Kako podesiti pametne telefone i računare. Informativni portal

Jedinstveni sistem identifikacije. Šta je esia? Šta je to

15.04.2019 Televizori (Smart TV)

V.Shramko

PCWeek / RE br. 45, 2004

Sprečavanje štete povezane s gubitkom povjerljivih informacija pohranjenih na računarima jedan je od najvažnijih zadataka svake kompanije. Poznato je da je osoblje preduzeća često glavni krivac za ove gubitke. Prema studiji Instituta za kompjutersku bezbednost, nenamerne greške zaposlenih čine 55 odsto ove štete, a postupci nepoštenih i ogorčenih kolega - 10 i 9 odsto. Ostatak gubitaka je povezan sa problemima fizičke zaštite (elementarne katastrofe, napajanje) - 20%, virusi - 4% i spoljni napadi- 2%.

Glavni način zaštite informacija od uljeza je uvođenje takozvanih AAA, ili 3A (autentifikacija, autorizacija, administracija) alata. Među AAA fondovima značajno mesto zauzimaju hardverske i softverske sisteme za identifikaciju i autentifikaciju (SIA) i uređaje za unošenje identifikacionih znakova (izraz odgovara GOST R 51241-98), dizajnirane da zaštite od neovlašćenog pristupa (NSD) računarima.

Kada koristi SIA, zaposlenik dobija pristup računaru ili korporativnoj mreži tek nakon što uspešno prođe proceduru identifikacije i autentifikacije. Identifikacija se sastoji u prepoznavanju korisnika po inherentnoj ili dodijeljenoj osobini identifikacije. Provjera pripadnosti korisniku predočenog identifikacionog znaka vrši se tokom procesa autentifikacije.

Hardver i softver SIA uključuje identifikatore, ulazno-izlazne uređaje (čitače, kontakt uređaje, adaptere, pouzdane kartice za pokretanje, konektore matična ploča i drugi) i odgovarajući softver. Identifikatori su dizajnirani da pohranjuju jedinstvene identifikatore. Osim toga, oni mogu pohraniti i obrađivati ​​različite osjetljive podatke. Ulazno-izlazni uređaji i softver prenose podatke između identifikatora i zaštićenog računara.

Na svjetskom tržištu sigurnost informacija AAA segment stalno raste. Ovaj trend je naglašen u analitičkim pregledima i prognozama Infonetics Research-a, IDC-a, Gartnera i drugih konsultantskih kuća.

Ovaj članak će se fokusirati na kombinovane sisteme identifikacije i autentikacije. Ovaj izbor je zbog činjenice da trenutno sistemi ove klase pružaju najefikasniju zaštitu računara od neovlašćenog pristupa.

Klasifikacija sistema identifikacije i autentifikacije

Savremeni SIA, prema vrsti korišćenih identifikacionih znakova, dele se na elektronske, biometrijske i kombinovane (videti sl. 1).

Slika 1 - Klasifikacija SIA prema vrsti identifikacionih znakova

U elektronskim sistemima identifikacioni znakovi su predstavljeni u obliku digitalni kod pohranjene u memoriji identifikatora. Takve SIA-e se razvijaju na osnovu sljedećih identifikatora:

  • kontaktne pametne kartice;
  • Beskontaktne pametne kartice;
  • USB ključevi (poznati i kao USB tokeni);
  • iButton identifikatori.

V biometrijski sistemi ah, identifikacijske karakteristike su individualne karakteristike osobe, koje se nazivaju biometrijske karakteristike. Identifikacija i autentifikacija ovog tipa zasniva se na proceduri očitavanja prikazane biometrijske karakteristike korisnika i upoređivanja sa prethodno dobijenim šablonom. U zavisnosti od vrste korišćenih karakteristika, biometrijski sistemi se dele na statičke i dinamičke.

Statička biometrija (koja se naziva i fiziološka) zasniva se na podacima dobijenim mjerenjem anatomskih karakteristika osobe (otisci prstiju, oblik šake, šara šarenice, dijagram krvnih žila lica, uzorak mrežnice, crte lica, fragmenti genetskog koda itd.).

Dinamička biometrija (koja se naziva i biometrija ponašanja) zasniva se na analizi ljudskih radnji (parametri glasa, dinamika i oblik potpisa).

Uprkos mnoštvu biometrijskih karakteristika, SIA programeri se fokusiraju na tehnologije prepoznavanja otisak prsta, crte lica, geometrija šake i šarenice. Tako, na primjer, prema izvještaju Međunarodne biometrijske grupe, na svjetskom tržištu biometrijske sigurnosti 2004. godine udio sistema za prepoznavanje otisaka prstiju iznosio je 48%, crte lica - 12%, geometrija šake - 11%, šarenica - 9%, glasovni parametri - 6%, potpisi - 2%. Preostali udio (12%) odnosi se na srednji softver.

U kombinovanim sistemima, nekoliko identifikacionih znakova se koristi istovremeno za identifikaciju. Takva integracija omogućava napadaču da podigne dodatne barijere koje ne može savladati, a ako može, onda uz značajne poteškoće. Razvoj kombinovanih sistema odvija se u dva pravca:

  • integracija identifikatora unutar sistema jedne klase;
  • integracija sistema različitih klasa.

U prvom slučaju, sistemi zasnovani na beskontaktnim pametnim karticama i USB ključevima, kao i hibridne (kontaktne i beskontaktne) pametne kartice koriste se za zaštitu računara od neovlašćenog pristupa. U drugom slučaju, programeri vješto "ukrštaju" biometrijsku i elektronsku SIA (u daljem tekstu u članku se takav konglomerat naziva bioelektronički sistem identifikacije i autentikacije).

Karakteristike sistema elektronske identifikacije i autentifikacije

Elektronske SIA i analizu njihovih ključnih karakteristika, koje vam omogućavaju da napravite izbor u korist određenog proizvoda, možete pronaći u mom pregledu „Zaštita računara: sistemi elektronske identifikacije i autentifikacije“ (vidi PC Week / RE, br. 12/ 2004, str.18). Navešću samo glavne karakteristike elektronske SIA, čije poznavanje pomaže razumevanju strukture i principa rada kombinovanih sistema.

Kombinovana SIA može uključivati ​​elektronske kontaktne i beskontaktne pametne kartice i USB ključeve. Glavni element ovih uređaja je jedan ili više ugrađenih integrisana kola(čipovi), koji mogu biti memorijski čipovi, čipovi sa tvrdom logikom i mikroprocesori (procesori). Trenutno, identifikatori sa procesorom imaju najveću funkcionalnost i stepen sigurnosti.

Čip pametne kartice za kontakt mikroprocesora baziran je na centralnom procesoru, specijalizovanom kriptografskom procesoru (opciono), memoriji sa slučajnim pristupom (RAM), memoriji samo za čitanje (ROM), nepromenljivoj programabilnoj memoriji samo za čitanje (PROM), senzoru slučajni brojevi, tajmeri, serijski komunikacioni port.

Memorija sa slučajnim pristupom se koristi za privremeno skladištenje podataka, na primjer, rezultata proračuna koje obavlja procesor. Njegov kapacitet je nekoliko kilobajta.

Permanentna memorija pohranjuje instrukcije koje izvršava procesor i druge nepromjenjive podatke. Informacije u ROM-u se snimaju kada je kartica proizvedena. Kapacitet memorije može biti desetine kilobajta.

Postoje dvije vrste PROM-ova koji se koriste u kontaktnim pametnim karticama: jednokratni programabilni EPROM-ovi i češće pronađeni reprogramabilni EEPROM-ovi. PROM memorija se koristi za pohranjivanje korisničkih podataka koji se mogu čitati, pisati i mijenjati, te povjerljivih podataka (na primjer, kriptografskih ključeva) koji nisu dostupni aplikativni programi... Kapacitet PROM-a je desetine i stotine kilobajta.

Centralna procesorska jedinica pametne kartice (obično RISC procesor) omogućava implementaciju različitih postupaka obrade podataka, kontrolu pristupa memoriji i kontrolu izvršavanja računskog procesa.

Specijalizirani procesor je odgovoran za implementaciju različitih procedura neophodnih za povećanje sigurnosti SIA:

  • generiranje kriptografskih ključeva;
  • implementacija kriptografskih algoritama (GOST 28147-89, DES, 3DES, RSA, SHA-1, itd.);
  • obavljanje poslova sa elektronskim digitalnim potpisom (generacija i verifikacija);
  • obavljanje operacija sa PIN kodom itd.

Beskontaktne pametne kartice se dijele na proximity identifikatore i pametne kartice zasnovane na međunarodnim standardima ISO / IEC 15693 i ISO / IEC 14443. Većina SIA zasnovanih na beskontaktnim pametnim karticama zasnovana je na tehnologiji radio frekvencijske identifikacije. Strukturno, identifikatori radio frekvencija (vidi tabelu 1) se proizvode u obliku plastičnih kartica, privjesaka, žetona, diskova, oznaka itd.

Tabela 1 - Radiofrekvencijski identifikatori

Glavne komponente beskontaktnih pametnih kartica su čip i antena. Unutar identifikatora može biti i litijumska baterija. Identifikatori sa baterijom nazivaju se aktivnim, bez baterije - pasivnim. Svaki identifikator ima jedinstveni 32/64-bitni serijski broj.

Identifikatori blizine rade na 125 kHz. Čip uključuje memorijsko mikrokolo (ili hard logičko mikrokolo) sa pomoćnim jedinicama: modul za programiranje, modulator, upravljačka jedinica itd. Kapacitet memorije se kreće od 8 do 256 bajtova. Proximity uglavnom koristi jednokratni programabilni EPROM samo za čitanje, ali postoji i EEPROM koji se može ponovno upisivati. Memorija sadrži jedinstveni identifikacioni broj, kod uređaja i servisne informacije (bitovi parnosti, bitovi početka i kraja prenosa koda, itd.).

Obično su Proximity ID-ovi pasivni i ne sadrže hemijski izvor napajanja - litijumsku bateriju. U ovom slučaju, mikrokolo se napaja elektromagnetnim poljem koje emituje čitač. Čitač čita podatke brzinom od 4 kbps na udaljenosti do 1 m.

Sistemi identifikacije i autentikacije zasnovani na blizini nisu kriptografski sigurni (osim za prilagođene sisteme).

Beskontaktne pametne kartice rade na 13,56 MHz i podijeljene su u dvije klase na osnovu međunarodnih standarda ISO/IEC 15693 i ISO/IEC 14443.

Standard ISO/IEC 14443 uključuje verzije A i B, koje se razlikuju po načinu modulacije emitovanog radio signala. Standard podržava razmjenu (čitanje-upisivanje) podataka brzinom od 106 kbps (brzina se može povećati na 212, 424 ili 848 kbps), udaljenost čitanja je do 10 cm.

Za implementaciju funkcija šifriranja i autentifikacije u identifikatorima standarda ISO/IEC 14443 mogu se koristiti tri tipa čipova: mikrokolo sa krutom MIFARE logikom, procesor ili kriptografski procesor. MIFARE tehnologija je razvoj kompanije Philips Electronics i proširenje je ISO/IEC 14443 (revizija A).

Standard ISO/IEC 15693 proširuje opseg beskontaktnog identifikatora na 1 m. Na ovoj udaljenosti razmjena podataka se odvija brzinom od 26,6 kbps.

USB ključevi (pogledajte tabelu 2) su dizajnirani da rade sa USB portom na računaru. Izrađuju se strukturno u obliku privjesaka za ključeve, koji se proizvode u kućištima u boji indikatorska svetla radi i lako se postavljaju na gomilu ključeva. Svaki identifikator ima jedinstveni 32/64-bitni serijski broj koji je tvornički fleširan.

Tabela 2 - Karakteristike USB ključeva

Sljedeći USB ključevi su najpopularniji na ruskom tržištu:

  • iKey 10xx, iKey 20xx, iKey 3000 serija - razvijen od strane Rainbow Technologies;
  • eToken R2, eToken Pro iz Aladdin Knowledge Systems;
  • ePass1000, ePass2000 iz Feitian Technologies;
  • ruToken je zajednički razvoj kompanije Aktiv i kompanije ANKAD.

USB ključevi su nasljednici kontaktnih pametnih kartica. Stoga su strukture USB ključeva i pametnih kartica, kao i zapremine sličnih uređaja za skladištenje, praktično identične. USB ključevi mogu uključivati:

  • procesor - kontrola i obrada podataka;
  • kriptografski procesor - implementacija algoritama GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 i drugih kriptografskih transformacija;
  • USB kontroler - pruža interfejs sa USB portom računara;
  • RAM - skladište varijabilnih podataka;
  • EEPROM - skladištenje ključeva za šifrovanje, lozinki, sertifikata i drugih važnih podataka;
  • ROM - pohranjivanje komandi i konstanti.

Kombinovani sistemi

Uvođenje kombinovanog SIA (videti tabelu 3) u sistem informacione bezbednosti kompanije povećava broj identifikacionih karakteristika, što omogućava efikasniju zaštitu računara i korporativne mreže od neovlašćenih napada. Osim toga, neke vrste sistema su sposobne za kontrolu fizički pristup u zgrade i prostorije i kontrolišu ih.

Tabela 3 – Glavne funkcije kombinovane SIA

Danas na tržištu kompjuterska sigurnost prisutan kombinovani sistemi identifikacija i autentifikacija sljedećih tipova:

  • sistemi bazirani na beskontaktnim pametnim karticama i USB ključevima;
  • sistemi bazirani na hibridnim pametnim karticama;
  • bioelektronski sistemi.

Beskontaktne pametne kartice i USB ključevi

Hardverska integracija USB ključeva i beskontaktnih pametnih kartica podrazumijeva da su antena i mikrokolo koje podržavaju beskontaktno sučelje ugrađene u tijelo privjeska. Ovo omogućava korištenje jednog identifikatora za organizaciju kontrole pristupa kako računaru tako i kancelarijskim prostorijama. Za ulazak u kancelariju zaposlenik koristi svoj identifikator kao beskontaktnu karticu, a pri pristupu zaštićenim računarskim podacima kao USB ključ. Osim toga, prilikom izlaska iz sobe izvlači identifikator iz USB konektora (kako bi kasnije mogao ući nazad) i time automatski blokira rad računara.

2004. godine na ruskom tržištu pojavila su se dva kombinovana identifikatora ovog tipa:

  • RFiKey - razvijen od strane Rainbow Technologies;
  • eToken PRO RM - razvijen od strane Aladdin Software Security R.D. ...

RFiKey (slika 2) je USB iKey sa ugrađenim Proximity čipom koji je razvio HID Corporation.

Slika 2 - RFiKey identifikator

RFiKey proizvod podržava USB interfejs 1.1 / 2.0 i radi sa čitačima HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) i Ruska kompanija Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

Glavne karakteristike RFiKey-a uključuju sljedeće indikatore:

  • radna frekvencija mikrokola Proximity - 125 kHz;
  • brzina procesora - 12 MHz;
  • implementirani kriptografski algoritmi - MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
  • podržani standardi - PKCS #11, MS Crypto API, PC/SC;
  • sistem datoteka sa tri nivoa pristupa podacima;
  • Podržani operativni sistemi - Windows 95/98 / ME / NT4 (SP3) / 2000 / XP / 2003.

eToken RM identifikator je eToken Pro USB ključ sa ugrađenim čipom koji podržava beskontaktni interfejs (slika 3). Kupac može izabrati dobavljača i vrstu mikrokola prema svojim potrebama. Trenutno, kompanija nudi radio čipove proizvođača HID Corporation, EM Microelectronic-Marin, Philips Electronics (MIFARE tehnologija), Cotag International i JSC Angstrem.

Slika 3 - eToken RM identifikator

Na primjer, radiofrekventni pasivni identifikator BIM-002 domaće kompanije "Angstrem" izrađen je u obliku okrugle oznake. Izgrađen je na bazi mikrokola KB5004XK1, koji se zasniva na 64-bitnoj EPROM memoriji i programskoj jedinici koja se koristi za pisanje jedinstvenog identifikacionog koda.

Glavne karakteristike eToken RM sa ugrađenim BIM-002 identifikatorom uključuju sljedeće indikatore:

  • frekvencija rada BIM-002 - 13,56 MHz;
  • opseg očitavanja identifikacionog koda - do 30 mm;
  • brzina procesora - 6 MHz;
  • implementirani kriptografski algoritmi - RSA-1024, DES, 3DES, SHA-1;
  • prisustvo hardverskog generatora slučajnih brojeva;
  • podržani standardi - PKCS # 11, PKCS # 15 (CRYPTOKI), MS Crypto API, PC / SC, X.509 v3, SSL v3, S / MIME, IPSec / IKE, GINA, RAS / Radius / PAP / CHAP / PAP;
  • Podržani operativni sistemi - Windows 98 / ME / NT / 2000 / XP / 2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

Na domaćem tržištu okvirne cijene kombinovanih identifikatora su: RFiKey 1032 - od 41 dolara, RFiKey 2032 i RFiKey 3000 - od 57 dolara, eToken RM sa 32 KB zaštićene memorije i BIM-002 - od 52 dolara.

Razlika između cijene kombiniranog i običnog USB ključa je približno ista kao i cijena Proximity pametne kartice. Iz toga proizilazi da integracija beskontaktnih pametnih kartica i USB ključeva gotovo da ne dovodi do povećanja troškova hardvera pri prelasku na kombinovani sistem identifikacije i autentifikacije. Isplata je očigledna: jedan identifikator umjesto dva.

Hibridne pametne kartice

Hibridne pametne kartice sadrže različite čipove koji nisu međusobno povezani (slika 4). Jedan čip podržava kontaktni interfejs, drugi (Proximity, ISO 14443/15693) beskontaktni. Kao iu slučaju integracije USB ključeva i beskontaktnih pametnih kartica, SIA-i zasnovani na hibridnim pametnim karticama rješavaju dvostruki problem: zaštitu od petljanja u računare iu prostorijama kompanije u kojoj se čuvaju. Osim toga, na pametnu karticu se stavlja i fotografija zaposlenog, što omogućava njegovu vizuelnu identifikaciju.

Slika 4 - Struktura hibridne pametne kartice

Želja za integracijom radiofrekventnih tehnologija beskontaktnih i kontaktnih pametnih kartica ogleda se u razvoju mnogih kompanija: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems, itd.

Na primjer, HID Corporation, vodeći programer SIA baziranog na beskontaktnim identifikatorima, izdala je identifikatore kartica koji kombinuju razne tehnologiječitanje identifikacionih znakova. Rezultat ovog razvoja je stvaranje hibridnih pametnih kartica:

  • Smart ISOProx II - integracija Proximity čipa i čipa sa kontaktnim interfejsom (opciono);
  • iCLASS - Integracija ISO / IEC 15693 čipa i pin interfejs čipa (opciono);
  • iCLASS Prox - Integracija blizinskog čipa, ISO / IEC 15693 čipa i čipa za kontakt (opciono).

Na domaćem tržištu cijene ovih proizvoda su: iCLASS - od 5,1$; Smart ISOProx II - od 5,7 dolara; iCLASS Prox - od 8,9 dolara.

U Rusiji, Aladdin Software Security R.D. razvijena je tehnologija za proizvodnju hibridnih pametnih kartica eToken Pro/SC RM. U njima su mikrokola sa eToken Pro kontakt interfejsom ugrađena u beskontaktne pametne kartice. Firma nudi pametne kartice različitih proizvođača: JSC Angstrem (BIM-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (MIFARE tehnologija) i drugi. Izbor opcije kombinacije određuje kupac.

Analiza finansijskih troškova prelaska na hibridne pametne kartice, kao u slučaju kombinovanja beskontaktnih pametnih kartica i USB ključeva, ponovo potvrđuje trijumf principa „dva u jednom“. Ako na identifikator stavite fotografiju zaposlenog, onda se ovaj princip pretvara u „tri u jedan“.

Bioelektronski sistemi

Da bi se računari zaštitili od neovlašćenog pristupa, biometrijski sistemi se obično kombinuju sa dve klase elektronskih SIA - zasnovanih na kontakt pametnim karticama i na osnovu USB ključeva.

Integracija sa elektronski sistemi baziran na beskontaktnim pametnim karticama, uglavnom se koristi u sistemima kontrole pristupa fizičkim prostorijama.

Kao što je već navedeno, tehnologije identifikacije otisaka prstiju danas su vodeće na tržištu biometrijske sigurnosti. Ovako počasno mjesto za uzimanje otisaka prstiju je zbog sljedećih okolnosti:

  • to je najstarija i najviše proučavana metoda prepoznavanja;
  • njegova biometrijska karakteristika je stabilna: površina kože na prstu se ne mijenja s vremenom;
  • visoke vrijednosti pokazatelja tačnosti prepoznavanja (prema izjavama programera sigurnosnih alata za otisak prsta, vjerovatnoća lažnog odbijanja pristupa je 10-2, a vjerovatnoća lažnog pristupa je 10-9);
  • jednostavnost i praktičnost postupka skeniranja;
  • ergonomija i mala veličina uređaja za skeniranje;
  • najviše niska cijena među sistemima biometrijske identifikacije.

Kao rezultat toga, skeneri otiska prsta postali su najčešće korišteni dio kombinovani SIA, koji se koristi za zaštitu računara od neovlašćenog pristupa. Na drugom mjestu po zastupljenosti na tržištu računarske sigurnosti su SIA zasnovane na kontakt pametnim karticama.

Primeri ove vrste integracije su Precise 100 MC (slika 5) i AET60 BioCARDKey (slika 6) kompanije Precise Biometrics AB i Advanced Card Systems, respektivno. Za pristup informacionim resursima računara pomoću ovih alata, korisnik treba da ubaci pametnu karticu u čitač i stavi prst na skener. Predlošci otiska prsta pohranjuju se šifrirani u sigurnoj memoriji pametne kartice. Ako slika otiska prsta odgovara šablonu, pristup računaru je dozvoljen. Korisnik je veoma zadovoljan: nema potrebe da pamti lozinku ili PIN-kod, procedura za prijavu na sistem je znatno pojednostavljena.

Slika 5 - Product Precise 100 MC

Slika 6 - Proizvod AET60 BioCARDKey

Precise 100 MC i AET60 BioCARDKey su USB uređaji koji rade Windows okruženje... Čitači pametnih kartica podržavaju sve tipove mikroprocesorskih kartica usklađenih sa standardom ISO 7816-3 (protokoli T = 0, T = 1). Čitači otiska prsta su skeneri kapacitivni tip sa brzinama skeniranja od 4 i 14 otisaka prstiju u sekundi za Precise 100 MC i AET60 BioCARDKey, respektivno.

Da smanjim broj perifernih uređaja, možete integrirati skener otiska prsta i čitač pametnih kartica u USB tastaturu zaštićenog računara. Primeri takvih uređaja su KBPC-CID (slika 7) alijanse Fujitsu Siemens Computers, tastatura Precise 100 SC (slika 8) i Precise 100 MC tastatura kompanije Precise Biometrics AB.

Slika 7 - Proizvod KBPC-CID

Slika 8 - Product Precise 100 SC tastatura

Za pristup informacionim resursima računara, kao u prethodna verzija, korisnik treba da stavi pametnu karticu u čitač i stavi prst na skener. Čini se zanimljivom i obećavajućom odlukom programera kombinovanih sigurnosnih sistema da kombinuju USB ključ sa sistemom identifikacije otiska prsta (u daljem tekstu takav uređaj ćemo zvati USB bioključ). Primer ovog rešenja je FingerQuick USB bioključ (slika 9) japanske korporacije NTT Electronics i ClearedKey (slika 10) američke kompanije Priva Technologies.

Slika 9 – FingerQuick USB bioključ

Slika 10 - USB Biokey ClearedKey

U bliskoj budućnosti, USB bio ključevi bi mogli postati široko rasprostranjeni zbog svojih prednosti:

  • visok nivo sigurnosti (prisustvo skenera otiska prsta, pohranjivanje tajnih podataka, posebno šablona otiska prsta, u zaštićenoj nepromjenjivoj memoriji identifikatora, enkripcija razmjene podataka sa računarom);
  • hardverska implementacija kriptografskih transformacija;
  • nedostatak hardverskog čitača;
  • jedinstvenost karakteristike, mala veličina i jednostavnost skladištenja identifikatora.

Glavni nedostatak USB bio ključeva je njihova visoka cijena. Na primjer, FingerQuick ima približnu cijenu od 190 dolara.

Zaključak

Na prvi pogled, kombinovani sistemi identifikacije i autentifikacije predstavljaju neku vrstu skupih, egzotičnih proizvoda. Ali svjetsko iskustvo u razvoju kompjuterskih sigurnosnih sistema pokazuje da se svi koriste u trenutno zaštitna oprema je nekada bila i tako egzotični proizvodi. A sada su norma za siguran život. Stoga je velika vjerovatnoća da slična sudbina čeka kombinovane sisteme.

Identifikacija i autentifikacija su osnova svih sigurnosnih sistema informacionih sistema, budući da su svi mehanizmi sigurnosti informacija dizajnirani da rade sa imenovanim subjektima i objektima AU. Podsjetimo da i korisnici i procesi mogu djelovati kao subjekti AS, informacije i ostalo informacionih resursa sistemi.

Dodjeljivanje ličnog identifikatora subjektima i objektima pristupa i poređenje sa datom listom naziva se identifikacija. Identifikacija pruža sljedeće funkcije:

Autentifikacija i utvrđivanje autoriteta subjekta kada je primljen u sistem,

Kontrolisanje utvrđenih ovlašćenja u toku radnog sastanka;

Registracija akcija itd.

Autentikacija (autentikacija) je provjera identiteta subjekta pristupa identifikatoru koji on predstavlja i potvrda njegove autentičnosti. Drugim riječima, autentifikacija se odnosi na provjeru da li je subjekt povezivanja onaj za koga se predstavlja.

Opća procedura za identifikaciju i autentifikaciju korisnika prilikom pristupa AS-u prikazana je na Sl. 2.10. Ako se u postupku autentifikacije utvrdi autentičnost subjekta, onda sistem informacione sigurnosti mora odrediti njegova ovlaštenja (skup prava). Ovo je neophodno za naknadnu kontrolu i diferencijaciju pristupa resursima.

Prema kontrolisanoj komponenti sistema, metode autentikacije se mogu podijeliti na autentifikaciju komunikacijskih partnera i autentifikaciju izvora podataka. Provjera autentičnosti komunikacijskog partnera se koristi prilikom uspostavljanja (i periodične provjere) veze tokom sesije. Služi za sprječavanje prijetnji kao što su maskiranje i ponavljanje prethodne komunikacijske sesije. Provjera autentičnosti izvora podataka je provjera porijekla pojedinačnog podatka.

Što se tiče smjera, autentifikacija može biti jednosmjerna (korisnik dokazuje svoj identitet sistemu, na primjer, prilikom prijave) i dvosmjerna (međusobna).

Rice. 2.10. Klasični postupak identifikacije i autentifikacije

Obično se metode provjere autentičnosti klasificiraju prema korištenim sredstvima. U ovom slučaju, ove metode su podijeljene u četiri grupe:

1. Na osnovu saznanja osobe koja ima pravo pristupa resursima sistema, neka tajna informacija - lozinka.

2. Na osnovu upotrebe jedinstvene stavke: token, elektronska kartica i sl.

3. Na osnovu mjerenja ljudskih biometrijskih parametara - fizioloških ili bihevioralnih atributa živog organizma.

4. Na osnovu informacija povezanih s korisnikom, na primjer, s njegovim koordinatama.

Hajde da razmotrimo ove grupe.

1. Najčešći, jednostavni i uobičajeni, su metode autentifikacije zasnovane na lozinkama – tajnim identifikatorima subjekata. Ovdje, kada subjekt unese svoju lozinku, podsistem za autentifikaciju je upoređuje sa šifrovanom lozinkom pohranjenom u referentnoj bazi podataka. Ako se lozinke podudaraju, podsistem za provjeru autentičnosti dozvoljava pristup AS resursima.

Metode lozinke treba klasificirati prema stepenu promjenjivosti lozinke:

Metode koje koriste trajne (višekratne) lozinke,

Metode koje koriste jednokratne (dinamički promjenjive) lozinke.

Većina zvučnika koristi lozinke za višekratnu upotrebu. U ovom slučaju, korisnička lozinka se ne mijenja od sesije do sesije tokom vremena važenja koje je odredio administrator sistema. Ovo pojednostavljuje administrativne procedure, ali povećava opasnost od deklasifikacije lozinke. Postoji mnogo načina za probijanje lozinke: od provirivanja preko ramena do presretanja komunikacijske sesije. Vjerovatnoća otvaranja lozinke od strane napadača se povećava ako lozinka ima semantičko značenje (godina rođenja, ime djevojke), kratka je, upisana u jedan registar, nema ograničenja u pogledu perioda postojanja itd. Važno je da li je lozinka dozvoljena za unos samo u interaktivnom režimu ili je to mogućnost pristupa iz programa.

U potonjem slučaju moguće je pokrenuti program za pogađanje lozinki - "crusher".

Sigurniji način je korištenje jednokratnih ili dinamički promjenjivih lozinki.

Poznate su sljedeće metode zaštite lozinkom na osnovu jednokratnih lozinki:

Metode za modifikaciju šeme jednostavne lozinke;

Metode zahtjev-odgovor;

Funkcionalne metode.

U prvom slučaju, korisniku se prikazuje lista lozinki. Prilikom autentifikacije, sistem od korisnika traži lozinku, čiji je broj na listi određen slučajnim zakonom. Dužina i serijski broj početni znak lozinke se također može nasumično postaviti.

Prilikom korištenja metode "izazov-odgovor", sistem postavlja korisniku neka opća pitanja, na koja tačne odgovore zna samo određeni korisnik.

Funkcionalne metode se temelje na korištenju posebne funkcije konverzije lozinke. Ovo omogućava da se obezbedi mogućnost promene (prema nekoj formuli) korisničkih lozinki tokom vremena. Navedena funkcija mora ispunjavati sljedeće zahtjeve:

Za datu lozinku x, lako je izračunati Nova šifra ;

Poznavajući x i y, teško je ili nemoguće definirati funkciju.

Najpoznatiji primjeri funkcionalnih metoda su: metoda funkcionalne transformacije i metoda "rukovanja".

Ideja koja stoji iza metode funkcionalne transformacije je periodične promene sama funkcija. Potonje se postiže prisustvom dinamički promjenjivih parametara u funkcionalnom izrazu, na primjer, funkcija od određenog datuma i vremena. Korisniku se saopštava početna lozinka, stvarna funkcija i učestalost promjene lozinke. Lako je vidjeti da će korisničke lozinke za date -periode vremena biti sljedeće: x, f (x), f (f (x)), ..., f (x) n-1.

Metoda rukovanja je sljedeća. Funkcija konverzije lozinke poznata je samo korisniku i sigurnosnom sistemu. Po ulasku u AS, autentifikacijski podsistem generiše nasumični niz x, koji se prenosi korisniku. Korisnik izračunava rezultat funkcije y = f (x) i vraća ga sistemu. Sistem upoređuje svoj vlastiti izračunati rezultat sa onim primljenim od korisnika. Ako se navedeni rezultati podudaraju, autentičnost korisnika se smatra dokazanom.

Prednost metode je u tome što je prijenos bilo koje informacije koju napadač može koristiti ovdje minimiziran.

U nekim slučajevima, korisnik će možda morati provjeriti identitet drugog udaljenog korisnika ili nekog AS kojem će pristupiti. Najprikladnija metoda ovdje je metoda "rukovanja", budući da niko od učesnika razmjena informacija neće primiti nijednu povjerljiva informacija.

Imajte na umu da metode provjere autentičnosti zasnovane na OTP-u također ne pružaju apsolutnu sigurnost. Na primjer, ako napadač ima mogućnost da se poveže na mrežu i presretne prenesene pakete, onda može poslati potonje kao svoje.

2. U posljednje vrijeme su postale raširene kombinovane metode identifikacije koje zahtijevaju, osim poznavanja lozinke, prisustvo tokena - posebnog uređaja koji potvrđuje autentičnost subjekta.

Karte se dijele na dvije vrste:

Pasivni (memorijske kartice);

Aktivan (pametne kartice).

Najčešće su to pasivne kartice sa magnetnom trakom, koje se čitaju pomoću posebnog uređaja koji ima tastaturu i procesor. Prilikom korištenja navedene kartice korisnik upisuje svoj identifikacijski broj. Ukoliko odgovara elektronskoj verziji kodirane na kartici, korisnik dobija pristup sistemu. Ovo vam omogućava da pouzdano identifikujete osobu koja je dobila pristup sistemu i isključite neovlašćenu upotrebu kartice od strane uljeza (na primjer, ako je izgubljena). Ova metoda se često naziva dvokomponentna autentikacija.

Ponekad se (obično za fizičku kontrolu pristupa) kartice koriste same, bez traženja ličnog identifikacionog broja.

Prednost upotrebe kartica je u tome što obradu podataka za autentifikaciju obavlja čitač, bez prenošenja u memoriju računara. Time se isključuje mogućnost elektronskog presretanja putem komunikacijskih kanala.

Nedostaci pasivnih kartica su: znatno su skuplje od lozinki, zahtijevaju posebne čitače, a njihova upotreba podrazumijeva posebne procedure za sigurno računovodstvo i distribuciju. Takođe ih treba zaštititi od uljeza i, naravno, ne ostavljati u uređajima za čitanje. Poznati su slučajevi krivotvorenja pasivnih kartica.

Osim memorije, pametne kartice imaju svoj mikroprocesor. Ovo vam omogućava da implementirate različite opcije metode zaštite lozinkom: lozinke za višekratnu upotrebu, lozinke koje se dinamički mijenjaju, konvencionalne metode izazov-odgovor. Sve kartice pružaju dvokomponentnu autentifikaciju.

Navedenim prednostima pametnih kartica treba dodati i njihovu multifunkcionalnost. Mogu se koristiti ne samo u sigurnosne svrhe, već i, na primjer, za finansijske transakcije. Nedostatak kartica je njihova visoka cijena.

Obećavajući pravac u razvoju kartica je davanje standarda za proširenje prenosivih PCMCIA sistema (PC Card). Ove kartice su prenosive PC kartice koje se uklapaju u PC Card slot i ne zahtijevaju posebne čitače. Oni su danas prilično skupi.

3. Metode autentifikacije zasnovane na mjerenju biometrijskih parametara osobe (vidjeti tabelu 2.6) omogućavaju skoro 100% identifikaciju, rješavajući problem gubitka lozinki i ličnih identifikatora. Međutim, takve metode se ne mogu koristiti pri identifikaciji procesa ili podataka (objekti podataka), budući da se tek počinju razvijati (postoje problemi sa standardizacijom i distribucijom), a za sada zahtijevaju složenu i skupu opremu. To je dovelo do toga da se do sada koriste samo na posebno važnim objektima i sistemima.

Primjeri implementacije ovih metoda su sistemi identifikacije korisnika po uzorku šarenice oka, otiscima dlana, obliku ušiju, infracrvenoj slici kapilarnih žila, po rukopisu, po mirisu, po tembru glasa, pa čak i DNK.

Tabela 2.6

Primjeri biometrijskih metoda

Fiziološke metode

Tehnike ponašanja

Uklanjanje otisaka prstiju

Skeniranje šarenice

Skeniranje retine

Geometrija ruke

Prepoznavanje lica

Analiza rukopisa na tastaturi

Novi pravac je upotreba biometrijskih karakteristika u pametnim platnim karticama, tokenima i elementima mobilne komunikacije. Na primjer, prilikom plaćanja u prodavnici, nosilac kartice stavlja prst na skener kako bi potvrdio da je kartica zaista njegova.

Navedimo najčešće korištene biometrijske atribute i odgovarajuće sisteme.

· Otisci prstiju. Ovi skeneri su mali, raznovrsni i relativno jeftini. Biološka ponovljivost otiska prsta je 10-5%. Trenutno se promoviraju sprovođenje zakona zbog velikih izdvajanja u elektronske arhive otisak prsta.

· Geometrija ruke. Odgovarajući uređaji se koriste kada je teško koristiti skenere prstiju zbog prljavštine ili povreda. Biološka ponovljivost geometrije šake je oko 2%.

· Iris. Ovi uređaji su najviše tačnosti. Teorijska vjerovatnoća da se dvije šarenice poklope je 1 prema 1078.

· Termička slika lica... Sistemi vam omogućavaju da identifikujete osobu na udaljenosti do desetina metara. U kombinaciji sa pretragom baze podataka, takvi sistemi se koriste za identifikaciju ovlaštenih zaposlenika i filtriranje stranaca. Međutim, kada se mijenjaju svjetlosni uvjeti, skeneri lica imaju relativno visoku stopu grešaka.

· Glas. Glasovni test je zgodan za korištenje u telekomunikacijskim aplikacijama. Obavezno za ovaj 16-bitni zvučna kartica i kondenzatorski mikrofon su ispod 25 dolara. Verovatnoća greške je 2 - 5%. Ova tehnologija je pogodna za glasovnu verifikaciju preko telefonskih komunikacijskih kanala, pouzdanija je od frekvencijskog biranja ličnog broja. Danas se razvijaju pravci identifikacije osobe i njenog stanja glasom - uznemiren je, bolestan, govori istinu, a ne u sebi, itd.

· Unos sa tastature. Ovdje se prilikom unosa, na primjer, lozinke, prati brzina i intervali između klikova.

· Potpis. Digitalizatori se koriste za kontrolu rukom pisanih potpisa.

4. Najnoviji smjer autentifikacije je dokazivanje autentičnosti udaljenog korisnika na njegovoj lokaciji. Ovaj odbrambeni mehanizam se zasniva na upotrebi svemirskog navigacionog sistema kao što je GPS (Global Positioning System). Korisnik sa GPS opremom više puta šalje koordinate navedenih satelita koji se nalaze u vidnom polju. Podsistem za autentifikaciju, znajući orbite satelita, može odrediti lokaciju korisnika sa tačnošću od jednog metra. Visoka pouzdanost autentifikacije određena je činjenicom da su satelitske orbite podložne fluktuacijama koje je teško predvidjeti. Osim toga, koordinate se stalno mijenjaju, što negira mogućnost njihovog presretanja.

GPS oprema je jednostavna i pouzdana za korištenje i relativno jeftina. To omogućava da se koristi u slučajevima kada ovlašteni udaljeni korisnik mora biti na pravom mjestu.

Sumirajući mogućnosti alata za autentifikaciju, može se klasificirati prema nivou sigurnosti informacija u tri kategorije:

1. Statička autentifikacija;

2. Jaka autentifikacija;

3. Trajna autentifikacija.

Prva kategorija pruža zaštitu samo od neovlaštenog pristupa u sistemima u kojima napadač ne može pročitati informacije o autentifikaciji tokom sesije. Tradicionalne trajne lozinke su primjer statičke provjere autentičnosti. Njihova efikasnost uglavnom zavisi od težine pogađanja lozinki i, zapravo, od toga koliko su dobro zaštićene.

Da bi ugrozio statičku autentifikaciju, napadač može špijunirati, odabrati, pogoditi ili presresti podatke o autentifikaciji, itd.

Jaka autentikacija koristi akreditive za dinamičku provjeru autentičnosti koji se mijenjaju sa svakom sesijom. Snažne implementacije autentifikacije su sistemi koji koriste jednokratne lozinke i elektronski potpisi... Jača autentikacija štiti od napada u kojima napadač može presresti informacije o autentifikaciji i pokušati ih koristiti u budućim sesijama.

Međutim, jaka autentifikacija ne pruža zaštitu od aktivnih napada, tokom kojih maskirani napadač može brzo (tokom sesije provjere autentičnosti) presresti, modificirati i umetnuti informacije u preneseni tok podataka.

Trajna autentifikacija osigurava identifikaciju svakog bloka prenesenih podataka, što ih štiti od neovlaštene izmjene ili umetanja. Primjer implementacije navedene kategorije autentifikacije je korištenje algoritama za generiranje elektronskih potpisa za svaki bit prenesene informacije.

Identifikacija i autentifikacija su osnova savremenih softverskih i hardverskih sigurnosnih alata, budući da su sve druge usluge uglavnom dizajnirane da služe ovim entitetima. Ovi koncepti predstavljaju neku vrstu prve linije odbrane koja obezbjeđuje prostor organizacije.

Šta je to?

Identifikacija i autentifikacija imaju različite funkcije. Prvi daje subjektu (korisniku ili procesu koji djeluje u njegovo ime) mogućnost da navede svoje ime. Uz pomoć autentifikacije, druga strana se konačno uvjerava da je subjekt zaista onaj za koga se predstavlja. Često se identifikacija i autentifikacija zamjenjuju frazama "poruka imena" i "autentifikacija".

Oni su sami podijeljeni u nekoliko varijanti. Zatim ćemo pogledati šta su identifikacija i autentifikacija i šta su.

Autentifikacija

Ovaj koncept predviđa dva tipa: jednosmjerni, kada klijent prvo mora da dokaže svoju autentičnost serveru, i dvosmjerni, odnosno kada postoji međusobna potvrda. Standardni primjer način na koji se vrši standardna identifikacija i autentifikacija korisnika je procedura za prijavu određeni sistem... Na ovaj način, različite vrste može se koristiti u raznim objektima.

U mrežnom okruženju, kada se identifikacija i autentikacija korisnika vrše na geografski raspoređenim stranama, razmatrana usluga razlikuje se u dva glavna aspekta:

  • šta služi kao autentifikator;
  • kako je organizirana razmjena podataka za autentifikaciju i identifikaciju i kako je zaštićena.

Da bi dokazao svoj identitet, subjekt mora predstaviti jedan od sljedećih entiteta:

  • određene informacije koje on zna ( lični broj, lozinka, specijalni kriptografski ključ, itd.);
  • određena stvar koju posjeduje (lična karta ili neki drugi uređaj slične namjene);
  • određena stvar koja je njegov element (otisci prstiju, glas i druga biometrijska sredstva za identifikaciju i autentifikaciju korisnika).

Karakteristike sistema

U otvorenom mrežnom okruženju, strane nemaju pouzdanu rutu, što sugerira da je u opšti slučaj informacije koje subjekt prenosi možda se u konačnici ne podudaraju s informacijama primljenim i korištenim u autentifikaciji. Potrebno je osigurati sigurnost aktivnog i pasivnog prisluškivanja mreže, odnosno zaštitu od ispravljanja, presretanja ili reprodukcije različitih podataka. Mogućnost prenošenja lozinki u čistom tekstu je nezadovoljavajuća, a na isti način šifriranje lozinki ne može spasiti dan, jer ne pružaju zaštitu od reprodukcije. Zbog toga se danas koriste sofisticiraniji protokoli za autentifikaciju.

Pouzdana identifikacija ima poteškoća ne samo iz raznih razloga, već i iz niza drugih razloga. Kao prvo, skoro svaki entitet za autentifikaciju može biti ukraden, krivotvoren ili se može zaključiti. Postoji i određena kontradikcija između pouzdanosti korišćenog sistema, s jedne strane, i pogodnosti administratora ili korisnika sistema, s druge strane. Stoga je iz sigurnosnih razloga potrebno s određenom učestalošću tražiti od korisnika da ponovo unese svoje autentifikacijske podatke (pošto neka druga osoba već sjedi na njegovom mjestu), a to ne samo da stvara dodatnu muku, već i značajno povećava mogućnost da neko špijunira unos informacija. Između ostalog, pouzdanost zaštitne opreme značajno utječe na njenu cijenu.

Savremeni sistemi identifikacije i autentikacije podržavaju koncept jedinstvene prijave na mrežu, što prvenstveno zadovoljava zahtjeve u pogledu jednostavnosti korisnika. Ako je standard korporativna mreža ima mnogo informacionih servisa koji pružaju mogućnost samostalnog pristupa, onda u ovom slučaju višestruki unos ličnih podataka postaje preopterećujući. Na ovog trenutka još se ne može reći da se upotreba jedinstvene prijave smatra normalnom, jer se dominantna rješenja još nisu pojavila.

Stoga mnogi pokušavaju pronaći kompromis između pristupačnosti, pogodnosti i pouzdanosti sredstava pomoću kojih se pruža identifikacija/autentifikacija. Autorizacija korisnika u u ovom slučaju odvija se prema individualnim pravilima.

Posebnu pažnju treba obratiti na činjenicu da se korišteni servis može odabrati kao objekt napada pristupačnosti. Ako se to uradi na način da se nakon određenog broja neuspješnih pokušaja blokira mogućnost ulaska, onda u ovom slučaju napadači mogu zaustaviti rad legalnih korisnika bukvalno nekoliko pritisaka na tipku.

Provjera autentičnosti lozinkom

Glavna prednost ovakvog sistema je što je izuzetno jednostavan i poznat većini. Lozinke postoje već dugo vremena operativni sistemi i druge usluge, a kada se pravilno koriste, pružaju nivo sigurnosti koji je sasvim prihvatljiv za većinu organizacija. Ali s druge strane, u smislu opšteg skupa karakteristika, takvi sistemi predstavljaju najslabije sredstvo pomoću kojeg se može izvršiti identifikacija/autentifikacija. Autorizacija u ovom slučaju postaje prilično jednostavna, jer bi lozinke trebale biti pamtljive, ali jednostavne kombinacije nije teško pogoditi, pogotovo ako osoba zna preferencije određenog korisnika.

Ponekad se dešava da se lozinke, u principu, ne čuvaju u tajnosti, jer imaju sasvim standardne vrijednosti navedene u određenoj dokumentaciji, a ne uvijek se nakon instaliranja sistema mijenjaju.

Kada unesete lozinku, možete vidjeti, au nekim slučajevima ljudi čak koriste specijalizirane optičke uređaje.

Korisnici, glavni subjekti identifikacije i autentifikacije, često mogu podijeliti lozinke sa kolegama kako bi određeno vrijeme promijenio vlasnika. U teoriji bi u takvim situacijama najispravnije bilo koristiti posebne kontrole pristupa, ali u praksi to niko ne koristi. A ako dvoje ljudi znaju lozinku, to uvelike povećava šanse da će drugi na kraju saznati za nju.

Kako to popraviti?

Postoji nekoliko načina kako se identifikacija i autentifikacija mogu osigurati. Komponenta obrade informacija može se osigurati na sljedeće načine:

  • Nametanje raznih tehničkih ograničenja. Najčešće se uspostavljaju pravila za dužinu lozinke, kao i za sadržaj određenih znakova u njoj.
  • Upravljanje datumom isteka lozinki, odnosno potrebom za povremenom zamjenom lozinki.
  • Ograničavanje pristupa glavnoj datoteci lozinke.
  • Ograničavanjem ukupnog broja neuspjelih pokušaja dostupnih pri prijavi. Ovo osigurava da napadači trebaju izvršiti samo radnje prije identifikacije i autentifikacije, budući da se metoda brute sile ne može koristiti.
  • Preliminarna obuka korisnika.
  • Korištenje specijaliziranih softverskih generatora lozinki koji vam omogućuju stvaranje takvih kombinacija koje su eufonične i prilično nezaboravne.

Sve ove mjere mogu se koristiti u svakom slučaju, čak i ako se uz lozinke koriste i drugi načini provjere autentičnosti.

Jednokratne lozinke

Gore navedene opcije se mogu ponovo koristiti, a ako je kombinacija otkrivena, napadač je u mogućnosti da izvrši određene operacije u ime korisnika. Zbog toga se jednokratne lozinke koriste kao jače sredstvo otporno na mogućnost pasivnog prisluškivanja mreže, zahvaljujući čemu sistem identifikacije i autentifikacije postaje mnogo sigurniji, iako ne tako pogodan.

Trenutno jedan od najpopularnijih softverskih generatora jednokratne lozinke je sistem pod nazivom S / KEY, koji je objavio Bellcore. Osnovni koncept ovog sistema je da postoji specifična funkcija F, koji je poznat i korisniku i serveru za autentifikaciju. Slijedi tajni ključ K, koji je poznat samo određenom korisniku.

Tokom početne administracije korisnika, ova funkcija se koristi za ključ određeni broj puta, nakon čega se rezultat pohranjuje na server. Ubuduće procedura autentifikacije izgleda ovako:

  1. Na prilagođeni sistem server prima broj koji je 1 manji od broja puta kada se funkcija koristi za ključ.
  2. Korisnik koristi funkciju do postojećeg tajnog ključa onoliko puta koliko je postavljeno u prvom paragrafu, nakon čega se rezultat šalje preko mreže direktno na autentifikacijski server.
  3. Server koristi ovu funkciju do primljene vrijednosti, nakon čega se rezultat upoređuje sa prethodno sačuvanom vrijednošću. Ako se rezultati poklapaju, tada je korisnik autentificiran i server pohranjuje novu vrijednost i zatim smanjuje brojač za jedan.

U praksi, implementacija ove tehnologije ima malo složeniju strukturu, ali to trenutno nije toliko važno. Budući da je funkcija nepovratna, čak i ako se lozinka presretne ili dobije neovlašteni pristup serveru za autentifikaciju, ne pruža mogućnost da se dobije tajni ključ i na bilo koji način predvidi kako će izgledati sljedeća jednokratna lozinka.

U Rusiji se kao jedinstvena usluga koristi poseban državni portal - " jedan sistem identifikacija / autentifikacija "(" ESIA ").

Drugi pristup pouzdanom sistemu autentifikacije je generisanje nove lozinke u kratkim intervalima, što se takođe implementira korišćenjem specijalizovanih programa ili različitih pametnih kartica. U tom slučaju server za autentifikaciju mora prihvatiti odgovarajući algoritam generiranja lozinke, kao i određene povezane parametre, a pored toga mora postojati i sinhronizacija serverskog i klijentskog sata.

Kerberos

Kerberos server za autentifikaciju prvi put se pojavio sredinom 90-ih godina prošlog vijeka, ali je od tada već uspio dobiti ogroman broj fundamentalne promene. Trenutno pojedinačne komponente ovaj sistem je prisutan u skoro svakom modernom operativnom sistemu.

Glavna svrha ove usluge je rješenje sljedećeg problema: postoji određena nezaštićena mreža, a u njenim čvorovima su koncentrisani različiti subjekti u vidu korisnika, kao i serverskih i klijentskih softverskih sistema. Svaki takav subjekt ima individualni tajni ključ, a da bi subjekt C imao priliku da dokaže svoj identitet subjektu S, bez kojeg mu jednostavno neće služiti, moraće ne samo da se imenuje, već i da pokaže da zna određeni Tajni ključ. Istovremeno, C nema mogućnost da jednostavno pošalje svoj tajni ključ prema S, budući da je, prije svega, mreža otvorena, a osim toga, S ne zna i, u principu, ne bi trebao znati. U takvoj situaciji koristi se manje jednostavna tehnika za demonstriranje znanja o ovim informacijama.

Elektronska identifikacija/autentifikacija putem Kerberos sistema omogućava njegovo korištenje kao treća strana od povjerenja koja ima informacije o tajnim ključevima objekata koji se servisiraju i po potrebi im pomaže u obavljanju parne autentifikacije.

Dakle, klijent prvo šalje zahtjev sistemu, koji sadrži potrebne informacije o njemu, kao io traženoj usluzi. Nakon toga Kerberos mu daje neku vrstu tiketa, koji je šifrovan tajnim ključem servera, kao i kopiju nekog dijela podataka sa njega, koji se klasifikuje sa ključem klijenta. U slučaju podudaranja, utvrđuje se da je klijent dešifrovao informacije koje su mu bile namenjene, odnosno da je uspeo da dokaže da zaista zna tajni ključ. Ovo sugerira da je klijent upravo osoba za koju se predstavlja.

Ovdje treba obratiti posebnu pažnju na činjenicu da se prijenos tajnih ključeva nije odvijao preko mreže, već su se koristili isključivo za šifriranje.

Autentifikacija korištenjem biometrijskih podataka

Biometrija uključuje kombinaciju automatizovani alati identifikacija / autentikacija ljudi na osnovu njihovog ponašanja ili fizioloških karakteristika. Fizička sredstva autentifikacije i identifikacije uključuju provjeru mrežnice i rožnice očiju, otisaka prstiju, geometrije lica i šake i druge pojedinačne informacije. Karakteristike ponašanja uključuju stil tastature i prepoznatljivu dinamiku. Kombinovane metode su analize razne karakteristike glas osobe, kao i prepoznavanje njegovog govora.

Takvi sistemi identifikacije/autentifikacije i enkripcije su sveprisutni u mnogim zemljama širom svijeta, ali već dugo vremena su izuzetno različiti. visoka cijena i složenost aplikacije. Nedavno je potražnja za biometrijskim proizvodima značajno porasla zbog razvoja ecommerce, budući da je, sa stanovišta korisnika, mnogo zgodnije predstaviti se nego zapamtiti neku informaciju. Shodno tome, potražnja stvara ponudu, pa su se na tržištu počeli pojavljivati ​​relativno jeftini proizvodi koji su uglavnom fokusirani na prepoznavanje otisaka prstiju.

U velikoj većini slučajeva biometrija se koristi u kombinaciji sa drugim autentifikatorima kao što je. Često je biometrijska autentikacija samo prva linija odbrane i djeluje kao sredstvo za aktiviranje pametnih kartica koje uključuju različite kriptografske tajne. Kada koristite ovu tehnologiju, biometrijski predložak se pohranjuje na istoj kartici.

Aktivnost u oblasti biometrije je prilično visoka. Već postoji odgovarajući konzorcij, a u toku je i prilično aktivan rad na standardizaciji različitih aspekata tehnologije. Danas možete vidjeti mnogo reklamnih članaka u kojima su predstavljene biometrijske tehnologije idealan lek osiguravajući povećanu sigurnost i istovremeno pristupačan masama.

ESIA

Sistem identifikacije i autentifikacije ("ESIA") je posebna usluga, kreiran kako bi se osigurala realizacija različitih zadataka vezanih za provjeru autentičnosti podnosilaca zahtjeva i učesnika u međuresornoj interakciji u slučaju pružanja bilo kojeg općinskog ili javne usluge u elektronskom obliku.

Radi pristupa „Jedinstvenom portalu državnih struktura“, kao i svim drugim informacionim sistemima infrastrukture postojeće e-uprava, prvo ćete morati registrovati račun i, kao rezultat, dobiti PEP.

Nivoi

Portal pruža tri glavna nivoa naloga za pojedince:

  • Pojednostavljeno. Da biste ga registrovali, potrebno je samo da navedete svoje prezime i ime, kao i određeni kanal komunikacije u vidu e-mail adrese ili mobilnog telefona. Ovo je primarni nivo preko kojeg osoba ima pristup samo ograničenoj listi raznih državnih usluga, kao i mogućnostima postojećih informacionih sistema.
  • Standard. Da biste ga dobili, prvo morate izdati pojednostavljeni račun, a zatim dati i dodatne podatke, uključujući podatke iz pasoša i broj ličnog računa osiguranja pojedinca. Navedene informacije se automatski provjeravaju putem informacionih sistema Fonda PIO, kao i Federalne službe za migracije, a ako je provjera uspješna, račun se prenosi na standardni nivo, koji korisniku otvara proširenu listu državnih usluga.
  • Potvrđeno. Za dobijanje ovog nivoa naloga, jedinstveni sistem identifikacije i autentifikacije zahteva od korisnika da imaju standardni nalog, kao i potvrdu identiteta, koja se vrši ličnom posetom ovlašćenom servisu ili dobijanjem aktivacionog koda putem naručeno pismo... U slučaju da je provjera identiteta uspješna, račun će biti prebačen na novi nivo, a korisnik će imati pristup cijeloj listi potrebnih državnih usluga.

Unatoč činjenici da se postupci mogu činiti prilično složenim, u stvari, možete se upoznati s kompletnom listom potrebnih podataka direktno na službenoj web stranici, tako da je potpuna registracija sasvim moguća u roku od nekoliko dana.

Kreiranjem naloga na službenoj web stranici gosuslugi.ru, osoba istovremeno postaje korisnik ESIA. Ova skraćenica je skraćenica za Unified Identification and Authentication System. Zapravo, ovo je pristupni ključ koji odgovara svim resursima koji pružaju federalne i općinske usluge. Koje su prednosti ovog sistema i kako se registrovati kod ESIA preko portala državnih službi, biće opisano u ovom članku.

Šta je ESIA?

Prije svega, treba reći da je ESIA sistem za čije funkcioniranje je nadležno Ministarstvo telekomunikacija i masovnih komunikacija Rusije. Svaki pojedinac može postati član sistema entiteta ili organizaciju. Registracija u ESIA na portalu Državne službe je besplatna, procedura je dostupna svim korisnicima interneta. Istovremeno, svaki registrovani učesnik sistema ima pravo u svakom trenutku.

Registracijom osoba dobija lozinku koja se može koristiti za pristup svim državnim stranicama koje učestvuju u programu. Odnosno, sa aktivnom sesijom o javnim uslugama i prelaskom, na primjer, na resurs virtuelne škole povezan sa Jedinstvenim informacionim sistemom, nećete morati da se ponovo identifikujete.

Pored jednokratnog ulaska na državne portale, sistem omogućava i istovremeni izlaz sa njih. Odnosno, na kraju sjednice o državnim službama biće prekinut pristup računima na web stranici Federalne službe za migracije, Penzionog fonda Ruske Federacije, Federalne poreske službe itd.

ESIA pruža mogućnost unosa i samostalnog mijenjanja ličnih podataka vlasnika računa putem Ličnog računa. Autentičnost SNILS broja provjerava se pomoću PFR usluge, ispravnost INN-a se provjerava pomoću Poreske službe, a podaci o pasošu i podaci iz migracionih kartica (za strane državljane) - od strane FMS službe.

Šta daje ESIA?

Registracija u ESIA za pojedinca je prilika za korištenje funkcionalnosti web stranice Državne službe i drugih informativnih usluga povezanih s programom. Ovo otvara velike mogućnosti za vlasnika računa, omogućavajući:

  • izdavati razne dokumente putem interneta, na primjer, pasoš, vozačku dozvolu;
  • zakažite pregled kod doktora putem interneta, birajući pogodan datum i vrijeme za posjetu;
  • stavite dete u red Kindergarten, upisati ga u škole, kružoke i sekcije, letnje kampove;
  • saznati o kaznama i poreznim dugovima;
  • podnošenje zahtjeva za pružanje različitih usluga, na primjer, registracija braka, promjena imena, registracija TIN potvrde;
  • platiti račune za javna komunalna preduzeća, telefon;
  • aplicirati za beneficije i socijalna davanja, primati beneficije;
  • uče o penzijske štednje, provjerite svoj lični račun kod FOJ itd.

Kako postati član sistema?

Kreiranjem naloga na portalu državnih službi korisnik postaje član ESIA. Da biste se prijavili, morate otići na gosuslugi.ru i navesti svoje pravo ime i broj telefona ili e-mail u posebnom obrascu. Podaci moraju biti ažurni, jer će u profil biti potrebno dodati dodatne informacije iz pasoša i lične podatke iz drugih važnih dokumenata (SNILS, TIN).

Da biste dovršili proceduru registracije naloga na ESIA portalu, potrebno je da unesete aktivacijski kod koji je sistem poslao na telefonski broj unet u prethodnom koraku. Druga opcija za aktivaciju vašeg naloga je da potvrdite svoj nalog praćenjem veze u e-poruci koju ste primili e-poštom.

Važno: prilikom registracije korisnik mora imati pristup mobilni telefon ili poštansko sanduče koristi se prilikom kreiranja naloga.

Kako da potvrdim svoj račun?

Nakon što prođe jednostavnu proceduru za kreiranje naloga na web stranici Državne službe, osoba postaje član ESIA sa pojednostavljenim računom. Vrijedi shvatiti šta je to.

Pojednostavljeno računovodstvo daje pravo ulaska na portal i pregleda informacija o razne usluge koji se nalaze na njemu. Međutim, korisnik neće moći primati ove usluge, jer će radnje na stranici biti ograničene.

Vlasnici pojednostavljene evidencije mogu provjeriti dugove i kazne putem interneta i primati upozorenja o njima. Ali svaki korisnik može "podići" svoj račun dodavanjem informacija o sebi.

Navođenjem SNILS broja i podataka o pasošu, vlasnik računa, nakon provjere informacija od strane sistema, dobija standardni račun. Da biste dodijelili status standardnog računa, morat ćete navesti u profilu:

  • vaše puno ime;
  • pol, mjesto rođenja i datum;
  • državljanstvo;
  • serija/broj pasoša ili drugog ličnog dokumenta;
  • SNILS broj.

Važno: strani državljani koji nemaju SNILS brojeve neće moći nadograditi status registracije na standardni.

Standardno računovodstvo vam omogućava da plaćate kazne i račune putem interneta koristeći bankovne kartice i elektronski novčanici, zakažite pregled kod doktora, registrujte zaštitni znak.

Sljedeći korak, koji otvara pristup svim funkcijama stranice, je pribavljanje potvrđenog zapisa. Vlasnici verifikovanog naloga mogu putem interneta izraditi razne dokumente (pasoš, međunarodni pasoš, potvrde, potvrde, itd.), upisati dete u red za vrtić, dobiti pristup ličnim računima itd.

Važno: da biste dobili neke usluge, morate imati elektronski digitalni potpis.

Da biste potvrdili svoj račun, morate se lično pojaviti u MFC-u ili naručiti kod za potvrdu poštom, ili imati. Najpopularnija opcija je lični kontakt sa Multifunkcionalni centar sa pasošem i karticom.

Zaštita ličnih podataka korisnika

Sistem pohranjuje važan lična informacija o registrovanim korisnicima:

  • podaci o pasošu;
  • SNILS broj;

Stoga portal Državne službe mora imati visok nivo sigurnosti. Samo vlasnik ima pristup svim ličnim podacima. Podaci koje prenose u sistem od strane vlasnika naloga pohranjuju se na državnim serverima koji imaju visoka zaštita... Podaci u sistemu se prenose sigurnim kanalima sa visokim nivoom enkripcije.

Zauzvrat, vlasnik naloga mora shvatiti da je lozinka ESIA naloga pristup njegovim ličnim podacima, stoga se ne može otkriti trećim stranama. Vlasnik samostalno bira način pohranjivanja lozinke za ulazak na račun, a svu odgovornost za sigurnost ovih podataka snosi on.

Internet stranica Državne službe pokrenuta je još 2010. godine, ali prvih nekoliko godina na njoj praktično nije bilo aktivnosti. Međutim, danas se portal ubrzano razvija, otvarajući široke mogućnosti za svoje korisnike. Na web stranici Državne službe možete lako i brzo dobiti stotine usluga od općinskog i saveznog značaja. Da biste to učinili, samo trebate popuniti aplikaciju putem interneta i potvrditi operaciju lozinkom ESIA računa. Time se eliminišu redovi, nepotreban stres i dodatni finansijski troškovi.

Jedinstveni sistem identifikacije i autentifikacije ( ESIA) je informacioni sistem u Ruskoj Federaciji koji omogućava autorizovan pristup učesnicima komunikacija(građani podnosioci zahtjeva i zvaničnici izvršne vlasti) na informacije sadržane u dr informacioni sistemi i drugi informacioni sistemi.

ESĐA je lozinka za sve prilike.

Šta je ESĐA?

ESĐA je objedinjeni sistem identifikacije i autentifikacije. Jedna lozinka za pristup svim državnim web stranicama.

Zašto je potrebna ESIA?

Sa ESIA lozinkom, ne morate se svaki put registrovati na svakoj državnoj web stranici.

ESIA je lozinka za sve prilike. Zahvaljujući njemu, možete direktno od kuće koristeći internet:

Zakažite pregled kod ljekara putem interneta

Saznajte više o vašim saobraćajnim kaznama

Prijavite se za registraciju braka

· Platite "komunalni stan"

Registrujte auto

Prijavite se za naknadu za trudnoću

· Prijavite gradski problem i dobijte rješenje za 10 dana

I mnoge druge usluge i usluge putem jednog akreditiva!

Kako su zaštićeni lični podaci? Ko ima pristup njima?

Samo vlasnik lozinke ima pristup ličnim podacima.

Podaci se prenose isključivo sigurnim kanalima sa najvišim nivoom enkripcije

Informacioni sigurnosni sistem je usklađen sa najvišim standardom zaštite podataka K1

Sve informacije se pohranjuju na sigurnim državnim serverima

Šta vam je potrebno za registraciju ESIA?

1. Pasoš i SNILS - za potvrdu identiteta,

2. Broj mobitela- za potvrdu registracije.

Kako da dobijem lozinku?

1. Idite na stranicu za registraciju, unesite svoje prezime, ime i kontakt telefon. Zatim kliknite na dugme "Registracija".

2. Potvrdni kod će biti poslan na vaš telefon. Unesite ga i kliknite na dugme "Potvrdi".

3. Postavite svoju lozinku i kliknite na dugme "Sačuvaj".

4. Prijavite se na ESIA koristeći svoj broj telefona i lozinku.

5. Unesite svoje lične podatke (ne zaboravite navesti srednje ime) i pričekajte potvrdu u roku od pet minuta!

Šta znači "Potvrđeno" i "Nepotvrđeno". Račun?

· nepotvrđena lozinka daje ograničene mogućnosti, kao što je pristup informacijskim uslugama, na primjer, pregled dugova i novčanih kazni.

· Sa sa provjerenom lozinkom možete dobiti bilo koji od 119 elektronskih servisa dostupnih na saveznim i regionalnim portalima javnih servisa i koristiti sve dostupne usluge bez ograničenja.

Top srodni članci

Sigurnosni dodatak za zaključavanje prijave za WordPress - zaštita od hakovanja
Sigurnosni dodatak za zaključavanje prijave za WordPress - zaštita od hakovanja
Burze za pisanje tekstova - kupovina i prodaja artikala
Burze za pisanje tekstova - kupovina i prodaja artikala
Kreirajte prilagođeni obrazac liste koristeći SharePoint Designer
Kreirajte prilagođeni obrazac liste koristeći SharePoint Designer
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.