Таних ба баталгаажуулалт: үндсэн ойлголтууд

2024 Зохиолч: Howard Calhoun | [email protected]. Хамгийн сүүлд өөрчлөгдсөн: 2023-12-17 10:35

Таниулж, баталгаажуулах нь орчин үеийн програм хангамж, техник хангамжийн аюулгүй байдлын хэрэгслүүдийн үндэс суурь болдог, учир нь бусад аливаа үйлчилгээ нь эдгээр байгууллагуудад үйлчлэхэд зориулагдсан байдаг. Эдгээр ойлголтууд нь байгууллагын мэдээллийн орон зайн аюулгүй байдлыг хангадаг нэг төрлийн хамгаалалтын шугам юм.

Энэ юу вэ?

Таних болон баталгаажуулалт нь өөр өөр үүрэгтэй. Эхнийх нь субьект (хэрэглэгч эсвэл тэдний өмнөөс үйл ажиллагаа явуулж буй процесс) өөрийн нэрийг өгөх боломжийг олгодог. Баталгаажуулалтын тусламжтайгаар хоёр дахь тал нь тухайн субьект нь түүний хэн болохыг баталж байгаа гэдэгт эцэст нь итгэлтэй байна. Таних болон баталгаажуулалтыг ихэвчлэн ижил утгатай "нэрийн мессеж" болон "баталгаажуулалт" гэсэн хэллэгээр сольдог.

Тэд өөрсдөө хэд хэдэн сортуудад хуваагддаг. Дараа нь бид таних болон баталгаажуулалт гэж юу болох, тэдгээр нь юу болохыг харна.

Баталгаажуулалт

Энэ үзэл баримтлал нь нэг талын, үйлчлүүлэгчийн үед гэсэн хоёр төрлийг тусгасанэхлээд серверт жинхэнэ эсэхийг нотлох ёстой бөгөөд хоёр талт, өөрөөр хэлбэл харилцан баталгаажуулалт хийх үед. Стандарт хэрэглэгчийн таних, баталгаажуулалт хэрхэн явагддаг стандарт жишээ бол тодорхой системд нэвтрэх журам юм. Тиймээс өөр өөр объектод өөр төрлийг ашиглаж болно.

Хэрэглэгчийн таних болон баталгаажуулалтыг газарзүйн хувьд тархай бутархай талаас нь хийдэг сүлжээний орчинд уг үйлчилгээ нь хоёр үндсэн зүйлээр ялгаатай:

• энэ нь баталгаажуулагчийн үүрэг гүйцэтгэдэг;
• баталгаажуулалт болон таних өгөгдлийн солилцоог яг яаж зохион байгуулж, хэрхэн хамгаалж байсан.

Хэн болохыг батлахын тулд субьект нь дараах байгууллагуудын аль нэгийг харуулах ёстой:

• түүний мэддэг тодорхой мэдээлэл (хувийн дугаар, нууц үг, тусгай криптограф түлхүүр гэх мэт);
• түүний эзэмшдэг тодорхой зүйл (хувийн карт эсвэл ижил төстэй зорилготой бусад төхөөрөмж);
• өөрийн элемент болох тодорхой зүйл (хурууны хээ, дуу хоолой болон хэрэглэгчдийг таних, баталгаажуулах бусад биометрийн хэрэгсэл).

Системийн онцлогууд

Нээлттэй сүлжээний орчинд талууд найдвартай маршрутгүй байдаг бөгөөд энэ нь ерөнхийдөө субьектийн дамжуулж буй мэдээлэл нь эцсийн дүндээ хүлээн авсан болон ашигласан мэдээлэлтэй таарахгүй байж болно гэсэн үг юм.баталгаажуулах үед. Сүлжээг идэвхтэй, идэвхгүй сонсох, өөрөөр хэлбэл янз бүрийн өгөгдлийг засах, таслах, тоглуулахаас хамгаалах аюулгүй байдлыг хангах шаардлагатай. Нууц үгийг энгийн текстээр дамжуулах сонголт нь хангалтгүй бөгөөд үүнтэй адил нууц үгийн шифрлэлт нь хуулбарлахаас хамгаалдаггүй тул өдрийг хэмнэх боломжгүй юм. Тийм ч учраас өнөөдөр илүү нарийн төвөгтэй баталгаажуулалтын протоколуудыг ашиглаж байна.

Найдвартай таних нь зөвхөн янз бүрийн онлайн аюул заналаас болоод зогсохгүй өөр олон шалтгааны улмаас хэцүү байдаг. Юуны өмнө, баталгаажуулалтын бараг ямар ч байгууллага хулгайлагдсан, хуурамч эсвэл таамаглалтай байж болно. Нэг талаас ашигласан системийн найдвартай байдал, нөгөө талаас системийн администратор эсвэл хэрэглэгчийн тав тухтай байдлын хооронд тодорхой зөрчилдөөн байдаг. Тиймээс, аюулгүй байдлын үүднээс хэрэглэгчээс өөрийн баталгаажуулалтын мэдээллээ тодорхой давтамжтайгаар дахин оруулахыг хүсэх шаардлагатай (түүний оронд өөр хүн аль хэдийн сууж байж магадгүй) бөгөөд энэ нь нэмэлт асуудал үүсгэхээс гадна нэвтрэх боломжийг ихээхэн нэмэгдүүлдэг. хэн нэгэн мэдээлэл оруулахыг тагнах боломжтой. Бусад зүйлсээс гадна хамгаалалтын хэрэгслийн найдвартай байдал нь түүний өртөгт ихээхэн нөлөөлдөг.

Орчин үеийн таних, баталгаажуулах системүүд нь сүлжээнд нэг удаа нэвтрэх үзэл баримтлалыг дэмждэг бөгөөд энэ нь юуны түрүүнд хэрэглэгчийн тав тухтай байдлын үүднээс тавигдах шаардлагыг хангах боломжийг олгодог. Хэрэв корпорацийн стандарт сүлжээ нь мэдээллийн олон үйлчилгээтэй бол,бие даасан эмчилгээ хийх боломжийг хангаж өгвөл хувийн мэдээллийг олон удаа нэвтрүүлэх нь хэтэрхий хүнд байх болно. Одоогийн байдлаар давамгайлсан шийдлүүд хараахан бүрдээгүй байгаа тул дангаар нэвтрэхийг хэвийн гэж хэлэх боломжгүй.

Тиймээс олон хүн таних / баталгаажуулах хэрэгслийн боломжийн үнэ, тав тухтай байдал, найдвартай байдлын хооронд буулт хийхийг оролдож байна. Энэ тохиолдолд хэрэглэгчдийн зөвшөөрөл нь хувь хүний дүрмийн дагуу явагдана.

Ашиглаж буй үйлчилгээг хүртээмжтэй байдлын халдлагын объект болгон сонгоход онцгой анхаарал хандуулах хэрэгтэй. Хэрэв системийг тодорхой тооны амжилтгүй оролдлого хийсний дараа нэвтрэх боломж хаагдахаар тохируулсан бол энэ тохиолдолд халдагчид хэдхэн товчлуур дарахад л хууль ёсны хэрэглэгчдийн ажлыг зогсоож чадна.

Нууц үгийн баталгаажуулалт

Ийм системийн гол давуу тал нь маш энгийн бөгөөд ихэнх хүмүүст танил байдаг. Нууц үг нь үйлдлийн систем болон бусад үйлчилгээнүүдэд удаан хугацаанд ашиглагдаж ирсэн бөгөөд зөв хэрэглэвэл ихэнх байгууллагуудад хүлээн зөвшөөрөгдөхүйц аюулгүй байдлын түвшинг хангадаг. Гэхдээ нөгөө талаас, шинж чанарын нийт багцын хувьд ийм системүүд нь таних / баталгаажуулах хамгийн сул хэрэгсэл юм. Энэ тохиолдолд зөвшөөрөл авах нь маш энгийн, учир нь нууц үг байх ёстоймартагдашгүй, гэхдээ нэгэн зэрэг энгийн хослолыг таахад хэцүү биш, ялангуяа тухайн хүн тухайн хэрэглэгчийн сонголтыг мэддэг бол.

Заримдаа нууц үг нь зарчмын хувьд нууцлагдаагүй, учир нь тэдгээр нь тодорхой баримт бичигт заасан стандарт утгуудтай байдаг бөгөөд системийг суулгасны дараа үргэлж өөрчлөгддөггүй.

Нууц үг оруулахдаа та харах боломжтой бөгөөд зарим тохиолдолд хүмүүс тусгай оптик төхөөрөмж ашигладаг.

Таних, баталгаажуулалтын гол субьект болох хэрэглэгчид тодорхой хугацаанд өмчлөгчөө солихын тулд хамтран ажиллагсадтайгаа нууц үгээ хуваалцдаг. Онолын хувьд ийм нөхцөлд тусгай хандалтын удирдлагыг ашиглах нь зүйтэй боловч практик дээр үүнийг хэн ч ашигладаггүй. Хэрэв хоёр хүн нууц үгээ мэддэг бол бусад хүмүүс үүнийг мэдэх магадлалыг эрс нэмэгдүүлдэг.

Үүнийг яаж засах вэ?

Таних болон баталгаажуулалтыг хэрхэн хамгаалах хэд хэдэн арга байдаг. Мэдээлэл боловсруулах бүрэлдэхүүн хэсэг нь дараах байдлаар өөрийгөө хамгаалж чадна:

• Техникийн янз бүрийн хязгаарлалт тавих. Ихэнхдээ нууц үгийн урт, мөн доторх тодорхой тэмдэгтүүдийн агуулгад зориулж дүрмийг тогтоодог.
• Нууц үгийн хугацаа дуусах, өөрөөр хэлбэл тэдгээрийг үе үе өөрчлөх хэрэгцээг зохицуулах.
• Үндсэн нууц үгийн файлд хандах эрхийг хязгаарлаж байна.
• Нэвтрэх үед бүтэлгүйтсэн оролдлогын нийт тоог хязгаарлах замаар. БаярлалааЭнэ тохиолдолд харгис хүчний аргыг ашиглах боломжгүй тул халдагч этгээд таних болон баталгаажуулалт хийхээс өмнө л үйлдэл хийх ёстой.
• Хэрэглэгчийн урьдчилсан сургалт.
• Нууц үг үүсгэгч тусгай программ хангамжийг ашиглах нь танд тааламжтай, мартагдашгүй хослол үүсгэх боломжийг олгодог.

Эдгээр бүх арга хэмжээг нууц үгтэй хамт баталгаажуулах бусад хэрэгслийг ашигласан ч гэсэн ямар ч тохиолдолд ашиглаж болно.

Нэг удаагийн нууц үг

Дээр дурдсан сонголтуудыг дахин ашиглах боломжтой бөгөөд хэрэв энэ хослол илэрсэн бол халдагч хэрэглэгчийн нэрийн өмнөөс тодорхой үйлдлүүдийг хийх боломжтой болно. Тийм ч учраас нэг удаагийн нууц үгийг сүлжээний идэвхгүй сонсголд тэсвэртэй, илүү хүчирхэг хэрэгсэл болгон ашигладаг бөгөөд үүний ачаар таних болон баталгаажуулах систем нь тийм ч тохиромжтой биш ч хамаагүй илүү найдвартай болдог.

Одоогийн байдлаар хамгийн алдартай нэг удаагийн нууц үг үүсгэгч програм хангамжийн нэг бол Bellcore-аас гаргасан S/KEY систем юм. Энэ системийн үндсэн ойлголт нь хэрэглэгч болон баталгаажуулалтын серверийн аль алинд нь тодорхой F функц байдагт оршино. Дараах нь зөвхөн тодорхой хэрэглэгчдэд мэдэгддэг нууц K түлхүүр юм.

Хэрэглэгчийн анхны удирдлагын үед энэ функцийг түлхүүрт ашигладагтодорхой тооны удаа, үүний дараа үр дүн нь сервер дээр хадгалагдана. Ирээдүйд баталгаажуулах журам дараах байдалтай харагдана:

1. Серверээс хэрэглэгчийн системд тоо ирдэг бөгөөд энэ нь тухайн функцийг түлхүүрт ашигласан тооноос 1 дахин бага байна.
2. Хэрэглэгч эхний догол мөрөнд хэдэн удаа тохируулсан бол боломжтой нууц түлхүүрийн функцийг ашигладаг бөгөөд үүний дараа үр дүн нь сүлжээгээр дамжуулан баталгаажуулалтын сервер рүү шууд илгээгдэнэ.
3. Сервер нь энэ функцийг хүлээн авсан утгад ашиглах бөгөөд үүний дараа үр дүнг өмнө нь хадгалсан утгатай харьцуулна. Хэрэв үр дүн таарч байвал хэрэглэгчийг баталгаажуулж, сервер шинэ утгыг хадгалж, тоолуурыг нэгээр бууруулна.

Практикт энэ технологийг хэрэгжүүлэх нь арай илүү төвөгтэй бүтэцтэй боловч одоогоор тийм ч чухал биш юм. Функц нь эргэлт буцалтгүй байдаг тул нууц үг тасалдсан эсвэл баталгаажуулалтын серверт зөвшөөрөлгүй хандсан байсан ч энэ нь нууц түлхүүрийг олж авах боломжийг олгодоггүй бөгөөд дараагийн нэг удаагийн нууц үг ямар байхыг урьдчилан таамаглах боломжгүй юм.

Орос улсад улсын тусгай порталыг нэгдсэн үйлчилгээ болгон ашигладаг - "Нэгдсэн таних / баталгаажуулах систем" ("БОННҮ").

Хүчтэй нотолгооны системийн өөр нэг арга бол богино хугацаанд шинэ нууц үг үүсгэх явдал бөгөөд үүнийг мөн дамжуулан хэрэгжүүлдэг.тусгай програм эсвэл төрөл бүрийн ухаалаг карт ашиглах. Энэ тохиолдолд баталгаажуулалтын сервер нь тохирох нууц үг үүсгэх алгоритм болон түүнтэй холбоотой тодорхой параметрүүдийг хүлээн зөвшөөрөх ёстой бөгөөд үүнээс гадна сервер болон үйлчлүүлэгчийн цагийн синхрончлол байх ёстой.

Kerberos

Kerberos нэвтрэлт танилтын сервер нь өнгөрсөн зууны 90-ээд оны дундуур анх гарч ирсэн боловч түүнээс хойш асар олон үндсэн өөрчлөлтүүдийг аль хэдийн хүлээн авсан. Одоогийн байдлаар энэ системийн бие даасан бүрэлдэхүүн хэсгүүд бараг бүх орчин үеийн үйлдлийн системд байдаг.

Энэ үйлчилгээний гол зорилго нь дараах асуудлыг шийдвэрлэхэд оршдог: тодорхой хамгаалалтгүй сүлжээ байгаа бөгөөд түүний зангилаанууд дээр хэрэглэгчдийн хэлбэрээр янз бүрийн субьектүүд төвлөрч, сервер болон үйлчлүүлэгчийн програм хангамжийн системүүд байдаг. Ийм субьект бүр өөрийн гэсэн нууц түлхүүртэй байдаг бөгөөд С субъект нь S сэдэвт өөрийн жинхэнэ мөн чанарыг нотлох боломжийг олгохын тулд түүнд үйлчлэхгүй тул зөвхөн өөрийгөө нэрлээд зогсохгүй бас шаардлагатай болно. Тэр нууц түлхүүрийг мэддэг гэдгээ харуулах. Үүний зэрэгцээ С-д нууц түлхүүрээ зүгээр л S руу илгээх боломж байхгүй, учир нь юуны түрүүнд сүлжээ нээлттэй, үүнээс гадна S үүнийг мэдэхгүй, зарчмын хувьд үүнийг мэдэхгүй байх ёстой. Ийм нөхцөлд энэ мэдээллийн талаарх мэдлэгээ харуулахын тулд арай хялбар арга хэрэглэдэг.

Kerberos системээр дамжуулан цахим таних/баталгаажуулалт нь үүнийг хангадаг. Үйлчлүүлсэн объектын нууц түлхүүрүүдийн талаарх мэдээлэлтэй, шаардлагатай бол хос баталгаажуулалт хийхэд нь туслах итгэмжлэгдсэн гуравдагч этгээдээр ашиглах.

Тиймээс үйлчлүүлэгч эхлээд өөрийн болон хүссэн үйлчилгээний талаар шаардлагатай мэдээллийг агуулсан систем рүү хүсэлт илгээдэг. Үүний дараа Керберос түүнд серверийн нууц түлхүүрээр шифрлэгдсэн нэг төрлийн тасалбараас гадна үйлчлүүлэгчийн түлхүүрээр шифрлэгдсэн зарим мэдээллийн хуулбарыг өгдөг. Тохирсон тохиолдолд үйлчлүүлэгч түүнд зориулагдсан мэдээллийг тайлсан нь тогтоогдсон, өөрөөр хэлбэл тэр нууц түлхүүрийг үнэхээр мэддэг гэдгээ харуулж чадсан юм. Энэ нь үйлчлүүлэгч өөрөө өөрийгөө яг хэн болохыг харуулж байна.

Нууц түлхүүрийг сүлжээгээр дамжуулаагүй бөгөөд зөвхөн шифрлэлтэд ашигладаг байсанд онцгой анхаарал хандуулах хэрэгтэй.

Биометрийн баталгаажуулалт

Биометр нь хүмүүсийг зан төлөв, физиологийн шинж чанарт нь үндэслэн таних/баталгаажуулах автоматжуулсан хэрэгслийн хослолыг агуулдаг. Гэрчлэх, таних биет хэрэгсэлд нүдний торлог бүрхэвч, эвэрлэг бүрхэвч, хурууны хээ, нүүр, гарын геометр болон бусад хувийн мэдээллийг шалгах зэрэг орно. Зан төлөвийн шинж чанарууд нь гартай ажиллах хэв маяг, гарын үсгийн динамикийг агуулдаг. Нэгтгэсэнаргууд нь хүний дуу хоолойн янз бүрийн шинж чанарыг шинжлэх, түүнчлэн түүний яриаг таних явдал юм.

Иймэрхүү таних/баталгаажуулалт, шифрлэлтийн системийг дэлхийн олон оронд өргөнөөр ашигладаг боловч удаан хугацааны туршид тэдгээр нь маш үнэтэй бөгөөд хэрэглэхэд хэцүү байсан. Сүүлийн үед цахим худалдаа хөгжихийн хэрээр биометрийн бүтээгдэхүүний эрэлт хэрэгцээ эрс нэмэгдсэн, учир нь хэрэглэгчийн үүднээс зарим мэдээллийг цээжлэхээс илүүтэй өөрийгөө танилцуулах нь илүү тохиромжтой байдаг. Үүний дагуу эрэлт нийлүүлэлтийг бий болгодог тул хурууны хээ танихад голчлон анхаардаг харьцангуй хямд бүтээгдэхүүн зах зээлд гарч эхэлсэн.

Ихэнх тохиолдолд биометрийг ухаалаг карт зэрэг бусад баталгаажуулагчтай хослуулан ашигладаг. Ихэнхдээ биометрийн баталгаажуулалт нь зөвхөн хамгаалалтын эхний шугам бөгөөд янз бүрийн криптографийн нууцыг агуулсан ухаалаг картуудыг идэвхжүүлэх хэрэгсэл болдог. Энэ технологийг ашиглах үед биометрийн загварыг нэг картанд хадгална.

Биометрийн чиглэлээр үйл ажиллагаа нэлээд өндөр байна. Тохиромжтой консорциум аль хэдийн бий болсон бөгөөд технологийн янз бүрийн талыг стандартчилахад чиглэсэн ажил нэлээд идэвхтэй хийгдэж байна. Өнөөдөр та биометрийн технологийг аюулгүй байдлыг нэмэгдүүлэх хамгийн тохиромжтой хэрэгсэл, нэгэн зэрэг олон нийтэд хүртээмжтэй болгох зар сурталчилгааны олон нийтлэлийг харж болно.масс.

БОННҮ

Таних, баталгаажуулах систем ("БОННҮ") нь өргөдөл гаргагч болон хэлтэс хоорондын харилцан үйлчлэлд оролцогчдын биеийн байцаалтыг шалгахтай холбоотой янз бүрийн даалгаврын хэрэгжилтийг хангах зорилгоор байгуулагдсан тусгай үйлчилгээ юм. цахим хэлбэрээр хотын болон төрийн аливаа үйлчилгээ.

"Төрийн байгууллагуудын нэгдсэн портал" болон одоогийн цахим засгийн газрын дэд бүтцийн бусад мэдээллийн системд нэвтрэхийн тулд эхлээд дансаа бүртгүүлэх шаардлагатай., PES хүлээн авах.

Түвшин

Таних, баталгаажуулах нэгдсэн системийн портал нь хувь хүмүүст зориулсан дансны үндсэн гурван түвшнийг өгдөг:

• Хялбаршуулсан. Бүртгүүлэхийн тулд та овог нэр, овог нэр, имэйл хаяг эсвэл гар утас хэлбэрээр тодорхой харилцааны сувгийг зааж өгөх хэрэгтэй. Энэ нь хүн төрөл бүрийн төрийн үйлчилгээний хязгаарлагдмал жагсаалт, мөн одоо байгаа мэдээллийн системийн чадавхийг л авах боломжтой үндсэн түвшин юм.
• Стандарт. Үүнийг авахын тулд та эхлээд хялбаршуулсан данс гаргаж, дараа нь паспортын мэдээлэл, даатгалын хувийн дансны дугаар зэрэг нэмэлт мэдээллийг өгөх шаардлагатай. Заасан мэдээллийг мэдээллийн системээр автоматаар шалгадагТэтгэврийн сан, түүнчлэн Холбооны цагаачлалын алба, хэрэв шалгалт амжилттай болбол данс нь стандарт түвшинд шилждэг бөгөөд энэ нь хэрэглэгчдэд төрийн үйлчилгээний өргөтгөсөн жагсаалтыг нээж өгдөг.
• Баталгаажсан. Энэ түвшний дансыг олж авахын тулд таних, баталгаажуулах нэгдсэн систем нь хэрэглэгчээс стандарт данстай байхыг шаарддаг бөгөөд энэ нь эрх бүхий үйлчилгээний салбар руу биечлэн очиж үзэх эсвэл бүртгэлтэй шуудангаар идэвхжүүлэх код авах замаар хийгддэг. Хэн болохыг баталгаажуулах ажиллагаа амжилттай болсон тохиолдолд бүртгэл шинэ түвшинд шилжиж, хэрэглэгч шаардлагатай төрийн үйлчилгээний бүрэн жагсаалтыг үзэх боломжтой болно.

Хэдийгээр процедур нь нэлээд төвөгтэй мэт санагдаж болох ч үнэн хэрэгтээ та шаардлагатай мэдээллийн бүрэн жагсаалттай албан ёсны вэбсайтаас шууд танилцах боломжтой тул хэдхэн хоногийн дотор бүрэн бүртгүүлэх боломжтой.