Նույնականացում և վավերացում. հիմնական հասկացություններ

2024 Հեղինակ: Howard Calhoun | [email protected]. Վերջին փոփոխված: 2023-12-17 10:30

Նույնականացումը և նույնականացումը ժամանակակից ծրագրային ապահովման և ապարատային անվտանգության գործիքների հիմքն են, քանի որ ցանկացած այլ ծառայություն հիմնականում նախատեսված է այդ կազմակերպություններին սպասարկելու համար: Այս հասկացությունները ներկայացնում են պաշտպանության մի տեսակ առաջին գիծ, որն ապահովում է կազմակերպության տեղեկատվական տարածքի անվտանգությունը:

Ինչ է սա?

Նույնականացումը և նույնականացումը տարբեր գործառույթներ ունեն: Առաջինը սուբյեկտին (օգտագործողին կամ գործընթացին, որը գործում է նրանց անունից) հնարավորություն է տալիս տրամադրել սեփական անունը: Նույնականացման օգնությամբ երկրորդ կողմը վերջնականապես համոզվում է, որ սուբյեկտն իսկապես այնպիսին է, ինչպիսին ինքն է պնդում: Նույնականացումը և նույնականացումը հաճախ փոխարինվում են «անունի հաղորդագրություն» և «նույնականացում» արտահայտություններով՝ որպես հոմանիշներ:

Նրանք իրենք բաժանված են մի քանի սորտերի. Հաջորդը, մենք կանդրադառնանք, թե ինչ են նույնականացումը և նույնականացումը և ինչ են դրանք:

Նույնականացում

Այս հայեցակարգը նախատեսում է երկու տեսակի՝ միակողմանի, երբ հաճախորդըպետք է նախ սերվերին ապացուցի իր իսկությունը և երկկողմանի, այսինքն, երբ իրականացվում է փոխադարձ հաստատում: Ստանդարտ օրինակ, թե ինչպես է իրականացվում ստանդարտ օգտատերերի նույնականացումը և նույնականացումը, որոշակի համակարգ մուտք գործելու կարգն է: Այսպիսով, տարբեր տեսակներ կարող են օգտագործվել տարբեր օբյեկտներում:

Ցանցային միջավայրում, որտեղ օգտատերերի նույնականացումը և նույնականացումը կատարվում են աշխարհագրորեն ցրված կողմերից, խնդրո առարկա ծառայությունը տարբերվում է երկու հիմնական առումներով.

• որը գործում է որպես իսկորոշիչ;
• ինչպես է կազմակերպվել նույնականացման և նույնականացման տվյալների փոխանակումը և ինչպես է դրանք պաշտպանված:

Իր ինքնությունն ապացուցելու համար սուբյեկտը պետք է ներկայացնի հետևյալ միավորներից մեկը՝

• որոշ տեղեկություններ, որոնք նա գիտի (անձնական համար, գաղտնաբառ, հատուկ գաղտնագրման բանալի և այլն);
• որոշ բան, որ նա ունի (անձնական քարտ կամ նմանատիպ այլ սարք);
• որոշ բան, որն ինքնին տարր է (մատնահետքեր, ձայն և օգտատերերի նույնականացման և նույնականացման այլ կենսաչափական միջոցներ):

Համակարգի առանձնահատկություններ

Բաց ցանցային միջավայրում կողմերը չունեն վստահելի երթուղի, ինչը նշանակում է, որ, ընդհանուր առմամբ, սուբյեկտի կողմից փոխանցված տեղեկատվությունը, ի վերջո, կարող է չհամընկնել ստացված և օգտագործված տեղեկատվության հետ։իսկությունը հաստատելիս: Պահանջվում է ապահովել ցանցի ակտիվ և պասիվ ունկնդրման անվտանգությունը, այսինքն՝ պաշտպանություն տարբեր տվյալների ուղղումից, գաղտնալսումից կամ նվագարկումից: Գաղտնաբառերը բաց տեքստով փոխանցելու տարբերակը անբավարար է, և նույն կերպ գաղտնաբառի կոդավորումը չի կարող փրկել օրը, քանի որ դրանք պաշտպանություն չեն ապահովում վերարտադրումից: Ահա թե ինչու այսօր օգտագործվում են նույնականացման ավելի բարդ արձանագրություններ:

Հուսալի նույնականացումը դժվար է ոչ միայն տարբեր առցանց սպառնալիքների պատճառով, այլ նաև մի շարք այլ պատճառներով: Առաջին հերթին, գրեթե ցանկացած նույնականացման սուբյեկտ կարող է գողացվել, կեղծվել կամ եզրակացնել: Կա նաև որոշակի հակասություն մի կողմից օգտագործվող համակարգի հուսալիության և մյուս կողմից՝ համակարգի ադմինիստրատորի կամ օգտագործողի հարմարության միջև: Այսպիսով, անվտանգության նկատառումներից ելնելով, պահանջվում է օգտատիրոջից պահանջել որոշակի հաճախականությամբ վերստին մուտքագրել իր իսկությունը հաստատող տեղեկատվությունը (քանի որ ինչ-որ այլ մարդ կարող է արդեն նստած լինել նրա տեղում), և դա ոչ միայն լրացուցիչ դժվարություններ է ստեղծում, այլև էապես մեծացնում է հնարավորություն, որ ինչ-որ մեկը կարող է լրտեսել տեղեկատվություն մուտքագրելու համար: Ի թիվս այլ բաների, պաշտպանիչ սարքավորումների հուսալիությունը զգալիորեն ազդում է դրա արժեքի վրա:

Նույնականացման և իսկորոշման ժամանակակից համակարգերն աջակցում են ցանցում մեկ մուտքի գաղափարին, որը հիմնականում թույլ է տալիս բավարարել պահանջները՝ օգտատերերի հարմարության տեսանկյունից: Եթե ստանդարտ կորպորատիվ ցանցն ունի բազմաթիվ տեղեկատվական ծառայություններ,ապահովելով անկախ բուժման հնարավորությունը, ապա անձնական տվյալների կրկնակի ներմուծումը դառնում է չափազանց ծանր: Այս պահին դեռ չի կարելի ասել, որ մեկ գրանցման օգտագործումը համարվում է նորմալ, քանի որ գերիշխող լուծումները դեռ ձևավորված չեն։

Այսպիսով, շատերը փորձում են փոխզիջում գտնել այն միջոցների մատչելիության, հարմարության և հուսալիության միջև, որոնք ապահովում են նույնականացում/վավերականացում: Օգտատերերի լիազորումն այս դեպքում իրականացվում է անհատական կանոններով։

Հատուկ ուշադրություն պետք է դարձնել այն փաստին, որ օգտագործվող ծառայությունը կարող է ընտրվել որպես մատչելիության հարձակման օբյեկտ: Եթե համակարգը կազմաձևված է այնպես, որ որոշակի քանակությամբ անհաջող փորձերից հետո մուտքի հնարավորությունն արգելափակվի, ապա այս դեպքում հարձակվողները կարող են դադարեցնել օրինական օգտատերերի աշխատանքը ընդամենը մի քանի սեղմումով։

Գաղտնաբառի նույնականացում

Նման համակարգի հիմնական առավելությունն այն է, որ այն չափազանց պարզ է և ծանոթ շատերին: Գաղտնաբառերը երկար ժամանակ օգտագործվել են օպերացիոն համակարգերի և այլ ծառայությունների կողմից, և ճիշտ օգտագործման դեպքում ապահովում են անվտանգության այնպիսի մակարդակ, որը միանգամայն ընդունելի է կազմակերպությունների մեծ մասի համար: Բայց մյուս կողմից, բնութագրերի ընդհանուր հավաքածուի առումով, նման համակարգերը ներկայացնում են ամենաթույլ միջոցները, որոնց միջոցով կարող է իրականացվել նույնականացում / իսկությունը: Թույլտվությունն այս դեպքում դառնում է բավականին պարզ, քանի որ գաղտնաբառերը պետք է լինենհիշվող, բայց միևնույն ժամանակ պարզ կոմբինացիաները դժվար չէ կռահել, հատկապես, եթե մարդը գիտի կոնկրետ օգտատիրոջ նախասիրությունները։

Երբեմն պատահում է, որ գաղտնաբառերը, սկզբունքորեն, գաղտնի չեն պահվում, քանի որ դրանք ունեն բավականին ստանդարտ արժեքներ, որոնք նշված են որոշակի փաստաթղթերում, և միշտ չէ, որ համակարգը տեղադրելուց հետո դրանք փոխվում են:

Գաղտնաբառը մուտքագրելիս դուք կարող եք տեսնել, իսկ որոշ դեպքերում մարդիկ նույնիսկ օգտագործում են մասնագիտացված օպտիկական սարքեր։

Օգտատերերը՝ նույնականացման և իսկորոշման հիմնական սուբյեկտները, հաճախ կարող են գաղտնաբառերով կիսվել գործընկերների հետ, որպեսզի նրանք որոշակի ժամանակով փոխեն սեփականության իրավունքը: Տեսականորեն, նման իրավիճակներում լավագույնը կլինի օգտագործել հատուկ մուտքի հսկողություն, բայց գործնականում դա ոչ ոքի կողմից չի օգտագործվում: Եվ եթե երկու հոգի իմանան գաղտնաբառը, դա մեծապես մեծացնում է հավանականությունը, որ մյուսներն ի վերջո կիմանան դրա մասին:

Ինչպե՞ս շտկել դա:

Կան մի քանի միջոցներ, թե ինչպես կարելի է ապահովել նույնականացումը և իսկությունը: Տեղեկատվության մշակման բաղադրիչը կարող է ինքն իրեն ապահովել հետևյալ կերպ.

• Տեխնիկական տարբեր սահմանափակումների սահմանում. Ամենից հաճախ գաղտնաբառի երկարության, ինչպես նաև դրա որոշ նիշերի բովանդակության համար կանոններ են սահմանվում:
• Գաղտնաբառերի ժամկետանցության կառավարում, այսինքն՝ դրանք պարբերաբար փոխելու անհրաժեշտությունը։
• Սահմանափակում մուտքը հիմնական գաղտնաբառի ֆայլ:
• Սահմանափակելով մուտքի ժամանակ հասանելի անհաջող փորձերի ընդհանուր թիվը: ՇնորհիվԱյս դեպքում հարձակվողները պետք է գործողություններ կատարեն միայն նախքան նույնականացում և իսկորոշում կատարելը, քանի որ բիրտ ուժի մեթոդը չի կարող օգտագործվել:
• Օգտատերերի նախնական ուսուցում.
• Օգտագործելով գաղտնաբառերի գեներատորի մասնագիտացված ծրագրակազմ, որը թույլ է տալիս ստեղծել համակցություններ, որոնք բավականաչափ հաճելի և հիշվող են:

Այս բոլոր միջոցները կարող են օգտագործվել ցանկացած դեպքում, նույնիսկ եթե գաղտնաբառերի հետ մեկտեղ օգտագործվեն նույնականացման այլ միջոցներ:

Մեկանգամյա գաղտնաբառեր

Վերևում քննարկված տարբերակները կրկնակի օգտագործման են, և եթե համակցությունը բացահայտվի, հարձակվողը հնարավորություն է ստանում որոշակի գործողություններ կատարել օգտատիրոջ անունից: Այդ իսկ պատճառով մեկանգամյա գաղտնաբառերը օգտագործվում են որպես ավելի ուժեղ միջոց՝ դիմացկուն ցանցային պասիվ ունկնդրման հնարավորությանը, ինչի շնորհիվ նույնականացման և իսկորոշման համակարգը դառնում է շատ ավելի անվտանգ, թեև ոչ այնքան հարմար։

Այս պահին ամենահայտնի ծրագրային ապահովման մեկանգամյա գաղտնաբառերի գեներատորներից մեկը S/KEY կոչվող համակարգն է, որը թողարկվել է Bellcore-ի կողմից: Այս համակարգի հիմնական գաղափարն այն է, որ կա F ֆունկցիա, որը հայտնի է և՛ օգտագործողին, և՛ նույնականացման սերվերին: Հետևյալը K գաղտնի բանալին է, որը հայտնի է միայն որոշակի օգտագործողին:

Օգտատիրոջ սկզբնական կառավարման ընթացքում այս ֆունկցիան օգտագործվում է ստեղնինորոշակի քանակությամբ անգամ, որից հետո արդյունքը պահպանվում է սերվերում: Ապագայում նույնականացման կարգը կունենա հետևյալ տեսքը՝

1. Սերվերից օգտատերերի համակարգ է գալիս մի թիվ, որը 1-ով պակաս է այն բանից, թե քանի անգամ է ֆունկցիան օգտագործվում բանալին:
2. Օգտատերը օգտագործում է գործառույթը հասանելի գաղտնի բանալու համար, քանի անգամ սահմանված է առաջին պարբերությունում, որից հետո արդյունքը ցանցի միջոցով ուղարկվում է անմիջապես իսկորոշման սերվեր:
3. Սերվերն օգտագործում է այս ֆունկցիան ստացված արժեքի համար, որից հետո արդյունքը համեմատվում է նախկինում պահպանված արժեքի հետ։ Եթե արդյունքները համընկնում են, ապա օգտվողը վավերացվում է, և սերվերը պահպանում է նոր արժեքը, այնուհետև նվազեցնում է հաշվիչը մեկով:

Գործնականում այս տեխնոլոգիայի ներդրումն ունի մի փոքր ավելի բարդ կառուցվածք, սակայն այս պահին դա այնքան էլ կարևոր չէ։ Քանի որ ֆունկցիան անշրջելի է, նույնիսկ եթե գաղտնաբառը խափանվում է կամ ձեռք է բերվում վավերացման սերվեր չարտոնված մուտք, այն չի ապահովում գաղտնի բանալի ձեռք բերելու և որևէ կերպ կանխատեսելու հնարավորություն, թե կոնկրետ ինչ տեսք կունենա հաջորդ մեկանգամյա գաղտնաբառը:

Ռուսաստանում որպես միասնական ծառայություն օգտագործվում է հատուկ պետական պորտալը՝ «Միասնական նույնականացման / իսկորոշման համակարգ» («ESIA»):

Հզոր նույնականացման համակարգի մեկ այլ մոտեցում է նոր գաղտնաբառի ստեղծումը կարճ ընդմիջումներով, որը նույնպես իրականացվում է.մասնագիտացված ծրագրերի կամ տարբեր խելացի քարտերի օգտագործումը. Այս դեպքում նույնականացման սերվերը պետք է ընդունի գաղտնաբառի ստեղծման համապատասխան ալգորիթմը, ինչպես նաև դրա հետ կապված որոշակի պարամետրեր, և բացի այդ, պետք է լինի նաև սերվերի և հաճախորդի ժամացույցի համաժամացում:

Kerberos

Kerberos վավերացման սերվերն առաջին անգամ հայտնվեց անցյալ դարի 90-ականների կեսերին, բայց դրանից հետո այն արդեն ստացել է հսկայական թվով հիմնարար փոփոխություններ: Այս պահին այս համակարգի առանձին բաղադրիչները առկա են գրեթե բոլոր ժամանակակից օպերացիոն համակարգում:

Այս ծառայության հիմնական նպատակն է լուծել հետևյալ խնդիրը. կա որոշակի անպաշտպան ցանց, և դրա հանգույցներում կենտրոնացած են տարբեր սուբյեկտներ՝ օգտատերերի, ինչպես նաև սերվերի և հաճախորդի ծրագրային համակարգերի տեսքով։ Յուրաքանչյուր այդպիսի սուբյեկտ ունի անհատական գաղտնի բանալի, և որպեսզի C սուբյեկտը հնարավորություն ունենա ապացուցելու իր իսկությունը S սուբյեկտին, առանց որի նա պարզապես չի ծառայի նրան, նա պետք է ոչ միայն իրեն անվանի, այլ նաև. ցույց տալ, որ նա գիտի որոշակի Գաղտնի բանալի: Միևնույն ժամանակ, C-ն հնարավորություն չունի պարզապես իր գաղտնի բանալին ուղարկել S-ին, քանի որ, նախ և առաջ, ցանցը բաց է, և բացի այդ, S-ն չգիտի և, սկզբունքորեն, չպետք է իմանա այն։ Նման իրավիճակում այս տեղեկատվության իմացությունը ցույց տալու համար օգտագործվում է ոչ այնքան պարզ տեխնիկա:

Կերբերոս համակարգի միջոցով էլեկտրոնային նույնականացում/նույնականացումն ապահովում է դաօգտագործել որպես վստահելի երրորդ կողմ, որն ունի տեղեկատվություն սպասարկվող օբյեկտների գաղտնի բանալիների մասին և, անհրաժեշտության դեպքում, օգնում է նրանց զույգական նույնականացումն իրականացնելու հարցում:

Այսպիսով հաճախորդը նախ հարցում է ուղարկում համակարգ, որը պարունակում է անհրաժեշտ տեղեկատվություն իր, ինչպես նաև պահանջվող ծառայության մասին։ Դրանից հետո Kerberos-ը նրան տրամադրում է մի տեսակ տոմս, որը կոդավորված է սերվերի գաղտնի բանալիով, ինչպես նաև դրանից որոշ տվյալների պատճենը, որը կոդավորված է հաճախորդի բանալիով։ Համապատասխանության դեպքում պարզվում է, որ հաճախորդը վերծանել է իր համար նախատեսված տեղեկատվությունը, այսինքն՝ կարողացել է ցույց տալ, որ իսկապես գիտի գաղտնի բանալին։ Սա ենթադրում է, որ հաճախորդը հենց այն է, ով պնդում է, որ ինքը:

Այստեղ հատուկ ուշադրություն պետք է դարձնել այն փաստին, որ գաղտնի բանալիների փոխանցումը չի իրականացվել ցանցով, և դրանք օգտագործվել են բացառապես գաղտնագրման համար։

Կենսաչափական նույնականացում

Կենսաչափությունը ներառում է մարդկանց նույնականացման/նույնականացման ավտոմատացված միջոցների համակցություն՝ հիմնվելով նրանց վարքային կամ ֆիզիոլոգիական բնութագրերի վրա: Նույնականացման և նույնականացման ֆիզիկական միջոցները ներառում են աչքերի ցանցաթաղանթի և եղջերաթաղանթի ստուգումը, մատնահետքերը, դեմքի և ձեռքի երկրաչափությունը և այլ անձնական տեղեկություններ: Վարքագծային բնութագրերը ներառում են ստեղնաշարի հետ աշխատելու ոճը և ստորագրության դինամիկան: Համակցվածմեթոդները մարդու ձայնի տարբեր հատկանիշների վերլուծությունն են, ինչպես նաև նրա խոսքի ճանաչումը։

Նման նույնականացման/նույնականացման և գաղտնագրման համակարգերը լայնորեն կիրառվում են աշխարհի շատ երկրներում, սակայն երկար ժամանակ դրանք չափազանց թանկ էին և դժվար է օգտագործել: Վերջերս կենսաչափական արտադրանքի պահանջարկը զգալիորեն աճել է էլեկտրոնային առևտրի զարգացման շնորհիվ, քանի որ, օգտատիրոջ տեսանկյունից, շատ ավելի հարմար է ներկայանալ, քան որոշ տեղեկություններ անգիր անել: Համապատասխանաբար, պահանջարկը ստեղծում է առաջարկ, ուստի շուկայում սկսեցին հայտնվել համեմատաբար էժան ապրանքներ, որոնք հիմնականում կենտրոնացած են մատնահետքերի ճանաչման վրա։

Դեպքերի ճնշող մեծամասնությունում կենսաչափական տվյալները օգտագործվում են այլ իսկորոշիչների հետ համատեղ, ինչպիսիք են խելացի քարտերը: Հաճախ կենսաչափական նույնականացումը միայն պաշտպանության առաջին գիծն է և գործում է որպես խելացի քարտերի ակտիվացման միջոց, որոնք ներառում են տարբեր ծածկագրային գաղտնիքներ: Այս տեխնոլոգիան օգտագործելիս կենսաչափական ձևանմուշը պահվում է նույն քարտի վրա։

Ակտիվությունը կենսաչափության ոլորտում բավականին բարձր է. Արդեն գոյություն ունի համապատասխան կոնսորցիում, և բավականին ակտիվ աշխատանքներ են տարվում՝ ուղղված տեխնոլոգիայի տարբեր ասպեկտների ստանդարտացմանը։ Այսօր դուք կարող եք տեսնել բազմաթիվ գովազդային հոդվածներ, որոնցում կենսաչափական տեխնոլոգիաները ներկայացված են որպես անվտանգության բարձրացման իդեալական միջոց և միևնույն ժամանակ հասանելի լայն հանրությանը։զանգվածները.

ՇՍԱԳ

Նույնականացման և իսկորոշման համակարգը («ԲՍԱԳ») հատուկ ծառայություն է, որը ստեղծվել է ապահովելու համար հայտատուների և միջգերատեսչական փոխգործակցության մասնակիցների ինքնության ստուգման հետ կապված տարբեր խնդիրների իրականացումը տրամադրման դեպքում: ցանկացած քաղաքային կամ պետական ծառայություն էլեկտրոնային ձևով։

«Պետական գերատեսչությունների միասնական պորտալ»-ին, ինչպես նաև ներկայիս էլեկտրոնային կառավարման ենթակառուցվածքի ցանկացած այլ տեղեկատվական համակարգ մուտք գործելու համար նախ պետք է գրանցել հաշիվ և արդյունքում., ստացեք PES։

Մակարդակներ

Նույնականացման և նույնականացման միասնական համակարգի պորտալը տրամադրում է ֆիզիկական անձանց համար հաշիվների երեք հիմնական մակարդակ.

• Պարզեցված. Այն գրանցելու համար պարզապես անհրաժեշտ է նշել ձեր ազգանունն ու անունը, ինչպես նաև կապի որոշակի ալիք՝ էլեկտրոնային հասցեի կամ բջջային հեռախոսի տեսքով։ Սա այն առաջնային մակարդակն է, որի միջոցով անձին հասանելի է միայն հանրային տարբեր ծառայությունների սահմանափակ ցանկը, ինչպես նաև առկա տեղեկատվական համակարգերի հնարավորությունները:
• Ստանդարտ. Այն ստանալու համար նախ պետք է թողարկեք պարզեցված հաշիվ, այնուհետև տրամադրեք լրացուցիչ տվյալներ, այդ թվում՝ տեղեկություններ անձնագրից և ապահովագրական անհատական անձնական հաշվի համարը: Նշված տեղեկատվությունը ավտոմատ կերպով ստուգվում է տեղեկատվական համակարգերի միջոցովԿենսաթոշակային ֆոնդը, ինչպես նաև Դաշնային միգրացիոն ծառայությունը, և եթե ստուգումը հաջող է, հաշիվը փոխանցվում է ստանդարտ մակարդակի, որը օգտվողի համար բացում է հանրային ծառայությունների ընդլայնված ցանկ:
• Հաստատված է։ Այս մակարդակի հաշիվ ստանալու համար նույնականացման և նույնականացման միասնական համակարգը օգտատերերից պահանջում է ունենալ ստանդարտ հաշիվ, ինչպես նաև ինքնության ստուգում, որն իրականացվում է լիազորված սպասարկման մասնաճյուղ անձնական այցելության կամ գրանցված փոստի միջոցով ակտիվացման կոդը ստանալու միջոցով: Այն դեպքում, երբ ինքնության հաստատումը հաջող է, հաշիվը կտեղափոխվի նոր մակարդակ, և օգտվողին հասանելի կլինի պետական անհրաժեշտ ծառայությունների ամբողջական ցանկը:

Չնայած այն հանգամանքին, որ ընթացակարգերը կարող են բավականին բարդ թվալ, իրականում անհրաժեշտ տվյալների ամբողջական ցանկին կարող եք ծանոթանալ անմիջապես պաշտոնական կայքում, ուստի ամբողջական գրանցումը հնարավոր է մի քանի օրվա ընթացքում։