Იდენტიფიკაცია და ავტორიზაციის: ძირითადი ცნებები

იდენტიფიკაცია და ავტორიზაციის საფუძველს თანამედროვე პროგრამული და აპარატურული უსაფრთხოების, როგორც ნებისმიერი სხვა მომსახურება გათვლილია მომსახურების ამ სუბიექტებს შორის. ეს ცნებები წარმოადგენს ერთგვარ პირველი ხაზი თავდაცვის, უსაფრთხოებისა და საინფორმაციო სივრცის ორგანიზაცია.

რა არის ეს?

იდენტიფიკაცია და ავტორიზაციის აქვს სხვადასხვა ფუნქციები. პირველი უზრუნველყოფს საგნის (მომხმარებლის ან პროცესი, რომელიც მოქმედებს) შესაძლებლობა ვუთხრა საკუთარი სახელი. საშუალებით ავტორიზაციის მეორე მხარეს არის სრულიად დარწმუნებული, რომ საგანი ნამდვილად არ არის, ვისაც იგი აცხადებს, რომ. ხშირად, როგორც სინონიმი იდენტიფიკაცია და ავტორიზაციის შეცვალა ფრაზა "Post სახელი" და "ავტორიზაციის".

ისინი თავად იყოფა რამდენიმე ჯიშები. შემდეგი, ჩვენ მიგვაჩნია, რომ პირადობის და ავტორიზაციის არიან და რასაც ისინი.

ავტორიზაციის

ეს კონცეფცია ითვალისწინებს ორი სახის: ერთი გზა, კლიენტს უნდა დაამტკიცოს, რომ სერვერზე სინამდვილის და ორმხრივი, რომ არის, როდესაც ორმხრივი დადასტურება ხორციელდება. ტიპიური მაგალითია, თუ როგორ უნდა ჩაატაროს იდენტიფიკაციის სტანდარტული და ავტორიზაციის წევრებს - ეს არის შესვლის კონკრეტული სისტემის. აქედან გამომდინარე, სხვადასხვა სახის შეიძლება იყოს გამოყენებული სხვადასხვა ობიექტები.

ქსელური გარემოში, სადაც იდენტიფიკაცია და ავტორიზაციის წევრებს გააკეთა გეოგრაფიულად დაარბია პარტიები, შეამოწმოს მომსახურება გამოირჩევა ორი ძირითადი ასპექტები:

• რომელიც მოქმედებს, როგორც authenticator;
• როგორ იყო ორგანიზებული მონაცემთა გაცვლის ამოცნობის და იდენტიფიკაცია და როგორ უნდა დავიცვათ იგი.

იმის დასადასტურებლად, მისი ნამდვილობა, საგანი წარმოდგენილი უნდა იყოს ერთი შემდეგ პირებს:

• გარკვეული ინფორმაცია, რომელიც მან იცის (პირადი ნომერი, პაროლი, სპეციალური კრიპტოგრაფიული გასაღები, etc ...);
• გარკვეული რამ ფლობს (პირადი ბარათის ან სხვა მოწყობილობა, რომელსაც მსგავსი მიზნით);
• გარკვეული რამ, რაც ელემენტის (თითის ანაბეჭდი, ხმა და სხვა ბიომეტრიული იდენტიფიკაციის და ავტორიზაციის წევრებს).

სისტემის მახასიათებლები

ღია ქსელის გარემოს, პარტიას არა აქვს სანდო გზას, და ამბობენ, რომ ზოგადად, მიერ გადაცემული ინფორმაციის საგანი შეიძლება საბოლოოდ იყოს განსხვავებული მიღებული ინფორმაცია და გამოიყენება ავტორიზაციის. საჭირო უსაფრთხოების აქტიური და პასიური ქსელის sniffer, რომ არის, დაცვის სასჯელაღსრულების, მოხსნა ან აღწარმოების სხვადასხვა მონაცემები. პაროლი გადაცემის ვარიანტს ნათელი არ არის დამაკმაყოფილებელი, და უბრალოდ ვერ გადარჩენა დღეში და დაშიფრული პაროლები, რადგან ისინი არ არის გათვალისწინებული, აღწარმოება დაცვა. სწორედ ამიტომ, დღეს გამოიყენება უფრო რთული ავტორიზაციის ოქმები.

სანდო იდენტიფიცირება რთულია არა მხოლოდ იმიტომ, რომ სხვადასხვა ქსელის საფრთხეებს, არამედ სხვადასხვა მიზეზების გამო. პირველი პრაქტიკულად ნებისმიერი ავტორიზაციის პირი შეიძლება გაიტაცეს, ან გაყალბება და სკაუტინგი. ჭიდილის საიმედოობის სისტემა გამოიყენება ასევე ესწრებოდა, ერთის მხრივ, და სისტემის ადმინისტრატორს ან მომხმარებლის საშუალებები - მეორეს. ამდენად, იმის გამო, უსაფრთხოების საჭირო გარკვეული სიხშირით ვთხოვ შესახებ ხელახლა დანერგვა მისი ავტორიზაციის ინფორმაცია (ნაცვლად ის შეიძლება ჯდომა რამდენიმე სხვა ადამიანი), და ეს არა მხოლოდ ქმნის დამატებით პრობლემები, არამედ მნიშვნელოვნად ზრდის შანსი რომ ვინმეს შეუძლია pry ინფორმაციას შეყვანა. გარდა ამისა, საიმედოობის დაცვა ნიშნავს მნიშვნელოვანი გავლენა მისი ღირებულება.

თანამედროვე იდენტიფიკაცია და ავტორიზაციის სისტემების მხარდაჭერა კონცეფცია ერთი ნიშანი-on ქსელის, რომელიც, უპირველეს ყოვლისა caters რომ მოთხოვნების თვალსაზრისით მომხმარებლის მეგობრული. თუ სტანდარტული კორპორატიული ქსელის აქვს უამრავი საინფორმაციო მომსახურება, რომელიც უზრუნველყოფს შესაძლებლობა დამოუკიდებელი მიმოქცევაში, მაშინ მრავალი ადმინისტრაციის პირადი მონაცემების ხდება ძალიან მძიმე. ამ ეტაპზე ეს არის კიდევ შეუძლებელია იმის თქმა, რომ გამოყენების ერთი ნიშანი-on ქსელის არის ნორმალური, როგორც დომინანტური გადაწყვეტილებები არ არის ჩამოყალიბებული.

ასე რომ, ბევრი ცდილობს იპოვოს კომპრომისი შორის ხელმისაწვდომს, კომფორტული და საიმედოობის თანხები, რომელიც უზრუნველყოფს იდენტიფიკაცია / ავტორიზაციის. მომხმარებლის ავტორიზაციის ამ შემთხვევაში ხორციელდება ინდივიდუალური წესები.

განსაკუთრებული ყურადღება უნდა მიექცეს იმ ფაქტს, რომ მომსახურების გამოიყენება შეიძლება არჩეული ობიექტი თავდასხმების ხელმისაწვდომობა. იმ შემთხვევაში, თუ სისტემის კონფიგურაცია კეთდება ისე, რომ მას შემდეგ, რაც მთელი რიგი წარუმატებელი მცდელობები შესვლის შესაძლებლობა დაბლოკილია, მაშინ შემტევს შეუძლია შეწყვიტოს ოპერაცია ლეგიტიმური მომხმარებლების მიერ რამდენიმე keystrokes.

პაროლის ავთენტიფიკაცია

მთავარი უპირატესობა ამ სისტემის არის ის, რომ ეს არის ძალიან მარტივი და ნაცნობი საუკეთესო. პაროლები დიდი ხანია გამოიყენება ოპერაციული სისტემები და სხვა მომსახურება, და სწორი გამოყენება უსაფრთხოების, რაც სავსებით მისაღებია ყველაზე ორგანიზაციებთან. მეორეს მხრივ, საერთო კომპლექტი მახასიათებლები ასეთი სისტემების სუსტი საშუალება, რომლითაც საიდენტიფიკაციო / ავტორიზაციის შეიძლება განხორციელდეს. ავტორიზაცია ამ შემთხვევაში ხდება საკმაოდ მარტივია, რადგან პაროლები უნდა იყოს catchy, მაგრამ ეს არ არის რთული ამოსაცნობია კომბინაცია მარტივი, მით უმეტეს, თუ პირი იცის პარამეტრების კონკრეტული მომხმარებლის.

ზოგჯერ ხდება, რომ პაროლები, პრინციპში, არ არის დაცული საიდუმლო, როგორც საკმაოდ სტანდარტული ღირებულებების მითითებული კონკრეტული დოკუმენტაცია, და არა ყოველთვის, მას შემდეგ, სისტემა არის დამონტაჟებული, მათი შეცვლა.

როდესაც თქვენ შეიყვანოთ თქვენი პაროლი ხედავთ, ზოგიერთ შემთხვევაში, ხალხი კი გამოიყენოთ სპეციალიზებული ოპტიკური ინსტრუმენტები.

მომხმარებელი, მთავარი თემა იდენტიფიკაცია და ავტორიზაციის, პაროლები ხშირად აცნობოს კოლეგებს იმ გარკვეულ დროს შეიცვალა მფლობელი. თეორიულად, ასეთ სიტუაციაში, რომ უფრო სწორი იქნება, გამოიყენოს სპეციალური დაშვების კონტროლის, მაგრამ პრაქტიკაში ეს არ გამოიყენება. და თუ დაგავიწყდათ, ორი ადამიანი, ეს ძალიან მნიშვნელოვნად ზრდის შანსი, რომ ბოლოს და მეტი.

როგორ გაასწორონ ის?

არსებობს რამდენიმე ინსტრუმენტები, როგორიცაა იდენტიფიკაცია და ავტორიზაციის შეიძლება იყოს დაცული. ინფორმაციის დამუშავების კომპონენტი შეიძლება დააზღვევს შემდეგნაირად:

• დაკისრების სხვადასხვა ტექნიკური შეზღუდვები. ყველაზე ხშირად წესები დაგავიწყდათ სიგრძეზე და შინაარსი გარკვეული სიმბოლო.
• Office დაგავიწყდათ გასვლის, ანუ ისინი უნდა შეიცვალოს პერიოდულად.
• შეზღუდული ხელმისაწვდომობის ძირითადი დაგავიწყდათ ფაილი.
• შეზღუდვა საერთო რაოდენობის წარუმატებელი მცდელობები, რომლებიც ხელმისაწვდომი, როდესაც თქვენ შეხვიდეთ სისტემაში. იმის გამო, რომ ამ თავდამსხმელები უნდა განხორციელდეს მხოლოდ ქმედებები განახორციელოს იდენტიფიკაცია და ავტორიზაციის ისევე როგორც დახარისხება მეთოდი არ შეიძლება იყოს გამოყენებული.
• წინასწარი მომზადების მომხმარებლებს.
• გამოყენებით სპეციალიზებული პროგრამული უზრუნველყოფა პაროლების გენერატორი, რომელიც შეიძლება შეიქმნას ისეთი კომბინაციები, რომლებიც საკმარისად melodious და დასამახსოვრებელი.

ყველა ამ ღონისძიებების შეიძლება გამოყენებულ იქნას ნებისმიერ შემთხვევაში, მაშინაც კი, თუ ერთად პაროლები ასევე გამოიყენოთ სხვა საშუალებებით ავტორიზაციის.

ერთჯერადი პაროლები

აღნიშნული embodiments reusable, და გახსნის შემთხვევაში კომბინაციები თავდამსხმელი შეუძლია შეასრულოს გარკვეული ოპერაციების შესახებ სახელით. სწორედ ამიტომ, როგორც ძლიერი საშუალება გამძლეობით შესაძლებლობა პასიური ქსელის sniffer, გამოიყენოთ ერთჯერადი პაროლები იდენტიფიკაციისა და ავტორიზაციის სისტემა ბევრად უფრო უსაფრთხო, თუმცა არა როგორც მოსახერხებელია.

ამ ეტაპზე, ერთ-ერთი ყველაზე პოპულარული პროგრამული ერთჯერადი პაროლების გენერატორი სისტემას ეწოდება S / KEY მიერ გავრცელებულ Bellcore. ძირითადი კონცეფცია ამ სისტემის არის ის, რომ არსებობს გარკვეული ფუნქცია F, რომელიც ცნობილია, როგორც მომხმარებელს და ავტორიზაციის სერვერზე. შემდეგ არის საიდუმლო გასაღები K, ცნობილია მხოლოდ კონკრეტული შესახებ.

თავდაპირველი ადმინისტრაციის შესახებ, ეს ფუნქცია გამოიყენება გასაღები რამდენჯერმე, მაშინ შედეგი შენახული სერვერზე. ამის შემდეგ, ავტორიზაციის პროცედურა ასეთია:

1. On შესახებ სისტემა სერვერზე საქმე ნომერი, რომელიც არის 1-ზე ნაკლები რაოდენობის ჯერ ფუნქციის გამოყენებით გასაღები.
2. მომხმარებელი ფუნქცია გამოიყენება საიდუმლო გასაღებები რამდენჯერმე რომ შეიქმნა პირველ ეტაპზე, რის შედეგად იგზავნება ქსელში პირდაპირ ავტორიზაციის სერვერზე.
3. სერვერზე იყენებს ამ ფუნქციას მიღებული ღირებულება, და შემდეგ შედეგი შედარებით ადრე შენახული ღირებულება. თუ შედეგები შეესაბამება, მაშინ მომხმარებლის ვინაობაც, და სერვერზე ინახავს ახალი ღირებულება, და შემდეგ ამცირებს counter ერთი.

პრაქტიკაში, განხორციელების ტექნოლოგია უფრო რთული სტრუქტურა, მაგრამ იმ მომენტში, რომ არ აქვს მნიშვნელობა. მას შემდეგ, რაც ფუნქციის შეუქცევადი, თუნდაც დაგავიწყდათ მოხსნა ან მოპოვების არასანქცირებული წვდომის , რომ ავტორიზაციის სერვერზე არ უზრუნველყოფს შესაძლებლობა მიიღოს კერძო გასაღები და არანაირად პროგნოზირება, თუ როგორ იქნება ზუსტად ჰგავს შემდეგ ერთჯერადი პაროლი.

რუსეთში, როგორც ერთიანი მომსახურება, სპეციალური სახელმწიფო ვერსია - "უნიკალური სისტემა საიდენტიფიკაციო / ავტორიზაციის" ( "ESIA").

სხვა მიდგომა ძლიერი ავტორიზაციის სისტემა მდგომარეობს იმაში, რომ ახალი პაროლი გამომუშავებული მოკლე ინტერვალით, რომელიც ასევე მიხვდა გამოყენების პროგრამების და სხვადასხვა ჭკვიანი ბარათები. ამ შემთხვევაში, ავტორიზაციის სერვერზე უნდა მიიღოს შესაბამისი დაგავიწყდათ მომტანი ალგორითმი და გარკვეული პარამეტრების ასოცირდება, და გარდა ამისა, უნდა იყოს, როგორც საათის სინქრონიზაცია სერვერზე და კლიენტს.

Kerberos

Kerberos ავთენტიფიკაციის სერვერზე პირველად გამოჩნდა 90-იან წლებში გასული საუკუნის, მაგრამ მას შემდეგ მან უკვე მიიღო ბევრი ფუნდამენტური ცვლილებები. ამ ეტაპზე, ცალკეული კომპონენტების სისტემის იმყოფება თითქმის ყველა თანამედროვე ოპერაციული სისტემის.

მთავარი მიზანი ამ მომსახურების უნდა გადაწყვიტოს შემდეგი პრობლემა: არსებობს გარკვეული არასამთავრობო უსაფრთხო ქსელი და კვანძების მისი კონცენტრირებული სახით სხვადასხვა საგნების წევრებს, და სერვერი და კლიენტი პროგრამული სისტემების. ყოველი ასეთი პირი იმყოფება ინდივიდუალური საიდუმლო გასაღები და სუბიექტების შესაძლებლობა დაამტკიცოს მათი ნამდვილობა სათაური S, რომლის გარეშეც მას უბრალოდ ვერ მომსახურების, ის უნდა არა მხოლოდ მოვუწოდებთ თავად, არამედ აჩვენებს, რომ მან იცის, ზოგიერთი საიდუმლო გასაღები. ამავე დროს, არ გზა მხოლოდ გაგზავნის მიმართულებით თქვენი საიდუმლო გასაღები S, როგორც პირველი ინსტანციის ქსელის ღიაა, და გარდა ამისა, S არ ვიცი, და, პრინციპში, არ უნდა იცოდეს მას. ამ სიტუაციაში, გამოიყენოთ ნაკლებად პირდაპირი ტექნოლოგიების დემონსტრირება ცოდნა, რომ ინფორმაცია.

ელექტრონული საიდენტიფიკაციო / ავტორიზაციის მეშვეობით Kerberos სისტემა უზრუნველყოფს მისი გამოყენება, როგორც სანდო მესამე პარტია, რომელსაც ინფორმაციას, გასაღებები ემსახურებოდა საიტები და დაეხმაროს მათ განხორციელებაში pairwise ავტორიზაციის საჭიროების შემთხვევაში.

ამდენად, კლიენტს პირველი გაგზავნილი შეკითხვის რომ შეიცავს საჭირო ინფორმაციას ამის შესახებ, ისევე როგორც მოთხოვნილი სერვისი. ამის შემდეგ, Kerberos აძლევს მას სახის ბილეთი, რომელიც არის დაშიფრული საიდუმლო გასაღები სერვერზე, ისევე როგორც ასლი ზოგიერთი მონაცემების ის, რაც საიდუმლო გასაღები კლიენტს. იმ შემთხვევაში, თუ დადგინდება, რომ კლიენტს გაშიფრა განკუთვნილი ინფორმაციის, რომ არის, მან შეძლო იმის დემონსტრირება, რომ კერძო გასაღები ცნობილია მას ნამდვილად. ეს მიუთითებს იმაზე, რომ კლიენტს პირი, რომელიც არ არის.

განსაკუთრებული ყურადღება უნდა აქ იქნას მიღებული, რათა უზრუნველყოს, რომ გადაცემის საიდუმლო გასაღებები არ ხორციელდება ქსელის, და ისინი გამოიყენება მხოლოდ კოდირებით.

ავტორიზაციის გამოყენებით ბიომეტრიული

Biometrics მოიცავს კომბინაცია ავტომატური საიდენტიფიკაციო / ავტორიზაციის ადამიანები მათი ქცევითი და ფიზიოლოგიური თვისებები. ფიზიკური იდენტიფიკაციის საშუალებების და ავტორიზაციის გთავაზობთ ბადურის სკანირების და თვალის რქოვანას, თითის ანაბეჭდები, სახე და ხელი გეომეტრია, ისევე, როგორც სხვა პირადი ინფორმაცია. ქცევითი მახასიათებლების ასევე მოიცავს მუშაობის სტილი კლავიატურის და დინამიკა ხელმოწერა. კომბინირებული მეთოდების ანალიზი სხვადასხვა მახასიათებლები ადამიანის ხმა, ისევე, როგორც აღიარება მისი გამოსვლა.

ასეთი იდენტიფიკაცია / ავტორიზაციის და კოდირების სისტემის ფართოდ გამოიყენება მრავალი ქვეყნის მთელს მსოფლიოში, მაგრამ დიდი ხნის განმავლობაში, ისინი ძალიან მაღალი ღირებულება და სირთულის გამოყენება. ცოტა ხნის წინ, მოთხოვნა ბიომეტრიული პროდუქცია მნიშვნელოვნად გაიზარდა გამო განვითარების e-commerce, რადგან, იმ თვალსაზრისით შესახებ, ბევრად უფრო ადვილია, წარმოადგინოს თავად, ვიდრე მახსოვს გარკვეული ინფორმაცია. შესაბამისად, მოთხოვნა ქმნის მიწოდება, ამიტომ ბაზარზე დაიწყო, როგორც ჩანს, შედარებით დაბალი priced პროდუქცია, რომელიც ძირითადად ორიენტირებულია ანაბეჭდი აღიარება.

აბსოლუტური უმრავლესობა შემთხვევაში, ბიომეტრიული გამოიყენება კომბინაციაში სხვა authenticators როგორიცაა ჭკვიანი ბარათები. ხშირად ბიომეტრული ამოცნობის არის მხოლოდ პირველი ხაზი თავდაცვის და მოქმედებს, როგორც საშუალება გაღრმავების smartcard, მათ შორის, სხვადასხვა კრიპტოგრაფიული საიდუმლოებას. როდესაც გამოყენებით ამ ტექნოლოგიის, ბიომეტრიული თარგი ინახება იმავე ბარათი.

აქტიურობა სფეროში ბიომეტრიული საკმაოდ მაღალია. სათანადო არსებული კონსორციუმის, ასევე ძალიან აქტიური მუშაობა მიმდინარეობს სტანდარტიზაცია სხვადასხვა ასპექტები ტექნოლოგია. დღეს ვხედავთ უამრავი სარეკლამო სტატია, რომ ბიომეტრიული ტექნოლოგიების წარმოდგენილი იდეალური საშუალება, რომელიც უზრუნველყოფს გაზრდილი უსაფრთხოება და ამავე დროს ხელმისაწვდომი მასები.

ESIA

სისტემის იდენტიფიკაცია და ავტორიზაციის ( "ESIA") არის სპეციალური სამსახური შექმნილია, რათა უზრუნველყოს განხორციელების სხვადასხვა დაკავშირებული ამოცანების გადამოწმების ნამდვილობა განმცხადებლებს წევრები და უწყებათაშორისი თანამშრომლობის იმ შემთხვევაში, ნებისმიერი მუნიციპალური და საზოგადოებრივი მომსახურების ელექტრონული ფორმით.

იმისათვის, რომ მოიპოვოს წვდომა "ერთი ვერსია სახელმწიფო სტრუქტურების", ისევე, როგორც ნებისმიერი სხვა საინფორმაციო ინფრასტრუქტურის არსებული ელექტრონული მმართველობის, თქვენ უნდა დარეგისტრირდეთ ანგარიშზე და შედეგად, მიიღოს AEDs.

დონეზე

პორტალი ერთიანი სისტემის იდენტიფიკაცია და ავტორიზაციის უზრუნველყოფს სამი საბაზისო დონეზე ანგარიშები პირები:

• გამარტივდა. მისი რეგისტრაციის უბრალოდ მოიცავს თქვენი სახელი და გვარი, ასევე კონკრეტული კომუნიკაციის სახით ელექტრონული ფოსტის მისამართი, ან მობილურ ტელეფონში. ეს პირველადი დონეზე, რომლითაც პირი აძლევს ხელმისაწვდომობის მხოლოდ შეზღუდული ჩამონათვალია მთავრობის მომსახურება, ასევე შესაძლებლობების არსებული საინფორმაციო სისტემები.
• სტანდარტული. მიიღოს თავდაპირველად აუცილებელია გასცეს გამარტივებული ანგარიში, და შემდეგ ასევე დამატებით ინფორმაციას, მათ შორის ინფორმაციას პასპორტის ნომერი და სადაზღვევო ინდივიდუალურ ანგარიშზე. ეს ინფორმაცია ავტომატურად შემოწმდება მეშვეობით საინფორმაციო სისტემაში საპენსიო ფონდი, ასევე მიგრაციის ფედერალური სამსახურის, და თუ ეს გამოცდა წარმატებული, ანგარიშის მოაქცია სტანდარტულ დონეზე, ეს ხსნის შესახებ გაფართოებული სიას სახელმწიფო მომსახურება.
• დადასტურდა. მიიღოს ამ დონის ანგარიში, ერთიანი სისტემის იდენტიფიკაცია და ავტორიზაციის მოითხოვს წევრებს სტანდარტული ანგარიში, ისევე, როგორც მტკიცებულება იდენტობის, რომელიც ხორციელდება პირადი ვიზიტი ავტორიზებული სერვის დეპარტამენტის ან მოპოვების აქტივაციის კოდი მეშვეობით დაზღვეული წერილით. იმ შემთხვევაში, თუ ინდივიდუალური დადასტურებას წარმატებული, ანგარიშის წავა ახალ დონეზე, და მომხმარებელს მოიპოვოს წვდომა სრული სია საჭირო საზოგადოებრივი მომსახურების.

მიუხედავად იმისა, რომ პროცედურები ჩანდეს კომპლექსი საკმარისი რეალურად ნახოთ სრული სია საჭირო მონაცემები შეიძლება პირდაპირ ოფიციალურ ვებგვერდზე, ასე რომ მალე დაასრულებს რეგისტრაციის რამდენიმე დღის განმავლობაში.