Identifikatsiya va autentifikatsiya: asosiy tushunchalar

2024 Muallif: Howard Calhoun | [email protected]. Oxirgi o'zgartirilgan: 2023-12-17 10:44

Identifikatsiya va autentifikatsiya zamonaviy dasturiy ta'minot va apparat xavfsizligi vositalarining asosi hisoblanadi, chunki boshqa har qanday xizmatlar asosan ushbu ob'ektlarga xizmat ko'rsatish uchun mo'ljallangan. Ushbu tushunchalar tashkilotning axborot maydoni xavfsizligini ta'minlaydigan o'ziga xos birinchi himoya chizig'ini ifodalaydi.

Bu nima?

Identifikatsiya va autentifikatsiya turli funksiyalarga ega. Birinchisi, sub'ektga (foydalanuvchi yoki ularning nomidan harakat qiluvchi jarayon) o'z nomini taqdim etish imkoniyatini beradi. Autentifikatsiya yordamida ikkinchi tomon, nihoyat, mavzu haqiqatan ham o'zini kim deb da'vo qilayotganiga amin bo'ladi. Identifikatsiya va autentifikatsiya odatda sinonim sifatida “ism xabari” va “autentifikatsiya” iboralari bilan almashtiriladi.

Ularning o'zlari bir nechta navlarga bo'lingan. Keyin identifikatsiya va autentifikatsiya nima ekanligini va ular nima ekanligini ko‘rib chiqamiz.

Autentifikatsiya

Bu kontseptsiya ikki turni nazarda tutadi: bir tomonlama, mijoz qachonavval serverga uning haqiqiyligini va ikki tomonlama, ya'ni o'zaro tasdiqlash o'tkazilayotganda isbotlashi kerak. Standart foydalanuvchi identifikatsiyasi va autentifikatsiyasi qanday amalga oshirilganligining standart namunasi - ma'lum bir tizimga kirish tartibi. Shunday qilib, har xil ob'ektlarda har xil turlardan foydalanish mumkin.

Foydalanuvchini identifikatsiyalash va autentifikatsiya qilish geografik jihatdan tarqoq tomonlarda amalga oshiriladigan tarmoq muhitida koʻrib chiqilayotgan xizmat ikki asosiy jihatda farqlanadi:

• autentifikatsiya vazifasini bajaradi;
• autentifikatsiya va identifikatsiya ma'lumotlari almashinuvi qanday tashkil etilgan va ular qanday himoyalangan.

Oʻz shaxsini tasdiqlash uchun subʼyekt quyidagi shaxslardan birini koʻrsatishi kerak:

• u biladigan ba'zi ma'lumotlar (shaxsiy raqam, parol, maxsus kriptografik kalit va boshqalar);
• o'ziga tegishli bo'lgan muayyan narsa (shaxsiy karta yoki shunga o'xshash maqsadli boshqa qurilma);
• oʻzining elementi boʻlgan muayyan narsa (barmoq izlari, ovoz va foydalanuvchilarni aniqlash va autentifikatsiya qilishning boshqa biometrik vositalari).

Tizim xususiyatlari

Ochiq tarmoq muhitida tomonlar ishonchli marshrutga ega emas, ya'ni, umuman olganda, sub'ekt tomonidan uzatiladigan ma'lumotlar oxir-oqibat olingan va foydalanilgan ma'lumotlarga mos kelmasligi mumkin.autentifikatsiya qilishda. Tarmoqni faol va passiv tinglash xavfsizligini ta'minlash, ya'ni turli ma'lumotlarni to'g'rilash, ushlab turish yoki o'ynatishdan himoya qilish talab qilinadi. Parollarni ochiq matnda uzatish varianti qoniqarli emas va xuddi shu tarzda parolni shifrlash kunni saqlab qololmaydi, chunki ular qayta ishlab chiqarishdan himoya qilmaydi. Shuning uchun bugungi kunda yanada murakkab autentifikatsiya protokollaridan foydalanilmoqda.

Ishonchli identifikatsiya qilish nafaqat turli onlayn tahdidlar, balki boshqa turli sabablarga koʻra ham qiyin. Birinchidan, deyarli har qanday autentifikatsiya ob'ekti o'g'irlanishi, qalbakilashtirilishi yoki taxmin qilinishi mumkin. Bundan tashqari, bir tomondan, foydalanilayotgan tizimning ishonchliligi va boshqa tomondan, tizim ma'muri yoki foydalanuvchisining qulayligi o'rtasida ma'lum bir qarama-qarshilik mavjud. Shunday qilib, xavfsizlik nuqtai nazaridan foydalanuvchidan o'zining autentifikatsiya ma'lumotlarini ma'lum bir chastota bilan qayta kiritishni so'rash talab qilinadi (chunki uning o'rnida boshqa shaxs allaqachon o'tirgan bo'lishi mumkin) va bu nafaqat qo'shimcha muammolarni keltirib chiqaradi, balki sezilarli darajada oshiradi. kimdir ma'lumot kiritishda josuslik qilishi ehtimoli. Boshqa narsalar qatorida, himoya vositalarining ishonchliligi uning narxiga sezilarli ta'sir qiladi.

Zamonaviy identifikatsiya va autentifikatsiya tizimlari tarmoqqa bir marta kirish kontseptsiyasini qo'llab-quvvatlaydi, bu birinchi navbatda foydalanuvchi qulayligi nuqtai nazaridan talablarni qondirish imkonini beradi. Agar standart korporativ tarmoqda ko'plab axborot xizmatlari mavjud bo'lsa,mustaqil davolanish imkoniyatini ta'minlagan holda, shaxsiy ma'lumotlarni qayta-qayta kiritish juda mashaqqatli bo'ladi. Hozircha yagona tizimga kirishni normal deb aytish mumkin emas, chunki dominant yechimlar hali shakllanmagan.

Shunday qilib, koʻpchilik identifikatsiya/autentifikatsiyani taʼminlovchi vositalarning arzonligi, qulayligi va ishonchliligi oʻrtasida murosani topishga harakat qilmoqda. Bu holatda foydalanuvchilarni avtorizatsiya qilish individual qoidalarga muvofiq amalga oshiriladi.

Mavjudlikka hujum ob'ekti sifatida foydalanilayotgan xizmat tanlanishi mumkinligiga alohida e'tibor qaratish lozim. Agar tizim shunday sozlangan boʻlsa, maʼlum miqdordagi muvaffaqiyatsiz urinishlardan soʻng kirish imkoniyati bloklanadi, bu holda tajovuzkorlar qonuniy foydalanuvchilarning ishini bir necha tugma bosish orqali toʻxtatishi mumkin.

Parol autentifikatsiyasi

Bunday tizimning asosiy afzalligi shundaki, u juda oddiy va koʻpchilikka tanish. Parollar uzoq vaqt davomida operatsion tizimlar va boshqa xizmatlar tomonidan qo'llanilgan va to'g'ri ishlatilganda, ular ko'pchilik tashkilotlar uchun juda maqbul bo'lgan xavfsizlik darajasini ta'minlaydi. Ammo boshqa tomondan, umumiy xususiyatlar to'plami nuqtai nazaridan, bunday tizimlar identifikatsiya / autentifikatsiyani amalga oshirish mumkin bo'lgan eng zaif vositadir. Bu holda avtorizatsiya juda oddiy bo'ladi, chunki parollar bo'lishi kerakesda qolarli, lekin ayni paytda oddiy kombinatsiyalarni taxmin qilish qiyin emas, ayniqsa, agar biror kishi ma'lum bir foydalanuvchining afzalliklarini bilsa.

Ba'zan shunday bo'ladiki, parollar, qoida tariqasida, sir saqlanmaydi, chunki ular ma'lum hujjatlarda ko'rsatilgan juda standart qiymatlarga ega va har doim ham tizim o'rnatilgandan keyin ham o'zgartirilmaydi.

Parolni kiritishda siz koʻrishingiz mumkin va baʼzi hollarda odamlar maxsus optik qurilmalardan ham foydalanishadi.

Identifikatsiya va autentifikatsiyaning asosiy sub'ektlari bo'lgan foydalanuvchilar ma'lum vaqtga egalik huquqini o'zgartirishi uchun hamkasblari bilan ko'pincha parollarni almashishlari mumkin. Nazariy jihatdan, bunday vaziyatlarda maxsus kirishni boshqarish vositalaridan foydalanish yaxshi bo'ladi, ammo amalda bu hech kim tomonidan ishlatilmaydi. Agar ikki kishi parolni bilsa, bu boshqalarning bu haqda bilib olish ehtimolini sezilarli darajada oshiradi.

Buni qanday tuzatish mumkin?

Identifikatsiya va autentifikatsiyani himoyalashning bir qancha usullari mavjud. Axborotni qayta ishlash komponenti o'zini quyidagicha himoya qilishi mumkin:

• Turli texnik cheklovlarni joriy etish. Ko'pincha qoidalar parol uzunligi va undagi ayrim belgilarning mazmuni uchun o'rnatiladi.
• Parollarning amal qilish muddatini boshqarish, ya'ni ularni vaqti-vaqti bilan o'zgartirish zarurati.
• Asosiy parol fayliga kirish cheklanmoqda.
• Kirishda mavjud muvaffaqiyatsiz urinishlar umumiy sonini cheklash orqali. RahmatBunday holda, tajovuzkorlar faqat identifikatsiya va autentifikatsiyani amalga oshirishdan oldin amallarni bajarishi kerak, chunki shafqatsiz kuch usulidan foydalanib bo‘lmaydi.
• Foydalanuvchilarni oldindan tayyorlash.
• Ixtisoslashgan parol ishlab chiqaruvchi dasturiy ta'minotdan foydalanish, bu sizga yoqimli va esda qolarli kombinatsiyalar yaratish imkonini beradi.

Ushbu chora-tadbirlarning barchasi istalgan holatda, hatto parollar bilan birga autentifikatsiya qilishning boshqa vositalaridan ham foydalanilgan taqdirda ham foydalanish mumkin.

Bir martalik parollar

Yuqorida koʻrib chiqilgan variantlardan qayta foydalanish mumkin va agar kombinatsiya aniqlansa, tajovuzkor foydalanuvchi nomidan muayyan operatsiyalarni bajarish imkoniyatiga ega boʻladi. Shuning uchun bir martalik parollar tarmoqni passiv tinglash imkoniyatiga chidamli kuchliroq vosita sifatida ishlatiladi, buning yordamida identifikatsiya va autentifikatsiya tizimi unchalik qulay bo'lmasa-da, ancha xavfsizroq bo'ladi.

Hozirda bir martalik parol ishlab chiqaruvchi dasturiy ta'minotning eng mashhurlaridan biri Bellcore tomonidan chiqarilgan S/KEY deb nomlangan tizimdir. Ushbu tizimning asosiy kontseptsiyasi shundan iboratki, foydalanuvchiga ham, autentifikatsiya serveriga ham ma'lum bo'lgan F funktsiyasi mavjud. Quyida faqat ma'lum bir foydalanuvchiga ma'lum bo'lgan K maxfiy kaliti keltirilgan.

Foydalanuvchining dastlabki ma'muriyatida bu funksiya kalit uchun ishlatiladima'lum bir necha marta, shundan so'ng natija serverda saqlanadi. Kelajakda autentifikatsiya jarayoni quyidagicha ko'rinadi:

1. Serverdan foydalanuvchi tizimiga raqam keladi, bu funksiya kalitga ishlatilish sonidan 1 marta kam.
2. Foydalanuvchi mavjud maxfiy kalit funksiyasidan birinchi xatboshida oʻrnatilgan necha marta foydalanadi, shundan soʻng natija tarmoq orqali toʻgʻridan-toʻgʻri autentifikatsiya serveriga yuboriladi.
3. Server bu funksiyadan olingan qiymat uchun foydalanadi, shundan soʻng natija avval saqlangan qiymat bilan solishtiriladi. Agar natijalar mos kelsa, foydalanuvchi autentifikatsiya qilinadi va server yangi qiymatni saqlaydi, keyin hisoblagichni bir marta kamaytiradi.

Amalda bu texnologiyani amalga oshirish biroz murakkabroq tuzilishga ega, ammo hozircha bu unchalik muhim emas. Funktsiya qaytarib bo'lmaydigan bo'lganligi sababli, agar parol ushlangan bo'lsa yoki autentifikatsiya serveriga ruxsatsiz kirish olinsa ham, u maxfiy kalitni olish imkoniyatini bermaydi va har qanday tarzda keyingi bir martalik parol qanday ko'rinishini oldindan aytib beradi.

Rossiyada yagona xizmat sifatida maxsus davlat portalidan foydalaniladi - "Yagona identifikatsiya/autentifikatsiya tizimi" ("ESIA").

Kuchli autentifikatsiya tizimiga yana bir yondashuv - bu qisqa vaqt oralig'ida yaratilgan yangi parolga ega bo'lishdir.maxsus dasturlar yoki turli smart-kartalardan foydalanish. Bunday holda, autentifikatsiya serveri tegishli parol yaratish algoritmini, shuningdek, u bilan bog'liq bo'lgan ma'lum parametrlarni qabul qilishi kerak, bundan tashqari, server va mijoz soati sinxronizatsiyasi ham bo'lishi kerak.

Kerberos

Kerberos autentifikatsiya serveri birinchi marta o'tgan asrning 90-yillari o'rtalarida paydo bo'lgan, ammo o'shandan beri u juda ko'p fundamental o'zgarishlarni oldi. Ayni paytda ushbu tizimning alohida komponentlari deyarli barcha zamonaviy operatsion tizimlarda mavjud.

Ushbu xizmatning asosiy maqsadi quyidagi muammoni hal qilishdan iborat: ma'lum bir himoyalanmagan tarmoq mavjud va uning tugunlarida foydalanuvchilar ko'rinishidagi turli sub'ektlar, shuningdek, server va mijoz dasturiy ta'minot tizimlari to'plangan. Har bir bunday sub'ektning shaxsiy maxfiy kaliti bor va C sub'ekti S sub'ektiga o'zining haqiqiyligini isbotlash imkoniyatiga ega bo'lishi uchun u shunchaki unga xizmat qilmaydi, u nafaqat o'zini nomlashi kerak, balki u ham kerak bo'ladi. ma'lum bir maxfiy kalitni bilishini ko'rsatish. Shu bilan birga, C o'zining maxfiy kalitini S ga oddiygina yuborish imkoniyatiga ega emas, chunki, birinchi navbatda, tarmoq ochiq va bundan tashqari, S buni bilmaydi va, qoida tariqasida, bilmasligi kerak. Bunday vaziyatda ushbu ma'lumotni bilishni ko'rsatish uchun unchalik oson bo'lmagan usul qo'llaniladi.

Kerberos tizimi orqali elektron identifikatsiya/autentifikatsiya buni ta'minlaydixizmat koʻrsatilayotgan obyektlarning maxfiy kalitlari haqida maʼlumotga ega boʻlgan va kerak boʻlganda ularga juftlik autentifikatsiyasini oʻtkazishda yordam beradigan ishonchli uchinchi tomon sifatida foydalaning.

Shunday qilib, mijoz birinchi navbatda tizimga soʻrov yuboradi, unda oʻzi haqida, shuningdek, soʻralgan xizmat haqida kerakli maʼlumotlar mavjud. Shundan so'ng Kerberos unga serverning maxfiy kaliti bilan shifrlangan o'ziga xos chiptani, shuningdek, undan mijoz kaliti bilan shifrlangan ma'lumotlarning bir qismi nusxasini taqdim etadi. Mos kelgan taqdirda, mijoz o'zi uchun mo'ljallangan ma'lumotni shifrlagani, ya'ni u haqiqatan ham maxfiy kalitni bilishini ko'rsata olganligi aniqlandi. Bu mijoz aynan o‘zi da’vo qilgan shaxs ekanligini ko‘rsatadi.

Bu erda maxfiy kalitlarni uzatish tarmoq orqali amalga oshirilmaganiga va ular faqat shifrlash uchun ishlatilganiga alohida e'tibor qaratish lozim.

Biometrik autentifikatsiya

Biometriya odamlarni xulq-atvori yoki fiziologik xususiyatlariga qarab aniqlash/autentifikatsiya qilishning avtomatlashtirilgan vositalarining kombinatsiyasini o'z ichiga oladi. Autentifikatsiya va identifikatsiyaning jismoniy vositalariga ko'zning to'r pardasi va shox pardasi, barmoq izlari, yuz va qo'l geometriyasi va boshqa shaxsiy ma'lumotlarni tekshirish kiradi. Xulq-atvor xususiyatlariga klaviatura bilan ishlash uslubi va imzo dinamikasi kiradi. Birlashtirilganusullar - inson ovozining turli xususiyatlarini tahlil qilish, shuningdek, uning nutqini tan olish.

Bunday identifikatsiya/autentifikatsiya va shifrlash tizimlari dunyoning koʻplab mamlakatlarida keng qoʻllaniladi, biroq uzoq vaqt davomida ulardan foydalanish juda qimmat va qiyin edi. So'nggi paytlarda elektron tijoratning rivojlanishi tufayli biometrik mahsulotlarga talab sezilarli darajada oshdi, chunki foydalanuvchi nuqtai nazaridan, ba'zi ma'lumotlarni yodlab olishdan ko'ra, o'zini ko'rsatish ancha qulayroqdir. Shunga ko'ra, talab taklifni yaratadi, shuning uchun bozorda asosan barmoq izini aniqlashga qaratilgan nisbatan arzon mahsulotlar paydo bo'la boshladi.

Aksariyat hollarda biometrika smart-kartalar kabi boshqa autentifikatsiya vositalari bilan birgalikda ishlatiladi. Ko'pincha, biometrik autentifikatsiya faqat birinchi himoya chizig'i bo'lib, turli kriptografik sirlarni o'z ichiga olgan smart-kartalarni faollashtirish vositasi sifatida ishlaydi. Ushbu texnologiyadan foydalanganda biometrik shablon bir xil kartada saqlanadi.

Biometriya sohasidagi faollik ancha yuqori. Tegishli konsorsium allaqachon mavjud bo'lib, texnologiyaning turli jihatlarini standartlashtirishga qaratilgan ishlar ham faol ravishda olib borilmoqda. Bugungi kunda biometrik texnologiyalar xavfsizlikni oshirishning ideal vositasi sifatida taqdim etilgan va shu bilan birga keng jamoatchilikka ochiq bo'lgan ko'plab reklama maqolalarini ko'rishingiz mumkin.ommaviy.

ESIA

Identifikatsiya va autentifikatsiya tizimi ("ESIA") ariza beruvchilar va idoralararo o'zaro hamkorlik ishtirokchilarining shaxsini tekshirish bilan bog'liq turli vazifalarni amalga oshirishni ta'minlash uchun yaratilgan maxsus xizmatdir. elektron shakldagi har qanday shahar yoki davlat xizmatlari.

“Davlat organlarining yagona portali”ga, shuningdek, joriy elektron hukumat infratuzilmasining boshqa har qanday axborot tizimlariga kirish uchun avvalo akkauntni roʻyxatdan oʻtkazish va natijada, PES qabul qiling.

Darajalar

Yagona identifikatsiya va autentifikatsiya tizimining portali jismoniy shaxslar uchun hisoblarning uchta asosiy darajasini ta'minlaydi:

• Soddalashtirilgan. Uni ro'yxatdan o'tkazish uchun siz familiyangizni va ismingizni, shuningdek, elektron pochta manzili yoki mobil telefon ko'rinishidagi muayyan aloqa kanalini ko'rsatishingiz kerak. Bu birlamchi daraja boʻlib, u orqali odam turli davlat xizmatlarining cheklangan roʻyxatidan, shuningdek, mavjud axborot tizimlari imkoniyatlaridan foydalana oladi.
• Standart. Uni olish uchun siz avval soddalashtirilgan hisob raqamini berishingiz kerak, keyin esa qo'shimcha ma'lumotlarni, shu jumladan pasport ma'lumotlarini va shaxsiy sug'urta shaxsiy hisob raqamini taqdim etishingiz kerak. Belgilangan ma'lumotlar avtomatik ravishda axborot tizimlari orqali tekshiriladiPensiya jamg'armasi, shuningdek, Federal Migratsiya Xizmati va agar tekshirish muvaffaqiyatli bo'lsa, hisob foydalanuvchiga davlat xizmatlarining kengaytirilgan ro'yxatini ochadigan standart darajaga o'tkaziladi.
• Tasdiqlangan. Ushbu darajadagi hisobni olish uchun yagona identifikatsiya va autentifikatsiya tizimi foydalanuvchilardan standart hisob qaydnomasiga ega bo‘lishini, shuningdek, vakolatli xizmat ko‘rsatish bo‘limiga shaxsan tashrif buyurish yoki ro‘yxatdan o‘tgan pochta orqali faollashtirish kodini olish yo‘li bilan amalga oshiriladigan shaxsni tekshirishni talab qiladi. Shaxsni tasdiqlash muvaffaqiyatli boʻlsa, hisob yangi bosqichga oʻtadi va foydalanuvchi zarur davlat xizmatlarining toʻliq roʻyxatidan foydalanish imkoniyatiga ega boʻladi.

Protseduralar ancha murakkab koʻrinishiga qaramay, aslida kerakli maʼlumotlarning toʻliq roʻyxati bilan bevosita rasmiy veb-saytda tanishishingiz mumkin, shuning uchun bir necha kun ichida toʻliq roʻyxatdan oʻtish mumkin.