Идентификация және аутентификация: негізгі түсініктер

2024 Автор: Howard Calhoun | [email protected]. Соңғы өзгертілген: 2023-12-17 10:33

Сәйкестендіру және аутентификация заманауи бағдарламалық және аппараттық қауіпсіздік құралдарының негізі болып табылады, өйткені кез келген басқа қызметтер негізінен осы нысандарға қызмет көрсетуге арналған. Бұл ұғымдар ұйымның ақпараттық кеңістігінің қауіпсіздігін қамтамасыз ететін қорғаныстың бір түрін білдіреді.

Бұл не?

Идентификация мен аутентификацияның әртүрлі функциялары бар. Біріншісі субъектіге (қолданушыға немесе олардың атынан әрекет ететін процесске) өз атын беру мүмкіндігін береді. Түпнұсқалық растаманың көмегімен екінші тарап субъектінің шынымен кім екеніне сенімді болады. Сәйкестендіру және аутентификация жиі синонимдер ретінде "аты хабар" және "аутентификация" тіркестерімен ауыстырылады.

Олардың өздері бірнеше сортқа бөлінеді. Әрі қарай сәйкестендіру және аутентификация деген не екенін және олардың не екенін қарастырамыз.

Аутентификация

Бұл тұжырымдама екі түрді қарастырады: бір жақты, қашан клиенталдымен оның түпнұсқалығын серверге және екі жақты, яғни өзара растау жүргізіліп жатқанда дәлелдеу керек. Стандартты пайдаланушы сәйкестендіру және аутентификация қалай жүзеге асырылатынының стандартты мысалы белгілі бір жүйеге кіру процедурасы болып табылады. Осылайша, әртүрлі нысандарда әртүрлі типтерді пайдалануға болады.

Пайдаланушыны сәйкестендіру және аутентификация географиялық шашыраңқы жағында жүзеге асырылатын желі ортасында қарастырылып отырған қызмет екі негізгі аспектіде ерекшеленеді:

• аутентификация ретінде әрекет етеді;
• аутентификация және сәйкестендіру деректерімен алмасу дәл қалай ұйымдастырылған және олар қалай қорғалған.

Жеке басын дәлелдеу үшін субъект келесі нысандардың бірін көрсетуі керек:

• өзі білетін белгілі бір ақпарат (жеке нөмір, құпия сөз, арнайы криптографиялық кілт және т.б.);
• өзіне тиесілі белгілі бір зат (жеке карта немесе ұқсас мақсаттағы басқа құрылғы);
• өзінің элементі болып табылатын белгілі бір нәрсе (саусақ іздері, дауыс және пайдаланушыларды сәйкестендіру және аутентификациялаудың басқа биометриялық құралдары).

Жүйе мүмкіндіктері

Ашық желі ортасында тараптардың сенімді маршруты жоқ, яғни, жалпы алғанда, субъект жіберген ақпарат сайып келгенде алынған және пайдаланылған ақпаратқа сәйкес келмеуі мүмкін.аутентификация кезінде. Бұл желіні белсенді және пассивті тыңдау қауіпсіздігін қамтамасыз ету үшін қажет, яғни әртүрлі деректерді түзетуден, ұстап алудан немесе ойнатудан қорғау. Құпия сөздерді ашық мәтінде жіберу опциясы қанағаттанарлықсыз және сол сияқты құпия сөзді шифрлау күнді сақтай алмайды, өйткені олар қайта шығарудан қорғауды қамтамасыз етпейді. Сондықтан бүгінде күрделірек аутентификация протоколдары қолданылады.

Сенімді сәйкестендіру әртүрлі онлайн қауіптерге байланысты ғана емес, сонымен қатар әртүрлі басқа себептерге байланысты қиын. Біріншіден, аутентификацияның кез келген дерлік нысанын ұрлауға, жалған жасауға немесе қорытынды жасауға болады. Сондай-ақ, бір жағынан, қолданылатын жүйенің сенімділігі мен екінші жағынан, жүйе әкімшісінің немесе пайдаланушының ыңғайлылығы арасында белгілі бір қайшылық бар. Осылайша, қауіпсіздік мақсатында пайдаланушыдан аутентификация туралы ақпаратты белгілі бір жиілікпен қайта енгізуді сұрау қажет (өйткені оның орнында басқа адам отырған болуы мүмкін) және бұл қосымша қиындықтарды тудырып қана қоймайды, сонымен қатар ақпаратты айтарлықтай арттырады. біреудің ақпаратты енгізуге тыңшылық жасау мүмкіндігі. Басқа нәрселермен қатар, қорғаныс құралдарының сенімділігі оның құнына айтарлықтай әсер етеді.

Заманауи сәйкестендіру және аутентификация жүйелері желіге бір рет кіру тұжырымдамасын қолдайды, бұл бірінші кезекте пайдаланушының ыңғайлылығы тұрғысынан талаптарды қанағаттандыруға мүмкіндік береді. Стандартты корпоративтік желіде көптеген ақпараттық қызметтер болса,дербес емделу мүмкіндігін қамтамасыз ету, содан кейін жеке деректерді қайталап енгізу тым ауыр болады. Қазіргі уақытта бір реттік кіруді пайдалану қалыпты деп айтуға болмайды, өйткені басым шешімдер әлі қалыптаспаған.

Осылайша, көптеген адамдар сәйкестендіру/аутентификацияны қамтамасыз ететін құралдардың қолжетімділігі, ыңғайлылығы және сенімділігі арасында ымыраға келуге тырысады. Бұл жағдайда пайдаланушыларды авторизациялау жеке ережелерге сәйкес жүзеге асырылады.

Қолданылатын қызмет қолжетімділік шабуылының нысаны ретінде таңдалуы мүмкін екеніне ерекше назар аудару керек. Жүйе белгілі бір сәтсіз әрекеттерден кейін кіру мүмкіндігі бұғатталатындай конфигурацияланса, бұл жағдайда шабуылдаушылар заңды пайдаланушылардың жұмысын бірнеше пернені басу арқылы тоқтата алады.

Құпия сөздің аутентификациясы

Мұндай жүйенің басты артықшылығы - бұл өте қарапайым және көпшілікке таныс. Құпия сөздерді операциялық жүйелер мен басқа қызметтер ұзақ уақыт бойы қолданып келеді және дұрыс пайдаланылған кезде олар көптеген ұйымдар үшін қолайлы қауіпсіздік деңгейін қамтамасыз етеді. Бірақ екінші жағынан, сипаттамалардың жалпы жиынтығы бойынша мұндай жүйелер сәйкестендіру/аутентификацияны жүзеге асыруға болатын ең әлсіз құрал болып табылады. Бұл жағдайда авторизация өте қарапайым болады, өйткені парольдер болуы керекесте қаларлық, бірақ сонымен бірге қарапайым комбинацияларды табу қиын емес, әсіресе адам белгілі бір пайдаланушының қалауын білетін болса.

Кейде құпия сөздер, негізінен, құпия сақталмайды, өйткені олардың белгілі бір құжаттамада көрсетілген стандартты мәндері бар және жүйе орнатылғаннан кейін әрқашан өзгермейді.

Құпия сөзді енгізген кезде сіз көре аласыз, ал кейбір жағдайларда адамдар арнайы оптикалық құрылғыларды пайдаланады.

Сәйкестендіру және аутентификацияның негізгі субъектілері болып табылатын пайдаланушылар белгілі бір уақытқа меншік құқығын өзгерту үшін әріптестерімен құпия сөздерді жиі бөлісе алады. Теориялық тұрғыдан мұндай жағдайларда арнайы қол жеткізуді басқару элементтерін қолданған дұрыс, бірақ іс жүзінде оны ешкім пайдаланбайды. Ал егер екі адам құпия сөзді білсе, бұл басқалардың ол туралы білу мүмкіндігін айтарлықтай арттырады.

Мұны қалай түзетуге болады?

Идентификация мен аутентификацияны қорғаудың бірнеше жолы бар. Ақпаратты өңдеу компоненті өзін келесідей қорғай алады:

• Түрлі техникалық шектеулер енгізу. Көбінесе ережелер құпия сөздің ұзындығына, сондай-ақ ондағы белгілі бір таңбалардың мазмұнына орнатылады.
• Құпия сөздердің жарамдылық мерзімін басқару, яғни оларды мерзімді өзгерту қажеттілігі.
• Негізгі құпия сөз файлына кіру шектелуде.
• Кіру кезінде қол жетімді сәтсіз әрекеттердің жалпы санын шектеу арқылы. РахметБұл жағдайда шабуылдаушылар сәйкестендіру мен аутентификацияны орындамас бұрын ғана әрекеттерді орындауы керек, өйткені дөрекі күш әдісін пайдалану мүмкін емес.
• Пайдаланушыларды алдын ала оқыту.
• Ережеге сай және есте қалатын комбинацияларды жасауға мүмкіндік беретін арнайы құпия сөз генераторының бағдарламалық құралын пайдалану.

Бұл шаралардың барлығын құпия сөздермен бірге аутентификацияның басқа құралдары пайдаланылса да, кез келген жағдайда пайдалануға болады.

Бір реттік құпиясөздер

Жоғарыда талқыланған опцияларды қайта пайдалануға болады және комбинация анықталса, шабуылдаушы пайдаланушы атынан белгілі бір әрекеттерді орындау мүмкіндігіне ие болады. Сондықтан бір реттік құпия сөздер желіні пассивті тыңдау мүмкіндігіне төзімді күшті құрал ретінде пайдаланылады, соның арқасында сәйкестендіру және аутентификация жүйесі ыңғайлы болмаса да, әлдеқайда қауіпсіз болады.

Қазіргі уақытта ең танымал бағдарламалық құралдың бірі – Bellcore шығарған S/KEY деп аталатын жүйе. Бұл жүйенің негізгі концепциясы пайдаланушыға да, аутентификация серверіне де белгілі белгілі F функциясының болуы болып табылады. Төменде белгілі бір пайдаланушыға ғана белгілі құпия K кілті берілген.

Пайдаланушыны бастапқы басқару кезінде бұл функция пернеге қолданыладыбелгілі бір рет саны, содан кейін нәтиже серверде сақталады. Болашақта аутентификация процедурасы келесідей болады:

1. Серверден пайдаланушы жүйесіне сан келеді, бұл функцияның пернеге пайдаланылған санынан 1 есе аз.
2. Пайдаланушы бірінші абзацта орнатылған реттердің санын қолжетімді құпия кілтке пайдаланады, содан кейін нәтиже желі арқылы тікелей аутентификация серверіне жіберіледі.
3. Сервер бұл функцияны алынған мәнге пайдаланады, содан кейін нәтиже бұрын сақталған мәнмен салыстырылады. Егер нәтижелер сәйкес келсе, пайдаланушы аутентификацияланады және сервер жаңа мәнді сақтайды, содан кейін есептегішті бір есе азайтады.

Тәжірибеде бұл технологияны енгізу біршама күрделі құрылымға ие, бірақ қазіргі уақытта ол соншалықты маңызды емес. Функция қайтымсыз болғандықтан, тіпті құпия сөз ұсталып қалса немесе аутентификация серверіне рұқсатсыз кіру алынса да, ол құпия кілтті алу мүмкіндігін қамтамасыз етпейді және кез келген жолмен келесі бір реттік құпия сөздің нақты қандай болатынын болжайды.

Ресейде бірыңғай қызмет ретінде арнайы мемлекеттік портал пайдаланылады - «Бірыңғай сәйкестендіру/аутентификация жүйесі» («ESIA»).

Күшті аутентификация жүйесіне тағы бір тәсіл – қысқа аралықтармен жасалған жаңа құпия сөзге ие болу.арнайы бағдарламаларды немесе әртүрлі смарт карталарды пайдалану. Бұл жағдайда аутентификация сервері тиісті құпия сөзді жасау алгоритмін, сонымен қатар онымен байланысты белгілі бір параметрлерді қабылдауы керек, сонымен қатар сервер мен клиент сағатын үндестіру де болуы керек.

Kerberos

Kerberos аутентификация сервері алғаш рет өткен ғасырдың 90-шы жылдарының ортасында пайда болды, бірақ содан бері ол көптеген іргелі өзгерістерді алды. Қазіргі уақытта бұл жүйенің жеке құрамдас бөліктері кез келген заманауи операциялық жүйеде бар.

Бұл қызметтің негізгі мақсаты келесі мәселені шешу болып табылады: белгілі бір қорғалмаған желі бар және оның түйіндерінде пайдаланушылар, сондай-ақ серверлік және клиенттік бағдарламалық жүйелер түрінде әртүрлі субъектілер шоғырланған. Әрбір мұндай субъектінің жеке құпия кілті болады және С субъектісінің S субъектісіне өзінің шынайылығын дәлелдеу мүмкіндігі болуы үшін, онсыз ол жай ғана оған қызмет көрсетпейді, ол тек өзінің атын ғана емес, сонымен қатар оны да қажет етеді. белгілі бір құпия кілтті білетінін көрсету. Сонымен қатар, С өзінің құпия кілтін жай ғана S-ге жіберуге мүмкіндігі жоқ, өйткені, біріншіден, желі ашық, сонымен қатар, S оны білмейді және, негізінен, білмеуі керек. Мұндай жағдайда бұл ақпарат туралы білімді көрсету үшін қарапайымырақ әдіс қолданылады.

Kerberos жүйесі арқылы электрондық сәйкестендіру/аутентификация оны қамтамасыз етедіқызмет көрсетілетін нысандардың құпия кілттері туралы ақпараты бар және қажет болған жағдайда оларға жұптық аутентификацияны жүргізуге көмектесетін сенімді үшінші тарап ретінде пайдаланыңыз.

Осылайша, клиент алдымен өзі туралы, сондай-ақ сұралған қызмет туралы қажетті ақпаратты қамтитын жүйеге сұрау жібереді. Осыдан кейін Kerberos оған сервердің құпия кілтімен шифрланған билет түрін, сонымен қатар одан клиент кілтімен шифрланған кейбір деректердің көшірмесін береді. Сәйкестік болған жағдайда клиент өзіне арналған ақпаратты шифрдан шығарғаны анықталды, яғни ол шын мәнінде құпия кілтті білетінін көрсете алды. Бұл клиенттің өзі мәлімдеген адам екенін көрсетеді.

Бұл жерде құпия кілттерді тасымалдау желі арқылы жүзеге асырылмағанына және олар тек шифрлау үшін пайдаланылғанына ерекше назар аудару керек.

Биометриялық аутентификация

Биометрия адамдарды мінез-құлық немесе физиологиялық сипаттамалары негізінде анықтау/аутентификациялаудың автоматтандырылған құралдарының комбинациясын қамтиды. Аутентификация мен сәйкестендірудің физикалық құралдары көздің торлы қабығы мен қасаң қабығын, саусақ іздерін, бет пен қолдың геометриясын және басқа да жеке ақпаратты тексеруді қамтиды. Мінез-құлық сипаттамаларына пернетақтамен жұмыс істеу стилі және қолтаңбаның динамикасы жатады. Біріктірілгенәдістер адамның дауысының әртүрлі ерекшеліктерін талдау, сонымен қатар оның сөйлеуін тану.

Мұндай сәйкестендіру/аутентификация және шифрлау жүйелері әлемнің көптеген елдерінде кеңінен қолданылады, бірақ ұзақ уақыт бойы олар өте қымбат және пайдалану қиын болды. Соңғы уақытта электронды коммерцияның дамуына байланысты биометриялық өнімдерге сұраныс айтарлықтай өсті, өйткені пайдаланушының көзқарасы бойынша кейбір ақпаратты есте сақтаудан гөрі өзін таныстыру әлдеқайда ыңғайлы. Сәйкесінше, сұраныс ұсынысты тудырады, сондықтан нарықта негізінен саусақ ізін тануға бағытталған салыстырмалы түрде арзан өнімдер пайда бола бастады.

Жағдайлардың басым көпшілігінде биометрика смарт карталар сияқты басқа аутентификациялармен бірге пайдаланылады. Көбінесе биометриялық аутентификация қорғаныстың бірінші желісі болып табылады және әртүрлі криптографиялық құпияларды қамтитын смарт-карталарды белсендіру құралы ретінде әрекет етеді. Бұл технологияны пайдаланған кезде биометриялық үлгі бір картада сақталады.

Биометрия саласындағы белсенділік айтарлықтай жоғары. Тиісті консорциум қазірдің өзінде бар, сонымен қатар технологияның әртүрлі аспектілерін стандарттауға бағытталған жұмыстар белсенді түрде жүргізілуде. Бүгінгі күні сіз биометриялық технологиялар қауіпсіздікті арттырудың тамаша құралы ретінде ұсынылған және сонымен бірге көпшілікке қолжетімді көптеген жарнамалық мақалаларды көре аласыз.бұқара.

ESIA

Сәйкестендіру және аутентификация жүйесі («ESIA») - өтініш берушілер мен ведомствоаралық өзара іс-қимылға қатысушылардың жеке басын тексеруге байланысты әртүрлі міндеттерді орындауды қамтамасыз ету мақсатында құрылған арнайы қызмет. электрондық түрдегі кез келген муниципалды немесе мемлекеттік қызметтер.

«Мемлекеттік органдардың Бірыңғай порталына», сондай-ақ қолданыстағы электрондық үкімет инфрақұрылымының кез келген басқа ақпараттық жүйелеріне қол жеткізу үшін алдымен есептік жазбаны тіркеп, нәтижесінде, PES алу.

Деңгейлер

Бірыңғай сәйкестендіру және аутентификация жүйесінің порталы жеке тұлғаларға арналған тіркелгілердің үш негізгі деңгейін қарастырады:

• Жеңілдетілген. Оны тіркеу үшін сізге тек тегі мен атыңызды, сондай-ақ электрондық пошта мекенжайы немесе ұялы телефон түріндегі белгілі бір байланыс арнасын көрсету жеткілікті. Бұл бастапқы деңгей, ол арқылы адам әртүрлі мемлекеттік қызметтердің шектеулі тізіміне, сондай-ақ қолданыстағы ақпараттық жүйелердің мүмкіндіктеріне ғана қол жеткізе алады.
• Стандарт. Оны алу үшін алдымен жеңілдетілген шот беру керек, содан кейін төлқұжаттағы ақпаратты және сақтандырудың жеке шотының нөмірін қоса, қосымша деректерді беру керек. Көрсетілген ақпарат ақпараттық жүйелер арқылы автоматты түрде тексеріледіЗейнетақы қоры, сондай-ақ Федералдық көші-қон қызметі және тексеру сәтті болса, шот пайдаланушыға мемлекеттік қызметтердің кеңейтілген тізімін ашатын стандартты деңгейге ауыстырылады.
• Расталған. Есептік жазбаның осы деңгейін алу үшін бірыңғай сәйкестендіру және аутентификация жүйесі пайдаланушылардан стандартты тіркелгіні, сондай-ақ уәкілетті қызмет көрсету бөлімшесіне жеке бару немесе тіркелген пошта арқылы белсендіру кодын алу арқылы жүзеге асырылатын жеке басын тексеруді талап етеді. Жеке басты растау сәтті болған жағдайда, есептік жазба жаңа деңгейге өтеді және пайдаланушы қажетті мемлекеттік қызметтердің толық тізіміне қол жеткізе алады.

Рәсімдер өте күрделі болып көрінгенімен, іс жүзінде сіз қажетті деректердің толық тізімімен тікелей ресми веб-сайтта таныса аласыз, сондықтан бірнеше күн ішінде толық тіркеуге болады.