Identifitseerimine ja autentimine: põhimõisted

2024 Autor: Howard Calhoun | [email protected]. Viimati modifitseeritud: 2023-12-17 10:25

Identifitseerimine ja autentimine on kaasaegsete tarkvara- ja riistvaraturbetööriistade aluseks, kuna kõik muud teenused on mõeldud peamiselt nende üksuste teenindamiseks. Need mõisted kujutavad endast omamoodi esimest kaitseliini, mis tagab organisatsiooni inforuumi turvalisuse.

Mis see on?

Identifitseerimisel ja autentimisel on erinevad funktsioonid. Esimene annab subjektile (kasutajale või tema nimel tegutsevale protsessile) võimaluse esitada oma nimi. Autentimise abil veendub teine osapool lõpuks, et subjekt on tõesti see, kes ta väidab end olevat. Identifitseerimine ja autentimine asendatakse sageli sünonüümidena fraasidega "nimesõnum" ja "autentimine".

Nad ise jagunevad mitmeks sordiks. Järgmisena vaatame, mis on tuvastamine ja autentimine ning mis need on.

Autentimine

See kontseptsioon näeb ette kahte tüüpi: ühepoolne, kui klientpeab esm alt tõestama oma autentsust serverile ja kahesuunaliselt, st siis, kui toimub vastastikune kinnitamine. Tavanäide selle kohta, kuidas standardset kasutaja tuvastamist ja autentimist teostatakse, on konkreetsesse süsteemi sisselogimise protseduur. Seega saab erinevates objektides kasutada erinevaid tüüpe.

Võrgukeskkonnas, kus kasutaja tuvastamine ja autentimine toimub geograafiliselt hajutatud külgedel, erineb kõnealune teenus kahe peamise aspekti poolest:

• mis toimib autentijana;
• kuidas täpselt autentimis- ja identifitseerimisandmete vahetus korraldati ja kuidas seda kaitstakse.

Oma identiteedi tõendamiseks peab katsealune esitama ühe järgmistest üksustest:

• teatud teave, mida ta teab (isiklik number, parool, eriline krüptograafiline võti jne);
• teatud asi, mis talle kuulub (isiklik kaart või mõni muu sarnase otstarbega seade);
• teatud asi, mis on iseenesest element (sõrmejäljed, hääl ja muud biomeetrilised vahendid kasutajate tuvastamiseks ja autentimiseks).

Süsteemi funktsioonid

Avatud võrgukeskkonnas ei ole osapooltel usaldusväärset marsruuti, mis tähendab, et üldiselt ei pruugi subjekti edastatav teave lõppkokkuvõttes ühtida saadud ja kasutatava teabegaautentimisel. See on vajalik võrgu aktiivse ja passiivse kuulamise turvalisuse tagamiseks, see tähendab kaitse erinevate andmete parandamise, pe altkuulamise või taasesituse eest. Paroolide lihttekstina edastamise võimalus ei ole rahuldav ja samamoodi ei saa paroolide krüpteerimine olukorda päästa, kuna need ei paku kaitset taasesitamise eest. Seetõttu kasutatakse tänapäeval keerukamaid autentimisprotokolle.

Usaldusväärne tuvastamine on keeruline mitte ainult mitmesuguste võrguohtude tõttu, vaid ka mitmel muul põhjusel. Esiteks saab peaaegu iga autentimisüksuse varastada, võltsida või järeldada. Teatav vastuolu on ka ühelt poolt kasutatava süsteemi töökindluse ja teiselt poolt süsteemiadministraatori või kasutaja mugavuse vahel. Seega tuleb turvakaalutlustel paluda kasutajal teatud sagedusega oma autentimisinfo uuesti sisestada (kuna tema asemel võib juba istuda mõni teine inimene) ning see mitte ainult ei tekita lisaprobleeme, vaid suurendab oluliselt ka autentimisinfot. võimalus, et keegi saab teabe sisestamise järele luurata. Muuhulgas mõjutab kaitsevahendite töökindlus oluliselt selle maksumust.

Kaasaegsed identifitseerimis- ja autentimissüsteemid toetavad võrku ühekordse sisselogimise kontseptsiooni, mis võimaldab eelkõige täita kasutajamugavuse nõudeid. Kui tavalises ettevõttevõrgus on palju teabeteenuseid,sätestades iseseisva ravi võimaluse, muutub korduv isikuandmete sisestamine liiga koormavaks. Hetkel ei saa veel öelda, et ühekordse sisselogimise kasutamist normaalseks peetakse, kuna domineerivad lahendused pole veel välja kujunenud.

Seega üritavad paljud leida kompromissi identifitseerimist/autentimist tagavate vahendite taskukohasuse, mugavuse ja usaldusväärsuse vahel. Kasutajate autoriseerimine toimub sel juhul individuaalsete reeglite järgi.

Erilist tähelepanu tuleks pöörata asjaolule, et kasutatava teenuse saab valida saadavuse rünnaku objektiks. Kui süsteem on konfigureeritud nii, et pärast teatud arvu ebaõnnestunud katseid on sisenemisvõimalus blokeeritud, siis sel juhul saavad ründajad seaduslike kasutajate töö peatada vaid mõne klahvivajutusega.

Parooli autentimine

Sellise süsteemi peamine eelis on see, et see on äärmiselt lihtne ja enamikule tuttav. Paroole on operatsioonisüsteemid ja muud teenused juba pikka aega kasutanud ning õigel kasutamisel tagavad need turvalisuse taseme, mis on enamiku organisatsioonide jaoks üsna vastuvõetav. Kuid teisest küljest kujutavad sellised süsteemid tunnuste kogumi osas kõige nõrgemaid vahendeid tuvastamise / autentimise teostamiseks. Autoriseerimine muutub sel juhul üsna lihtsaks, kuna paroolid peavad olemameeldejäävad, kuid samas lihtsaid kombinatsioone pole raske ära arvata, eriti kui inimene teab konkreetse kasutaja eelistusi.

Mõnikord juhtub, et paroole ei hoita põhimõtteliselt salajas, kuna neil on teatud dokumentatsioonis määratud üsna standardsed väärtused ja mitte alati ei muudeta neid pärast süsteemi installimist.

Parooli sisestamisel näete ja mõnel juhul kasutavad inimesed isegi spetsiaalseid optilisi seadmeid.

Kasutajad, kes on peamised tuvastamise ja autentimise subjektid, saavad sageli kolleegidega paroole jagada, et nad teatud ajaks omanikku vahetaksid. Teoreetiliselt oleks sellistes olukordades kõige parem kasutada spetsiaalseid juurdepääsukontrolle, kuid praktikas ei kasuta seda keegi. Ja kui kaks inimest teavad parooli, suurendab see oluliselt tõenäosust, et teised saavad sellest lõpuks teada.

Kuidas seda parandada?

Identifitseerimise ja autentimise kindlustamiseks on mitu võimalust. Teabetöötluskomponent saab end kaitsta järgmiselt:

• Erinevate tehniliste piirangute kehtestamine. Enamasti kehtestatakse reeglid parooli pikkusele ja ka selles sisalduvate teatud märkide sisule.
• Paroolide aegumise haldamine, st vajadus neid perioodiliselt muuta.
• Piiratakse juurdepääsu peamisele paroolifailile.
• Piiratades sisselogimisel saadaolevate ebaõnnestunud katsete koguarvu. TänuSel juhul peaksid ründajad toiminguid tegema ainult enne tuvastamist ja autentimist, kuna toore jõu meetodit ei saa kasutada.
• Kasutajate eelkoolitus.
• Kasutades spetsiaalset parooligeneraatori tarkvara, mis võimaldab teil luua kombinatsioone, mis on piisav alt rõõmsad ja meeldejäävad.

Kõiki neid meetmeid saab kasutada igal juhul, isegi kui koos paroolidega kasutatakse muid autentimisvahendeid.

Ühekordsed paroolid

Eelpool käsitletud valikud on korduvkasutatavad ja kombinatsiooni paljastamisel saab ründaja võimaluse teha kasutaja nimel teatud toiminguid. Seetõttu kasutatakse ühekordseid paroole tugevama vahendina, mis on vastupidav passiivse võrgukuulamise võimalusele, tänu millele muutub tuvastamis- ja autentimissüsteem palju turvalisemaks, kuigi mitte nii mugavaks.

Praegu on üks populaarsemaid tarkvara ühekordseid parooligeneraatoreid süsteem nimega S/KEY, mille on välja andnud Bellcore. Selle süsteemi põhikontseptsioon seisneb selles, et on olemas teatud funktsioon F, mis on teada nii kasutajale kui ka autentimisserverile. Järgmine on salajane võti K, mis on teada ainult teatud kasutajale.

Kasutaja esmase administreerimise ajal kasutatakse seda funktsiooni klahvigateatud arv kordi, misjärel tulemus salvestatakse serverisse. Edaspidi näeb autentimisprotseduur välja järgmine:

1. Serverilt tuleb kasutajasüsteemi number, mis on 1 võrra väiksem kui funktsiooni klahviga seotud kasutuskordade arv.
2. Kasutaja kasutab funktsiooni saadaoleva salajase võtme jaoks mitu korda, mis oli määratud esimeses lõigus, misjärel saadetakse tulemus võrgu kaudu otse autentimisserverisse.
3. Server kasutab seda funktsiooni vastuvõetud väärtuse jaoks, misjärel võrreldakse tulemust eelnev alt salvestatud väärtusega. Kui tulemused ühtivad, siis kasutaja autentitakse ja server salvestab uue väärtuse, seejärel vähendab loendurit ühe võrra.

Praktikas on selle tehnoloogia juurutamine veidi keerulisema ülesehitusega, kuid hetkel pole see nii oluline. Kuna funktsioon on pöördumatu, ei anna see isegi parooli pe altkuulamise või autentimisserverile volitamata juurdepääsu korral võimalust salavõtit hankida ja kuidagi ennustada, milline järgmine ühekordne parool konkreetselt välja näeb.

Venemaal kasutatakse ühtse teenusena spetsiaalset riigiportaali – ühtset identifitseerimis-/autentimissüsteemi (ESIA).

Teine lähenemine tugevale autentimissüsteemile on lühikeste ajavahemike järel genereerida uus parool, mida rakendatakse kaspetsiaalsete programmide või erinevate kiipkaartide kasutamine. Sel juhul peab autentimisserver aktsepteerima sobivat parooli genereerimise algoritmi ja sellega seotud teatud parameetreid ning lisaks peab olema ka serveri ja kliendi kella sünkroonimine.

Kerberos

Kerberose autentimisserver ilmus esmakordselt eelmise sajandi 90ndate keskel, kuid sellest ajast alates on see juba saanud tohutul hulgal põhimõttelisi muudatusi. Praegu on selle süsteemi üksikud komponendid olemas peaaegu igas kaasaegses operatsioonisüsteemis.

Selle teenuse põhieesmärk on lahendada järgmine probleem: on olemas teatud kaitsmata võrk ja selle sõlmedesse on koondunud erinevad subjektid nii kasutajate kui ka serveri- ja klienditarkvarasüsteemide näol. Igal sellisel subjektil on individuaalne salajane võti ja selleks, et subjektil C oleks võimalus tõestada oma autentsust subjektile S, ilma milleta ta teda lihts alt ei teeninda, ei pea ta mitte ainult ennast nimetama, vaid ka näitamaks, et ta teab teatud salavõtit. Samal ajal pole C-l võimalust lihts alt oma salajast võtit S-le saata, kuna esiteks on võrk avatud ja peale selle S ei tea ja põhimõtteliselt ei peakski seda teadma. Sellises olukorras kasutatakse selle teabe tundmise demonstreerimiseks vähem lihtsat tehnikat.

Kerberose süsteemi kaudu toimub elektrooniline tuvastamine/autentiminekasutada usaldusväärse kolmanda osapoolena, kellel on teavet teenindatavate objektide salajaste võtmete kohta ja kes vajadusel abistab neid paarilise autentimise läbiviimisel.

Seega saadab klient esm alt süsteemi päringu, mis sisaldab vajalikku infot nii tema kui ka taotletava teenuse kohta. Pärast seda annab Kerberos talle omamoodi pileti, mis on krüpteeritud serveri salajase võtmega, samuti koopia sellest osadest andmetest, mis on kliendi võtmega krüpteeritud. Sobivuse korral tuvastatakse, et klient dekrüpteeris talle mõeldud teabe, st suutis näidata, et ta tõesti teab salajast võtit. See viitab sellele, et klient on täpselt see, kes ta väidab end olevat.

Siinkohal tuleb pöörata erilist tähelepanu asjaolule, et salavõtmeid ei edastatud üle võrgu ja neid kasutati eranditult krüptimiseks.

Biomeetriline autentimine

Biomeetria hõlmab automaatsete vahendite kombinatsiooni inimeste tuvastamiseks/autentimiseks nende käitumuslike või füsioloogiliste omaduste põhjal. Autentimise ja tuvastamise füüsilised vahendid hõlmavad silma võrkkesta ja sarvkesta, sõrmejälgede, näo ja käe geomeetria ning muu isikliku teabe kontrollimist. Käitumisomadused hõlmavad klaviatuuriga töötamise stiili ja allkirja dünaamikat. Kombineeritudmeetodid on inimese hääle erinevate tunnuste analüüs, samuti tema kõne äratundmine.

Selliseid tuvastamis-/autentimis- ja krüpteerimissüsteeme kasutatakse laialdaselt paljudes maailma riikides, kuid pikka aega olid need äärmiselt kallid ja raskesti kasutatavad. Viimasel ajal on nõudlus biomeetriliste toodete järele märkimisväärselt suurenenud tänu e-kaubanduse arengule, kuna kasutaja seisukohast on palju mugavam ennast esitleda kui mõnda infot pähe õppida. Sellest tulenev alt tekitab nõudlus pakkumist, nii et turule hakkasid ilmuma suhteliselt odavad tooted, mis on peamiselt keskendunud sõrmejälgede tuvastamisele.

Enamasti kasutatakse biomeetriat koos teiste autentijate, näiteks kiipkaartidega. Sageli on biomeetriline autentimine vaid esimene kaitseliin ja toimib vahendina mitmesuguste krüptosaladusi sisaldavate kiipkaartide aktiveerimiseks. Selle tehnoloogia kasutamisel salvestatakse biomeetriline mall samale kaardile.

Aktiivsus biomeetria valdkonnas on üsna suur. Vastav konsortsium on juba olemas, samuti tehakse üsna aktiivselt tööd tehnoloogia erinevate aspektide standardiseerimiseks. Tänapäeval näete palju reklaamartikleid, milles biomeetrilisi tehnoloogiaid esitletakse ideaalse turvalisuse suurendamise vahendina ja samal ajal üldsusele kättesaadavaks.massid.

ESIA

Identifitseerimis- ja autentimissüsteem ("ESIA") on eriteenus, mis on loodud selleks, et tagada taotlejate ja osakondadevahelises suhtluses osalejate isikusamasuse kontrollimisega seotud erinevate ülesannete elluviimine teenuste osutamise korral. kõik kohalikud või riiklikud teenused elektroonilisel kujul.

Valitsusasutuste ühtsele portaalile, aga ka muudele praeguse e-valitsuse infrastruktuuri infosüsteemidele juurdepääsu saamiseks peate esm alt registreerima konto ja sellest tulenev alt, saate PES-i.

Tasmed

Ühtse identifitseerimis- ja autentimissüsteemi portaalis on üksikisikute jaoks kolm peamist kontotaset:

• Lihtsustatud. Selle registreerimiseks peate lihts alt märkima oma perekonna- ja eesnime ning mõne konkreetse suhtluskanali e-posti aadressi või mobiiltelefoni kujul. See on esmane tase, mille kaudu on inimesel juurdepääs vaid piiratud loetelule mitmesugustest avalikest teenustest, aga ka olemasolevate infosüsteemide võimalustest.
• Standardne. Selle saamiseks peate esm alt väljastama lihtsustatud konto ja seejärel esitama täiendavad andmed, sealhulgas andmed passist ja kindlustuse isikliku konto numbri. Määratud teavet kontrollitakse automaatselt infosüsteemide kauduPensionifond, samuti föderaalne migratsiooniteenistus ning kui kontroll õnnestub, kantakse konto üle standardtasemele, mis avab kasutajale avalike teenuste laiendatud loendi.
• Kinnitatud. Selle kontotaseme saamiseks nõuab ühtne identifitseerimis- ja autentimissüsteem kasutajatelt standardkonto olemasolu ning identiteedi kontrollimist, mis viiakse läbi isikliku visiidiga volitatud teeninduskontorisse või tähitud kirjaga aktiveerimiskoodi hankimisega. Kui identiteedi kinnitamine õnnestub, liigub konto uuele tasemele ja kasutajal on juurdepääs vajalike riigiteenuste täielikule loendile.

Vaatamata asjaolule, et protseduurid võivad tunduda üsna keerulised, saate tegelikult tutvuda vajalike andmete täieliku loendiga otse ametlikul veebisaidil, seega on täielik registreerimine mõne päeva jooksul täiesti võimalik.