Identifisering en verifikasie: basiese konsepte

2024 Outeur: Howard Calhoun | [email protected]. Laas verander: 2023-12-17 10:16

Identifikasie en verifikasie is die basis van moderne sagteware- en hardeware-sekuriteitsnutsmiddels, aangesien enige ander dienste hoofsaaklik ontwerp is om hierdie entiteite te bedien. Hierdie konsepte verteenwoordig 'n soort eerste linie van verdediging wat die sekuriteit van die inligtingspasie van die organisasie verseker.

Wat is dit?

Identifikasie en verifikasie het verskillende funksies. Die eerste gee die onderwerp (die gebruiker of proses wat namens hulle optree) die geleentheid om hul eie naam te verskaf. Met behulp van verifikasie word die tweede party uiteindelik oortuig dat die subjek werklik is wie hy beweer hy is. Identifikasie en stawing word dikwels vervang deur die frases "naamboodskap" en "stawing" as sinonieme.

Hulle self word in verskeie variëteite verdeel. Vervolgens sal ons kyk na wat identifikasie en verifikasie is en wat dit is.

Authentication

Hierdie konsep maak voorsiening vir twee tipes: eensydig, wanneer die kliëntmoet eers die egtheid daarvan aan die bediener bewys, en tweerigting, dit wil sê wanneer wedersydse bevestiging uitgevoer word. 'n Standaardvoorbeeld van hoe standaardgebruikeridentifikasie en -verifikasie uitgevoer word, is die prosedure om by 'n spesifieke stelsel aan te meld. Verskillende tipes kan dus in verskillende voorwerpe gebruik word.

In 'n netwerkomgewing waar gebruikersidentifikasie en -verifikasie op geografies verspreide kante uitgevoer word, verskil die betrokke diens in twee hoofaspekte:

• wat as 'n waarmerker optree;
• hoe presies die uitruil van verifikasie- en identifikasiedata georganiseer is en hoe dit beskerm word.

Om hul identiteit te bewys, moet die proefpersoon een van die volgende entiteite aanbied:

• sekere inligting wat hy ken (persoonlike nommer, wagwoord, spesiale kriptografiese sleutel, ens.);
• sekere ding wat hy besit (persoonlike kaart of 'n ander toestel met 'n soortgelyke doel);
• 'n sekere ding wat 'n element van homself is (vingerafdrukke, stem en ander biometriese maniere om gebruikers te identifiseer en te staaf).

Stelselkenmerke

In 'n oop netwerk-omgewing het die partye nie 'n vertroude roete nie, wat beteken dat die inligting wat deur die proefpersoon oorgedra word uiteindelik nie ooreenstem met die inligting wat ontvang en gebruik word nie.wanneer dit geverifieer word. Dit is nodig om die sekuriteit van aktiewe en passiewe luister na die netwerk te verseker, dit wil sê beskerming teen die regstelling, onderskepping of terugspeel van verskeie data. Die opsie om wagwoorde in gewone teks oor te dra is onbevredigend, en op dieselfde manier kan wagwoordkodering nie die dag red nie, aangesien dit nie beskerming teen reproduksie bied nie. Dit is hoekom meer komplekse stawingsprotokolle vandag gebruik word.

Betroubare identifikasie is moeilik, nie net weens verskeie aanlynbedreigings nie, maar ook om verskeie ander redes. Eerstens kan byna enige verifikasie-entiteit gesteel, vervals of afgelei word. Daar is ook 'n sekere teenstrydigheid tussen die betroubaarheid van die stelsel wat gebruik word, aan die een kant, en die gerief van die stelseladministrateur of gebruiker, aan die ander kant. Om veiligheidsredes is dit dus nodig om die gebruiker te vra om sy verifikasie-inligting met 'n sekere frekwensie weer in te voer (aangesien 'n ander persoon dalk reeds in sy plek sit), en dit skep nie net bykomende moeilikheid nie, maar verhoog ook die kans dat daardie iemand kan spioeneer op die invoer van inligting. Die betroubaarheid van die beskermende toerusting beïnvloed onder meer die koste daarvan aansienlik.

Moderne identifikasie- en verifikasiestelsels ondersteun die konsep van enkelaanmelding op die netwerk, wat jou hoofsaaklik toelaat om aan die vereistes ten opsigte van gebruikersgerief te voldoen. As 'n standaard korporatiewe netwerk baie inligtingsdienste het,voorsiening maak vir die moontlikheid van onafhanklike behandeling, dan word die herhaalde bekendstelling van persoonlike data te moeilik. Op die oomblik kan daar nog nie gesê word dat die gebruik van enkelaanmelding as normaal beskou word nie, aangesien die dominante oplossings nog nie gevorm het nie.

Baie probeer dus om 'n kompromie te vind tussen bekostigbaarheid, gerief en betroubaarheid van die middele wat identifikasie/verifikasie verskaf. Magtiging van gebruikers word in hierdie geval volgens individuele reëls uitgevoer.

Spesiale aandag moet gegee word aan die feit dat die diens wat gebruik word, gekies kan word as die voorwerp van 'n beskikbaarheidsaanval. As die stelsel op so 'n manier gekonfigureer is dat die vermoë om in te gaan na 'n sekere aantal onsuksesvolle pogings geblokkeer word, kan aanvallers in hierdie geval die werk van wettige gebruikers stop met slegs 'n paar toetsaandrukke.

Wagwoordstawing

Die grootste voordeel van so 'n stelsel is dat dit uiters eenvoudig en vir die meeste bekend is. Wagwoorde word al lank deur bedryfstelsels en ander dienste gebruik, en wanneer dit korrek gebruik word, bied dit 'n vlak van sekuriteit wat vir die meeste organisasies redelik aanvaarbaar is. Maar aan die ander kant, in terme van die totale stel kenmerke, verteenwoordig sulke stelsels die swakste manier waarop identifikasie/verifikasie uitgevoer kan word. Magtiging in hierdie geval word redelik eenvoudig, aangesien wagwoorde moet weesonvergeetlike, maar terselfdertyd is eenvoudige kombinasies nie moeilik om te raai nie, veral as 'n persoon die voorkeure van 'n spesifieke gebruiker ken.

Soms gebeur dit dat wagwoorde in beginsel nie geheim gehou word nie, aangesien dit redelik standaardwaardes het wat in sekere dokumentasie gespesifiseer word, en nie altyd nadat die stelsel geïnstalleer is nie, word dit verander.

Wanneer jy die wagwoord invoer, kan jy sien, en in sommige gevalle gebruik mense selfs gespesialiseerde optiese toestelle.

Gebruikers, die hoofonderwerpe van identifikasie en verifikasie, kan dikwels wagwoorde met kollegas deel sodat hulle eienaarskap vir 'n sekere tyd kan verander. In teorie sal dit in sulke situasies die beste wees om spesiale toegangskontroles te gebruik, maar in die praktyk word dit deur niemand gebruik nie. En as twee mense die wagwoord ken, verhoog dit die kanse aansienlik dat ander uiteindelik daarvan sal uitvind.

Hoe om dit reg te stel?

Daar is verskeie maniere hoe identifikasie en verifikasie verseker kan word. Die inligtingverwerkingskomponent kan homself soos volg beveilig:

• Die oplegging van verskeie tegniese beperkings. Meestal word reëls gestel vir die lengte van die wagwoord, sowel as die inhoud van sekere karakters daarin.
• Bestuur van die verstryking van wagwoorde, dit wil sê die behoefte om dit periodiek te verander.
• Beperk toegang tot die hoofwagwoordlêer.
• Deur die totale aantal mislukte pogings wat beskikbaar is by aanmelding te beperk. Te danke aanIn hierdie geval moet aanvallers slegs aksies uitvoer voordat identifikasie en stawing uitgevoer word, aangesien die brute-force-metode nie gebruik kan word nie.
• Vooraf-opleiding van gebruikers.
• Gebruik van gespesialiseerde wagwoordopwekkersagteware wat jou in staat stel om kombinasies te skep wat aangenaam en onvergeetlik genoeg is.

Al hierdie maatreëls kan in elk geval gebruik word, selfs al word ander maniere van stawing saam met wagwoorde gebruik.

Eenmalige Wagwoorde

Die opsies wat hierbo bespreek is, is herbruikbaar, en as die kombinasie geopenbaar word, kry die aanvaller die geleentheid om sekere bewerkings namens die gebruiker uit te voer. Daarom word eenmalige wagwoorde as 'n sterker middel gebruik, bestand teen die moontlikheid van passiewe netwerkluister, waardeur die identifikasie- en verifikasiestelsel baie veiliger word, hoewel nie so gerieflik nie.

Op die oomblik is een van die gewildste sagteware eenmalige wagwoordgenerators 'n stelsel genaamd S/KEY, vrygestel deur Bellcore. Die basiese konsep van hierdie stelsel is dat daar 'n sekere funksie F is wat aan beide die gebruiker en die stawingbediener bekend is. Die volgende is die geheime sleutel K, wat slegs aan 'n sekere gebruiker bekend is.

Tydens die aanvanklike administrasie van die gebruiker, word hierdie funksie gebruik om die sleutel'n sekere aantal kere, waarna die resultaat op die bediener gestoor word. In die toekoms lyk die stawingsprosedure soos volg:

1. 'n Nommer kom na die gebruikerstelsel vanaf die bediener, wat 1 minder is as die aantal kere wat die funksie aan die sleutel gebruik word.
2. Die gebruiker gebruik die funksie na die beskikbare geheime sleutel die aantal kere wat in die eerste paragraaf gestel is, waarna die resultaat via die netwerk direk na die stawingbediener gestuur word.
3. Server gebruik hierdie funksie na die ontvangde waarde, waarna die resultaat vergelyk word met die voorheen gestoorde waarde. As die resultate ooreenstem, word die gebruiker geverifieer en die bediener stoor die nuwe waarde, en verlaag dan die teller met een.

In die praktyk het die implementering van hierdie tegnologie 'n effens meer komplekse struktuur, maar op die oomblik is dit nie so belangrik nie. Aangesien die funksie onomkeerbaar is, selfs al word die wagwoord onderskep of ongemagtigde toegang tot die stawingbediener verkry word, bied dit nie die vermoë om 'n geheime sleutel te verkry en op enige manier te voorspel hoe die volgende eenmalige wagwoord spesifiek sal lyk nie.

In Rusland word 'n spesiale staatsportaal as 'n verenigde diens gebruik - die "Verenigde Identifikasie / Bekragtigingstelsel" ("ESIA").

'n Ander benadering tot 'n sterk stawingstelsel is om 'n nuwe wagwoord met kort tussenposes te laat genereer, wat ook geïmplementeer word deurgebruik van gespesialiseerde programme of verskeie slimkaarte. In hierdie geval moet die stawingbediener die toepaslike wagwoordgenereringsalgoritme aanvaar, asook sekere parameters wat daarmee geassosieer word, en daarbenewens moet daar ook bediener- en kliëntkloksinchronisasie wees.

Kerberos

Die Kerberos-verifikasiebediener het die eerste keer in die middel-90's van die vorige eeu verskyn, maar sedertdien het dit reeds 'n groot aantal fundamentele veranderinge ontvang. Op die oomblik is individuele komponente van hierdie stelsel in byna elke moderne bedryfstelsel teenwoordig.

Die hoofdoel van hierdie diens is om die volgende probleem op te los: daar is 'n sekere onbeskermde netwerk, en verskeie onderwerpe is gekonsentreer in sy nodusse in die vorm van gebruikers, sowel as bediener- en kliëntsagtewarestelsels. Elke so 'n subjek het 'n individuele geheime sleutel, en om die subjek C die geleentheid te kry om sy eie egtheid aan die subjek S te bewys, waarsonder hy hom eenvoudig nie sal dien nie, sal hy nie net homself moet noem nie, maar ook om te wys dat hy 'n sekere Die geheime sleutel ken. Terselfdertyd het C nie die geleentheid om bloot sy geheime sleutel na S te stuur nie, aangesien die netwerk eerstens oop is, en boonop weet S dit nie, en behoort dit in beginsel nie te weet nie. In so 'n situasie word 'n minder eenvoudige tegniek gebruik om kennis van hierdie inligting te demonstreer.

Elektroniese identifikasie/verifikasie deur die Kerberos-stelsel maak voorsiening daarvoorgebruik as 'n betroubare derde party wat inligting oor die geheime sleutels van die bediende voorwerpe het en, indien nodig, hulle help om paarsgewyse stawing uit te voer.

Die kliënt stuur dus eers 'n versoek aan die stelsel, wat die nodige inligting oor hom bevat, asook oor die gevraagde diens. Daarna voorsien Kerberos hom van 'n soort kaartjie, wat met die bediener se geheime sleutel geënkripteer word, asook 'n kopie van van die data daaruit, wat met die kliënt se sleutel geënkripteer word. In die geval van 'n passing, word vasgestel dat die kliënt die inligting wat vir hom bedoel is, gedekripteer het, dit wil sê hy kon aantoon dat hy werklik die geheime sleutel ken. Dit dui daarop dat die kliënt presies is wie hy beweer hy is.

Spesiale aandag hier moet gegee word aan die feit dat die oordrag van geheime sleutels nie oor die netwerk uitgevoer is nie, en hulle is uitsluitlik vir enkripsie gebruik.

Biometriese stawing

Biometrie behels 'n kombinasie van outomatiese maniere om mense op grond van hul gedrags- of fisiologiese kenmerke te identifiseer/verifieer. Fisiese wyse van verifikasie en identifikasie sluit verifikasie van die retina en kornea van die oë, vingerafdrukke, gesig- en handgeometrie en ander persoonlike inligting in. Gedragskenmerke sluit in die styl van werk met die sleutelbord en die dinamika van die handtekening. Gekombineermetodes is die ontleding van verskeie kenmerke van 'n persoon se stem, asook herkenning van sy spraak.

Sulke identifikasie-/verifikasie- en enkripsiestelsels word wyd in baie lande regoor die wêreld gebruik, maar dit was vir 'n lang tyd uiters duur en moeilik om te gebruik. Onlangs het die vraag na biometriese produkte aansienlik toegeneem as gevolg van die ontwikkeling van e-handel, aangesien dit uit die oogpunt van die gebruiker baie geriefliker is om jouself aan te bied as om inligting te memoriseer. Gevolglik skep vraag aanbod, so relatief goedkoop produkte het op die mark begin verskyn, wat hoofsaaklik op vingerafdrukherkenning gefokus is.

In die oorgrote meerderheid van gevalle word biometrie gebruik in kombinasie met ander waarmerkers soos slimkaarte. Dikwels is biometriese verifikasie slegs die eerste linie van verdediging en dien dit as 'n manier om slimkaarte te aktiveer wat verskeie kriptografiese geheime insluit. Wanneer hierdie tegnologie gebruik word, word die biometriese sjabloon op dieselfde kaart gestoor.

Aktiwiteit op die gebied van biometrie is redelik hoog. 'n Toepaslike konsortium bestaan reeds, en werk word ook taamlik aktief uitgevoer wat daarop gemik is om verskeie aspekte van die tegnologie te standaardiseer. Vandag kan jy baie advertensie-artikels sien waarin biometriese tegnologieë aangebied word as 'n ideale manier om sekuriteit te verhoog en terselfdertyd toeganklik vir die algemene publiek.die massas.

ESIA

The Identification and Authentication System ("ESIA") is 'n spesiale diens wat geskep is om die implementering van verskeie take te verseker wat verband hou met die verifikasie van die identiteit van aansoekers en deelnemers aan interdepartementele interaksie in die geval van die verskaffing van enige munisipale of staatsdienste in elektroniese vorm.

Om toegang te verkry tot die "Enkel Portaal van Regeringsagentskappe", sowel as enige ander inligtingstelsels van die infrastruktuur van die huidige e-regering, sal jy eers 'n rekening moet registreer en as gevolg daarvan, ontvang 'n PES.

Vlakke

Die portaal van die verenigde identifikasie- en verifikasiestelsel maak voorsiening vir drie hoofvlakke van rekeninge vir individue:

• Vereenvoudig. Om dit te registreer, hoef jy net jou van en voornaam aan te dui, asook een of ander spesifieke kommunikasiekanaal in die vorm van 'n e-posadres of selfoon. Dit is die primêre vlak waardeur 'n persoon slegs toegang het tot 'n beperkte lys van verskeie openbare dienste, sowel as die vermoëns van bestaande inligtingstelsels.
• Standaard. Om dit te verkry, moet jy eers 'n vereenvoudigde rekening uitreik, en dan ook bykomende data verskaf, insluitend inligting uit die paspoort en die nommer van die versekerings individuele persoonlike rekening. Die gespesifiseerde inligting word outomaties deur inligtingstelsels nagegaanPensioenfonds, sowel as die Federale Migrasiediens, en as die kontrole suksesvol is, word die rekening na die standaardvlak oorgeplaas, wat 'n uitgebreide lys van openbare dienste aan die gebruiker oopmaak.
• Bevestig. Om hierdie vlak van rekening te verkry, vereis die verenigde identifikasie- en stawingstelsel van gebruikers om 'n standaardrekening te hê, sowel as identiteitsverifikasie, wat uitgevoer word deur 'n persoonlike besoek aan 'n gemagtigde dienstak of deur 'n aktiveringskode per geregistreerde pos te verkry. In die geval dat identiteitsverifikasie suksesvol is, sal die rekening na 'n nuwe vlak beweeg, en die gebruiker sal toegang hê tot die volledige lys van nodige staatsdienste.

Ten spyte van die feit dat die prosedures redelik ingewikkeld kan lyk, kan jy trouens met die volledige lys van nodige data direk op die amptelike webwerf kennis maak, so 'n volledige registrasie is heel moontlik binne 'n paar dae.