Identifikācija un autentifikācija: pamatjēdzieni

2024 Autors: Howard Calhoun | [email protected]. Pēdējoreiz modificēts: 2023-12-17 10:35

Identifikācija un autentifikācija ir mūsdienu programmatūras un aparatūras drošības rīku pamatā, jo visi citi pakalpojumi galvenokārt ir paredzēti, lai apkalpotu šīs vienības. Šie jēdzieni ir sava veida pirmā aizsardzības līnija, kas nodrošina organizācijas informācijas telpas drošību.

Kas tas ir?

Identifikācijai un autentifikācijai ir dažādas funkcijas. Pirmais dod subjektam (lietotājam vai procesam, kas darbojas viņa vārdā) iespēju norādīt savu vārdu. Ar autentifikācijas palīdzību otrā puse beidzot pārliecinās, ka subjekts patiešām ir tas, par ko viņš uzdodas. Identifikācija un autentifikācija bieži tiek aizstāta ar frāzēm "nosaukuma ziņojums" un "autentifikācija" kā sinonīmi.

Paši tie ir sadalīti vairākās šķirnēs. Tālāk mēs apskatīsim, kas ir identifikācija un autentifikācija un kas tie ir.

Autentifikācija

Šis jēdziens paredz divus veidus: vienpusējs, kad klientsvispirms ir jāpierāda tā autentiskums serverim un divvirzienu, tas ir, kad tiek veikta savstarpēja apstiprināšana. Standarta piemērs tam, kā tiek veikta standarta lietotāja identifikācija un autentifikācija, ir pieteikšanās procedūra noteiktā sistēmā. Tādējādi dažādos objektos var izmantot dažādus veidus.

Tīkla vidē, kurā lietotāju identifikācija un autentifikācija tiek veikta ģeogrāfiski izkliedētās pusēs, attiecīgais pakalpojums atšķiras divos galvenajos aspektos:

• kas darbojas kā autentifikators;
• kā tieši tika organizēta autentifikācijas un identifikācijas datu apmaiņa un kā tā tiek aizsargāta.

Lai pierādītu savu identitāti, subjektam ir jāuzrāda viena no šīm entītijām:

• noteikta viņam zināma informācija (personas numurs, parole, īpašā kriptogrāfiskā atslēga utt.);
• noteikta lieta, kas viņam pieder (personiskā karte vai cita ierīce ar līdzīgu mērķi);
• noteikta lieta, kas pati par sevi ir elements (pirkstu nospiedumi, balss un citi biometriskie līdzekļi lietotāju identificēšanai un autentifikācijai).

Sistēmas līdzekļi

Atvērtā tīkla vidē pusēm nav uzticama maršruta, kas nozīmē, ka kopumā subjekta pārsūtītā informācija galu galā var neatbilst saņemtajai un izmantotajai informācijai.autentificējot. Tas ir nepieciešams, lai nodrošinātu tīkla aktīvās un pasīvās klausīšanās drošību, tas ir, aizsardzību pret dažādu datu labošanu, pārtveršanu vai atskaņošanu. Iespēja pārsūtīt paroles vienkāršā tekstā ir neapmierinoša, un tāpat paroles šifrēšana nevar glābt situāciju, jo tās nenodrošina aizsardzību pret pavairošanu. Tāpēc mūsdienās tiek izmantoti sarežģītāki autentifikācijas protokoli.

Uzticama identifikācija ir sarežģīta ne tikai dažādu tiešsaistes draudu, bet arī dažādu citu iemeslu dēļ. Pirmkārt, gandrīz jebkuru autentifikācijas entītiju var nozagt, viltot vai izsecināt. Pastāv arī zināma pretruna starp izmantotās sistēmas uzticamību, no vienas puses, un sistēmas administratora vai lietotāja ērtībām, no otras puses. Tādējādi drošības apsvērumu dēļ ir jālūdz lietotājam ar zināmu biežumu atkārtoti ievadīt savu autentifikācijas informāciju (jo viņa vietā var jau sēdēt kāda cita persona), un tas ne tikai rada papildu problēmas, bet arī ievērojami palielina iespēja, ka kāds var izspiegot informācijas ievadīšanu. Cita starpā aizsardzības līdzekļa uzticamība būtiski ietekmē tā izmaksas.

Mūsdienu identifikācijas un autentifikācijas sistēmas atbalsta vienreizējās pierakstīšanās tīklā koncepciju, kas galvenokārt ļauj izpildīt prasības attiecībā uz lietotāju ērtībām. Ja standarta korporatīvajā tīklā ir daudz informācijas pakalpojumu,paredzot neatkarīgas ārstēšanas iespēju, tad atkārtota personas datu ievadīšana kļūst pārāk apgrūtinoša. Šobrīd vēl nevar teikt, ka vienreizējās pierakstīšanās lietošana ir uzskatāma par normālu, jo dominējošie risinājumi vēl nav izveidojušies.

Tādējādi daudzi cenšas rast kompromisu starp identifikācijas/autentifikācijas līdzekļu pieejamību, ērtības un uzticamību. Lietotāju autorizācija šajā gadījumā tiek veikta saskaņā ar individuāliem noteikumiem.

Īpaša uzmanība jāpievērš tam, ka izmantoto pakalpojumu var izvēlēties kā pieejamības uzbrukuma objektu. Ja sistēma ir konfigurēta tā, ka pēc noteikta skaita neveiksmīgiem mēģinājumiem tiek bloķēta iespēja iekļūt, tad šajā gadījumā uzbrucēji var apturēt likumīgo lietotāju darbu tikai ar dažiem taustiņsitieniem.

Paroles autentifikācija

Galvenā šādas sistēmas priekšrocība ir tā, ka tā ir ārkārtīgi vienkārša un pazīstama vairumam. Paroles jau ilgu laiku izmanto operētājsistēmas un citi servisi, un, pareizi lietojot, tās nodrošina drošības līmeni, kas ir diezgan pieņemams lielākajai daļai organizāciju. Bet, no otras puses, attiecībā uz kopējo raksturlielumu kopumu šādas sistēmas ir vājākie līdzekļi, ar kuriem var veikt identifikāciju / autentifikāciju. Autorizācija šajā gadījumā kļūst pavisam vienkārša, jo parolēm ir jābūtneaizmirstamas, bet tajā pašā laikā vienkāršas kombinācijas nav grūti uzminēt, it īpaši, ja cilvēks zina konkrēta lietotāja vēlmes.

Dažreiz gadās, ka paroles principā netiek turētas noslēpumā, jo tām ir diezgan standarta vērtības, kas norādītas noteiktā dokumentācijā, un ne vienmēr pēc sistēmas instalēšanas tās tiek mainītas.

Ievadot paroli, var redzēt, un dažos gadījumos cilvēki pat izmanto specializētas optiskās ierīces.

Lietotāji, kas ir galvenie identifikācijas un autentifikācijas subjekti, bieži var koplietot paroles ar kolēģiem, lai viņi uz noteiktu laiku mainītu īpašumtiesības. Teorētiski šādās situācijās vislabāk būtu izmantot īpašas piekļuves kontroles, taču praksē to neizmanto neviens. Un, ja paroli zina divi cilvēki, tas ievērojami palielina iespēju, ka citi galu galā par to uzzinās.

Kā to labot?

Ir vairāki veidi, kā nodrošināt identifikāciju un autentifikāciju. Informācijas apstrādes komponents var sevi aizsargāt šādi:

• Dažādu tehnisku ierobežojumu noteikšana. Visbiežāk tiek noteikti noteikumi paroles garumam, kā arī noteiktu tajā esošo rakstzīmju saturam.
• Paroļu derīguma termiņa pārvaldīšana, tas ir, nepieciešamība tās periodiski mainīt.
• Piekļuves ierobežošana galvenajam paroles failam.
• Ierobežojot kopējo pieteikšanās laikā pieejamo neveiksmīgo mēģinājumu skaitu. PateicotiesŠādā gadījumā uzbrucējiem darbības jāveic tikai pirms identifikācijas un autentifikācijas, jo nevar izmantot brutālā spēka metodi.
• Lietotāju iepriekšēja apmācība.
• Izmantojot specializētu paroļu ģeneratora programmatūru, kas ļauj izveidot kombinācijas, kas ir pietiekami patīkamas un neaizmirstamas.

Visus šos pasākumus var izmantot jebkurā gadījumā, pat ja kopā ar parolēm tiek izmantoti citi autentifikācijas līdzekļi.

Vienreizējās paroles

Iepriekš apspriestās opcijas ir atkārtoti lietojamas, un, ja kombinācija tiek atklāta, uzbrucējs iegūst iespēju lietotāja vārdā veikt noteiktas darbības. Tāpēc vienreizējās paroles tiek izmantotas kā spēcīgāks līdzeklis, izturīgs pret pasīvās tīkla klausīšanās iespēju, pateicoties kam identifikācijas un autentifikācijas sistēma kļūst daudz drošāka, lai gan ne tik ērta.

Šobrīd viens no populārākajiem programmatūras vienreizējo paroļu ģeneratoriem ir Bellcore izdotā sistēma S/KEY. Šīs sistēmas pamatkoncepcija ir tāda, ka ir noteikta funkcija F, kas ir zināma gan lietotājam, gan autentifikācijas serverim. Tālāk ir norādīta slepenā atslēga K, kas ir zināma tikai noteiktam lietotājam.

Lietotāja sākotnējās administrēšanas laikā šī funkcija tiek izmantota taustiņamnoteiktu reižu skaitu, pēc tam rezultāts tiek saglabāts serverī. Turpmāk autentifikācijas procedūra izskatīsies šādi:

1. Cipars lietotāja sistēmā nonāk no servera, kas ir par 1 mazāks nekā reižu skaits, kad funkcija tiek izmantota taustiņam.
2. Lietotājs izmanto funkciju pieejamajai slepenajai atslēgai tik reižu skaitu, kas tika iestatīts pirmajā rindkopā, un pēc tam rezultāts tiek nosūtīts pa tīklu tieši uz autentifikācijas serveri.
3. Serveris izmanto šo funkciju līdz saņemtajai vērtībai, pēc kuras rezultāts tiek salīdzināts ar iepriekš saglabāto vērtību. Ja rezultāti sakrīt, lietotājs tiek autentificēts un serveris saglabā jauno vērtību, pēc tam samazina skaitītāju par vienu.

Praksē šīs tehnoloģijas ieviešanai ir nedaudz sarežģītāka struktūra, taču šobrīd tas nav tik svarīgi. Tā kā funkcija ir neatgriezeniska, pat tad, ja parole tiek pārtverta vai tiek iegūta nesankcionēta piekļuve autentifikācijas serverim, tā nenodrošina iespēju iegūt slepeno atslēgu un jebkādā veidā paredzēt, kā konkrēti izskatīsies nākamā vienreizējā parole.

Krievijā kā vienots pakalpojums tiek izmantots īpašs valsts portāls - "Vienotā identifikācijas/autentifikācijas sistēma" ("ESIA").

Cita pieeja spēcīgai autentifikācijas sistēmai ir jaunas paroles ģenerēšana īsos intervālos, kas arī tiek ieviesta, izmantojotspecializētu programmu vai dažādu viedkaršu izmantošana. Šajā gadījumā autentifikācijas serverim ir jāpieņem atbilstošais paroles ģenerēšanas algoritms, kā arī noteikti ar to saistītie parametri, turklāt ir jābūt arī servera un klienta pulksteņa sinhronizācijai.

Kerberos

Kerberos autentifikācijas serveris pirmo reizi parādījās pagājušā gadsimta 90. gadu vidū, taču kopš tā laika tas jau ir saņēmis milzīgu skaitu būtisku izmaiņu. Pašlaik atsevišķi šīs sistēmas komponenti ir gandrīz katrā modernajā operētājsistēmā.

Šī pakalpojuma galvenais mērķis ir atrisināt šādu problēmu: ir noteikts neaizsargāts tīkls, un tā mezglos ir koncentrēti dažādi subjekti lietotāju, kā arī serveru un klientu programmatūras sistēmu veidā. Katram šādam subjektam ir individuāla slepenā atslēga, un, lai subjektam C būtu iespēja subjektam S pierādīt savu autentiskumu, bez kura viņš viņam vienkārši nekalpos, viņam vajadzēs ne tikai sevi nosaukt, bet arī lai parādītu, ka viņš zina noteiktu Slepeno atslēgu. Tajā pašā laikā C nav iespējas vienkārši nosūtīt savu slepeno atslēgu S, jo, pirmkārt, tīkls ir atvērts, un turklāt S to nezina un principā viņam nevajadzētu zināt. Šādā situācijā šīs informācijas apliecināšanai tiek izmantots ne tik vienkāršs paņēmiens.

To nodrošina elektroniskā identifikācija/autentifikācija, izmantojot Kerberos sistēmuizmantot kā uzticamu trešo pusi, kurai ir informācija par apkalpoto objektu slepenajām atslēgām un, ja nepieciešams, palīdz tai veikt pāru autentifikāciju.

Tādējādi klients vispirms nosūta sistēmai pieprasījumu, kurā ir nepieciešamā informācija par viņu, kā arī par pieprasīto pakalpojumu. Pēc tam Kerberos viņam izsniedz sava veida biļeti, kas ir šifrēta ar servera slepeno atslēgu, kā arī daļu no tās iegūto datu kopiju, kas tiek šifrēta ar klienta atslēgu. Sakritības gadījumā tiek konstatēts, ka klients viņam paredzēto informāciju atšifrējis, proti, spējis demonstrēt, ka tiešām zina slepeno atslēgu. Tas liek domāt, ka klients ir tieši tas, par ko viņš uzdodas.

Īpaša uzmanība šeit jāpievērš tam, ka slepeno atslēgu pārsūtīšana netika veikta tīklā, un tās tika izmantotas tikai šifrēšanai.

Biometriskā autentifikācija

Biometrija ietver automatizētu līdzekļu kombināciju cilvēku identificēšanai/autentifikācijai, pamatojoties uz viņu uzvedības vai fizioloģiskajām īpašībām. Fiziskie autentifikācijas un identifikācijas līdzekļi ietver acu tīklenes un radzenes, pirkstu nospiedumu, sejas un rokas ģeometrijas un citas personas informācijas pārbaudi. Uzvedības raksturlielumi ietver darba stilu ar tastatūru un paraksta dinamiku. Kombinētsmetodes ir dažādu cilvēka balss pazīmju analīze, kā arī viņa runas atpazīšana.

Šādas identifikācijas/autentifikācijas un šifrēšanas sistēmas tiek plaši izmantotas daudzās pasaules valstīs, taču ilgu laiku tās bija ārkārtīgi dārgas un grūti lietojamas. Pēdējā laikā pieprasījums pēc biometriskiem produktiem ir ievērojami pieaudzis, pateicoties e-komercijas attīstībai, jo no lietotāja viedokļa daudz ērtāk ir sevi prezentēt, nevis iegaumēt kādu informāciju. Attiecīgi pieprasījums rada piedāvājumu, tāpēc tirgū sāka parādīties salīdzinoši lēti produkti, kas galvenokārt ir vērsti uz pirkstu nospiedumu atpazīšanu.

Lielākajā daļā gadījumu biometriskie dati tiek izmantoti kopā ar citiem autentifikatoriem, piemēram, viedkartēm. Bieži vien biometriskā autentifikācija ir tikai pirmā aizsardzības līnija un darbojas kā līdzeklis viedkaršu aktivizēšanai, kas ietver dažādus kriptogrāfijas noslēpumus. Izmantojot šo tehnoloģiju, biometriskā veidne tiek saglabāta tajā pašā kartē.

Aktivitāte biometrijas jomā ir diezgan liela. Atbilstošs konsorcijs jau pastāv, un arī diezgan aktīvi notiek darbs dažādu tehnoloģiju aspektu standartizācijā. Šodien jūs varat redzēt daudz reklāmas rakstu, kuros biometriskās tehnoloģijas tiek prezentētas kā ideāls līdzeklis drošības palielināšanai un tajā pašā laikā pieejams plašai sabiedrībai.masu.

ESIA

Identifikācijas un autentifikācijas sistēma ("ESIA") ir speciāls pakalpojums, kas izveidots, lai nodrošinātu dažādu ar pretendentu un starpresoru mijiedarbības dalībnieku identitātes pārbaudi saistītu uzdevumu izpildi, sniedzot jebkuri pašvaldības vai valsts pakalpojumi elektroniskā veidā.

Lai piekļūtu "Valsts iestāžu vienotajam portālam", kā arī jebkurām citām pašreizējās e-pārvaldes infrastruktūras informācijas sistēmām, vispirms būs jāreģistrē konts un tā rezultātā, saņemiet PES.

Līmeņi

Vienotās identifikācijas un autentifikācijas sistēmas portāls privātpersonām nodrošina trīs galvenos kontu līmeņus:

• Vienkāršots. Lai to reģistrētu, vienkārši jānorāda savs uzvārds un vārds, kā arī kāds konkrēts saziņas kanāls e-pasta adreses vai mobilā tālruņa veidā. Šis ir primārais līmenis, caur kuru personai ir pieejams tikai ierobežots dažādu sabiedrisko pakalpojumu saraksts, kā arī esošo informācijas sistēmu iespējas.
• Standarta. Lai to iegūtu, vispirms jāizveido vienkāršots konts un pēc tam jānorāda arī papildu dati, tostarp informācija no pases un apdrošināšanas individuālā personīgā konta numurs. Norādītā informācija tiek automātiski pārbaudīta caur informācijas sistēmāmPensiju fonds, kā arī Federālais migrācijas dienests, un, ja pārbaude ir veiksmīga, konts tiek pārcelts uz standarta līmeni, kas lietotājam atver paplašinātu sabiedrisko pakalpojumu sarakstu.
• Apstiprināts. Lai iegūtu šāda līmeņa kontu, vienotā identifikācijas un autentifikācijas sistēma pieprasa lietotājiem standarta kontu, kā arī identitātes pārbaudi, kas tiek veikta, personīgi apmeklējot autorizētu servisa filiāli vai saņemot aktivizācijas kodu ierakstītā vēstulē. Gadījumā, ja identitātes pārbaude būs veiksmīga, konts tiks pārvietots uz jaunu līmeni un lietotājs varēs piekļūt visam nepieciešamo valsts pakalpojumu sarakstam.

Neskatoties uz to, ka procedūras var šķist diezgan sarežģītas, patiesībā ar pilnu nepieciešamo datu sarakstu var iepazīties tieši oficiālajā mājaslapā, tāpēc pilna reģistrācija ir pilnīgi iespējama dažu dienu laikā.