شناسایی و احراز هویت: مفاهیم اساسی

2024 نویسنده: Howard Calhoun | [email protected]. آخرین اصلاح شده: 2023-12-17 10:25

شناسایی و احراز هویت اساس ابزارهای امنیتی نرم افزاری و سخت افزاری مدرن است، زیرا هر سرویس دیگری عمدتاً برای خدمت به این نهادها طراحی شده است. این مفاهیم نشان دهنده نوعی اولین خط دفاعی است که امنیت فضای اطلاعاتی سازمان را تضمین می کند.

این چیست؟

شناسایی و احراز هویت عملکردهای متفاوتی دارند. اولی به موضوع (کاربر یا فرآیندی که از طرف او عمل می کند) این فرصت را می دهد تا نام خود را ارائه دهد. با کمک احراز هویت، طرف دوم در نهایت متقاعد می شود که سوژه واقعاً همان چیزی است که او ادعا می کند. شناسایی و احراز هویت اغلب با عبارات "نام پیام" و "احراز هویت" به عنوان مترادف جایگزین می شوند.

آنها خود به چندین نوع تقسیم می شوند. در مرحله بعد، به این خواهیم پرداخت که شناسایی و احراز هویت چیست و چه هستند.

Authentication

این مفهوم دو نوع را فراهم می کند: یک طرفه، زمانی که مشتریابتدا باید صحت آن را به سرور و دو طرفه، یعنی زمانی که تایید متقابل انجام می شود، ثابت کند. یک مثال استاندارد از نحوه انجام شناسایی و احراز هویت کاربر استاندارد، روش ورود به سیستم خاص است. بنابراین، انواع مختلفی را می توان در اشیاء مختلف استفاده کرد.

در یک محیط شبکه ای که در آن شناسایی و احراز هویت کاربر در طرف های پراکنده جغرافیایی انجام می شود، سرویس مورد نظر از دو جنبه اصلی متفاوت است:

• که به عنوان یک احراز هویت عمل می کند؛
• نحوه تبادل اطلاعات احراز هویت و شناسایی دقیقاً چگونه سازماندهی شد و چگونه محافظت می شود.

برای اثبات هویت خود، آزمودنی باید یکی از موارد زیر را ارائه دهد:

• اطلاعات خاصی که او می داند (شماره شخصی، رمز عبور، کلید رمزنگاری ویژه و غیره)؛
• چیز خاصی که او دارد (کارت شخصی یا دستگاه دیگری با هدف مشابه)؛
• چیز خاصی که عنصری از خودش است (اثرانگشت، صدا و سایر ابزارهای بیومتریک شناسایی و احراز هویت کاربران).

ویژگی های سیستم

در یک محیط شبکه باز، طرفین مسیر قابل اعتمادی ندارند، به این معنی که به طور کلی، اطلاعات ارسال شده توسط موضوع ممکن است در نهایت با اطلاعات دریافت شده و استفاده شده مطابقت نداشته باشد.هنگام احراز هویت برای اطمینان از امنیت گوش دادن فعال و غیرفعال به شبکه، یعنی محافظت در برابر تصحیح، رهگیری یا پخش داده های مختلف، لازم است. گزینه انتقال رمزهای عبور به صورت متن ساده رضایت بخش نیست، و به همین ترتیب، رمزگذاری رمز عبور نمی تواند روز را نجات دهد، زیرا آنها محافظت در برابر تولید مثل را ارائه نمی دهند. به همین دلیل است که امروزه از پروتکل های احراز هویت پیچیده تری استفاده می شود.

شناسایی قابل اعتماد نه تنها به دلیل تهدیدات آنلاین مختلف، بلکه به دلایل مختلف دیگر دشوار است. اول از همه، تقریباً هر موجودیت احراز هویت را می توان به سرقت، جعل یا استنباط کرد. همچنین تناقض خاصی بین قابلیت اطمینان سیستم مورد استفاده از یک سو و راحتی مدیر یا کاربر سیستم از سوی دیگر وجود دارد. بنابراین، به دلایل امنیتی، لازم است از کاربر بخواهد که اطلاعات احراز هویت خود را مجدداً با فرکانس وارد کند (زیرا ممکن است شخص دیگری قبلاً به جای او نشسته باشد) و این نه تنها دردسر اضافی ایجاد می کند، بلکه به میزان قابل توجهی افزایش می یابد. این احتمال وجود دارد که شخصی بتواند از وارد کردن اطلاعات جاسوسی کند. از جمله، قابلیت اطمینان تجهیزات حفاظتی به طور قابل توجهی بر هزینه آن تأثیر می گذارد.

سیستم‌های شناسایی و احراز هویت مدرن از مفهوم ورود واحد به شبکه پشتیبانی می‌کنند، که در درجه اول به شما امکان می‌دهد شرایط را از نظر راحتی کاربر برآورده کنید. اگر یک شبکه استاندارد شرکتی خدمات اطلاعاتی زیادی داشته باشد،امکان درمان مستقل را فراهم می کند، سپس معرفی مکرر داده های شخصی بسیار طاقت فرسا می شود. در حال حاضر، هنوز نمی توان گفت که استفاده از یک ورود به سیستم عادی تلقی می شود، زیرا راه حل های غالب هنوز شکل نگرفته اند.

بنابراین، بسیاری در تلاش برای یافتن مصالحه ای بین مقرون به صرفه بودن، راحتی و قابلیت اطمینان ابزارهایی هستند که شناسایی / احراز هویت را ارائه می دهند. مجوز کاربران در این مورد طبق قوانین فردی انجام می شود.

توجه ویژه باید به این واقعیت معطوف شود که سرویس مورد استفاده می تواند به عنوان هدف حمله دسترسی انتخاب شود. اگر سیستم به گونه ای پیکربندی شده باشد که پس از تعداد معینی از تلاش های ناموفق، امکان ورود مسدود شود، در این صورت مهاجمان می توانند کار کاربران قانونی را تنها با چند ضربه کلید متوقف کنند.

تأیید رمز عبور

مزیت اصلی چنین سیستمی این است که برای اکثر افراد بسیار ساده و آشنا است. رمزهای عبور برای مدت طولانی توسط سیستم عامل ها و سایر سرویس ها مورد استفاده قرار می گیرند و در صورت استفاده صحیح، سطحی از امنیت را فراهم می کنند که برای اکثر سازمان ها کاملاً قابل قبول است. اما از سوی دیگر، از نظر مجموع ویژگی‌ها، چنین سیستم‌هایی ضعیف‌ترین وسیله‌ای را نشان می‌دهند که با آن می‌توان شناسایی / احراز هویت را انجام داد. مجوز در این مورد بسیار ساده می شود، زیرا رمزهای عبور باید باشندبه یاد ماندنی، اما در عین حال، حدس زدن ترکیبات ساده دشوار نیست، به خصوص اگر شخصی ترجیحات یک کاربر خاص را بداند.

گاهی اوقات اتفاق می افتد که اصولاً رمزهای عبور مخفی نگه داشته نمی شوند، زیرا مقادیر کاملاً استانداردی دارند که در اسناد خاص مشخص شده است و همیشه پس از نصب سیستم، آنها تغییر نمی کنند.

هنگام وارد کردن رمز عبور، می توانید ببینید و در برخی موارد افراد حتی از دستگاه های نوری تخصصی استفاده می کنند.

کاربران، موضوعات اصلی شناسایی و احراز هویت، اغلب می‌توانند گذرواژه‌ها را با همکاران خود به اشتراک بگذارند تا آنها برای مدت معینی مالکیت خود را تغییر دهند. در تئوری، در چنین شرایطی بهترین کار استفاده از کنترل‌های دسترسی ویژه است، اما در عمل هیچ‌کس از آن استفاده نمی‌کند. و اگر دو نفر رمز عبور را بدانند، احتمال اینکه دیگران در نهایت از آن مطلع شوند بسیار افزایش می‌یابد.

چگونه این مشکل را برطرف کنیم؟

روش های مختلفی وجود دارد که چگونه می توان شناسایی و احراز هویت را ایمن کرد. جزء پردازش اطلاعات می تواند خود را به صورت زیر ایمن کند:

• تحمل محدودیت های فنی مختلف. اغلب، قوانینی برای طول رمز عبور و همچنین محتوای کاراکترهای خاص در آن تنظیم می شود.
• مدیریت انقضای رمزهای عبور، یعنی نیاز به تغییر دوره ای آنها.
• محدود کردن دسترسی به فایل رمز اصلی.
• با محدود کردن تعداد کل تلاش‌های ناموفق موجود در هنگام ورود به سیستم. با تشکر ازدر این مورد، مهاجمان فقط باید اقداماتی را قبل از انجام شناسایی و احراز هویت انجام دهند، زیرا روش brute-force قابل استفاده نیست.
• پیش آموزش کاربران.
• استفاده از نرم افزار تخصصی تولید کننده رمز عبور که به شما امکان می دهد ترکیب هایی ایجاد کنید که به اندازه کافی شاداب و به یاد ماندنی باشند.

همه این اقدامات را می توان در هر صورت استفاده کرد، حتی اگر از ابزارهای دیگر احراز هویت همراه با رمز عبور استفاده شود.

گذرواژه های یکبار مصرف

گزینه های مطرح شده در بالا قابل استفاده مجدد هستند و اگر ترکیب آشکار شود، مهاجم این فرصت را پیدا می کند که عملیات خاصی را از طرف کاربر انجام دهد. به همین دلیل است که از رمزهای عبور یکبار مصرف به عنوان ابزاری قوی تر، مقاوم در برابر امکان گوش دادن به شبکه غیرفعال استفاده می شود، که به لطف آن، سیستم شناسایی و احراز هویت بسیار امن تر می شود، هرچند نه به آن راحتی.

در حال حاضر، یکی از محبوب ترین نرم افزارهای تولید کننده رمز عبور یک بار مصرف، سیستمی به نام S/KEY است که توسط Bellcore منتشر شده است. مفهوم اصلی این سیستم این است که یک تابع خاص F وجود دارد که هم برای کاربر و هم برای سرور احراز هویت شناخته شده است. زیر کلید مخفی K است که فقط برای یک کاربر خاص شناخته شده است.

در طول مدیریت اولیه کاربر، این تابع برای کلید استفاده می شودتعداد معینی بار، پس از آن نتیجه در سرور ذخیره می شود. در آینده، روال احراز هویت به این صورت است:

1. عددی از سرور به سیستم کاربر می آید که 1 کمتر از تعداد دفعاتی است که تابع برای کلید استفاده شده است.
2. کاربر تعداد دفعاتی که در پاراگراف اول تنظیم شده بود از تابع برای کلید مخفی موجود استفاده می کند و پس از آن نتیجه از طریق شبکه مستقیماً به سرور احراز هویت ارسال می شود.
3. سرور از این تابع برای مقدار دریافتی استفاده می کند، پس از آن نتیجه با مقدار ذخیره شده قبلی مقایسه می شود. اگر نتایج مطابقت داشته باشند، کاربر احراز هویت می شود و سرور مقدار جدید را ذخیره می کند، سپس شمارنده را یک بار کاهش می دهد.

در عمل، پیاده سازی این فناوری ساختار کمی پیچیده تری دارد، اما در حال حاضر چندان مهم نیست. از آنجایی که عملکرد غیرقابل برگشت است، حتی در صورت رهگیری رمز عبور یا دسترسی غیرمجاز به سرور احراز هویت، امکان به دست آوردن یک کلید مخفی را فراهم نمی کند و به هیچ وجه پیش بینی می کند که رمز عبور یکبار مصرف بعدی به طور خاص چگونه خواهد بود.

در روسیه، یک پورتال دولتی ویژه به عنوان یک سرویس یکپارچه استفاده می شود - "سیستم شناسایی / احراز هویت یکپارچه" ("ESIA").

رویکرد دیگر برای یک سیستم احراز هویت قوی، ایجاد یک رمز عبور جدید در فواصل زمانی کوتاه است که از طریق آن نیز پیاده سازی می شود.استفاده از برنامه های تخصصی یا کارت های هوشمند مختلف. در این حالت، سرور احراز هویت باید الگوریتم تولید رمز عبور مناسب و همچنین پارامترهای خاص مرتبط با آن را بپذیرد و علاوه بر این، باید همگام سازی ساعت سرور و کلاینت نیز وجود داشته باشد.

Kerberos

سرور احراز هویت Kerberos برای اولین بار در اواسط دهه 90 قرن گذشته ظاهر شد، اما از آن زمان تاکنون تعداد زیادی تغییرات اساسی دریافت کرده است. در حال حاضر، اجزای منفرد این سیستم تقریباً در هر سیستم عامل مدرن وجود دارد.

هدف اصلی این سرویس حل مشکل زیر است: یک شبکه محافظت نشده خاص وجود دارد و موضوعات مختلفی در گره های آن در قالب کاربران و همچنین سیستم های نرم افزاری سرور و کلاینت متمرکز شده است. هر یک از چنین موضوعاتی دارای یک کلید مخفی فردی است و برای اینکه موضوع C این فرصت را داشته باشد که صحت خود را به موضوع S ثابت کند، بدون آن به سادگی به او خدمت نمی کند، نه تنها نیاز به نام بردن از خود دارد، بلکه همچنین لازم است برای نشان دادن اینکه او یک کلید سری خاص را می داند. در عین حال، C این فرصت را ندارد که به سادگی کلید مخفی خود را برای S ارسال کند، زیرا اولاً شبکه باز است و علاوه بر این، S نمی داند و اصولاً نباید آن را بداند. در چنین شرایطی، از یک تکنیک کمتر ساده برای نشان دادن دانش این اطلاعات استفاده می‌شود.

شناسایی/احراز هویت الکترونیکی از طریق سیستم Kerberos آن را فراهم می کند.به عنوان یک شخص ثالث قابل اعتماد استفاده کنید که اطلاعاتی در مورد کلیدهای مخفی اشیاء ارائه شده دارد و در صورت لزوم به آنها در انجام احراز هویت زوجی کمک می کند.

بنابراین مشتری ابتدا درخواستی را به سامانه ارسال می کند که حاوی اطلاعات لازم در مورد وی و همچنین خدمات درخواستی است. پس از آن Kerberos نوعی بلیط را در اختیار او قرار می دهد که با کلید مخفی سرور رمزگذاری می شود و همچنین یک کپی از برخی از داده های آن که با کلید مشتری رمزگذاری می شود. در صورت تطابق، مشخص می شود که مشتری اطلاعات در نظر گرفته شده برای او را رمزگشایی کرده است، یعنی او توانسته است نشان دهد که واقعاً کلید مخفی را می داند. این نشان می دهد که مشتری دقیقا همان چیزی است که ادعا می کند.

در اینجا باید توجه ویژه ای به این واقعیت داشت که انتقال کلیدهای مخفی از طریق شبکه انجام نمی شد و آنها منحصراً برای رمزگذاری استفاده می شدند.

احراز هویت بیومتریک

بیومتریک شامل ترکیبی از ابزارهای خودکار برای شناسایی / احراز هویت افراد بر اساس ویژگی های رفتاری یا فیزیولوژیکی آنها است. ابزارهای فیزیکی احراز هویت و شناسایی شامل تأیید شبکیه و قرنیه چشم، اثر انگشت، هندسه صورت و دست و سایر اطلاعات شخصی است. ویژگی های رفتاری شامل سبک کار با صفحه کلید و پویایی امضا است. ترکیب شدهروش ها تجزیه و تحلیل ویژگی های مختلف صدای یک فرد و همچنین تشخیص گفتار او هستند.

چنین سیستم های شناسایی/ احراز هویت و رمزگذاری به طور گسترده در بسیاری از کشورهای جهان مورد استفاده قرار می گیرند، اما برای مدت طولانی بسیار گران قیمت و استفاده از آنها دشوار بود. اخیراً به دلیل توسعه تجارت الکترونیک تقاضا برای محصولات بیومتریک به طور قابل توجهی افزایش یافته است ، زیرا از نظر کاربر ارائه خود بسیار راحت تر از حفظ برخی اطلاعات است. بر این اساس، تقاضا باعث ایجاد عرضه می شود، بنابراین محصولات نسبتاً ارزانی در بازار ظاهر شدند که عمدتاً بر روی تشخیص اثر انگشت متمرکز هستند.

در اکثر موارد، بیومتریک در ترکیب با سایر احراز هویت‌ها مانند کارت‌های هوشمند استفاده می‌شود. اغلب، احراز هویت بیومتریک تنها اولین خط دفاعی است و به عنوان وسیله ای برای فعال کردن کارت های هوشمند که شامل اسرار رمزنگاری مختلف است عمل می کند. هنگام استفاده از این فناوری، الگوی بیومتریک در همان کارت ذخیره می شود.

فعالیت در زمینه بیومتریک بسیار بالاست. یک کنسرسیوم مناسب در حال حاضر وجود دارد، و کار نیز کاملاً فعالانه با هدف استانداردسازی جنبه‌های مختلف فناوری در حال انجام است. امروزه می توانید مقالات تبلیغاتی زیادی را مشاهده کنید که در آنها فناوری های بیومتریک به عنوان ابزاری ایده آل برای افزایش امنیت و در عین حال در دسترس عموم مردم ارائه شده است.توده ها.

ESIA

سیستم شناسایی و احراز هویت ("ESIA") یک سرویس ویژه است که به منظور اطمینان از اجرای وظایف مختلف مربوط به تأیید هویت متقاضیان و شرکت کنندگان در تعامل بین بخشی در صورت ارائه خدمات ایجاد شده است. هر گونه خدمات شهری یا دولتی به شکل الکترونیکی.

برای دسترسی به «درگاه واحد سازمان‌های دولتی» و همچنین سایر سامانه‌های اطلاعاتی زیرساخت‌های دولت الکترونیک فعلی، ابتدا باید یک حساب کاربری و در نتیجه ثبت نام کنید. ، یک PES دریافت کنید.

سطوح

درگاه سیستم شناسایی و احراز هویت یکپارچه سه سطح اصلی حساب را برای افراد فراهم می کند:

• ساده شده. برای ثبت نام کافیست نام خانوادگی و نام و همچنین کانال ارتباطی خاص خود را در قالب آدرس ایمیل یا تلفن همراه ذکر کنید. این سطح اولیه است که از طریق آن شخص فقط به لیست محدودی از خدمات عمومی مختلف و همچنین قابلیت‌های سیستم‌های اطلاعاتی موجود دسترسی دارد.
• استاندارد. برای به دست آوردن آن، ابتدا باید یک حساب کاربری ساده صادر کنید و سپس داده های اضافی از جمله اطلاعات گذرنامه و شماره حساب شخصی فردی بیمه را نیز ارائه دهید. اطلاعات مشخص شده به طور خودکار از طریق سیستم های اطلاعاتی بررسی می شودصندوق بازنشستگی، و همچنین خدمات مهاجرت فدرال، و در صورت موفقیت آمیز بودن چک، حساب به سطح استاندارد منتقل می شود که لیست گسترده ای از خدمات عمومی را برای کاربر باز می کند.
• تأیید شد. برای به دست آوردن این سطح از حساب، سیستم یکپارچه شناسایی و احراز هویت کاربران را ملزم به داشتن حساب استاندارد و همچنین تأیید هویت می کند که از طریق مراجعه شخصی به شعبه خدمات مجاز و یا با دریافت کد فعال سازی از طریق پست سفارشی انجام می شود. در صورت موفقیت آمیز بودن تأیید هویت، حساب کاربری به سطح جدیدی منتقل می شود و کاربر به لیست کامل خدمات دولتی لازم دسترسی خواهد داشت.

علیرغم اینکه ممکن است رویه ها کاملاً پیچیده به نظر برسند، در واقع، می توانید مستقیماً در وب سایت رسمی با لیست کامل داده های لازم آشنا شوید، بنابراین ثبت نام کامل در عرض چند روز کاملاً امکان پذیر است.