Ідэнтыфікацыя і ідэнтыфікацыя: асноўныя паняцці

Ідэнтыфікацыя і аўтэнтыфікацыя ўяўляюць сабой аснову сучасных праграмна-тэхнічных сродкаў бяспекі, так як любыя іншыя сэрвісы ў асноўным разлічаны на абслугоўванне названых суб'ектаў. Гэтыя паняцці ўяўляюць сабой своеасаблівую першую лінію абароны, якая забяспечвае бяспеку інфармацыйнай прасторы арганізацыі.

Што гэта такое?

Ідэнтыфікацыя і аўтэнтыфікацыя маюць розныя функцыі. Першая дае суб'екту (карыстачу ці працэсу, які дзейнічае ад яго імя) магчымасць паведаміць ўласнае імя. Пры дапамозе аўтэнтыфікацыі ўжо другі бок канчаткова пераконваецца ў тым, што суб'ект сапраўды ўяўляе сабой таго, за каго ён сябе выдае. Нярэдка ў якасці сінонімаў ідэнтыфікацыя і аўтэнтыфікацыя замяняюцца словазлучэннямі «паведамленне імя» і «праверка сапраўднасці».

Самі яны падпадзяляюцца на некалькі разнавіднасцяў. Далей мы разгледзім, што сабой уяўляюць ідэнтыфікацыя і аўтэнтыфікацыя і якімі яны бываюць.

аўтэнтыфікацыя

Дадзенае паняцце прадугледжвае два віды: аднабаковую, калі кліент папярэдне павінен даказаць серверу сваю сапраўднасць, і двухбаковую, гэта значыць калі вядзецца ўзаемнае пацверджанне. Стандартны прыклад таго, як праводзіцца стандартная ідэнтыфікацыя і аўтэнтыфікацыя карыстальнікаў, - гэта працэдура ўваходу ў пэўную сістэму. Такім чынам, розныя тыпы могуць выкарыстоўвацца ў розных аб'ектах.

У сеткавай асяроддзі, калі ідэнтыфікацыя і аўтэнтыфікацыя карыстальнікаў ажыццяўляюцца на тэрытарыяльна разнесеных баках, разгляданы сэрвіс адрозніваецца двума асноўнымі аспектамі:

• што выступае ў якасці аутентификатора;
• як менавіта быў арганізаваны абмен дадзенымі аўтэнтыфікацыі і ідэнтыфікацыі і як забяспечваецца яго абарона.

Каб пацвердзіць сваю сапраўднасць, суб'ектам павінна быць прад'яўлена адна з наступных сутнасцяў:

• пэўная інфармацыя, якая яму вядомая (асабісты нумар, пароль, спецыяльны крыптаграфічны ключ і т. д.);
• пэўная рэч, якой ён валодае (асабістая картка або нейкае іншае прылада, якое мае аналагічнае прызначэнне);
• пэўная рэч, якая з'яўляецца элементам яго самога (адбіткі пальцаў, голас і іншыя біяметрычныя сродкі ідэнтыфікацыі і аўтэнтыфікацыі карыстачоў).

асаблівасці сістэм

У адкрытай сеткавай асяроддзі бакі не маюць даверанай маршруту, а гэта сведчыць аб тым, што ў агульным выпадку інфармацыя, якая перадаецца суб'ектам, можа ў канчатковым выніку не супадаць з інфармацыяй, атрыманай і што выкарыстоўваецца пры праверцы сапраўднасці. Патрабуецца забеспячэнне бяспекі актыўнага і пасіўнага праслухоўвання сеткі, то ёсць абарона ад карэкціроўкі, перахопу ці прайграванні розных дадзеных. Варыянт перадачы пароляў у адкрытым выглядзе з'яўляецца нездавальняючым, і дакладна гэтак жа не можа выратаваць становішча і шыфраванне пароляў, так як ім не забяспечваецца абарона ад прайгравання. Менавіта таму сёння выкарыстоўваюцца больш складаныя пратаколы аўтэнтыфікацыі.

Надзейная ідэнтыфікацыя мае цяжкасці не толькі па прычыне розных сеткавых пагроз, але яшчэ і па цэлым шэрагу іншых прычын. У першую чаргу практычна любыя аутентификационные сутнасці могуць выкрадаў, падраблялі або выведваць. Таксама прысутнічае пэўная супярэчнасць паміж надзейнасцю выкарыстоўванай сістэмы, з аднаго боку, і выгодамі сістэмнага адміністратара ці карыстальніка - з другога. Такім чынам, з меркаванні бяспекі патрабуецца з некаторай частатой запытваць у карыстальніка паўторнае ўвядзенне яго аутентификационной інфармацыі (бо замест яго можа ўжо сядзець якой-небудзь іншы чалавек), а гэта не толькі стварае дадатковыя клопаты, але яшчэ і значна павялічвае шанец на тое, што хтосьці можа падглядаць ўвод інфармацыі. Акрамя ўсяго іншага, надзейнасць сродкі абароны істотна адбіваецца на яго кошту.

Сучасныя сістэмы ідэнтыфікацыі і аўтэнтыфікацыі падтрымліваюць канцэпцыю адзінага ўваходу ў сетку, што ў першую чаргу дазваляе задавальняць патрабаванні ў плане выгоды для карыстальнікаў. Калі стандартная карпаратыўная сетка мае мноства інфармацыйных сэрвісаў, якія прадугледжваюць магчымасць незалежнага звароту, то ў такім выпадку шматразовае ўвядзенне асабістых дадзеных становіцца залішне цяжкім. На дадзены момант пакуль яшчэ нельга сказаць, што выкарыстанне адзінага ўваходу ў сетку лічыцца нармальным, так як дамінуючыя рашэння яшчэ не сфарміраваліся.

Такім чынам, многія імкнуцца знайсці кампраміс паміж даступнасцю па цане, выгодай і надзейнасцю сродкаў, якімі забяспечваецца ідэнтыфікацыя / аўтэнтыфікацыя. Аўтарызацыя карыстальнікаў у дадзеным выпадку ажыццяўляецца па індывідуальных правілах.

Асобная ўвага варта надаць таму, што які выкарыстоўваецца сэрвіс можа быць выбраны ў якасці аб'екта нападу на даступнасць. Калі канфігурацыя сістэмы выканана такім чынам, каб пасля некаторага ліку няўдалых спроб магчымасць уводу была заблакаваная, то ў такім выпадку зламыснікамі можа спыняцца праца легальных карыстальнікаў шляхам літаральна некалькіх націскаў клавіш.

парольная аўтэнтыфікацыя

Галоўнай вартасцю такой сістэмы з'яўляецца тое, што яна з'яўляецца гранічна простай і звыклай для большасці. Паролі ўжо даўным-даўно выкарыстоўваюцца аперацыйнымі сістэмамі і іншымі сэрвісамі, і пры правільным выкарыстанні імі забяспечваецца ўзровень бяспекі, які з'яўляецца цалкам прымальным для большасці арганізацый. Але з іншага боку, па агульнай сукупнасці характарыстык падобныя сістэмы ўяўляюць сабой самае слабое сродак, якім можа ажыццяўляцца ідэнтыфікацыя / аўтэнтыфікацыя. Аўтарызацыя ў такім выпадку становіцца досыць просты, так як паролі павінны быць запамінальнымі, але пры гэтым простыя камбінацыі няцяжка адгадаць, асабліва калі чалавек ведае прыхільнасці канкрэтнага карыстальніка.

Часам бывае так, што паролі, у прынцыпе, не трымаюцца ў сакрэце, бо маюць цалкам стандартныя значэння, названыя ў пэўнай дакументацыі, і далёка не заўсёды пасля таго, як усталёўваецца сістэма, іх змяняюць.

Пры ўводзе пароль можна паглядзець, прычым у некаторых выпадках людзі выкарыстоўваюць нават спецыялізаваныя аптычныя прыборы.

Карыстальнікі, асноўныя суб'екты ідэнтыфікацыі і аўтэнтыфікацыі, нярэдка могуць паведамляць паролі калегам для таго, каб тыя на пэўны час падмянілі ўладальніка. У тэорыі ў такіх сітуацыях будзе больш правільна ўсё ўжываць адмысловыя сродкі кіравання доступам, але на практыцы гэта нікім не выкарыстоўваецца. А калі пароль ведаюць два чалавекі, гэта вельмі моцна павялічвае шанцы на тое, што ў выніку пра яго пазнаюць і іншыя.

Як гэта выправіць?

Ёсць некалькі сродкаў, як можа быць абаронена ідэнтыфікацыя і аўтэнтыфікацыя. Кампанент апрацоўкі інфармацыі можа засцерагчыся наступным:

• Накладаннем розных тэхнічных абмежаванняў. Часцей за ўсё ўсталёўваюцца правілы на даўжыню пароля, а таксама ўтрыманне ў ім пэўных знакаў.
• Кіраваннем тэрміну дзеяння пароляў, то ёсць неабходнасцю іх перыядычнай замены.
• Абмежаваннем доступу да асноўнага файлу пароляў.
• Абмежаваннем агульнай колькасці няўдалых спробаў, даступных пры ўваходзе ў сістэму. Дзякуючы гэтаму зламыснікамі павінны выконвацца толькі дзеяння да выканання ідэнтыфікацыі і аўтэнтыфікацыі, так як метад перабору нельга будзе выкарыстоўваць.
• Папярэдніх навучаннем карыстальнікаў.
• Выкарыстаннем спецыялізаваных праграмных генератараў пароляў, якія дазваляюць ствараць такія камбінацыі, якія з'яўляюцца мілагучнымі і досыць запамінальнымі.

Усе названыя меры могуць выкарыстоўвацца ў любым выпадку, нават калі разам з паролямі будуць прымяняцца таксама і іншыя сродкі аўтэнтыфікацыі.

аднаразовыя паролі

Разгледжаныя вышэй варыянты з'яўляюцца шматразовымі, і ў выпадку раскрыцця камбінацыі зламыснік атрымлівае магчымасць выконваць пэўныя аперацыі ад імя карыстальніка. Менавіта таму ў якасці больш моцнага сродкі, ўстойлівага да магчымасці пасіўнага праслухоўвання сеткі, выкарыстоўваюцца аднаразовыя паролі, дзякуючы якім сістэма ідэнтыфікацыі і аўтэнтыфікацыі становіцца значна больш бяспечнай, хоць і не такі зручнай.

На дадзены момант адным з найбольш папулярных праграмных генератараў аднаразовых пароляў з'яўляецца сістэма пад назвай S / KEY, выпушчаная кампаніяй Bellcore. Асноўная канцэпцыя гэтай сістэмы заключаецца ў тым, што маецца пэўная функцыя F, якая вядомая як карыстальніку, так і серверу аўтэнтыфікацыі. Далей прадстаўлены сакрэтны ключ Да, які вядомы толькі пэўнаму карыстальніку.

Пры пачатковым адміністраванні карыстальніка дадзеная функцыя выкарыстоўваецца да ключа пэўную колькасць раз, пасля чаго адбываецца захаванне атрыманага выніку на сэрвэры. У далейшым працэдура праверкі сапраўднасці выглядае так:

1. На карыстацкую сістэму ад сервера прыходзіць лік, якое на 1 менш колькасці раз выкарыстання функцыі да ключа.
2. Карыстальнікам выкарыстоўваецца функцыя да наяўнага сакрэтнага ключу то колькасць разоў, якое было ўстаноўлена ў першым пункце, пасля чаго вынік адпраўляецца праз сетку непасрэдна на сервер аўтэнтыфікацыі.
3. Серверам выкарыстоўваецца дадзеная функцыя да атрыманага значэнню, пасля чаго вынік параўноўваецца з захаванай раней велічынёй. Калі вынікі супадаюць, то ў такім выпадку сапраўднасць карыстальніка з'яўляецца усталяванай, а сервер захоўвае новае значэнне, пасля чаго зніжае лічыльнік на адзінку.

На практыцы рэалізацыя дадзенай тэхналогіі мае некалькі больш складаную структуру, але на дадзены момант гэта не гэтак важна. Так як функцыя з'яўляецца незваротнай, нават у выпадку перахопу пароля ці атрымання несанкцыянаванага доступу да сервера аўтэнтыфікацыі не падае магчымасці атрымаць сакрэтны ключ і якім-небудзь чынам прадказаць, як канкрэтна будзе выглядаць наступны аднаразовы пароль.

У Расіі ў якасці аб'яднанага сэрвісу выкарыстоўваецца спецыяльны дзяржаўны партал - "Адзіная сістэма ідэнтыфікацыі / аўтэнтыфікацыі" ( "ЕСИА").

Яшчэ адзін падыход да надзейнай сістэме аўтэнтыфікацыі заключаецца ў тым, каб новы пароль генераваўся праз невялікія прамежкі часу, што таксама рэалізуецца праз выкарыстанне спецыялізаваных праграм або розных інтэлектуальных карт. У дадзеным выпадку сервер аўтэнтыфікацыі павінен успрымаць адпаведны алгарытм генерацыі пароляў, а таксама пэўныя асацыяваныя з ім параметры, а акрамя гэтага, павінна прысутнічаць таксама сінхранізацыя гадзін сервера і кліента.

Kerberos

Упершыню сервер аўтэнтыфікацыі Kerberos з'явіўся ў сярэдзіне 90-х гадоў мінулага стагоддзя, але з тых часоў ён ужо паспеў атрымаць найвелізарная колькасць прынцыповых змен. На дадзены момант асобныя кампаненты дадзенай сістэмы прысутнічаюць практычна ў кожнай сучаснай аперацыйнай сістэме.

Галоўным прызначэннем дадзенага сэрвісу з'яўляецца рашэнне наступнай задачы: прысутнічае пэўная няўзброеныя сетку, і ў яе вузлах сканцэнтраваны розныя суб'екты ў выглядзе карыстальнікаў, а таксама серверных і кліенцкіх праграмных сістэм. У кожнага такога суб'екта прысутнічае індывідуальны сакрэтны ключ, і для таго каб у суб'екта З з'явілася магчымасць даказаць уласную сапраўднасць суб'екту S, без якой той папросту не стане яго абслугоўваць, яму неабходна будзе не толькі назваць сябе, але яшчэ і паказаць, што ён ведае пэўны сакрэтны ключ. Пры гэтым у З няма магчымасці проста адправіць у бок S свой сакрэтны ключ, бо ў першую чаргу сетка з'яўляецца адкрытай, а акрамя гэтага, S не ведае, ды і, у прынцыпе, не павінен ведаць яго. У такой сітуацыі выкарыстоўваецца менш прамалінейная тэхналогія дэманстрацыі веды гэтай інфармацыі.

Электронная ідэнтыфікацыя / аўтэнтыфікацыя праз сістэму Kerberos прадугледжвае яе выкарыстанне ў якасці даверанай трэцяга боку, якая мае інфармацыю аб сакрэтных ключах абслугоўваюцца аб'ектаў і пры неабходнасці аказвае ім дапамогу ў правядзенні парамі праверкі сапраўднасці.

Такім чынам, кліентам спачатку адпраўляецца ў сістэму запыт, які змяшчае неабходную інфармацыю аб ім, а таксама аб запытваемага паслугі. Пасля гэтага Kerberos падае яму своеасаблівы білет, які шыфруецца сакрэтным ключом сервера, а таксама копію некаторай часткі дадзеных з яго, якая засакрэчваецца ключом кліента. У выпадку супадзення усталёўваецца, што кліентам была расшыфраваная прызначаны яму інфармацыя, гэта значыць ён змог прадэманстраваць, што сакрэтны ключ яму сапраўды вядомы. Гэта сведчыць аб тым, што кліент з'яўляецца менавіта тым асобай, за якое сябе выдае.

Асобная ўвага тут варта надаць таму, што перадача сакрэтных ключоў ня ажыццяўлялася па сетцы, і яны выкарыстоўваліся выключна для шыфравання.

Праверка сапраўднасці з выкарыстаннем біяметрычных дадзеных

Біяметрыя ўключае ў сябе камбінацыю аўтаматызаваных сродкаў ідэнтыфікацыі / аўтэнтыфікацыі людзей, заснаваную на іх паводніцкіх ці фізіялагічных характарыстыках. Фізічныя сродкі аўтэнтыфікацыі і ідэнтыфікацыі прадугледжваюць праверку сятчаткі і рагавіцы вачэй, адбіткаў пальцаў, геаметрыі асобы і рук, а таксама іншай індывідуальнай інфармацыі. Паводніцкія ж характарыстыкі ўключаюць у сябе стыль працы з клавіятурай і дынаміку подпісы. Камбінаваныя метады ўяўляюць сабой аналіз розных асаблівасцяў галасы чалавека, а таксама распазнаванне яго прамовы.

Такія сістэмы ідэнтыфікацыі / аўтэнтыфікацыі і шыфравання выкарыстоўваюцца паўсюдна ў многіх краінах па ўсім свеце, але на працягу доўгага часу яны адрозніваліся вельмі высокай коштам і складанасцю ва ўжыванні. У апошні жа час попыт на біяметрычныя прадукты значна павялічыўся з прычыны развіцця электроннай камерцыі, так як, з пункту гледжання карыстальніка, нашмат зручней прад'яўляць сябе самога, чым запамінаць нейкую інфармацыю. Адпаведна, попыт нараджае прапанову, таму на рынку пачалі з'яўляцца адносна недарагія прадукты, якія ў асноўным арыентаваны на распазнаванне адбіткаў пальцаў.

У пераважнай большасці выпадкаў біяметрыя выкарыстоўваецца ў камбінацыі з іншымі аутентификаторами накшталт інтэлектуальных карт. Нярэдка біяметрычная аўтэнтыфікацыя ўяўляе сабой толькі першы рубеж абароны і выступае ў якасці сродку актывізацыі інтэлектуальных карт, якія ўключаюць у сябе розныя крыптаграфічныя сакрэты. Пры выкарыстанні дадзенай тэхналогіі біяметрычны шаблон захоўваецца на гэтай жа карце.

Актыўнасць у сферы біяметрыі з'яўляецца досыць высокай. Ужо існуе адпаведны кансорцыум, а таксама даволі актыўна вядуцца работы, накіраваныя на стандартызацыю розных аспектаў тэхналогіі. Сёння можна ўбачыць мноства рэкламных артыкулаў, у якіх біяметрычныя тэхналогіі падаюцца ў якасці ідэальнага сродкі забеспячэння падвышанай бяспекі і пры гэтым даступнага шырокім масам.

ЕСИА

Сістэма ідэнтыфікацыі і аўтэнтыфікацыі ( "ЕСИА") уяўляе сабой адмысловы сэрвіс, створаны для таго, каб забяспечыць рэалізацыю розных задач, звязаных з праверкай сапраўднасці заяўнікаў і ўдзельнікаў міжведамаснага ўзаемадзеяння ў выпадку прадастаўлення якіх-небудзь муніцыпальных або дзяржаўных паслуг у электроннай форме.

Для таго каб атрымаць доступ да "Адзінай парталу дзяржаўных структур", а таксама якім-небудзь іншым інфармацыйных сістэм інфраструктуры дзейнага электроннага ўрада, для пачатку трэба будзе прайсці рэгістрацыю ўліковага запісу і, як следства, атрымаць ПЭП.

ўзроўні

Партал адзінай сістэмы ідэнтыфікацыі і аўтэнтыфікацыі прадугледжвае тры асноўных ўзроўню уліковых запісаў для фізічных асоб:

• Спрошчаная. Для яе рэгістрацыі досыць проста паказаць сваё прозвішча і імя, а таксама нейкі вызначаны канал камунікацыі ў выглядзе адрасы электроннай пошты або мабільнага тэлефона. Гэта першасны ўзровень, з дапамогай якога ў чалавека адкрываецца доступ толькі да абмежаванага пераліку розных дзяржаўных паслуг, а таксама магчымасцяў існых інфармацыйных сістэм.
• Стандартная. Для яе атрымання першапачаткова трэба аформіць спрошчаную уліковы запіс, а потым ужо даць таксама дадатковыя дадзеныя, уключаючы інфармацыю з пашпарта і нумар страхавога індывідуальнага асабовага рахунку. Паказаныя інфармацыя аўтаматычна правяраецца праз інфармацыйныя сістэмы Пенсійнага фонду, а таксама Федэральную міграцыйную службу, і, калі праверка праходзіць паспяхова, уліковы запіс перакладаецца на стандартны ўзровень, што адкрывае карыстачу пашыраны пералік дзяржаўных паслуг.
• Пацверджаная. Для атрымання такога ўзроўню ўліковага запісу адзіная сістэма ідэнтыфікацыі і аўтэнтыфікацыі патрабуе ад карыстальнікаў стандартны рахунак, а таксама пацвярджэнне асобы, якое выконваецца праз асабістае наведванне аддзялення упаўнаважанай службы ці праз атрымання кода актывацыі праз заказны ліст. У тым выпадку, калі пацвярджэнне асобы апынецца паспяховым, уліковы запіс пяройдзе на новы ўзровень, а перад карыстальнікам адкрыецца доступ да поўнага пераліку неабходных дзяржаўных паслуг.

Нягледзячы на тое што працэдуры могуць здацца досыць складанымі, на самай справе азнаёміцца з поўным пералікам неабходных дадзеных можна непасрэдна на афіцыйным сайце, таму паўнавартаснае афармленне цалкам магчыма на працягу некалькіх дзён.