Идентификация и удостоверяване: основни понятия

2024 Автор: Howard Calhoun | [email protected]. Последно модифициран: 2023-12-17 10:19

Идентификацията и удостоверяването са в основата на съвременните софтуерни и хардуерни инструменти за сигурност, тъй като всички други услуги са предназначени основно да обслужват тези субекти. Тези концепции представляват един вид първа линия на защита, която гарантира сигурността на информационното пространство на организацията.

Какво е това?

Идентификацията и удостоверяването имат различни функции. Първият дава на субекта (потребителят или процес, действащ от тяхно име) възможността да предостави собственото си име. С помощта на удостоверяване втората страна най-накрая се убеждава, че субектът наистина е този, за когото се представя. Идентификацията и удостоверяването често се заменят с фразите „име съобщение“и „удостоверяване“като синоними.

Самите те са разделени на няколко разновидности. След това ще разгледаме какво представляват идентификацията и удостоверяването и какво представляват.

Удостоверяване

Тази концепция предвижда два вида: едностранно, когато клиентъттрябва първо да докаже автентичността си на сървъра, и то двупосочно, тоест когато се извършва взаимно потвърждение. Стандартен пример за това как се извършва стандартната потребителска идентификация и удостоверяване е процедурата за влизане в конкретна система. По този начин различни видове могат да се използват в различни обекти.

В мрежова среда, където идентификацията и удостоверяването на потребителя се извършват от географски разпръснати страни, въпросната услуга се различава в два основни аспекта:

• което действа като удостоверител;
• как точно е организиран обменът на данни за удостоверяване и идентификация и как е защитен.

За да докаже самоличността си, субектът трябва да представи едно от следните субекти:

• определена информация, която той знае (личен номер, парола, специален криптографски ключ и др.);
• определено нещо, което притежава (лична карта или някакво друго устройство с подобна цел);
• определено нещо, което е елемент от себе си (пръстови отпечатъци, глас и други биометрични средства за идентифициране и удостоверяване на потребители).

Системни характеристики

В отворена мрежова среда страните нямат доверен маршрут, което означава, че като цяло информацията, предавана от субекта, може в крайна сметка да не съвпада с получената и използвана информацияпри удостоверяване. Необходимо е да се гарантира сигурността на активното и пасивното слушане на мрежата, тоест защита от корекция, прихващане или възпроизвеждане на различни данни. Опцията за предаване на пароли в обикновен текст е незадоволителна и по същия начин криптирането на паролата не може да спаси деня, тъй като не осигурява защита срещу възпроизвеждане. Ето защо днес се използват по-сложни протоколи за удостоверяване.

Надеждната идентификация е трудна не само поради различни онлайн заплахи, но и поради редица други причини. На първо място, почти всеки обект за удостоверяване може да бъде откраднат, подправен или изведен. Съществува и известно противоречие между надеждността на използваната система, от една страна, и удобството на системния администратор или потребителя, от друга. По този начин, от съображения за сигурност, е необходимо потребителят да помоли отново да въведе информацията си за удостоверяване с известна честота (тъй като някой друг човек вече може да седи на негово място) и това не само създава допълнителни проблеми, но и значително увеличава шанс този някой да шпионира въвеждането на информация. Освен всичко друго, надеждността на защитното оборудване значително влияе върху цената му.

Модерните системи за идентификация и удостоверяване поддържат концепцията за единно влизане в мрежата, което основно ви позволява да отговаряте на изискванията по отношение на удобството на потребителя. Ако стандартната корпоративна мрежа има много информационни услуги,предвиждайки възможност за независимо третиране, тогава повторното въвеждане на лични данни става твърде обременително. В момента все още не може да се каже, че използването на единичен вход се счита за нормално, тъй като доминиращите решения все още не са формирани.

По този начин мнозина се опитват да намерят компромис между достъпност, удобство и надеждност на средствата, които осигуряват идентификация/автентификация. Оторизирането на потребителите в този случай се извършва по индивидуални правила.

Трябва да се обърне специално внимание на факта, че използваната услуга може да бъде избрана като обект на атака за достъпност. Ако системата е конфигурирана по такъв начин, че след определен брой неуспешни опити, възможността за влизане е блокирана, тогава в този случай нападателите могат да спрат работата на легални потребители само с няколко натискания на клавиш.

Удостоверяване с парола

Основното предимство на такава система е, че е изключително проста и позната на повечето. Паролите се използват от операционни системи и други услуги от дълго време и когато се използват правилно, осигуряват ниво на сигурност, което е доста приемливо за повечето организации. Но от друга страна, по отношение на общия набор от характеристики, такива системи представляват най-слабото средство, чрез което може да се извърши идентификация / удостоверяване. Оторизацията в този случай става доста проста, тъй като паролите трябва да бъдатзапомнящи се, но в същото време прости комбинации не са трудни за отгатване, особено ако човек познава предпочитанията на конкретен потребител.

Понякога се случва паролите по принцип да не се пазят в тайна, тъй като имат доста стандартни стойности, посочени в определена документация, и не винаги след инсталирането на системата те се променят.

При въвеждане на паролата можете да видите, а в някои случаи хората дори използват специализирани оптични устройства.

Потребителите, основните субекти на идентификация и удостоверяване, често могат да споделят пароли с колеги, за да променят собствеността им за определено време. На теория в такива ситуации би било най-добре да използвате специални контроли за достъп, но на практика това не се използва от никого. И ако двама души знаят паролата, това значително увеличава шансовете другите в крайна сметка да разберат за нея.

Как да поправя това?

Има няколко начина за осигуряване на идентификация и удостоверяване. Компонентът за обработка на информация може да се защити по следния начин:

• Налагането на различни технически ограничения. Най-често се задават правила за дължината на паролата, както и съдържанието на определени знаци в нея.
• Управление на изтичането на паролите, тоест необходимостта от периодичната им промяна.
• Ограничаване на достъпа до основния файл с парола.
• Чрез ограничаване на общия брой неуспешни опити, налични при влизане. Благодарение наВ този случай нападателите трябва да извършват действия само преди да извършат идентификация и удостоверяване, тъй като методът на грубата сила не може да се използва.
• Предварително обучение на потребителите.
• Използване на специализиран софтуер за генериране на пароли, който ви позволява да създавате комбинации, които са достатъчно благозвучни и запомнящи се.

Всички тези мерки могат да се използват във всеки случай, дори ако се използват други средства за удостоверяване заедно с пароли.

Еднократни пароли

Обсъдените по-горе опции са за многократна употреба и ако комбинацията бъде разкрита, нападателят получава възможност да извърши определени операции от името на потребителя. Ето защо еднократните пароли се използват като по-силно средство, устойчиво на възможността за пасивно мрежово слушане, благодарение на което системата за идентификация и удостоверяване става много по-сигурна, макар и не толкова удобна..

В момента един от най-популярните софтуерни генератори на еднократни пароли е система, наречена S/KEY, издадена от Bellcore. Основната концепция на тази система е, че има определена функция F, която е известна както на потребителя, така и на сървъра за удостоверяване. Следва секретният ключ K, който е известен само на определен потребител.

По време на първоначалното администриране на потребителя, тази функция се използва за ключаопределен брой пъти, след което резултатът се записва на сървъра. В бъдеще процедурата за удостоверяване изглежда така:

1. Номер идва в потребителската система от сървъра, което е с 1 по-малко от броя пъти, когато функцията се използва за ключа.
2. Потребителят използва функцията към наличния секретен ключ броя пъти, който е зададен в първия параграф, след което резултатът се изпраща през мрежата директно до сървъра за удостоверяване.
3. Сървърът използва тази функция за получената стойност, след което резултатът се сравнява с предварително запаметената стойност. Ако резултатите съвпадат, тогава потребителят е удостоверен и сървърът запазва новата стойност, след което намалява брояча с един.

На практика прилагането на тази технология има малко по-сложна структура, но в момента това не е толкова важно. Тъй като функцията е необратима, дори ако паролата бъде засечена или се получи неоторизиран достъп до сървъра за удостоверяване, тя не предоставя възможност за получаване на таен ключ и по какъвто и да е начин да се предскаже как конкретно ще изглежда следващата еднократна парола.

В Русия се използва специален държавен портал като унифицирана услуга - "Единната система за идентификация / удостоверяване" ("ESIA").

Друг подход към силна система за удостоверяване е да имате нова парола, генерирана на кратки интервали, която също се реализира чрезизползване на специализирани програми или различни смарт карти. В този случай сървърът за удостоверяване трябва да приеме съответния алгоритъм за генериране на парола, както и определени параметри, свързани с него, и освен това трябва да има синхронизация на часовника на сървъра и клиента.

Kerberos

Сървърът за удостоверяване на Kerberos се появява за първи път в средата на 90-те години на миналия век, но оттогава вече е получил огромен брой фундаментални промени. В момента отделни компоненти на тази система присъстват в почти всяка съвременна операционна система.

Основната цел на тази услуга е да реши следния проблем: съществува определена незащитена мрежа и в нейните възли са концентрирани различни субекти под формата на потребители, както и сървърни и клиентски софтуерни системи. Всеки такъв субект има индивидуален таен ключ и за да може субектът C да има възможност да докаже собствената си автентичност на субекта S, без който той просто няма да му служи, той ще трябва не само да се назове, но и за да покаже, че знае определен Тайният ключ. В същото време C няма възможност просто да изпрати своя таен ключ до S, тъй като на първо място мрежата е отворена, а освен това S не знае и по принцип не трябва да го знае. В такава ситуация се използва по-малко проста техника за демонстриране на познаване на тази информация.

Електронната идентификация/автентификация чрез системата Kerberos осигурява товаизползвайте като доверена трета страна, която разполага с информация за секретните ключове на обслужваните обекти и, ако е необходимо, им помага при извършване на двойна автентификация.

По този начин клиентът първо изпраща заявка до системата, която съдържа необходимата информация за него, както и за заявената услуга. След това Kerberos му предоставя един вид билет, който е криптиран със секретния ключ на сървъра, както и копие на част от данните от него, което се криптира с ключа на клиента. В случай на съвпадение се установява, че клиентът е дешифрирал информацията, предназначена за него, тоест успял е да докаже, че наистина знае секретния ключ. Това предполага, че клиентът е точно този, за когото се представя.

Трябва да се обърне специално внимание на факта, че прехвърлянето на секретни ключове не е извършено през мрежата и те са били използвани изключително за криптиране.

Биометрично удостоверяване

Биометрията включва комбинация от автоматизирани средства за идентифициране/автентичност на хора въз основа на техните поведенчески или физиологични характеристики. Физическите средства за удостоверяване и идентификация включват проверка на ретината и роговицата на очите, пръстови отпечатъци, геометрия на лицето и ръцете и друга лична информация. Поведенческите характеристики включват стила на работа с клавиатурата и динамиката на подписа. Комбиниранметодите са анализ на различни характеристики на гласа на човек, както и разпознаване на неговата реч.

Подобни системи за идентификация/автентификация и криптиране са широко използвани в много страни по света, но дълго време те бяха изключително скъпи и трудни за използване. Напоследък търсенето на биометрични продукти се е увеличило значително поради развитието на електронната търговия, тъй като от гледна точка на потребителя е много по-удобно да се представиш, отколкото да запомниш някаква информация. Съответно търсенето създава предлагане, така че на пазара започнаха да се появяват сравнително евтини продукти, които са фокусирани основно върху разпознаването на пръстови отпечатъци.

В по-голямата част от случаите биометричните данни се използват в комбинация с други удостоверители като смарт карти. Често биометричното удостоверяване е само първата линия на защита и действа като средство за активиране на смарт карти, които включват различни криптографски тайни. Когато използвате тази технология, биометричният шаблон се съхранява на същата карта.

Активността в областта на биометричните данни е доста висока. Вече съществува подходящ консорциум, а също така се работи доста активно, насочена към стандартизиране на различни аспекти на технологията. Днес можете да видите много рекламни статии, в които биометричните технологии са представени като идеално средство за повишаване на сигурността и в същото време достъпни за широката публика.масите.

ESIA

Системата за идентификация и удостоверяване ("ESIA") е специална услуга, създадена с цел да осигури изпълнението на различни задачи, свързани с проверка на самоличността на кандидатите и участниците в междуведомственото взаимодействие в случай на предоставяне на всякакви общински или държавни услуги в електронна форма.

За да получите достъп до "Единния портал на държавните агенции", както и до всякакви други информационни системи от инфраструктурата на сегашното електронно правителство, първо ще трябва да регистрирате акаунт и в резултат, получете PES.

Нива

Порталът на единната система за идентификация и удостоверяване осигурява три основни нива на акаунти за физически лица:

• Опростено. За да го регистрирате, трябва само да посочите фамилията и собственото си име, както и някакъв конкретен комуникационен канал под формата на имейл адрес или мобилен телефон. Това е първичното ниво, чрез което човек има достъп само до ограничен списък от различни обществени услуги, както и до възможностите на съществуващите информационни системи.
• Стандартно. За да го получите, първо трябва да издадете опростена сметка и след това да предоставите допълнителни данни, включително информация от паспорта и номера на индивидуалната застрахователна сметка. Посочената информация се проверява автоматично чрез информационни системиПенсионен фонд, както и Федералната служба за миграция, и ако проверката е успешна, акаунтът се прехвърля на стандартно ниво, което отваря разширен списък с обществени услуги за потребителя.
• Потвърдено. За получаване на това ниво на акаунт, единната система за идентификация и удостоверяване изисква потребителите да имат стандартен акаунт, както и проверка на самоличността, която се извършва чрез лично посещение в оторизиран сервизен клон или чрез получаване на код за активиране чрез препоръчана поща. В случай, че проверката на самоличността е успешна, акаунтът ще премине на ново ниво и потребителят ще има достъп до пълния списък с необходимите държавни услуги.

Въпреки факта, че процедурите може да изглеждат доста сложни, всъщност можете да се запознаете с пълния списък с необходимите данни директно на официалния уебсайт, така че пълната регистрация е напълно възможна в рамките на няколко дни.