İdentifikasiya və autentifikasiya: əsas anlayışlar

2024 Müəllif: Howard Calhoun | [email protected]. Son dəyişdirildi: 2023-12-17 10:18

İdentifikasiya və autentifikasiya müasir proqram təminatı və aparat təhlükəsizliyi alətlərinin əsasını təşkil edir, çünki istənilən digər xidmətlər əsasən bu qurumlara xidmət etmək üçün nəzərdə tutulub. Bu anlayışlar təşkilatın informasiya məkanının təhlükəsizliyini təmin edən bir növ birinci müdafiə xəttini təmsil edir.

Bu nədir?

İdentifikasiya və autentifikasiya müxtəlif funksiyalara malikdir. Birincisi, subyektə (istifadəçi və ya onların adından fəaliyyət göstərən proses) öz adını təqdim etmək imkanı verir. Doğrulamanın köməyi ilə ikinci tərəf, nəhayət, subyektin həqiqətən iddia etdiyi şəxs olduğuna əmin olur. İdentifikasiya və autentifikasiya çox vaxt sinonim kimi "ad mesajı" və "autentifikasiya" ifadələri ilə əvəz olunur.

Özləri bir neçə növə bölünür. Sonra identifikasiya və autentifikasiyanın nə olduğuna və onların nə olduğuna baxacağıq.

Autentifikasiya

Bu konsepsiya iki növü nəzərdə tutur: birtərəfli, müştəri olduqdaəvvəlcə serverə orijinallığını sübut etməlidir və ikitərəfli, yəni qarşılıqlı təsdiqləmə aparıldıqda. Standart istifadəçi identifikasiyası və autentifikasiyasının necə həyata keçirildiyinə dair standart nümunə müəyyən bir sistemə daxil olma prosedurudur. Beləliklə, müxtəlif növlər müxtəlif obyektlərdə istifadə edilə bilər.

İstifadəçinin identifikasiyası və autentifikasiyasının coğrafi cəhətdən səpələnmiş tərəflərdə həyata keçirildiyi şəbəkə mühitində sözügedən xidmət iki əsas aspektdə fərqlənir:

• autentifikator kimi çıxış edir;
• identifikasiya və identifikasiya məlumatlarının mübadiləsinin tam olaraq necə təşkil edildiyi və onların necə qorunduğu.

Şəxsiyyətini sübut etmək üçün subyekt aşağıdakı şəxslərdən birini təqdim etməlidir:

• onun bildiyi müəyyən məlumatlar (şəxsi nömrə, parol, xüsusi kriptoqrafik açar və s.);
• sahibi olduğu müəyyən əşya (şəxsi kart və ya oxşar məqsədli başqa cihaz);
• özünün elementi olan müəyyən bir şey (barmaq izləri, səs və istifadəçiləri müəyyən etmək və autentifikasiya etmək üçün digər biometrik vasitələr).

Sistem Xüsusiyyətləri

Açıq şəbəkə mühitində tərəflərin etibarlı marşrutu yoxdur, bu o deməkdir ki, ümumiyyətlə, subyekt tərəfindən ötürülən məlumat son nəticədə alınan və istifadə edilən məlumatla uyğun gəlməyə bilər.autentifikasiya zamanı. Şəbəkənin aktiv və passiv dinləməsinin təhlükəsizliyini, yəni müxtəlif məlumatların korreksiyasından, tutulmasından və ya səsləndirilməsindən qorunmasını təmin etmək tələb olunur. Parolların açıq mətndə ötürülməsi seçimi qeyri-qənaətbəxşdir və eyni şəkildə parol şifrələməsi günü xilas edə bilməz, çünki onlar təkrar istehsaldan qorunmur. Buna görə də bu gün daha mürəkkəb autentifikasiya protokollarından istifadə olunur.

Etibarlı identifikasiya təkcə müxtəlif onlayn təhdidlərə görə deyil, həm də müxtəlif digər səbəblərə görə çətindir. Əvvəla, demək olar ki, hər hansı bir autentifikasiya obyekti oğurlana, saxtalaşdırıla və ya nəticə çıxara bilər. Bir tərəfdən istifadə edilən sistemin etibarlılığı ilə digər tərəfdən sistem inzibatçısı və ya istifadəçinin rahatlığı arasında da müəyyən ziddiyyət var. Beləliklə, təhlükəsizlik səbəbi ilə istifadəçidən müəyyən bir tezlikdə autentifikasiya məlumatını yenidən daxil etməyi xahiş etmək tələb olunur (çünki artıq başqa bir şəxs onun yerində oturmuş ola bilər) və bu, əlavə problem yaratmaqla yanaşı, həm də əhəmiyyətli dərəcədə artırır. kiminsə məlumat daxil edərkən casusluq edə bilməsi şansı. Digər şeylərlə yanaşı, qoruyucu vasitələrin etibarlılığı onun qiymətinə əhəmiyyətli dərəcədə təsir edir.

Müasir identifikasiya və autentifikasiya sistemləri ilk növbədə istifadəçinin rahatlığı baxımından tələblərə cavab verməyə imkan verən şəbəkəyə birdəfəlik giriş konsepsiyasını dəstəkləyir. Standart korporativ şəbəkədə çoxlu informasiya xidmətləri varsa,müstəqil müalicə imkanını təmin edən, sonra fərdi məlumatların təkrar tətbiqi çox ağır olur. Hal-hazırda, dominant həllər hələ formalaşmadığından, tək girişdən istifadənin normal hesab edildiyini hələ demək olmaz.

Beləliklə, bir çoxları identifikasiya/autentifikasiyanı təmin edən vasitələrin əlverişliliyi, rahatlığı və etibarlılığı arasında kompromis tapmağa çalışır. Bu halda istifadəçilərin avtorizasiyası fərdi qaydalara uyğun həyata keçirilir.

İstifadə olunan xidmətin əlçatanlıq hücumunun obyekti kimi seçilə biləcəyinə xüsusi diqqət yetirilməlidir. Sistem elə konfiqurasiya edilibsə ki, müəyyən sayda uğursuz cəhdlərdən sonra daxil olmaq imkanı bloklanır, onda bu halda təcavüzkarlar qanuni istifadəçilərin işini bir neçə düyməyə basmaqla dayandıra bilərlər.

Parolun doğrulanması

Belə bir sistemin əsas üstünlüyü onun son dərəcə sadə və çoxlarına tanış olmasıdır. Parollar əməliyyat sistemləri və digər xidmətlər tərəfindən uzun müddət istifadə olunur və düzgün istifadə edildikdə, əksər təşkilatlar üçün kifayət qədər məqbul olan təhlükəsizlik səviyyəsini təmin edirlər. Ancaq digər tərəfdən, xüsusiyyətlərin ümumi dəsti baxımından bu cür sistemlər identifikasiya / autentifikasiyanın həyata keçirilə biləcəyi ən zəif vasitələri təmsil edir. Bu vəziyyətdə avtorizasiya olduqca sadə olur, çünki parollar olmalıdıryaddaqalan, lakin eyni zamanda sadə kombinasiyaları təxmin etmək çətin deyil, xüsusən də şəxs konkret istifadəçinin seçimlərini bilirsə.

Bəzən elə olur ki, parollar, prinsipcə, gizli saxlanılmır, çünki onlar müəyyən sənədlərdə göstərilən kifayət qədər standart dəyərlərə malikdir və həmişə sistem quraşdırıldıqdan sonra deyil, onlar dəyişdirilir.

Parolu daxil edərkən siz görə bilərsiniz və bəzi hallarda insanlar hətta xüsusi optik cihazlardan istifadə edirlər.

İdentifikasiya və autentifikasiyanın əsas subyektləri olan istifadəçilər müəyyən müddət ərzində sahibliyini dəyişmək üçün həmkarları ilə tez-tez parol paylaşa bilərlər. Teorik olaraq, belə vəziyyətlərdə xüsusi giriş nəzarətlərindən istifadə etmək daha yaxşı olardı, amma praktikada bundan heç kim istifadə edilmir. Və əgər iki nəfər parolu bilirsə, bu, başqalarının bu barədə məlumat əldə etməsi şansını xeyli artırır.

Bunu necə düzəltmək olar?

İdentifikasiya və autentifikasiyanın necə təmin oluna biləcəyinin bir neçə yolu var. İnformasiya emal komponenti özünü aşağıdakı kimi qoruya bilər:

• Müxtəlif texniki məhdudiyyətlərin tətbiqi. Çox vaxt qaydalar parolun uzunluğu, eləcə də içindəki müəyyən simvolların məzmunu üçün müəyyən edilir.
• Şifrələrin istifadə müddətini idarə etmək, yəni onların vaxtaşırı dəyişdirilməsi zərurəti.
• Əsas parol faylına giriş məhdudlaşdırılır.
• Giriş zamanı mövcud uğursuz cəhdlərin ümumi sayını məhdudlaşdırmaqla. sayəsindəBu halda təcavüzkarlar yalnız identifikasiya və autentifikasiyadan əvvəl əməliyyatlar yerinə yetirməlidirlər, çünki kobud güc metodundan istifadə etmək mümkün deyil.
• İstifadəçilərin əvvəlcədən hazırlığı.
• Keyfiyyətli və yaddaqalan kombinasiyalar yaratmağa imkan verən xüsusi parol generator proqramından istifadə.

Bütün bu tədbirlər istənilən halda, hətta parollarla birlikdə digər autentifikasiya vasitələri də istifadə olunsa belə istifadə edilə bilər.

Birdəfəlik Parollar

Yuxarıda müzakirə edilən variantlar təkrar istifadə edilə bilər və birləşmə aşkar edilərsə, təcavüzkar istifadəçi adından müəyyən əməliyyatları yerinə yetirmək imkanı əldə edir. Buna görə də birdəfəlik parollar şəbəkənin passiv dinləmə ehtimalına davamlı olan daha güclü vasitə kimi istifadə olunur, bunun sayəsində identifikasiya və autentifikasiya sistemi o qədər də rahat olmasa da, daha təhlükəsiz olur.

Hazırda ən populyar proqram təminatı birdəfəlik parol generatorlarından biri Bellcore tərəfindən buraxılan S/KEY adlı sistemdir. Bu sistemin əsas konsepsiyası ondan ibarətdir ki, həm istifadəçiyə, həm də autentifikasiya serverinə məlum olan müəyyən F funksiyası var. Aşağıda yalnız müəyyən istifadəçiyə məlum olan məxfi K açarı verilmişdir.

İstifadəçinin ilkin administrasiyası zamanı bu funksiya açar üçün istifadə olunurmüəyyən sayda dəfə, bundan sonra nəticə serverdə saxlanılır. Gələcəkdə autentifikasiya proseduru belə görünür:

1. İstifadəçi sisteminə serverdən nömrə gəlir ki, bu da funksiyanın açar üçün istifadə sayından 1 dəfə azdır.
2. İstifadəçi birinci abzasda təyin edilmiş neçə dəfə mövcud məxfi açar funksiyasından istifadə edir, bundan sonra nəticə şəbəkə vasitəsilə birbaşa autentifikasiya serverinə göndərilir.
3. Server bu funksiyadan alınan dəyər üçün istifadə edir, bundan sonra nəticə əvvəllər saxlanmış dəyərlə müqayisə edilir. Nəticələr uyğun olarsa, o zaman istifadəçinin autentifikasiyası aparılır və server yeni dəyəri saxlayır, sonra sayğacı bir azaldır.

Praktikada bu texnologiyanın tətbiqi bir az daha mürəkkəb struktura malikdir, lakin hazırda o qədər də vacib deyil. Funksiya geri dönməz olduğundan, parol ələ keçirilsə və ya autentifikasiya serverinə icazəsiz giriş əldə edilsə belə, o, gizli açar əldə etmək imkanı vermir və hər hansı şəkildə növbəti birdəfəlik parolun konkret olaraq necə görünəcəyini proqnozlaşdırmır.

Rusiyada vahid xidmət kimi xüsusi dövlət portalı istifadə olunur - "Vahid İdentifikasiya/Autentifikasiya Sistemi" ("ƏMSSTQ").

Güclü autentifikasiya sisteminə başqa bir yanaşma qısa fasilələrlə yaradılan yeni parola sahib olmaqdır ki, bu da parol vasitəsilə həyata keçirilir.ixtisaslaşdırılmış proqramların və ya müxtəlif smart kartların istifadəsi. Bu halda autentifikasiya serveri müvafiq parol yaratma alqoritmini, eləcə də onunla əlaqəli müəyyən parametrləri qəbul etməli və əlavə olaraq server və müştəri saatı sinxronizasiyası da olmalıdır.

Kerberos

Kerberos autentifikasiya serveri ilk dəfə ötən əsrin 90-cı illərinin ortalarında peyda olub, lakin o vaxtdan bəri o, artıq çoxlu sayda fundamental dəyişikliklər alıb. Hazırda bu sistemin fərdi komponentləri demək olar ki, hər bir müasir əməliyyat sistemində mövcuddur.

Bu xidmətin əsas məqsədi aşağıdakı problemi həll etməkdir: müəyyən qorunmayan şəbəkə mövcuddur və onun qovşaqlarında istifadəçilər, eləcə də server və müştəri proqram sistemləri şəklində müxtəlif subyektlər cəmləşmişdir. Hər bir belə mövzunun fərdi məxfi açarı var və C subyektinin S subyektinə öz həqiqiliyini sübut etmək imkanı əldə etmək üçün, bunsuz sadəcə ona xidmət etməyəcək, o, təkcə özünü deyil, həm də adını çəkməli olacaq. müəyyən bir gizli açarı bildiyini göstərmək üçün. Eyni zamanda, C-nin sadəcə olaraq S-ə gizli açarını göndərmək imkanı yoxdur, çünki ilk növbədə şəbəkə açıqdır və bundan başqa, S bunu bilmir və prinsipcə, bilməməlidir. Belə bir vəziyyətdə, bu məlumat haqqında biliyi nümayiş etdirmək üçün daha sadə üsuldan istifadə edilir.

Kerberos sistemi vasitəsilə elektron identifikasiya/identifikasiya bunu təmin edirxidmət edilən obyektlərin məxfi açarları haqqında məlumatı olan və zərurət yarandıqda onlara ikili autentifikasiyanın aparılmasında köməklik göstərən etibarlı üçüncü tərəf kimi istifadə edin.

Beləliklə, müştəri əvvəlcə sistemə onun haqqında, eləcə də sorğu edilən xidmət haqqında lazımi məlumatları özündə əks etdirən sorğu göndərir. Bundan sonra Kerberos ona serverin məxfi açarı ilə şifrlənmiş bir növ bilet, həmçinin ondan bəzi məlumatların müştərinin açarı ilə şifrələnmiş surətini təqdim edir. Uyğunluq olduqda, müştərinin onun üçün nəzərdə tutulan məlumatı deşifrə etdiyi, yəni gizli açarı həqiqətən bildiyini nümayiş etdirə bildiyi müəyyən edilir. Bu, müştərinin özünün iddia etdiyi şəxs olduğunu göstərir.

Burada xüsusi diqqət yetirilməlidir ki, məxfi açarların ötürülməsi şəbəkə üzərindən həyata keçirilməyib və onlar yalnız şifrələmə üçün istifadə olunub.

Biometrik identifikasiya

Biometriya insanların davranış və ya fizioloji xüsusiyyətlərinə əsasən müəyyən edilməsi/identifikasiyası üçün avtomatlaşdırılmış vasitələrin birləşməsini əhatə edir. Fiziki identifikasiya və identifikasiya vasitələrinə gözün tor qişasının və buynuz qişasının yoxlanılması, barmaq izləri, üz və əl həndəsəsi və digər şəxsi məlumatlar daxildir. Davranış xüsusiyyətlərinə klaviatura ilə işləmə tərzi və imzanın dinamikası daxildir. Birləşdirilmişüsullar insanın səsinin müxtəlif xüsusiyyətlərinin təhlili, həmçinin onun nitqinin tanınmasıdır.

Belə identifikasiya/autentifikasiya və şifrələmə sistemləri dünyanın bir çox ölkələrində geniş istifadə olunur, lakin uzun müddət onlar olduqca bahalı və istifadəsi çətin idi. Son zamanlar elektron ticarətin inkişafı ilə əlaqədar biometrik məhsullara tələbat xeyli artmışdır, çünki istifadəçi baxımından bəzi məlumatları yadda saxlamaqdansa, özünü təqdim etmək daha rahatdır. Müvafiq olaraq, tələb təklif yaradır, ona görə də bazarda əsasən barmaq izinin tanınmasına yönəlmiş nisbətən ucuz məhsullar peyda olmağa başladı.

Halların böyük əksəriyyətində biometrika smart kartlar kimi digər autentifikatorlarla birlikdə istifadə olunur. Çox vaxt biometrik autentifikasiya yalnız ilk müdafiə xəttidir və müxtəlif kriptoqrafik sirləri özündə birləşdirən smart kartların aktivləşdirilməsi vasitəsi kimi çıxış edir. Bu texnologiyadan istifadə edərkən biometrik şablon eyni kartda saxlanılır.

Biometrika sahəsində aktivlik kifayət qədər yüksəkdir. Müvafiq konsorsium artıq mövcuddur və texnologiyanın müxtəlif aspektlərinin standartlaşdırılmasına yönəlmiş işlər də kifayət qədər fəal şəkildə aparılır. Bu gün siz biometrik texnologiyaların təhlükəsizliyi artırmaq üçün ideal vasitə kimi təqdim olunduğu və eyni zamanda geniş ictimaiyyət üçün əlçatan olan bir çox reklam məqalələrini görə bilərsiniz.kütlələr.

ƏMSSTQ

İdentifikasiya və Autentifikasiya Sistemi ("ƏMSSTQ") ərizəçilərin və idarələrarası qarşılıqlı əlaqə iştirakçılarının şəxsiyyətinin yoxlanılması ilə bağlı müxtəlif tapşırıqların yerinə yetirilməsini təmin etmək üçün yaradılmış xüsusi xidmətdir. elektron formada istənilən bələdiyyə və ya dövlət xidmətləri.

“Dövlət Qurumlarının Vahid Portalı”na, eləcə də mövcud elektron hökumətin infrastrukturunun hər hansı digər informasiya sistemlərinə çıxış əldə etmək üçün ilk növbədə hesab qeydiyyatdan keçməli və nəticədə, PES əldə edin.

Səviyyələr

Vahid identifikasiya və autentifikasiya sisteminin portalı fiziki şəxslər üçün üç əsas hesab səviyyəsini təmin edir:

• Sadələşdirilmiş. Onu qeydiyyatdan keçirmək üçün yalnız soyadınızı və adınızı, həmçinin e-poçt ünvanı və ya mobil telefon şəklində bəzi xüsusi rabitə kanalını göstərməlisiniz. Bu, insanın yalnız müxtəlif ictimai xidmətlərin məhdud siyahısına, eləcə də mövcud informasiya sistemlərinin imkanlarına çıxışı olan əsas səviyyədir.
• Standart. Onu əldə etmək üçün əvvəlcə sadələşdirilmiş hesab tərtib etməli, sonra pasportdan məlumat və sığorta fərdi şəxsi hesabının nömrəsi də daxil olmaqla əlavə məlumatları təqdim etməlisiniz. Göstərilən məlumatlar informasiya sistemləri vasitəsilə avtomatik yoxlanılırPensiya Fondu, eləcə də Federal Miqrasiya Xidməti və çek uğurlu olarsa, hesab istifadəçiyə dövlət xidmətlərinin geniş siyahısını açan standart səviyyəyə köçürülür.
• Təsdiq edildi. Bu səviyyəli hesabı əldə etmək üçün vahid identifikasiya və autentifikasiya sistemi istifadəçilərdən standart hesaba malik olmasını, habelə səlahiyyətli xidmət filialına şəxsi səfər və ya qeydiyyatlı poçt vasitəsilə aktivləşdirmə kodunu əldə etməklə həyata keçirilən şəxsiyyətin yoxlanılmasını tələb edir. Şəxsiyyətin doğrulanması uğurlu olarsa, hesab yeni səviyyəyə keçəcək və istifadəçi lazımi dövlət xidmətlərinin tam siyahısına çıxış əldə edəcək.

Prosedurların olduqca mürəkkəb görünməsinə baxmayaraq, əslində siz lazımi məlumatların tam siyahısı ilə birbaşa rəsmi internet saytında tanış ola bilərsiniz, ona görə də tam qeydiyyat bir neçə gün ərzində olduqca mümkündür.