркеу үшін жай ғана сіздің бірінші және соңғы аты, сондай-ақ электрондық пошта мекен-жайы немесе ұялы телефон түріндегі қарым-қатынас кейбір Атап арнаны қамтиды. адам тек әртүрлі мемлекеттік қызметтердің шектеулі тізіміне, сондай-ақ қолда бар ақпараттық жүйелерді мүмкіндіктеріне қол жеткізуге мүмкіндік береді, ол арқылы осы бастапқы деңгейі.
• Стандартты. бастапқыда оңайлатылған тіркелгісін шығаруға қажетті алуға, содан кейін, сондай-ақ төлқұжат нөмірі және сақтандыру жеке шотынан ақпаратты қоса алғанда, қосымша ақпаратты қамтамасыз етеді. үшін Бұл ақпарат автоматты түрде зейнетақы қорының ақпараттық жүйесін, сондай-ақ Федералдық көші-қон қызметі арқылы тексеріледі, және, сынақ сәтті болса, шот стандартты деңгейге түрлендіріледі, ол мемлекеттік қызметтердің кеңейтілген тізіміне пайдаланушыны ашылады.
• Растады. шотына осы деңгейін алу үшін, сәйкестендіру және түпнұсқалық бірыңғай жүйесі жеке сапармен өкілетті қызмет көрсету бөлімі арқылы немесе арқылы белсендіру кодын алу арқылы жүзеге асырылады стандартты шотына пайдаланушылардың, сондай-ақ жеке басын растайтын құжатты, талап хатпен. жеке растау табысты болған жағдайда, шот қажет мемлекеттік қызметтердің толық тізімін рұқсат алады жаңа деңгейге және пайдаланушыға барады.

рәсімдер іс жүзінде қажетті деректердің толық тізімі ресми сайтында тікелей болуы мүмкін, сондықтан ол бірнеше күн бойы Тіркеуді аяқтау мүмкін көруге жеткілікті күрделі көрінуі мүмкін болғанына қарамастан.