Идентификация жана аутентификация: негизги түшүнүктөр

2024 Автор: Howard Calhoun | [email protected]. Акыркы өзгөртүү: 2023-12-17 10:34

Идентификациялоо жана аутентификация заманбап программалык камсыздоонун жана аппараттык камсыздоонун коопсуздук куралдарынын негизи болуп саналат, анткени башка кызматтар негизинен ушул объекттерди тейлөө үчүн иштелип чыккан. Бул түшүнүктөр уюмдун маалымат мейкиндигинин коопсуздугун камсыз кылган коргонуунун биринчи линиясынын түрүн билдирет.

Бул эмне?

Идентификация жана аутентификациянын ар кандай функциялары бар. Биринчиси субъектке (алардын атынан иш алып барган колдонуучуга же процесске) өзүнүн атын берүү мүмкүнчүлүгүн берет. Аутентификациянын жардамы менен экинчи тарап субъект чындап эле ал ким экенине ынанат. Идентификация жана аутентификация көбүнчө синонимдер катары "аты билдирүү" жана "аныктыгын текшерүү" сөз айкаштары менен алмаштырылат.

Алар өздөрү бир нече сортко бөлүнөт. Андан кийин идентификация жана аутентификация деген эмне экенин жана алар эмне экенин карап чыгабыз.

Аутентификация

Бул концепция эки типти карайт: бир жактуу, качан кардарадегенде серверге анын аныктыгын жана эки тараптуу, башкача айтканда, өз ара ырастоо жүргүзүлүп жатканда далилдеши керек. Колдонуучуну стандарттуу идентификациялоо жана аутентификациялоонун стандарттуу мисалы - бул белгилүү бир системага кирүү процедурасы. Ошентип, ар кандай объекттерде ар кандай типтер колдонулушу мүмкүн.

Колдонуучунун идентификациясы жана аутентификациясы географиялык жактан чачырап кеткен тараптарда ишке ашырылган тармак чөйрөсүндө, каралып жаткан кызмат эки негизги аспектиде айырмаланат:

• аныктыгын текшерүүчү катары иштейт;
• аутентификация жана идентификациялык маалыматтарды алмашуу так кантип уюштурулган жана алар кантип корголот.

Өздүгүн тастыктоо үчүн субъект төмөнкү жактардын бирин көрсөтүшү керек:

• ал билген айрым маалыматтар (жеке номер, сырсөз, атайын криптографиялык ачкыч ж.б.);
• ага таандык болгон белгилүү бир нерсе (жеке карта же ушуга окшош башка түзмөк);
• өзүнүн элементи болгон белгилүү бир нерсе (манжа издери, үн жана колдонуучуларды идентификациялоонун жана аутентификациялоонун башка биометрикалык каражаттары).

Системанын өзгөчөлүктөрү

Ачык тармак чөйрөсүндө тараптардын ишенимдүү маршруту жок, демек, жалпысынан субъект тарабынан берилген маалымат акырында алынган жана колдонулган маалыматка дал келбеши мүмкүн.аутентификациялоодо. Тармакты активдүү жана пассивдүү угуунун коопсуздугун камсыз кылуу, башкача айтканда, ар кандай маалыматтарды оңдоодон, кармап калуудан же ойнотуудан коргоо талап кылынат. Сырсөздөрдү ачык текстте берүү варианты канааттандырарлык эмес жана ошол эле жол менен сырсөздү шифрлөө күндү сактап кала албайт, анткени алар кайра чыгаруудан коргоону камсыз кылбайт. Ошондуктан бүгүн дагы татаал аутентификация протоколдору колдонулат.

Ишенимдүү идентификациялоо ар кандай онлайн коркунучтарынан гана эмес, башка ар кандай себептерден улам кыйын. Биринчиден, дээрлик бардык аутентификация объектисин уурдап, жасалмалап же тыянак чыгарууга болот. Ошондой эле, бир жагынан, колдонулган системанын ишенимдүүлүгү жана экинчи жагынан системалык администратордун же колдонуучунун ыңгайлуулугу ортосунда белгилүү бир карама-каршылык бар. Ошентип, коопсуздук себептеринен улам, колдонуучудан өзүнүн аутентификация маалыматын кандайдыр бир жыштык менен кайра киргизүүнү талап кылуу керек (анткени анын ордунда башка адам отурган болушу мүмкүн) жана бул кошумча көйгөйлөрдү гана жаратпастан, ошондой эле бир кыйла жогорулатат. кимдир бирөө маалымат киргизүүдө шпиондук кылышы мүмкүн. Башка нерселер менен катар коргоочу шаймандардын ишенимдүүлүгү анын баасына олуттуу таасирин тийгизет.

Заманбап идентификация жана аутентификация системалары тармакка бир жолу кирүү концепциясын колдойт, бул биринчи кезекте колдонуучунун ыңгайлуулугу жагынан талаптарды аткарууга мүмкүндүк берет. Эгерде стандарттуу корпоративдик тармакта көптөгөн маалымат кызматтары бар болсо,көз карандысыз дарылоо мүмкүнчүлүгүн камсыз кылуу, анда жеке маалыматтарды кайра-кайра киргизүү өтө оор болуп калат. Учурда бир жолу кирүү мүмкүнчүлүгүн колдонуу нормалдуу деп айтууга болбойт, анткени үстөмдүк кылуучу чечимдер али калыптана элек.

Ошентип, көптөр идентификацияны/аныктыгын текшерүүнү камсыз кылган каражаттардын жеткиликтүүлүгү, ыңгайлуулугу жана ишенимдүүлүгүнүн ортосунда компромисс табууга аракет кылып жатышат. Бул учурда колдонуучуларды авторизациялоо жеке эрежелерге ылайык жүзөгө ашырылат.

Колдонулган кызмат жеткиликтүүлүккө чабуулдун объектиси катары тандалышы мүмкүн экендигине өзгөчө көңүл буруу керек. Эгер система белгилүү бир сандагы ийгиликсиз аракеттерден кийин кирүү мүмкүнчүлүгү бөгөттөлө тургандай конфигурацияланса, анда бул учурда чабуулчулар бир нече баскыч басуу менен мыйзамдуу колдонуучулардын ишин токтотушу мүмкүн.

Сырсөздүн аутентификациясы

Мындай системанын негизги артыкчылыгы – бул өтө жөнөкөй жана көпчүлүккө тааныш. Сырсөздөр операциялык системалар жана башка кызматтар тарабынан көптөн бери колдонулуп келген жана туура колдонулганда, алар көпчүлүк уюмдар үчүн алгылыктуу коопсуздук деңгээлин камсыз кылат. Бирок, экинчи жагынан, мүнөздөмөлөрдүн жалпы жыйындысы боюнча, мындай системалар идентификациялоо/аныктык текшерүү жүргүзүүгө мүмкүн болгон эң начар каражатты билдирет. Бул учурда авторизация абдан жөнөкөй болуп калат, анткени сырсөздөр болушу керекэсте каларлык, бирок ошол эле учурда жөнөкөй комбинацияларды табуу кыйын эмес, өзгөчө, эгерде адам белгилүү бир колдонуучунун каалоолорун билсе.

Кээде сырсөздөр, негизинен, жашыруун сакталбай калат, анткени алар белгилүү бир документтерде белгиленген стандарттуу маанилерге ээ жана система орнотулгандан кийин дайыма эле өзгөрө бербейт.

Сырсөздү киргизүүдө сиз көрө аласыз, ал эми кээ бир учурларда адамдар атайын оптикалык түзүлүштөрдү колдонушат.

Идентификациянын жана аутентификациянын негизги субъекттери болгон колдонуучулар белгилүү бир убакытка менчик укугун өзгөртүү үчүн кесиптештери менен сырсөздөрдү бөлүшө алышат. Теориялык жактан алганда, мындай кырдаалдарда атайын кирүү башкаруу элементтерин колдонуу жакшы болмок, бирок иш жүзүндө бул эч ким тарабынан колдонулбайт. Ал эми сырсөздү эки адам билсе, бул башкалардын ал жөнүндө билип калуу мүмкүнчүлүгүн бир топ жогорулатат.

Муну кантип оңдоого болот?

Идентификацияны жана аутентификацияны кантип коргоонун бир нече жолу бар. Маалыматты иштетүү компоненти өзүн төмөнкүдөй коргой алат:

• Ар кандай техникалык чектөөлөрдү киргизүү. Көбүнчө эрежелер сырсөздүн узундугуна, ошондой эле андагы айрым белгилердин мазмунуна коюлат.
• Сырсөздөрдүн мөөнөтүн башкаруу, башкача айтканда, аларды мезгил-мезгили менен өзгөртүү зарылчылыгы.
• Негизги сырсөз файлына кирүү чектелүүдө.
• Кирүү учурунда аткарылбай калган аракеттердин жалпы санын чектөө менен. РахматМындай учурда чабуулчулар идентификациялоо жана аутентификациядан мурун гана аракеттерди жасашы керек, анткени катаал күч ыкмасын колдонуу мүмкүн эмес.
• Колдонуучуларды алдын ала окутуу.
• Сизге жагымдуу жана эсте каларлык комбинацияларды түзүүгө мүмкүндүк берген атайын сырсөз генератор программасын колдонуу.

Бул чаралардын бардыгын сырсөздөр менен бирге аутентификациянын башка каражаттары колдонулса дагы, каалаган учурда колдонсо болот.

Бир жолку сырсөздөр

Жогоруда талкууланган опцияларды кайра колдонууга болот жана эгерде комбинация ачыкка чыкса, чабуулчу колдонуучунун атынан белгилүү бир операцияларды аткарууга мүмкүнчүлүк алат. Ошондуктан бир жолку сырсөздөр тармактын пассивдүү угуу мүмкүнчүлүгүнө туруштук берүүчү күчтүү каражат катары колдонулат, анын аркасында идентификациялоо жана аутентификация системасы анчалык ыңгайлуу болбосо да, бир топ коопсуз болуп калат.

Учурда эң популярдуу программалык камсыздоонун бир жолку сырсөз генераторлорунун бири Bellcore тарабынан чыгарылган S/KEY деп аталган система. Бул системанын негизги концепциясы колдонуучуга да, аутентификация серверине да белгилүү болгон белгилүү бир F функциясы бар. Төмөндө белгилүү бир колдонуучуга гана белгилүү болгон жашыруун K ачкычы.

Колдонуучунун алгачкы башкаруусунда бул функция ачкыч үчүн колдонулатбир нече жолу, андан кийин натыйжа серверде сакталат. Келечекте аутентификация процедурасы мындай болот:

1. Серверден колдонуучу тутумуна сан келет, бул функциянын ачкычка колдонулган санынан 1ге аз.
2. Колдонуучу биринчи абзацта канча жолу коюлган функцияны колдо болгон жашыруун ачкычка колдонот, андан кийин натыйжа тармак аркылуу түздөн-түз аутентификация серверине жөнөтүлөт.
3. Сервер бул функцияны алынган мааниге колдонот, андан кийин натыйжа мурда сакталган маани менен салыштырылат. Эгерде натыйжалар дал келсе, анда колдонуучу аутентификацияланат жана сервер жаңы маанини сактап, андан кийин эсептегичти бирден азайтат.

Практикада бул технологияны ишке ашыруу бир аз татаал структурага ээ, бирок азыркы учурда ал анчалык деле маанилүү эмес. Функция кайтарылгыс болгондуктан, сырсөз кармалып калса же аутентификация серверине уруксатсыз кирүү алынса да, ал жашыруун ачкычты алуу мүмкүнчүлүгүн камсыз кылбайт жана кандайдыр бир жол менен кийинки бир жолку сырсөз өзгөчө кандай болорун алдын ала айтууга мүмкүндүк бербейт.

Орусияда бирдиктүү кызмат катары атайын мамлекеттик портал колдонулат – «Бирдиктүү идентификация/аныктык системасы» («ESIA»).

Күчтүү аутентификация тутумунун дагы бир ыкмасы - бул кыска аралыкта жаңы сырсөзгө ээ болуу, ал да аркылуу ишке ашырылат.атайын программаларды же ар кандай смарт карталарды колдонуу. Бул учурда аутентификация сервери сырсөздү түзүүнүн тиешелүү алгоритмин, ошондой эле аны менен байланышкан айрым параметрлерди кабыл алышы керек, андан тышкары сервер менен кардар саатынын синхрондоштуруусу да болушу керек.

Kerberos

Kerberos аутентификация сервери биринчи жолу өткөн кылымдын 90-жылдарынын орто ченинде пайда болгон, бирок ошондон бери ал эбегейсиз көп сандагы фундаменталдык өзгөрүүлөрдү алган. Учурда бул системанын айрым компоненттери дээрлик бардык заманбап операциялык системаларда бар.

Бул кызматтын негизги максаты төмөнкү көйгөйдү чечүү болуп саналат: белгилүү бир корголбогон тармак бар жана анын түйүндөрүндө колдонуучулар, ошондой эле сервердик жана кардар программалык системалары түрүндөгү ар кандай субъекттер топтолгон. Мындай ар бир предметтин жеке сыр ачкычы бар жана С субъектисинин S предметине өзүнүн аныктыгын далилдөө мүмкүнчүлүгүнө ээ болушу үчүн, ансыз ал жөн эле ага кызмат кылбайт, ал өзүн эле атоо менен чектелбестен ошондой ал белгилүү бир жашыруун ачкычты билет экенин көрсөтүү үчүн. Ошол эле учурда, С өзүнүн жашыруун ачкычын жөн эле S жөнөтүүгө мүмкүнчүлүгү жок, анткени, биринчиден, тармак ачык, андан тышкары, S билбейт жана, негизи, билбеши керек. Мындай кырдаалда бул маалымат боюнча билимди көрсөтүү үчүн анча жөнөкөй эмес ыкма колдонулат.

Kerberos системасы аркылуу электрондук идентификация/аныктыгын текшерүү аны камсыз кылаттейленүүчү объекттердин жашыруун ачкычтары тууралуу маалыматы бар ишенимдүү үчүнчү тарап катары колдонуңуз жана зарыл болсо, аларга жуптуу аутентификацияны жүргүзүүгө жардам берет.

Ошентип, кардар алгач системага өзү жөнүндө, ошондой эле суралган кызмат жөнүндө керектүү маалыматты камтыган суроо-талапты жөнөтөт. Андан кийин, Kerberos ага сервердин жашыруун ачкычы менен шифрленген билеттин түрүн, ошондой эле кардардын ачкычы менен шифрленген андагы айрым маалыматтардын көчүрмөсүн берет. Дал келген учурда, кардар ага арналган маалыматты чечмелеп бергени, башкача айтканда, ал чындап эле жашыруун ачкычты билерин көрсөтө алганы аныкталган. Бул кардар өзүн өзү ырастаган адам экенин көрсөтүп турат.

Бул жерде купуя ачкычтарды өткөрүү тармак аркылуу жүргүзүлбөгөндүгүнө жана алар шифрлөө үчүн гана колдонулганына өзгөчө көңүл буруу керек.

Биометрикалык аутентификация

Биометрика адамдарды жүрүм-турумуна же физиологиялык өзгөчөлүктөрүнө жараша идентификациялоонун/аныктыгын текшерүүнүн автоматташтырылган каражаттарынын айкалышын камтыйт. Аутентификациянын жана идентификациянын физикалык каражаттары көздүн торчосун жана кабыгын, манжа издерин, беттин жана колдун геометриясын жана башка жеке маалыматтарды текшерүүнү камтыйт. Жүрүм-турум мүнөздөмөлөрүнө клавиатура менен иштөө стили жана колдун динамикасы кирет. бириктирилгенметоддор – адамдын үнүнүн ар кандай өзгөчөлүктөрүн талдоо, ошондой эле анын сүйлөгөнүн таануу.

Мындай идентификация/аныктыгын текшерүү жана шифрлөө системалары дүйнөнүн көптөгөн өлкөлөрүндө кеңири колдонулат, бирок узак убакыт бою алар өтө кымбат жана колдонуу кыйын болгон. Акыркы убакта электрондук коммерциянын өнүгүшүнө байланыштуу биометрикалык продуктыларга суроо-талап бир топ өстү, анткени колдонуучунун көз карашы боюнча, кандайдыр бир маалыматты жаттап алгандан көрө өзүн көрсөтүү алда канча ыңгайлуу. Демек, суроо-талап сунушту жаратат, ошондуктан рынокто негизинен манжа изин таанууга багытталган салыштырмалуу арзан өнүмдөр чыга баштады.

Басымдуу көпчүлүк учурларда биометрика смарт-карталар сыяктуу башка аутентификациялар менен айкалыштырып колдонулат. Көп учурда биометрикалык аутентификация коргонуунун биринчи линиясы гана болуп саналат жана ар кандай криптографиялык сырларды камтыган смарт-карталарды активдештирүү каражаты катары иштейт. Бул технологияны колдонууда биометрикалык шаблон ошол эле картада сакталат.

Биометрика тармагындагы активдүүлүк кыйла жогору. Тиешелүү консорциум бар жана технологиянын ар кандай аспектилерин стандартташтырууга багытталган иштер да активдүү жүргүзүлүүдө. Бүгүнкү күндө сиз биометрикалык технологиялар коопсуздукту жогорулатуунун идеалдуу каражаты катары берилген жана ошол эле учурда жалпы коомчулукка жеткиликтүү болгон көптөгөн жарнамалык макалаларды көрө аласыз.массалар.

ESIA

Идентификациялоо жана аутентификация системасы («СЭТБ») – бул өтүнмө берүүчүлөрдүн жана ведомстволор аралык өз ара аракеттенүүнүн катышуучуларынын инсандыгын текшерүүгө байланышкан ар кандай милдеттерди ишке ашырууну камсыз кылуу максатында түзүлгөн атайын кызмат. бардык муниципалдык же мамлекеттик кызматтар электрондук түрдө.

«Мамлекеттик органдардын бирдиктүү порталына», ошондой эле учурдагы электрондук өкмөттүн инфраструктурасынын башка маалыматтык тутумдарына кирүү үчүн алгач аккаунтту каттоодон өткөрүү керек жана натыйжада, PES алуу.

Деңгээлдер

Бирдиктүү идентификациялоо жана аутентификация системасынын порталы жеке адамдар үчүн эсептердин үч негизги деңгээлин камсыз кылат:

• Жөнөкөйлөштүрүлгөн. Аны каттоо үчүн сиз жөн гана фамилияңызды жана атыңызды, ошондой эле электрондук почта дареги же уюлдук телефон түрүндөгү белгилүү бир байланыш каналын көрсөтүшүңүз керек. Бул негизги деңгээл, ал аркылуу адам ар кандай мамлекеттик кызматтардын чектелген тизмесине, ошондой эле учурдагы маалымат системаларынын мүмкүнчүлүктөрүнө гана жете алат.
• Стандарт. Аны алуу үчүн адегенде жөнөкөйлөштүрүлгөн эсепти берүү керек, андан кийин кошумча маалыматтарды, анын ичинде паспорттогу маалыматты жана жеке камсыздандыруу жеке эсебинин номерин көрсөтүү керек. Көрсөтүлгөн маалымат автоматтык түрдө маалыматтык системалар аркылуу текшерилетПенсиялык фонд, ошондой эле Федералдык Миграция кызматы жана текшерүү ийгиликтүү болсо, эсеп колдонуучуга мамлекеттик кызматтардын кеңейтилген тизмесин ача турган стандарттык деңгээлге которулат.
• Ырасталды. Эсептин бул деңгээлин алуу үчүн бирдиктүү идентификациялоо жана аутентификация системасы колдонуучулардан стандарттык эсепке ээ болууну, ошондой эле ыйгарым укуктуу кызматтын филиалына жеке баруу аркылуу же катталган почта аркылуу активдештирүү кодун алуу аркылуу ишке ашырылуучу инсандыгын текшерүүнү талап кылат. Өздүгүн тастыктоо ийгиликтүү болгон учурда, аккаунт жаңы деңгээлге өтүп, колдонуучу керектүү мамлекеттик кызматтардын толук тизмесине кире алат.

Жол-жоболору бир топ татаал сезилиши мүмкүн экендигине карабастан, чындыгында, сиз керектүү маалыматтардын толук тизмеси менен түздөн-түз расмий сайттан тааныша аласыз, андыктан толук каттоо бир нече күндүн ичинде толук мүмкүн.