Pagkilala at pagpapatunay: mga pangunahing konsepto

2024 May -akda: Howard Calhoun | [email protected]. Huling binago: 2023-12-17 10:43

Ang pagkakakilanlan at pagpapatotoo ay ang batayan ng modernong software at hardware na mga tool sa seguridad, dahil ang anumang iba pang mga serbisyo ay pangunahing idinisenyo upang pagsilbihan ang mga entity na ito. Ang mga konseptong ito ay kumakatawan sa isang uri ng unang linya ng depensa na nagsisiguro sa seguridad ng espasyo ng impormasyon ng organisasyon.

Ano ito?

Identification at authentication ay may iba't ibang function. Ang una ay nagbibigay sa paksa (ang gumagamit o proseso na kumikilos sa kanilang ngalan) ng pagkakataon na magbigay ng kanilang sariling pangalan. Sa tulong ng pagpapatunay, sa wakas ay kumbinsido ang pangalawang partido na ang paksa ay kung sino talaga ang sinasabi niyang siya. Ang pagkakakilanlan at pagpapatotoo ay kadalasang pinapalitan ng mga pariralang "mensahe ng pangalan" at "pagpapatunay" bilang mga kasingkahulugan.

Sila mismo ay nahahati sa ilang uri. Susunod, titingnan natin kung ano ang pagkakakilanlan at pagpapatunay at kung ano ang mga ito.

Authentication

Ang konseptong ito ay nagbibigay ng dalawang uri: one-sided, kapag ang kliyentedapat munang patunayan ang pagiging tunay nito sa server, at two-way, iyon ay, kapag isinasagawa ang mutual confirmation. Ang karaniwang halimbawa kung paano isinasagawa ang karaniwang pagkakakilanlan at pagpapatunay ng user ay ang pamamaraan para sa pag-log in sa isang partikular na system. Kaya, maaaring magamit ang iba't ibang uri sa iba't ibang bagay.

Sa isang network environment kung saan isinasagawa ang pagkakakilanlan at pagpapatotoo ng user sa mga bahaging nagkakalat sa heograpiya, ang pinag-uusapang serbisyo ay naiiba sa dalawang pangunahing aspeto:

• na nagsisilbing authenticator;
• kung paano eksaktong naayos ang pagpapalitan ng data ng pagpapatotoo at pagkakakilanlan at kung paano ito pinoprotektahan.

Upang patunayan ang kanilang pagkakakilanlan, dapat ipakita ng paksa ang isa sa mga sumusunod na entity:

• tiyak na impormasyon na alam niya (personal na numero, password, espesyal na cryptographic key, atbp.);
• tiyak na pag-aari niya (personal na card o iba pang device na may katulad na layunin);
• isang partikular na bagay na elemento ng sarili nito (mga fingerprint, boses at iba pang biometric na paraan ng pagtukoy at pagpapatotoo ng mga user).

Mga Feature ng System

Sa isang bukas na kapaligiran sa network, ang mga partido ay walang pinagkakatiwalaang ruta, na nangangahulugang, sa pangkalahatan, ang impormasyong ipinadala ng paksa ay maaaring hindi tumugma sa impormasyong natanggap at ginamit.kapag nagpapatotoo. Ito ay kinakailangan upang matiyak ang seguridad ng aktibo at passive na pakikinig sa network, iyon ay, proteksyon mula sa pagwawasto, pagharang o pag-playback ng iba't ibang data. Ang opsyon ng pagpapadala ng mga password sa plaintext ay hindi kasiya-siya, at sa parehong paraan, ang pag-encrypt ng password ay hindi makakapag-save ng araw, dahil hindi sila nagbibigay ng proteksyon laban sa pagpaparami. Iyon ang dahilan kung bakit mas kumplikadong mga protocol sa pagpapatotoo ang ginagamit ngayon.

Mahirap ang mapagkakatiwalaang pagkakakilanlan hindi lamang dahil sa iba't ibang banta sa online, kundi para din sa iba't ibang dahilan. Una sa lahat, halos anumang entity ng pagpapatotoo ay maaaring manakaw, mapeke, o matukoy. Mayroon ding tiyak na kontradiksyon sa pagitan ng pagiging maaasahan ng system na ginamit, sa isang banda, at sa kaginhawahan ng system administrator o user, sa kabilang banda. Kaya, para sa mga kadahilanang pangseguridad, kinakailangan na hilingin sa gumagamit na muling ipasok ang kanyang impormasyon sa pagpapatunay nang may ilang dalas (dahil ang ibang tao ay maaaring nakaupo na sa kanyang lugar), at hindi lamang ito lumilikha ng karagdagang problema, ngunit makabuluhang pinatataas ang pagkakataon na ang isang tao ay maaaring maniktik sa pagpasok ng impormasyon. Sa iba pang mga bagay, ang pagiging maaasahan ng mga kagamitang pang-proteksyon ay makabuluhang nakakaapekto sa gastos nito.

Sinusuportahan ng mga modernong identification at authentication system ang konsepto ng single sign-on sa network, na pangunahing nagbibigay-daan sa iyong matugunan ang mga kinakailangan sa mga tuntunin ng kaginhawahan ng user. Kung ang isang karaniwang corporate network ay may maraming serbisyo ng impormasyon,pagbibigay para sa posibilidad ng independiyenteng paggamot, kung gayon ang paulit-ulit na pagpapakilala ng personal na data ay nagiging masyadong mabigat. Sa ngayon, hindi pa masasabing ang paggamit ng single sign-on ay itinuturing na normal, dahil hindi pa nabubuo ang mga nangingibabaw na solusyon.

Kaya, marami ang nagsisikap na makahanap ng kompromiso sa pagitan ng pagiging affordability, kaginhawahan at pagiging maaasahan ng mga paraan na nagbibigay ng pagkakakilanlan / pagpapatunay. Ang pahintulot ng mga user sa kasong ito ay isinasagawa ayon sa mga indibidwal na panuntunan.

Dapat na bigyan ng espesyal na pansin ang katotohanan na ang serbisyong ginamit ay maaaring mapili bilang object ng isang pag-atake sa availability. Kung ang system ay na-configure sa paraang pagkatapos ng isang tiyak na bilang ng mga hindi matagumpay na pagtatangka, ang kakayahang pumasok ay naharang, kung gayon sa kasong ito, ang mga umaatake ay maaaring huminto sa gawain ng mga legal na user sa pamamagitan lamang ng ilang mga keystroke.

Password authentication

Ang pangunahing bentahe ng naturang sistema ay ang pagiging simple nito at pamilyar sa karamihan. Ang mga password ay ginagamit ng mga operating system at iba pang mga serbisyo sa loob ng mahabang panahon, at kapag ginamit nang tama, nagbibigay sila ng antas ng seguridad na medyo katanggap-tanggap para sa karamihan ng mga organisasyon. Ngunit sa kabilang banda, sa mga tuntunin ng kabuuang hanay ng mga katangian, ang mga naturang sistema ay kumakatawan sa pinakamahina na paraan kung saan maaaring maisagawa ang pagkakakilanlan / pagpapatunay. Ang pahintulot sa kasong ito ay nagiging medyo simple, dahil ang mga password ay dapathindi malilimutan, ngunit sa parehong oras ang mga simpleng kumbinasyon ay hindi mahirap hulaan, lalo na kung alam ng isang tao ang mga kagustuhan ng isang partikular na user.

Minsan nangyayari na ang mga password, sa prinsipyo, ay hindi pinananatiling lihim, dahil mayroon silang mga karaniwang halaga na tinukoy sa ilang partikular na dokumentasyon, at hindi palaging pagkatapos ma-install ang system, ang mga ito ay papalitan.

Kapag inilagay ang password, makikita mo, at sa ilang pagkakataon, gumagamit pa ang mga tao ng mga espesyal na optical device.

Ang mga gumagamit, ang pangunahing paksa ng pagkilala at pagpapatunay, ay kadalasang maaaring magbahagi ng mga password sa mga kasamahan upang mapalitan nila ang pagmamay-ari sa isang partikular na oras. Sa teorya, sa ganitong mga sitwasyon, pinakamahusay na gumamit ng mga espesyal na kontrol sa pag-access, ngunit sa pagsasagawa, hindi ito ginagamit ng sinuman. At kung alam ng dalawang tao ang password, lubos nitong pinapataas ang pagkakataong malalaman ito ng iba.

Paano ito ayusin?

May ilang paraan kung paano mase-secure ang pagkakakilanlan at pagpapatunay. Maaaring i-secure ng bahagi ng pagproseso ng impormasyon ang sarili nito tulad ng sumusunod:

• Ang pagpapataw ng iba't ibang teknikal na paghihigpit. Kadalasan, itinakda ang mga panuntunan para sa haba ng password, pati na rin ang nilalaman ng ilang partikular na character dito.
• Pamamahala sa pag-expire ng mga password, iyon ay, ang pangangailangang baguhin ang mga ito sa pana-panahon.
• Paghihigpit sa pag-access sa pangunahing file ng password.
• Sa pamamagitan ng paglilimita sa kabuuang bilang ng mga nabigong pagsubok na magagamit sa pag-login. Salamat kaySa kasong ito, dapat lang na magsagawa ng mga aksyon ang mga umaatake bago magsagawa ng pagkakakilanlan at pagpapatotoo, dahil hindi magagamit ang brute-force na paraan.
• Pre-training ng mga user.
• Paggamit ng espesyal na software ng generator ng password na nagbibigay-daan sa iyong lumikha ng mga kumbinasyon na nakakatuwa at sapat na hindi malilimutan.

Lahat ng mga hakbang na ito ay maaaring gamitin sa anumang kaso, kahit na gumamit ng ibang paraan ng pagpapatotoo kasama ng mga password.

One Time Password

Ang mga opsyon na tinalakay sa itaas ay magagamit muli, at kung ang kumbinasyon ay nahayag, ang umaatake ay magkakaroon ng pagkakataong magsagawa ng ilang partikular na operasyon sa ngalan ng user. Iyon ang dahilan kung bakit ginagamit ang isang beses na password bilang isang mas malakas na paraan, lumalaban sa posibilidad ng passive na pakikinig sa network, salamat sa kung saan ang sistema ng pagkakakilanlan at pagpapatunay ay nagiging mas secure, bagama't hindi gaanong maginhawa.

Sa ngayon, ang isa sa pinakasikat na software na isang beses na tagalikha ng password ay isang system na tinatawag na S/KEY, na inilabas ng Bellcore. Ang pangunahing konsepto ng system na ito ay mayroong isang tiyak na function F na kilala sa parehong user at sa authentication server. Ang sumusunod ay ang sikretong key K, na alam lang ng isang user.

Sa paunang pangangasiwa ng user, ginagamit ang function na ito sa keyisang tiyak na bilang ng mga beses, pagkatapos kung saan ang resulta ay nai-save sa server. Sa hinaharap, ganito ang hitsura ng pamamaraan ng pagpapatunay:

1. May numerong dumarating sa user system mula sa server, na 1 mas mababa kaysa sa bilang ng beses na ginamit ang function sa key.
2. Ginagamit ng user ang function sa available na sikretong key sa dami ng beses na itinakda sa unang talata, pagkatapos nito ay ipinadala ang resulta sa pamamagitan ng network nang direkta sa server ng pagpapatunay.
3. Server ay gumagamit ng function na ito sa natanggap na halaga, pagkatapos ay ang resulta ay inihambing sa dating na-save na halaga. Kung tumugma ang mga resulta, maa-authenticate ang user at ise-save ng server ang bagong value, pagkatapos ay babawasan ng isa ang counter.

Sa pagsasagawa, ang pagpapatupad ng teknolohiyang ito ay may bahagyang mas kumplikadong istraktura, ngunit sa ngayon ay hindi ito napakahalaga. Dahil ang function ay hindi maibabalik, kahit na ang password ay naharang o hindi awtorisadong pag-access sa server ng pagpapatunay, hindi ito nagbibigay ng kakayahang makakuha ng isang lihim na susi at sa anumang paraan ay mahulaan kung ano ang magiging hitsura ng susunod na isang beses na password.

Sa Russia, ginagamit ang isang espesyal na portal ng estado bilang isang pinag-isang serbisyo - ang "Pinag-isang Identification / Authentication System" ("ESIA").

Ang isa pang diskarte sa isang malakas na sistema ng pagpapatunay ay ang pagkakaroon ng bagong password na nabuo sa mga maikling pagitan, na ipinapatupad din sa pamamagitan ngpaggamit ng mga espesyal na programa o iba't ibang mga smart card. Sa kasong ito, dapat tanggapin ng server ng pagpapatunay ang naaangkop na algorithm ng pagbuo ng password, pati na rin ang ilang partikular na parameter na nauugnay dito, at bilang karagdagan, dapat ding mayroong pag-synchronize ng orasan ng server at client.

Kerberos

Ang server ng pagpapatunay ng Kerberos ay unang lumitaw noong kalagitnaan ng dekada 90 ng huling siglo, ngunit mula noon ay nakatanggap na ito ng malaking bilang ng mga pangunahing pagbabago. Sa ngayon, ang mga indibidwal na bahagi ng system na ito ay nasa halos lahat ng modernong operating system.

Ang pangunahing layunin ng serbisyong ito ay upang malutas ang sumusunod na problema: mayroong isang tiyak na hindi protektadong network, at iba't ibang mga paksa ay puro sa mga node nito sa anyo ng mga user, gayundin ang mga server at client software system. Ang bawat naturang paksa ay may isang indibidwal na lihim na susi, at upang ang paksang C ay magkaroon ng pagkakataon na patunayan ang sarili nitong pagiging tunay sa paksang S, kung wala ito ay hindi siya maglilingkod sa kanya, kakailanganin niya hindi lamang pangalanan ang kanyang sarili, kundi pati na rin upang ipakita na alam niya ang isang tiyak na Ang lihim na susi. Kasabay nito, ang C ay walang pagkakataon na ipadala lamang ang lihim na susi nito sa S, dahil, una sa lahat, bukas ang network, at bukod dito, hindi alam ng S, at, sa prinsipyo, ay hindi dapat malaman ito. Sa ganoong sitwasyon, ginagamit ang hindi gaanong prangka na pamamaraan upang ipakita ang kaalaman sa impormasyong ito.

Electronic identification/authentication sa pamamagitan ng Kerberos system na nagbibigay para ditogamitin bilang isang pinagkakatiwalaang third party na may impormasyon tungkol sa mga sikretong key ng mga inihahatid na bagay at, kung kinakailangan, tinutulungan sila sa pagsasagawa ng pairwise authentication.

Kaya, ang kliyente ay unang nagpapadala ng isang kahilingan sa system, na naglalaman ng kinakailangang impormasyon tungkol sa kanya, pati na rin ang tungkol sa hiniling na serbisyo. Pagkatapos nito, binibigyan siya ni Kerberos ng isang uri ng tiket, na naka-encrypt gamit ang lihim na susi ng server, pati na rin ang isang kopya ng ilan sa mga data mula dito, na naka-encrypt gamit ang susi ng kliyente. Sa kaso ng isang tugma, itinatag na na-decrypt ng kliyente ang impormasyong inilaan para sa kanya, iyon ay, naipakita niya na talagang alam niya ang lihim na susi. Iminumungkahi nito na ang kliyente ay eksakto kung sino ang sinasabi niyang siya.

Espesyal na atensyon dito ay dapat ibigay sa katotohanan na ang paglilipat ng mga lihim na susi ay hindi isinagawa sa network, at ang mga ito ay ginamit lamang para sa pag-encrypt.

Biometric authentication

Ang Biometrics ay nagsasangkot ng kumbinasyon ng mga automated na paraan ng pagtukoy/pagpapatotoo ng mga tao batay sa kanilang pag-uugali o pisyolohikal na katangian. Kasama sa pisikal na paraan ng pagpapatunay at pagkakakilanlan ang pag-verify ng retina at kornea ng mga mata, mga fingerprint, geometry ng mukha at kamay, at iba pang personal na impormasyon. Kasama sa mga katangian ng pag-uugali ang istilo ng pagtatrabaho gamit ang keyboard at ang dynamics ng lagda. pinagsama-samaAng mga pamamaraan ay ang pagsusuri ng iba't ibang katangian ng boses ng isang tao, gayundin ang pagkilala sa kanyang pananalita.

Ang nasabing identification/authentication at encryption system ay malawakang ginagamit sa maraming bansa sa buong mundo, ngunit sa mahabang panahon ang mga ito ay sobrang mahal at mahirap gamitin. Kamakailan lamang, ang pangangailangan para sa mga produktong biometric ay tumaas nang malaki dahil sa pag-unlad ng e-commerce, dahil, mula sa punto ng view ng gumagamit, ito ay mas maginhawa upang ipakita ang sarili kaysa sa kabisaduhin ang ilang impormasyon. Alinsunod dito, lumilikha ng supply ang demand, kaya nagsimulang lumabas sa merkado ang medyo murang mga produkto, na pangunahing nakatuon sa pagkilala sa fingerprint.

Sa karamihan ng mga kaso, ginagamit ang biometrics kasama ng iba pang mga authenticator tulad ng mga smart card. Kadalasan, ang biometric authentication ay ang unang linya lamang ng depensa at nagsisilbing paraan ng pag-activate ng mga smart card na kinabibilangan ng iba't ibang cryptographic na mga lihim. Kapag ginagamit ang teknolohiyang ito, iniimbak ang biometric na template sa parehong card.

Ang aktibidad sa larangan ng biometrics ay medyo mataas. Ang isang naaangkop na consortium ay mayroon na, at ang trabaho ay aktibo ring isinasagawa na naglalayong i-standardize ang iba't ibang aspeto ng teknolohiya. Ngayon ay makakakita ka ng maraming mga artikulo sa advertising kung saan ang mga biometric na teknolohiya ay ipinakita bilang isang perpektong paraan ng pagtaas ng seguridad at sa parehong oras ay naa-access sa pangkalahatang publiko.ang masa.

ESIA

The Identification and Authentication System ("ESIA") ay isang espesyal na serbisyo na nilikha upang matiyak ang pagpapatupad ng iba't ibang mga gawain na may kaugnayan sa pag-verify ng pagkakakilanlan ng mga aplikante at kalahok sa interdepartmental na interaksyon sa kaso ng pagkakaloob ng anumang mga serbisyo ng munisipyo o estado sa elektronikong anyo.

Upang makakuha ng access sa "Single Portal ng mga Ahensya ng Gobyerno", gayundin sa anumang iba pang sistema ng impormasyon ng imprastraktura ng kasalukuyang e-government, kakailanganin mo munang magrehistro ng account at, bilang resulta, makatanggap ng PES.

Mga Antas

Ang portal ng pinag-isang sistema ng pagkakakilanlan at pagpapatunay ay nagbibigay ng tatlong pangunahing antas ng mga account para sa mga indibidwal:

• Pinasimple. Upang irehistro ito, kailangan mo lamang ipahiwatig ang iyong apelyido at unang pangalan, pati na rin ang ilang partikular na channel ng komunikasyon sa anyo ng isang email address o mobile phone. Ito ang pangunahing antas, kung saan ang isang tao ay may access lamang sa isang limitadong listahan ng iba't ibang pampublikong serbisyo, pati na rin ang mga kakayahan ng mga umiiral na sistema ng impormasyon.
• Karaniwan. Upang makuha ito, kailangan mo munang mag-isyu ng isang pinasimple na account, at pagkatapos ay magbigay din ng karagdagang data, kabilang ang impormasyon mula sa pasaporte at ang numero ng indibidwal na personal na account ng insurance. Ang tinukoy na impormasyon ay awtomatikong sinusuri sa pamamagitan ng mga sistema ng impormasyonPension Fund, pati na rin ang Federal Migration Service, at kung matagumpay ang tseke, ililipat ang account sa karaniwang antas, na magbubukas ng pinahabang listahan ng mga pampublikong serbisyo sa user.
• Nakumpirma. Upang makuha ang antas ng account na ito, ang pinag-isang sistema ng pagkakakilanlan at pagpapatunay ay nangangailangan ng mga user na magkaroon ng karaniwang account, gayundin ang pag-verify ng pagkakakilanlan, na isinasagawa sa pamamagitan ng personal na pagbisita sa isang awtorisadong sangay ng serbisyo o sa pamamagitan ng pagkuha ng activation code sa pamamagitan ng rehistradong mail. Kung sakaling matagumpay ang pag-verify ng pagkakakilanlan, lilipat ang account sa isang bagong antas, at magkakaroon ng access ang user sa buong listahan ng mga kinakailangang serbisyo ng pamahalaan.

Sa kabila ng katotohanan na ang mga pamamaraan ay maaaring mukhang medyo kumplikado, sa katunayan, maaari kang maging pamilyar sa buong listahan ng mga kinakailangang data nang direkta sa opisyal na website, kaya ang buong pagpaparehistro ay posible sa loob ng ilang araw.