Kako postaviti pametne telefone i računala. Informativni portal

Jedinstveni identifikacijski sustav. Što je Yesia? Što je

15.04.2019 TV (Smart TV)

V.Shramko

PCWeek/RE br. 45, 2004

Sprječavanje štete povezane s gubitkom povjerljivih informacija pohranjenih na računalima jedan je od najvažnijih zadataka svake tvrtke. Poznato je da je osoblje poduzeća često glavni krivac za te gubitke. Prema istraživanju Instituta za računalnu sigurnost, nenamjerne pogreške zaposlenika čine 55% takve štete, a postupci nepoštenih i uvrijeđenih kolega 10%, odnosno 9%. Ostali gubici povezani su s problemima fizičke zaštite (elementarne nepogode, opskrba strujom) 20%, virusi 4% i vanjski napadi 2%.

Glavni način zaštite informacija od napadača je implementacija takozvanih AAA ili 3A (autentifikacija, autorizacija, administracija) alata. Među fondovima AAA značajno mjesto zauzimaju sustavi hardversko-softverske identifikacije i provjere autentičnosti (IIA) i uređaji za unos identifikacijskih karakteristika (termin odgovara GOST R 51241-98), dizajnirani za zaštitu od neovlaštenog pristupa (UNA) računalima.

Pri korištenju SIA-e zaposlenik dobiva pristup računalu ili korporativnoj mreži tek nakon uspješno provedenog postupka identifikacije i autentifikacije. Identifikacija se sastoji od prepoznavanja korisnika prema identifikacijskom svojstvu koje mu je svojstveno ili mu je dodijeljeno. Provjera identiteta korisnika koju on prezentira provodi se tijekom procesa autentifikacije.

Hardversko-softverska SIA uključuje identifikatore, ulazno-izlazne uređaje (čitače, kontaktne uređaje, adaptere, pouzdane kartice za pokretanje, konektore matična ploča itd.) i odgovarajući softver. Identifikatori su dizajnirani za pohranu jedinstvenih identifikacijskih karakteristika. Osim toga, mogu pohranjivati ​​i obrađivati ​​razne osjetljive podatke. I/O uređaji i softver šalju podatke između identifikatora i zaštićenog računala.

Na svjetskom tržištu sigurnost informacija AAA segment je u stalnom porastu. Taj trend ističu u analitičkim pregledima i prognozama Infonetics Research, IDC, Gartner i druge konzultantske tvrtke.

Naš će se članak usredotočiti na kombinirane sustave identifikacije i provjere autentičnosti. Ovaj izbor je zbog činjenice da trenutno sustavi ove klase pružaju najučinkovitiju zaštitu računala od neovlaštenog pristupa.

Klasifikacija sustava identifikacije i autentifikacije

Suvremeni automatizirani informacijski sustavi, na temelju vrste korištenih identifikacijskih značajki, dijele se na elektroničke, biometrijske i kombinirane (vidi sliku 1).

Slika 1. Klasifikacija SIA prema vrsti identifikacijskih obilježja

U elektroničkim sustavima identifikacijske značajke prikazane su u obliku digitalni kod, pohranjen u memoriji identifikatora. Takve SIA-e razvijaju se na temelju sljedećih identifikatora:

  • kontaktne pametne kartice;
  • beskontaktne pametne kartice;
  • USB ključevi (drugi naziv za USB tokene);
  • iButton ID-ovi.

U biometrijski sustavi ah identifikacijska obilježja su individualne karakteristike osobe, koje se nazivaju biometrijske karakteristike. Identifikacija i autentifikacija ove vrste temelji se na postupku očitavanja predočenog biometrijskog obilježja korisnika i usporedbi s prethodno dobivenim predloškom. Ovisno o vrsti karakteristika koje se koriste, biometrijski sustavi se dijele na statičke i dinamičke.

Statička biometrija (koja se naziva i fiziološka) temelji se na podacima dobivenim mjerenjem anatomskih karakteristika osobe (otisci prstiju, oblik šake, uzorak šarenice, uzorak krvnih žila lica, uzorak mrežnice, crte lica, fragmenti genetskog koda itd.).

Dinamička biometrija (koja se naziva i bihevioralna) temelji se na analizi ljudskih postupaka (parametri glasa, dinamika i oblik potpisa).

Unatoč brojnim biometrijskim karakteristikama, SIA programeri fokusiraju se na tehnologije prepoznavanja otisci prstiju, crte lica, geometrija ruke i iris. Na primjer, prema izvješću International Biometric Group, na globalnom tržištu biometrijske sigurnosti 2004. godine udio sustava za prepoznavanje otiska prsta iznosio je 48%, prepoznavanja lica 12%, geometrije ruke 11%, šarenice 9%, parametara glasa 6% , potpisa 2%. Preostali udio (12%) je međuprogram.

U kombiniranim sustavima za identifikaciju se istovremeno koristi nekoliko identifikacijskih značajki. Takva integracija omogućuje podizanje dodatnih barijera ispred napadača, koje on neće moći prevladati, a ako i može, onda uz značajne poteškoće. Razvoj kombiniranih sustava odvija se u dva smjera:

  • integracija identifikatora unutar sustava jedne klase;
  • integracija sustava različitih klasa.

U prvom slučaju za zaštitu računala od neovlaštenog pristupa koriste se sustavi koji se temelje na beskontaktnim pametnim karticama i USB ključevima, kao i hibridnim (kontaktnim i beskontaktnim) pametnim karticama. U drugom slučaju programeri vješto "križaju" biometrijsku i elektroničku BIA (kasnije u članku takav se konglomerat naziva bioelektronički sustav identifikacije i autentifikacije).

Značajke sustava elektroničke identifikacije i autentifikacije

Elektroničke informacije i informacijski sustavi te analiza njihovih ključnih karakteristika, koja vam omogućuje da napravite izbor u korist jednog ili drugog proizvoda, mogu se pronaći u mojoj recenziji “Računalna sigurnost: Sustavi elektronske identifikacije i autentifikacije” (vidi PC Week/RE, broj 12/2004, str. 18). Dat ću samo glavne značajke elektroničkih automatiziranih informacijskih sustava, čije poznavanje pomaže u razumijevanju strukture i principa rada kombiniranih sustava.

Kombinirani SIA-i mogu uključivati ​​elektroničke kontaktne i beskontaktne pametne kartice i USB ključeve. Glavni element ovih uređaja je jedan ili više ugrađenih integrirani krugovi(čipovi), koji mogu biti memorijski čipovi, hard logički čipovi i mikroprocesori (procesori). Trenutno najveću funkcionalnost i stupanj sigurnosti imaju identifikatori s procesorom.

Osnova čipa mikroprocesorske kontaktne pametne kartice je središnji procesor, specijalizirani kriptografski procesor (opcija), memorija s izravnim pristupom (RAM), memorija samo za čitanje (ROM), trajna programabilna memorija samo za čitanje (PROM), senzor slučajni brojevi, mjerači vremena, serijski komunikacijski port.

RAM se koristi za privremeno pohranjivanje podataka, kao što su rezultati izračuna koje izvodi procesor. Njegov kapacitet je nekoliko kilobajta.

Memorija samo za čitanje pohranjuje upute koje izvršava procesor i druge nepromjenjive podatke. Informacije u ROM-u se zapisuju kada je kartica proizvedena. Kapacitet memorije može biti nekoliko desetaka kilobajta.

Kontaktne pametne kartice koriste dvije vrste PROM memorije: jednom programibilni EPROM i, češće, višestruko programabilni EEPROM. PROM memorija se koristi za pohranu korisničkih podataka koji se mogu čitati, pisati i mijenjati te osjetljivih podataka (kao što su kriptografski ključevi) kojima drugi korisnici ne mogu pristupiti. aplikacijski programi. PROM kapacitet je desetke i stotine kilobajta.

Središnja procesorska jedinica pametne kartice (obično RISC procesor) provodi razne postupke obrade podataka, kontrolira pristup memoriji i nadzire napredak računalnog procesa.

Specijaliziranom procesoru povjerena je provedba različitih postupaka potrebnih za povećanje sigurnosti automatiziranih informacijskih sustava:

  • generiranje kriptografskih ključeva;
  • implementacija kriptografskih algoritama (GOST 28147-89, DES, 3DES, RSA, SHA-1 itd.);
  • obavljanje poslova s ​​elektroničkim digitalnim potpisom (generiranje i provjera);
  • obavljanje operacija s PIN kodom itd.

Beskontaktne pametne kartice dijele se na Proximity identifikatore i pametne kartice temeljene na međunarodnim standardima ISO/IEC 15693 i ISO/IEC 14443. Rad većine SIA-a temeljenih na beskontaktnim pametnim karticama temelji se na tehnologiji radiofrekvencijske identifikacije. Strukturno, radiofrekvencijski identifikatori (vidi tablicu 1) izrađeni su u obliku plastičnih kartica, privjesaka za ključeve, žetona, diskova, oznaka itd.

Tablica 1 Radiofrekvencijski identifikatori

Glavne komponente beskontaktnih pametnih kartica su čip i antena. Unutar ID-ova može biti i litijeva baterija. Identifikatori s baterijom nazivaju se aktivni, a oni bez baterije pasivni. Svaki ID ima jedinstveni 32/64-bitni serijski broj.

Identifikatori blizine rade na 125 kHz. Čip uključuje memorijski čip (ili čip s tvrdom logikom) s pomoćnim blokovima: modulom za programiranje, modulatorom, upravljačkom jedinicom itd. Kapacitet memorije kreće se od 8 do 256 bajtova. Proximity primarno koristi jednokratni programabilni EPROM samo za čitanje, ali dostupan je i EEPROM koji se može prepisivati. Memorija sadrži jedinstveni identifikacijski broj, šifru uređaja i servisne informacije (bitovi parnosti, početni i završni bitovi prijenosa koda itd.).

Tipično, Proximity ID-ovi su pasivni i ne sadrže kemijski izvor energije kao što je litijska baterija. U ovom slučaju, mikrokrug se napaja elektromagnetskim poljem koje emitira čitač. Čitač očitava podatke brzinom od 4 kbit/s na udaljenosti do 1 m.

Sustavi identifikacije i autentifikacije temeljeni na blizini nisu kriptografski sigurni (s iznimkom prilagođenih sustava).

Beskontaktne pametne kartice rade na frekvenciji od 13,56 MHz i podijeljene su u dvije klase koje se temelje na međunarodnim standardima ISO/IEC 15693 i ISO/IEC 14443.

Norma ISO/IEC 14443 uključuje verzije A i B, koje se razlikuju po načinu modulacije emitiranog radijskog signala. Standard podržava razmjenu podataka (čitanje-pisanje) brzinom od 106 kbit/s (brzina se može povećati na 212, 424 ili 848 kbit/s), udaljenost čitanja do 10 cm.

Za implementaciju funkcija šifriranja i provjere autentičnosti u ISO/IEC 14443 identifikatorima mogu se koristiti tri vrste čipova: MIFARE hard logic čip, procesor ili kriptografski procesor. MIFARE tehnologija je razvoj tvrtke Philips Electronics i proširenje je ISO/IEC 14443 (verzija A).

Norma ISO/IEC 15693 povećava domet upotrebe beskontaktnog identifikatora na 1 m. Na toj se udaljenosti razmjena podataka odvija brzinom od 26,6 Kbps.

USB ključevi (vidi tablicu 2) dizajnirani su za rad s USB priključkom računala. Konstrukcijski su izrađeni u obliku privjesaka za ključeve koji se proizvode u kutijama u boji i imaju indikatorska svjetla rade i lako se mogu postaviti na privjesak za ključeve. Svaki ID ima jedinstveni 32/64-bitni serijski broj koji se prikazuje u trenutku proizvodnje.

Tablica 2. Karakteristike USB ključeva

Na ruskom tržištu najpopularniji su sljedeći USB ključevi:

  • iKey 10xx, iKey 20xx, iKey 3000 serija razvijena od strane Rainbow Technologies;
  • eToken R2, eToken Pro tvrtke Aladdin Knowledge Systems;
  • ePass1000, ePass2000 tvrtke Feitian Technologies;
  • ruToken zajednički razvoj tvrtke Aktiv i tvrtke ANKAD.

USB ključevi nasljednici su kontaktnih pametnih kartica. Stoga su strukture USB ključeva i pametnih kartica, kao i volumeni sličnih uređaja za pohranu gotovo identični. USB ključevi mogu uključivati:

  • upravljanje i obrada podataka procesora;
  • implementacija kriptografskog procesora algoritama GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 i drugih kriptografskih transformacija;
  • USB kontroler koji pruža sučelje s USB priključkom računala;
  • RAM pohrana promjenjivih podataka;
  • EEPROM pohrana ključeva za šifriranje, lozinki, certifikata i drugih važnih podataka;
  • ROM pohrana naredbi i konstanti.

Kombinirani sustavi

Uvođenjem kombiniranih informacija o informacijskoj sigurnosti (vidi tablicu 3) u informacijski sigurnosni sustav tvrtke povećava se broj identifikacijskih značajki, čime se omogućuje učinkovitija zaštita računala i korporativne mreže od neovlaštenog pristupa. Osim toga, neke vrste sustava mogu kontrolirati fizički pristup u zgrade i prostore i kontrolirati ih.

Tablica 3 Glavne funkcije kombinirane SIA

Danas na tržištu računalna sigurnost predstaviti kombinirani sustavi identifikacija i autentifikacija sljedećih vrsta:

  • sustavi temeljeni na beskontaktnim pametnim karticama i USB ključevima;
  • sustavi temeljeni na hibridnim pametnim karticama;
  • bioelektronički sustavi.

Beskontaktne pametne kartice i USB ključevi

Hardverska integracija USB ključeva i beskontaktnih pametnih kartica pretpostavlja da su antena i čip koji podržava beskontaktno sučelje ugrađeni u tijelo privjeska. To vam omogućuje korištenje jednog identifikatora za organiziranje kontrole pristupa i računalu i uredskim prostorijama. Za ulazak u poslovni prostor zaposlenik koristi iskaznicu kao beskontaktnu karticu, a prilikom pristupa zaštićenim računalnim podacima kao USB ključ. Osim toga, prilikom izlaska iz sobe skida identifikator s USB konektora (kako bi potom ušao natrag) i time automatski blokira računalo.

Godine 2004. na ruskom su se tržištu pojavila dva kombinirana identifikatora ove vrste:

  • RFiKey razvijen od strane Rainbow Technologies;
  • eToken PRO RM koji je razvio Aladdin Software Security R.D. .

RFiKey (Slika 2) je USB iKey s ugrađenim Proximity čipom koji je razvila HID Corporation.

Slika 2 RFiKey ID

Proizvod RFiKey podržava USB sučelje 1.1/2.0 i radi s čitačima HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) i Ruska tvrtka Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-čitač).

Glavne karakteristike RFiKeya uključuju sljedeće pokazatelje:

  • radna frekvencija Proximity čipa 125 kHz;
  • takt procesora 12 MHz;
  • implementirani kriptografski algoritmi MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
  • podržani standardi PKCS#11, MS Crypto API, PC/SC;
  • datotečni sustav s tri razine pristupa podacima;
  • Podržani operativni sustavi: Windows 95/98/ME/NT4 (SP3)/2000/XP/2003.

eToken RM identifikator je eToken Pro USB ključ s ugrađenim čipom koji podržava beskontaktno sučelje (slika 3). Kupac može izabrati dobavljača i vrstu čipa prema svojim potrebama. Tvrtka trenutno nudi radio čipove koje proizvode HID Corporation, EM Microelectronic-Marin, Philips Electronics (MIFARE tehnologija), Cotag International i Angstrem OJSC.

Slika 3 eToken RM ID

Na primjer, radiofrekventni pasivni identifikator BIM-002 domaće tvrtke Angstrem izrađen je u obliku okrugle oznake. Izgrađen je na temelju mikrosklopa KB5004HK1 koji se temelji na 64-bitnoj EPROM memoriji i jedinici za programiranje koja se koristi za snimanje jedinstvenog identifikacijskog koda.

Glavne karakteristike eToken RM s ugrađenim identifikatorom BIM-002 uključuju sljedeće pokazatelje:

  • radna frekvencija BIM-002 13,56 MHz;
  • raspon čitanja identifikacijskog koda do 30 mm;
  • takt procesora 6 MHz;
  • implementirani kriptografski algoritmi RSA-1024, DES, 3DES, SHA-1;
  • prisutnost hardverskog senzora slučajnih brojeva;
  • podržani standardi PKCS#11, PKCS#15 (CRYPTOKI), MS Crypto API, PC/SC, X.509 v3, SSL v3, S/MIME, IPSec/IKE, GINA, RAS/Radius/PAP/CHAP/PAP;
  • podržani operativni sustavi Windows 98/ME/NT/2000/XP/2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

Na domaćem tržištu procijenjene cijene kombiniranih identifikatora su: RFiKey 1032 od 41$, RFiKey 2032 i RFiKey 3000 od 57$, eToken RM sa 32 KB zaštićene memorije i BIM-002 od 52$.

Razlika između cijene kombiniranog i običnog USB ključa približno odgovara cijeni Proximity pametne kartice. Iz toga slijedi da integracija beskontaktnih pametnih kartica i USB ključeva gotovo da ne dovodi do povećanja troškova hardvera pri prelasku na kombinirani sustav identifikacije i autentifikacije. Dobitak je očit: jedan identifikator umjesto dva.

Hibridne pametne kartice

Hibridne pametne kartice sadrže različite čipove koji nisu međusobno povezani (slika 4). Jedan čip podržava kontaktno sučelje, ostali (Proximity, ISO 14443/15693) beskontaktno. Kao i u slučaju integracije USB ključeva i beskontaktnih pametnih kartica, SIA-e temeljene na hibridnim pametnim karticama rješavaju dvostruki problem: zaštitu od neovlaštenog pristupa računalima i prostorijama tvrtke u kojima se nalaze. Osim toga, na pametnu karticu stavlja se fotografija zaposlenika, koja omogućuje njegovu vizualnu identifikaciju.

Slika 4 Struktura hibridne pametne kartice

Želja za integracijom radiofrekventnih tehnologija bezkontaktnih i kontaktnih pametnih kartica ogleda se u razvoju mnogih tvrtki: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems itd.

Na primjer, HID Corporation, vodeći razvijač SIA-e temeljene na beskontaktnim identifikatorima, izdala je identifikacijske kartice koje kombiniraju razne tehnologije značajke identifikacije čitanja. Rezultat ovih razvoja bio je stvaranje hibridnih pametnih kartica:

  • Smart ISOProx II integracija Proximity čipa i kontaktnog sučelja (opcija);
  • iCLASS integracija ISO/IEC 15693 čipa i kontaktnog sučelja (opcija);
  • iCLASS Prox integracija Proximity čipa, ISO/IEC 15693 čipa i kontaktnog sučelja (opcija).

Na domaćem tržištu cijene ovih proizvoda su: iCLASS od 5,1$; Smart ISOProx II od 5,7 USD; iCLASS Prox od 8,9 dolara.

U Rusiji, Aladdin Software Security R.D. Razvijena je tehnologija za proizvodnju eToken Pro/SC RM hibridnih pametnih kartica. U njima su mikrosklopovi s kontaktnim sučeljem eToken Pro ugrađeni u beskontaktne pametne kartice. Tvrtka nudi pametne kartice raznih proizvođača: Angstrem OJSC (BIM-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (MIFARE tehnologija) i drugi. Izbor opcije kombinacije određuje kupac.

Analiza financijskih troškova pri prelasku na korištenje hibridnih pametnih kartica, kao u slučaju kombinacije beskontaktnih pametnih kartica i USB ključeva, ponovno potvrđuje trijumf principa “dva u jedan”. Ako stavite fotografiju zaposlenika na iskaznicu, onda se ovaj princip pretvara u "tri u jedan".

Bioelektronički sustavi

Kako bi zaštitili računala od neovlaštenog pristupa, biometrijski sustavi se obično kombiniraju s dvije klase elektroničkih SIA - temeljenih na kontaktnim pametnim karticama i temeljenih na USB ključevima.

Integracija sa elektronički sustavi Temeljen na beskontaktnim pametnim karticama, uglavnom se koristi u sustavima kontrole fizičkog pristupa.

Kao što je već spomenuto, tehnologije identifikacije otiska prsta danas su vodeće na tržištu biometrijske sigurnosti. Takvo časno mjesto za uzimanje otisaka prstiju je zbog sljedećih okolnosti:

  • ovo je najstarija i najviše proučavana metoda prepoznavanja;
  • njegov biometrijski znak je stabilan: površina kože na prstu se ne mijenja tijekom vremena;
  • visoke vrijednosti pokazatelja točnosti prepoznavanja (prema programerima sigurnosnih alata otiska prsta, vjerojatnost lažnog odbijanja pristupa je 10-2, a vjerojatnost lažnog pristupa je 10-9);
  • jednostavnost i praktičnost postupka skeniranja;
  • ergonomija i mala veličina uređaja za skeniranje;
  • najviše niska cijena među biometrijskim identifikacijskim sustavima.

S tim u vezi, skeneri otiska prsta postali su najviše korišteni sastavni dio kombinirani SIA koji se koristi za zaštitu računala od neovlaštenog pristupa. Na drugom mjestu po zastupljenosti na tržištu računalne sigurnosti su SIA-e temeljene na kontaktnim pametnim karticama.

Primjer ove vrste integracije su proizvodi Precise 100 MC (Slika 5) i AET60 BioCARDKey (Slika 6) tvrtki Precise Biometrics AB i Advanced Card Systems. Za pristup informacijskim resursima računala pomoću ovih alata, korisnik mora umetnuti pametnu karticu u čitač i staviti prst na skener. Predlošci otisaka prstiju pohranjuju se šifrirani u sigurnoj memoriji pametne kartice. Ako slika otiska prsta odgovara predlošku, pristup računalu je dopušten. Korisnik je vrlo zadovoljan: nema potrebe za pamćenjem lozinke ili PIN koda, postupak prijave je znatno pojednostavljen.

Slika 5 Proizvod Precise 100 MC

Slika 6 Proizvod AET60 BioCARDKey

Proizvodi Precise 100 MC i AET60 BioCARDKey su USB uređaji koji rade u Windows okruženje. Čitači pametnih kartica podržavaju sve vrste mikroprocesorskih kartica koje zadovoljavaju standard ISO 7816-3 (protokoli T=0, T=1). Čitači otisaka prstiju su skeneri kapacitivni tip s brzinama skeniranja od 4 odnosno 14 otisaka prstiju u sekundi za Precise 100 MC i AET60 BioCARDKey.

Za smanjenje broja periferni uređaji, možete integrirati skener otiska prsta i čitač pametnih kartica u USB tipkovnicu zaštićenog računala. Primjeri takvih uređaja su proizvodi KBPC-CID (Slika 7) iz alijanse Fujitsu Siemens Computers, tipkovnica Precise 100 SC (Slika 8) i tipkovnica Precise 100 MC iz Precise Biometrics AB.

Slika 7 Proizvod KBPC-CID

Slika 8 Tipkovnica Product Precise 100 SC

Za pristup računalnim informacijskim resursima, kao u prethodna verzija, korisnik treba staviti pametnu karticu u čitač i staviti prst na skener. Čini se zanimljivim i obećavajućim da su tvorci kombiniranih sigurnosnih sustava odlučili spojiti USB ključ sa sustavom identifikacije otiska prsta (u daljnjem tekstu ćemo takav uređaj zvati USB bioključ). Primjer ovakvog rješenja su bioključevi FingerQuick USB (slika 9) japanske korporacije NTT Electronics i ClearedKey (slika 10) američke tvrtke Priva Technologies.

Slika 9 FingerQuick USB Bio-Dongle

Slika 10 USB bio-ključ ClearedKey

U bliskoj budućnosti bi USB bioključevi mogli postati rašireni zbog svojih prednosti:

  • visoka razina sigurnosti (prisutnost skenera otiska prsta, pohrana tajnih podataka, posebno predložaka otiska prsta, u sigurnoj trajnoj memoriji identifikatora, šifriranje razmjene podataka s računalom);
  • hardverska implementacija kriptografskih transformacija;
  • nedostatak hardverskog čitača;
  • jedinstvenost atributa, mala veličina i jednostavnost pohranjivanja identifikatora.

Glavni nedostatak USB bioključeva je njihova visoka cijena. Na primjer, približna cijena FingerQuicka je 190 USD.

Zaključak

Kombinirani sustavi identifikacije i autentifikacije na prvi pogled izgledaju kao neki skupi, egzotični proizvodi. Ali globalno iskustvo u razvoju računalnih sigurnosnih sustava pokazuje da se svi koriste u trenutno zaštitna oprema također je nekoć bila tako egzotičan proizvod. A sada su norma sigurnog života. Stoga se s velikom vjerojatnošću može reći da slična sudbina čeka i kombinirane sustave.

Osnova svakog sigurnosnog sustava informacijskog sustava je identifikacija i autentifikacija, budući da su svi mehanizmi informacijske sigurnosti dizajnirani za rad s imenovanim AS subjektima i objektima. Podsjetimo se da i korisnici i procesi mogu djelovati kao AS subjekti, a informacije i drugi mogu djelovati kao AS objekti. informacijski resursi sustava.

Dodjela osobnog identifikatora subjektima i pristupnim objektima i njegova usporedba s danom listom naziva se identifikacija. Identifikacija osigurava sljedeće funkcije:

Utvrđivanje vjerodostojnosti i utvrđivanje ovlasti subjekta po njegovom prijemu u sustav,

Kontrola uspostavljenih ovlasti tijekom radne sesije;

Registracija radnji itd.

Autentifikacija (autentifikacija) je provjera vlasništva subjekta pristupa identifikatoru koji je on prezentirao i potvrda njegove autentičnosti. Drugim riječima, provjera autentičnosti je provjera je li povezujući entitet ono za što se predstavlja.

Opći postupak za identifikaciju i autentifikaciju korisnika prilikom pristupa AS-u prikazan je na slici. 2.10. Ako se autentifikacija subjekta uspostavlja tijekom procesa autentifikacije, tada sustav informacijske sigurnosti mora odrediti njegove ovlasti (skup prava). To je potrebno za naknadnu kontrolu i razlikovanje pristupa resursima.

Na temelju kontrolirane komponente sustava metode autentifikacije mogu se podijeliti na autentifikaciju komunikacijskih partnera i autentifikaciju izvora podataka. Autentifikacija komunikacijskih partnera koristi se prilikom uspostavljanja (i povremene provjere) veze tijekom sesije. Služi za sprječavanje prijetnji kao što su maskenbal i ponavljanje prethodne komunikacijske sesije. Autentikacija izvora podataka je potvrda autentičnosti izvora jednog podatka.

Po usmjerenosti autentifikacija može biti jednosmjerna (korisnik svoju autentičnost sustavu dokazuje npr. prijavom u sustav) i dvosmjerna (uzajamna).

Riža. 2.10. Klasični postupak identifikacije i autentifikacije

Obično se metode provjere autentičnosti klasificiraju prema korištenim sredstvima. U ovom slučaju, ove metode su podijeljene u četiri skupine:

1. Na temelju saznanja osobe s pravom pristupa resursima sustava za neki tajni podatak - lozinku.

2. Na temelju upotrebe jedinstvenog predmeta: token, elektronička kartica i tako dalje.

3. Na temelju mjerenja ljudskih biometrijskih parametara - fizioloških ili bihevioralnih svojstava živog organizma.

4. Na temelju informacija povezanih s korisnikom, na primjer, njegove koordinate.

Pogledajmo ove grupe.

1. Najčešće jednostavne i poznate metode provjere autentičnosti temelje se na lozinkama – tajnim identifikatorima subjekata. Ovdje, kada subjekt unese svoju lozinku, podsustav za autentifikaciju je uspoređuje sa lozinkom pohranjenom u šifriranom obliku u referentnoj bazi podataka. Ako se lozinke podudaraju, podsustav provjere autentičnosti dopušta pristup AS resursima.

Metode lozinki treba klasificirati prema stupnju do kojeg se lozinke mogu promijeniti:

Metode koje koriste trajne (višekratno upotrebljive) lozinke

Metode koje koriste jednokratne (dinamički promjenjive) lozinke.

Većina govornika koristi višekratne lozinke. U tom se slučaju korisnička lozinka ne mijenja od sesije do sesije tijekom razdoblja valjanosti koje je postavio administrator sustava. To pojednostavljuje administrativne postupke, ali povećava rizik od ugrožavanja lozinke. Mnogo je poznatih načina za razbijanje lozinke: od virenja preko ramena do presretanja komunikacijske sesije. Vjerojatnost da će napadač otvoriti lozinku povećava se ako lozinka ima semantičko značenje (godina rođenja, ime djevojke), kratka je dužine, upisuje se u jedan registar, nema ograničenja u razdoblju postojanja i sl. Važno je da li je šifra upisana u jedan registar ili ako je šifra vidljiva. lozinku je dopušteno unijeti samo u interaktivnom načinu rada ili mogućnost pristupa iz programa.

U potonjem slučaju, moguće je pokrenuti program za pogađanje lozinki - "drobilicu".

Sigurniji način je korištenje jednokratnih ili dinamički promjenjivih zaporki.

Poznate su sljedeće metode zaštite lozinkom temeljene na jednokratnim lozinkama:

Metode za modificiranje sheme jednostavne lozinke;

Metode zahtjev-odgovor;

Funkcionalne metode.

U prvom slučaju korisnik dobiva popis lozinki. Tijekom autentifikacije sustav traži od korisnika lozinku čiji je broj na popisu određen slučajnim zakonom. Duljina i serijski broj Početni znak lozinke također se može postaviti nasumično.

Pri korištenju metode izazov-odgovor sustav korisniku postavlja neka općenita pitanja na koje točne odgovore zna samo određeni korisnik.

Funkcionalne metode temelje se na korištenju posebne funkcije pretvorbe lozinke. To omogućuje promjenu (prema nekoj formuli) korisničkih lozinki tijekom vremena. Navedena funkcija mora zadovoljiti sljedeće zahtjeve:

Za zadanu lozinku x je lako izračunati Nova lozinka ;

Poznavajući x i y, teško je ili nemoguće odrediti funkciju.

Najpoznatiji primjeri funkcionalnih metoda su: metoda funkcionalne transformacije i metoda rukovanja.

Ideja metode funkcionalne transformacije je periodična promjena sama funkcija. Potonje se postiže prisutnošću u funkcionalnom izrazu dinamički promjenjivih parametara, na primjer, funkcije određenog datuma i vremena. Korisnik je obaviješten o početnoj lozinci, stvarnoj funkciji i učestalosti mijenjanja lozinke. Lako je vidjeti da će korisničke lozinke za zadane vremenske periode biti sljedeće: x, f(x), f(f(x)), ..., f(x)n-1.

Metoda rukovanja je sljedeća. Funkcija konverzije lozinke poznata je samo korisniku i sigurnosnom sustavu. Prilikom ulaska u AS, autentifikacijski podsustav generira slučajni niz x koji se šalje korisniku. Korisnik izračunava rezultat funkcije y=f(x) i vraća ga sustavu. Sustav uspoređuje vlastiti izračunati rezultat s onim dobivenim od korisnika. Ako navedeni rezultati odgovaraju, autentičnost korisnika smatra se dokazanom.

Prednost metode je u tome što je prijenos bilo koje informacije koju bi mogao koristiti napadač sveden na minimum.

U nekim slučajevima, korisnik će možda trebati provjeriti autentičnost drugog udaljenog korisnika ili nekog AS-a kojem će pristupiti. Najprikladnija metoda ovdje je metoda "rukovanja", jer nitko od sudionika razmjena informacija neće primiti nijedan povjerljive informacije.

Imajte na umu da metode provjere autentičnosti temeljene na jednokratnim lozinkama također ne pružaju apsolutnu zaštitu. Na primjer, ako napadač ima mogućnost spojiti se na mrežu i presresti poslane pakete, tada ih može poslati kao svoje.

2. Nedavno su kombinirane metode identifikacije postale raširene, zahtijevajući, osim poznavanja lozinke, prisutnost kartice (tokena) - posebnog uređaja koji potvrđuje autentičnost subjekta.

Kartice se dijele na dvije vrste:

Pasivno (memorijske kartice);

Aktivno (pametne kartice).

Najčešće su pasivne kartice s magnetskom trakom, koje se očitavaju posebnim uređajem koji ima tipkovnicu i procesor. Prilikom korištenja navedene kartice korisnik upisuje svoj identifikacijski broj. Ako odgovara elektroničkoj verziji kodiranoj na kartici, korisnik dobiva pristup sustavu. To vam omogućuje da pouzdano identificirate osobu koja je dobila pristup sustavu i spriječite neovlašteno korištenje kartice od strane napadača (na primjer, ako je izgubljena). Ova metoda se često naziva dvofaktorska autentifikacija.

Ponekad se (obično za fizičku kontrolu pristupa) kartice koriste same, bez potrebe za osobnim identifikacijskim brojem.

Prednost korištenja kartica je u tome što obradu autentifikacijskih informacija obavlja čitač, bez prijenosa u memoriju računala. Time se eliminira mogućnost elektroničkog presretanja putem komunikacijskih kanala.

Nedostaci pasivnih kartica su: znatno su skuplje od lozinki, zahtijevaju posebne uređaje za očitavanje, a njihova uporaba zahtijeva posebne postupke sigurnog obračuna i distribucije. Također ih treba zaštititi od uljeza i, naravno, ne ostavljati ih u uređajima za očitavanje. Poznati su slučajevi krivotvorenja pasivnih kartica.

Osim memorije, pametne kartice imaju i vlastiti mikroprocesor. To vam omogućuje implementaciju razne opcije metode zaštite lozinkom: lozinke za višekratnu upotrebu, lozinke koje se dinamički mijenjaju, redovne metode izazov-odgovor. Sve kartice pružaju dvokomponentnu autentifikaciju.

Ovim prednostima pametnih kartica treba dodati njihovu svestranost. Mogu se koristiti ne samo u sigurnosne svrhe, već i, na primjer, za financijske transakcije. Popratni nedostatak kartica je njihova visoka cijena.

Obećavajući smjer u razvoju kartica je njihovo opremanje PCMCIA (PC Card) standardom za proširenje prijenosnog sustava. Takve kartice su prijenosni PC Card uređaji koji se umeću u utor za PC Card i ne zahtijevaju posebne čitače. Trenutno su prilično skupe.

3. Metode autentifikacije koje se temelje na mjerenju ljudskih biometrijskih parametara (vidi tablicu 2.6) omogućuju gotovo 100% identifikaciju, rješavajući probleme gubitka lozinki i osobnih identifikatora. Međutim, takve se metode ne mogu koristiti za identifikaciju procesa ili podataka (podatkovnih objekata), budući da se tek počinju razvijati (postoje problemi sa standardizacijom i distribucijom) i još uvijek zahtijevaju složenu i skupu opremu. To uvjetuje njihovu dosadašnju primjenu samo na posebno važnim objektima i sustavima.

Primjeri implementacije ovih metoda su sustavi identifikacije korisnika koji se temelje na uzorku šarenice, otisku dlana, obliku uha, infracrvenom uzorku kapilarnih žila, rukopisu, mirisu, boji glasa, pa čak i DNK.

Tablica 2.6

Primjeri biometrijskih metoda

Fiziološke metode

Bihevioralne metode

Uzimanje otisaka prstiju

Skeniranje šarenice

Skeniranje mrežnice

Geometrija ruke

Prepoznavanje crta lica

Analiza rukopisa tipkovnice

Novi smjer je korištenje biometrijskih karakteristika u pametnim platnim karticama, propusnicama i elementima mobilne komunikacije. Primjerice, prilikom plaćanja u dućanu vlasnik kartice stavi prst na skener kako bi potvrdio da je kartica stvarno njegova.

Navedimo najčešće korištene biometrijske atribute i odgovarajuće sustave.

· Otisci prstiju. Takvi skeneri su malih dimenzija, univerzalni i relativno jeftini. Biološka ponovljivost otiska prsta je 10-5%. Trenutno je unaprijeđen Agencije za provođenje zakona zbog velikih izdvajanja u elektroničke arhive otisci prstiju.

· Geometrija ruke. Odgovarajući uređaji koriste se kada je skenere prstiju teško koristiti zbog prljavštine ili ozljede. Biološka ponovljivost geometrije ruke je oko 2%.

· Iris. Ovi uređaji imaju najveću točnost. Teoretska vjerojatnost da se dvije šarenice podudaraju je 1 prema 1078.

· Toplinska slika lica. Sustavi omogućuju identifikaciju osobe na udaljenosti do nekoliko desetaka metara. U kombinaciji s pretraživanjem baze podataka, takvi se sustavi koriste za identifikaciju ovlaštenih zaposlenika i izdvajanje neovlaštenog osoblja. Međutim, skeneri lica imaju relativno visoku stopu pogrešaka pri promjeni osvjetljenja.

· Glas. Glasovna provjera prikladna je za korištenje u telekomunikacijskim aplikacijama. Obavezno za ovaj 16-bitni zvučna kartica a kondenzatorski mikrofon košta manje od 25 USD. Vjerojatnost pogreške je 2 – 5%. Ova je tehnologija prikladna za glasovnu provjeru putem telefonskih komunikacijskih kanala, pouzdanija je u usporedbi s frekvencijskim biranjem osobnog broja. Danas se razvijaju upute za identifikaciju osobe i njenog stanja glasom - uzbuđen, bolestan, govori istinu, nije u sebi itd.

· Unos s tipkovnice. Ovdje se prilikom unosa, primjerice, lozinke prati brzina i razmaci između pritisaka na tipke.

· Potpis. Digitalizatori se koriste za kontrolu rukom pisanih potpisa.

4. Najnoviji smjer u autentifikaciji je dokazivanje autentičnosti udaljenog korisnika njegovom lokacijom. Ovaj zaštitni mehanizam temelji se na korištenju svemirskog navigacijskog sustava kao što je GPS (Global Positioning System). Korisnik s GPS opremom više puta šalje koordinate određenih satelita koji se nalaze u vidnom polju. Podsustav za autentifikaciju, znajući satelitske orbite, može odrediti lokaciju korisnika s točnošću do jednog metra. Visoka pouzdanost autentifikacije određena je činjenicom da su satelitske orbite podložne fluktuacijama koje je prilično teško predvidjeti. Osim toga, koordinate se stalno mijenjaju, što negira mogućnost njihovog presretanja.

GPS oprema je jednostavna i pouzdana za korištenje i relativno jeftina. To omogućuje da se koristi u slučajevima kada ovlašteni udaljeni korisnik mora biti na željenoj lokaciji.

Sumirajući mogućnosti alata za provjeru autentičnosti, oni se mogu klasificirati prema razini informacijske sigurnosti u tri kategorije:

1. Statička provjera autentičnosti;

2. Snažna autentifikacija;

3. Stalna provjera autentičnosti.

Prva kategorija pruža zaštitu samo od neovlaštenog pristupa u sustavima u kojima napadač ne može pročitati podatke za provjeru autentičnosti tijekom radne sesije. Primjer statičnog alata za provjeru autentičnosti su tradicionalne trajne lozinke. Njihova učinkovitost uglavnom ovisi o težini pogađanja lozinki i zapravo o tome koliko su dobro zaštićene.

Kako bi ugrozio statičku autentifikaciju, napadač može špijunirati, pogoditi, pogoditi ili presresti autentifikacijske podatke itd.

Snažna provjera autentičnosti koristi podatke dinamičke provjere autentičnosti koji se mijenjaju sa svakom sesijom. Implementacije jake autentifikacije su sustavi koji koriste jednokratne lozinke i elektronički potpisi. Snažna provjera autentičnosti pruža zaštitu od napada u kojima napadač može presresti podatke za provjeru autentičnosti i pokušati ih upotrijebiti u budućim sesijama.

Međutim, snažna autentifikacija ne pruža zaštitu od aktivnih napada, tijekom kojih maskirani napadač može brzo (tijekom autentifikacijske sesije) presresti, modificirati i umetnuti informacije u preneseni tok podataka.

Trajna provjera autentičnosti osigurava da je svaki blok podataka koji se prenosi identificiran, sprječavajući neovlaštenu modifikaciju ili umetanje. Primjer implementacije ove kategorije autentifikacije je korištenje algoritama za generiranje elektroničkih potpisa za svaki bit prenesene informacije.

Identifikacija i autentifikacija osnova su modernih softverskih i hardverskih sigurnosnih alata, budući da su sve druge usluge uglavnom dizajnirane da služe tim entitetima. Ovi koncepti predstavljaju svojevrsnu prvu liniju obrane koja osigurava prostor organizaciji.

Što je?

Identifikacija i autentifikacija imaju različite funkcije. Prvi daje subjektu (korisniku ili procesu koji djeluje u njegovo ime) mogućnost da da svoje ime. Uz pomoć autentifikacije, druga strana se konačno uvjerava da je subjekt zaista onaj za kojeg se predstavlja. Često se identifikacija i autentifikacija zamjenjuju frazama "prijava imena" i "autentifikacija".

Sami su podijeljeni u nekoliko varijanti. Zatim ćemo pogledati što su identifikacija i autentifikacija i što su.

Ovjera

Ovaj koncept predviđa dvije vrste: jednosmjernu, kada klijent prvo mora dokazati svoju autentičnost poslužitelju, i dvosmjernu, odnosno kada se provodi međusobna potvrda. Standardni primjer način na koji se provodi standardna identifikacija korisnika i autentifikacija je postupak prijave određeni sustav. Tako, različiti tipovi može se koristiti u raznim objektima.

U mrežnom okruženju, kada se identifikacija i autentifikacija korisnika provodi na geografski raspršenim stranama, usluga o kojoj je riječ razlikuje se u dva glavna aspekta:

  • koji djeluje kao autentifikator;
  • Kako je točno organizirana razmjena autentifikacijskih i identifikacijskih podataka i kako je zaštićena.

Kako bi potvrdio svoju autentičnost, subjekt mora prezentirati jedan od sljedećih entiteta:

  • određene informacije koje zna ( osobni broj, lozinka, poseban kriptografski ključ itd.);
  • određena stvar koju posjeduje (osobna kartica ili neki drugi uređaj slične namjene);
  • određenu stvar koja je element njega samog (otiske prstiju, glas i druga biometrijska sredstva identifikacije i autentifikacije korisnika).

Značajke sustava

U otvorenom mrežnom okruženju strane nemaju pouzdanu rutu, što znači da opći slučaj informacije koje prenosi subjekt možda neće u konačnici odgovarati informacijama primljenim i korištenim u autentifikaciji. Potrebno je osigurati sigurnost aktivnog i pasivnog mrežnog slušanja, odnosno zaštitu od ispravljanja, presretanja ili reprodukcije različitih podataka. Mogućnost prijenosa lozinki u čistom tekstu je nezadovoljavajuća, a šifriranje lozinki ne može spasiti situaciju na isti način jer nisu zaštićene od ponovnog reproduciranja. Zbog toga se danas koriste složeniji autentifikacijski protokoli.

Pouzdana identifikacija ima poteškoća ne samo iz različitih razloga, već i iz niza drugih razloga. Prije svega, gotovo svaki autentifikacijski entitet može se ukrasti, krivotvoriti ili pronjuškati. Također postoji određena kontradikcija između pouzdanosti korištenog sustava, s jedne strane, i pogodnosti administratora ili korisnika sustava, s druge strane. Dakle, iz sigurnosnih razloga, potrebno je povremeno potaknuti korisnika da ponovno unese svoje autentifikacijske podatke (budući da neka druga osoba možda već sjedi na njegovom mjestu), a to ne samo da stvara dodatnu gnjavažu, već i značajno povećava mogućnost da taj netko špijunira vaše podatke. Između ostalog, pouzdanost zaštitnog uređaja značajno utječe na njegovu cijenu.

Suvremeni identifikacijski i autentifikacijski sustavi podržavaju koncept jedinstvene prijave na mrežu, čime se primarno zadovoljavaju zahtjevi u smislu pogodnosti korisnika. Ako je standardno korporativna mreža ima mnogo informacijskih usluga koje pružaju mogućnost samostalnog pristupa, onda u tom slučaju ponovni unos osobnih podataka postaje preopterećujući. Na ovaj trenutak Još se ne može reći da se uporaba jedinstvene prijave na mrežu smatra normalnom, budući da se još nisu pojavila dominantna rješenja.

Stoga mnogi pokušavaju pronaći kompromis između pristupačnosti, praktičnosti i pouzdanosti načina na koji se osigurava identifikacija/autentifikacija. Autorizacija korisnika u u ovom slučaju provodi prema individualnim pravilima.

Posebnu pozornost treba obratiti na to da se usluga koja se koristi može odabrati kao cilj napada na dostupnost. Ako se to radi na način da se nakon određenog broja neuspješnih pokušaja blokira mogućnost ulaska, u tom slučaju napadači mogu zaustaviti rad legitimnih korisnika sa samo nekoliko pritisaka na tipku.

Autentikacija lozinke

Glavna prednost takvog sustava je što je izuzetno jednostavan i poznat većini. Lozinke su u upotrebi već dugo vremena operativni sustavi i druge usluge, a kada se pravilno koriste, pružaju razinu sigurnosti koja je sasvim prihvatljiva za većinu organizacija. No, s druge strane, u smislu ukupnog skupa karakteristika, takvi sustavi predstavljaju najslabije sredstvo kojim se može izvršiti identifikacija/autentifikacija. Autorizacija u ovom slučaju postaje prilično jednostavna, jer lozinke moraju biti pamtljive, ali jednostavne kombinacije nije teško pogoditi, pogotovo ako osoba zna preferencije određenog korisnika.

Ponekad se događa da se lozinke, u principu, ne čuvaju u tajnosti, jer imaju sasvim standardna značenja navedena u određenoj dokumentaciji, te se ne mijenjaju uvijek nakon instalacije sustava.

Kada unesete lozinku, možete je vidjeti, au nekim slučajevima ljudi čak koriste specijalizirane optičke instrumente.

Korisnici, primarni subjekti identifikacije i autentifikacije, često mogu podijeliti lozinke s kolegama kako bi mogli Određeno vrijeme promijenjen je vlasnik. U teoriji bi u takvim situacijama najbolje bilo koristiti posebne kontrole pristupa, no u praksi to nitko ne koristi. A ako dvoje ljudi zna lozinku, to uvelike povećava šanse da će drugi na kraju saznati za nju.

Kako to popraviti?

Postoji nekoliko načina na koje se može osigurati identifikacija i autentifikacija. Komponenta obrade informacija može se osigurati na sljedeći način:

  • Nametanje raznih tehničkih ograničenja. Najčešće se postavljaju pravila za duljinu lozinke, kao i sadržaj pojedinih znakova.
  • Upravljanje rokom valjanosti lozinki, odnosno potrebom njihove povremene zamjene.
  • Ograničavanje pristupa glavnoj datoteci zaporke.
  • Ograničenje ukupnog broja neuspjelih pokušaja dostupnih prilikom prijave. Ovo osigurava da napadači trebaju izvršiti samo radnje prije identifikacije i autentifikacije, budući da se gruba sila ne može koristiti.
  • Preliminarna obuka korisnika.
  • Korištenje specijaliziranih softverskih generatora zaporki koji vam omogućuju stvaranje kombinacija koje su milozvučne i prilično nezaboravne.

Sve gore navedene mjere mogu se koristiti u svakom slučaju, čak i ako se uz lozinke koriste i drugi načini provjere autentičnosti.

Jednokratne lozinke

Gore navedene opcije mogu se ponovno koristiti, a ako se kombinacija otkrije, napadač može izvesti određene operacije u ime korisnika. Zbog toga se jednokratne lozinke koriste kao jače sredstvo otporno na mogućnost pasivnog mrežnog prisluškivanja, zahvaljujući kojem sustav identifikacije i autentifikacije postaje mnogo sigurniji, iako ne toliko praktičniji.

Trenutno jedan od najpopularnijih softverskih generatora jednokratne lozinke je sustav pod nazivom S/KEY, koji je objavio Bellcore. Osnovni koncept ovog sustava je da postoji specifična funkcija F, koji je poznat i korisniku i autentifikacijskom poslužitelju. Slijedi tajni ključ K koji je poznat samo određenom korisniku.

Tijekom inicijalne korisničke administracije ova se funkcija primjenjuje na ključ određeni broj puta, nakon čega se rezultat sprema na poslužitelj. Ubuduće će postupak autentifikacije izgledati ovako:

  1. Na korisnički sustav s poslužitelja dolazi broj koji je za 1 manji od broja upotrijebljenih funkcija za ključ.
  2. Korisnik koristi funkciju postojećeg tajnog ključa onoliko puta koliko je postavljeno u prvoj točki, nakon čega se rezultat šalje mrežom izravno autentifikacijskom poslužitelju.
  3. Poslužitelj koristi ovu funkciju za primljenu vrijednost, nakon čega se rezultat uspoređuje s prethodno spremljenom vrijednošću. Ako se rezultati podudaraju, tada je korisnik autentificiran, a poslužitelj sprema novu vrijednost i zatim smanjuje brojač za jedan.

U praksi implementacija ove tehnologije ima nešto složeniju strukturu, ali to u ovom trenutku nije toliko važno. Budući da je funkcija nepovratna, čak ni u slučaju presretanja lozinke ili neovlaštenog pristupa autentifikacijskom poslužitelju, ne daje mogućnost dobivanja tajnog ključa i na bilo koji način predviđanja kako će točno izgledati sljedeća jednokratna lozinka.

U Rusiji se kao jedinstvena usluga koristi poseban državni portal - " jedan sustav identifikacija/autentifikacija" ("ESIA").

Drugi pristup pouzdanom autentifikacijskom sustavu je generiranje nove lozinke u kratkim intervalima, što se također provodi korištenjem specijaliziranih programa ili raznih pametnih kartica. U tom slučaju poslužitelj za autentifikaciju mora prihvatiti odgovarajući algoritam za generiranje lozinke, kao i određene parametre povezane s njim, a osim toga mora postojati i sinkronizacija satova poslužitelja i klijenta.

Kerberos

Poslužitelj za autentifikaciju Kerberos prvi put se pojavio sredinom 90-ih godina prošlog stoljeća, no od tada je već dobio ogroman broj temeljne promjene. Zasad pojedinačne komponente Ovi sustavi prisutni su u gotovo svakom modernom operativnom sustavu.

Glavna svrha ove usluge je riješiti sljedeći problem: postoji određena nezaštićena mreža, a različiti subjekti u obliku korisnika, kao i poslužiteljskih i klijentskih softverskih sustava koncentrirani su u njenim čvorovima. Svaki takav subjekt ima individualni tajni ključ, a da bi subjekt C imao priliku dokazati vlastitu autentičnost subjektu S, bez čega mu jednostavno neće služiti, morat će se ne samo identificirati, već i pokazati da on zna određeni tajni ključ. U isto vrijeme, C nema mogućnost jednostavno poslati svoj tajni ključ S-u, jer je prije svega mreža otvorena, a osim toga S ne zna, i, u principu, ne bi trebao znati. U takvoj situaciji koristi se manje jednostavna tehnologija za dokazivanje znanja o tim informacijama.

Elektronička identifikacija/autentifikacija kroz sustav Kerberos uključuje njegovu upotrebu kao pouzdane treće strane koja ima informacije o tajnim ključevima opsluženih entiteta i, ako je potrebno, pomaže im u izvođenju provjere autentičnosti u paru.

Dakle, klijent prvo šalje sustavu zahtjev koji sadrži potrebne informacije o tome, kao io traženoj usluzi. Nakon toga mu Kerberos daje svojevrsnu kartu, koja je šifrirana tajnim ključem poslužitelja, kao i kopiju nekih podataka iz nje, koji su šifrirani klijentovim ključem. Ako postoji podudarnost, utvrđuje se da je klijent dešifrirao podatke koji su mu bili namijenjeni, odnosno uspio je pokazati da doista zna tajni ključ. To ukazuje da je klijent upravo onakva osoba za koju se predstavlja.

Ovdje treba obratiti posebnu pozornost na činjenicu da se prijenos tajnih ključeva nije vršio preko mreže, već su korišteni isključivo za enkripciju.

Biometrijska autentifikacija

Biometrija uključuje kombinaciju automatizirani alati identifikacija/autentifikacija ljudi na temelju njihovih bihevioralnih ili fizioloških karakteristika. Fizička sredstva autentifikacije i identifikacije uključuju provjeru mrežnice i rožnice očiju, otisaka prstiju, geometrije lica i ruku, kao i drugih osobnih informacija. Karakteristike ponašanja uključuju stil rada s tipkovnicom i dinamiku potpisa. Kombinirane metode predstavljaju analizu razne značajke ljudske glasove, kao i prepoznavanje govora.

Takvi sustavi za identifikaciju/autentifikaciju i enkripciju uobičajeni su u mnogim zemljama diljem svijeta, ali dugo su se uvelike razlikovali. visoka cijena i poteškoće u primjeni. Nedavno je potražnja za biometrijskim proizvodima značajno porasla zbog razvoja e-trgovina, budući da je, s gledišta korisnika, mnogo prikladnije predstaviti se nego zapamtiti neke informacije. Sukladno tome, potražnja stvara ponudu, pa su se na tržištu počeli pojavljivati ​​relativno jeftini proizvodi koji su uglavnom fokusirani na prepoznavanje otisaka prstiju.

U velikoj većini slučajeva biometrija se koristi u kombinaciji s drugim autentifikatorima kao što je Često biometrijska autentifikacija predstavlja samo prvu liniju obrane i djeluje kao sredstvo za aktiviranje pametnih kartica koje uključuju razne kriptografske tajne. Prilikom korištenja ove tehnologije biometrijski predložak sprema se na istu karticu.

Aktivnosti na području biometrije su prilično velike. Već postoji odgovarajući konzorcij, au tijeku je prilično aktivan rad usmjeren na standardizaciju različitih aspekata tehnologije. Danas možete vidjeti mnoge reklamne članke u kojima se predstavljaju biometrijske tehnologije idealan lijek pružajući povećanu sigurnost, au isto vrijeme dostupni široj javnosti.

ESIA

Sustav identifikacije i autentifikacije ("ESIA") je a posebna služba, stvoren kako bi se osigurala provedba različitih zadataka vezanih uz provjeru vjerodostojnosti podnositelja zahtjeva i sudionika međuresorne interakcije u slučaju pružanja bilo kojeg općinskog ili javne službe u elektroničkom obliku.

Kako bi se dobio pristup „Jedinstvenom portalu državnih struktura“, kao i svim drugim informacijskim sustavima infrastrukture postojeće e-uprava, prvo ćete morati registrirati račun i, kao rezultat toga, primiti PEP.

Razine

Portal nudi tri glavne razine računa za pojedince:

  • Pojednostavljeno. Za registraciju je potrebno samo navesti svoje prezime i ime, kao i određeni komunikacijski kanal u obliku e-mail adrese ili mobitela. Ovo je primarna razina, preko koje osoba ima pristup samo ograničenom popisu raznih državnih usluga, kao i mogućnostima postojećih informacijskih sustava.
  • Standard. Da biste ga primili, prvo se trebate registrirati za pojednostavljeni račun, a zatim dati dodatne podatke, uključujući podatke iz putovnice i broj osobnog računa osiguranja. Navedeni podaci automatski se provjeravaju putem informacijskih sustava mirovinskog fonda, kao i Federalne službe za migracije, a ako je provjera uspješna, račun se prebacuje na standardna razina, koji korisniku otvara prošireni popis državnih usluga.
  • Potvrđeno. Za dobivanje ove razine računa jedinstveni sustav identifikacije i autentifikacije zahtijeva od korisnika standardni račun, kao i dokaz identiteta koji se obavlja osobnim posjetom ovlaštenoj servisnoj poslovnici ili dobivanjem aktivacijskog koda putem naručeno pismo. Ako je provjera identiteta uspješna, račun će biti prebačen na nova razina, a korisnik će imati pristup cijelom popisu potrebnih državnih usluga.

Unatoč činjenici da se postupci mogu činiti prilično kompliciranima, zapravo se možete upoznati s potpunim popisom potrebnih podataka izravno na službenoj web stranici, tako da je potpuna registracija sasvim moguća u roku od nekoliko dana.

Stvaranjem računa na službenoj web stranici gosuslugi.ru, osoba istovremeno postaje korisnik ESIA. Ova kratica označava Unified Identification and Authentication System. U biti, ovo je pristupni ključ koji je prikladan za sve resurse koji pružaju federalne i općinske usluge. Koje su prednosti ovog sustava i kako se registrirati u Jedinstveni sustav identifikacije i autorizacije putem portala državnih službi, raspravljat ćemo u ovom članku.

Što je ESIA?

Prije svega, vrijedi reći da je ESIA sustav za čije funkcioniranje je odgovorno Ministarstvo telekomunikacija i masovnih komunikacija Rusije. Svaki pojedinac može postati sudionikom sustava entitet ili organizacije. Registracija u ESIA na portalu državnih službi je besplatna, postupak je dostupan svim korisnicima interneta. Istovremeno, svaki registrirani sudionik u sustavu ima pravo u bilo kojem trenutku.

Nakon registracije, osoba dobiva lozinku koja se može koristiti za pristup svim vladinim web stranicama koje sudjeluju u programu. To jest, ako imate aktivnu sesiju na Državnim službama i prebacite se, na primjer, na resurs Virtualne škole povezan s Jedinstvenim sustavom samoidentifikacije, nećete se morati ponovno identificirati.

Osim jedinstvenog ulaska na državne portale, sustav omogućuje i istovremeni izlazak s njih. Odnosno, nakon završetka sesije o državnim službama, prekinut će se pristup računima na web stranici Savezne službe za migracije, Mirovinskog fonda Ruske Federacije, Savezne porezne službe itd.

ESIA pruža mogućnost unosa i samostalne izmjene osobnih podataka vlasnika računa kroz Osobni račun. Autentičnost SNILS broja provjerava se pomoću usluge Mirovinskog fonda, ispravnost TIN-a - pomoću usluge Porezne službe, a podaci o putovnici i podaci iz migracijskih kartica (za strane državljane) - usluga FMS.

Što daje ESIA?

Registracija u ESIA za pojedinca je prilika za korištenje funkcionalnosti web stranice državnih službi i drugih informacijskih usluga povezanih s programom. To otvara široke mogućnosti za vlasnika računa, omogućujući:

  • izdati razne dokumente putem interneta, na primjer, putovnicu, vozačku dozvolu;
  • dogovorite sastanak s liječnikom putem interneta, odabirom prikladnog datuma i vremena za posjet;
  • staviti dijete na listu čekanja Dječji vrtić, upisati ga u školu, klubove i sekcije, ljetne kampove;
  • naučiti o kaznama i poreznim dugovima;
  • podnijeti zahtjeve za pružanje raznih usluga, na primjer, registraciju braka, promjenu prezimena, registraciju potvrde o TIN-u;
  • platiti račune za komunalne usluge, telefon;
  • podnijeti zahtjev za beneficije i socijalne isplate, primati beneficije;
  • upoznavanje mirovinska štednja, provjerite svoj osobni račun u mirovinskom fondu itd.

Kako postati članom sustava?

Stvaranjem računa na portalu državnih službi korisnik postaje sudionikom Jedinstvene identifikacije i autonomne autorizacije. Da biste se prijavili, morate otići na gosuslugi.ru i navesti svoje pravo ime i telefonski broj ili e-poštu u posebnom obrascu. Podaci moraju biti ažurni, budući da ćete dalje morati dodati podatke iz svoje putovnice i osobne podatke iz drugih važnih dokumenata (SNILS, INN) na svoj profil.

Za dovršetak postupka registracije računa na portalu ESIA potrebno je unijeti aktivacijski kod koji vam je sustav poslao na telefonski broj unesen u prethodnom koraku. Druga opcija za aktivaciju vašeg računa je da potvrdite svoj račun klikom na poveznicu u e-poruci koju ste primili e-poštom.

Važno: tijekom registracije korisnik mora imati pristup mobitel ili poštanski sandučić, koji se koristi prilikom kreiranja računa.

Kako mogu potvrditi svoj račun?

Nakon prolaska kroz jednostavnu proceduru za kreiranje računa na web stranici Državne službe, osoba postaje sudionikom Unified Identification and Autonomous Activity (USIA) s pojednostavljenim računom. Vrijedno je otkriti što je to.

Pojednostavljeno računovodstvo daje pravo ulaska na portal i pregledavanja informacija o razne usluge, koji su navedeni na njemu. Međutim, korisnik neće moći primati te usluge jer će radnje na stranici biti ograničene.

Vlasnici pojednostavljene evidencije mogu online provjeriti dugovanja i kazne te primati upozorenja o njima. Ali svaki korisnik može "podići" svoj račun dodavanjem podataka o sebi.

Nakon što je naveo SNILS broj i podatke o putovnici, vlasnik računa, nakon provjere podataka od strane sustava, dobiva standardni račun. Da biste dodijelili status standardnog računa, morat ćete navesti u svom profilu:

  • tvoje puno ime;
  • spol, mjesto rođenja i datum;
  • državljanstvo;
  • serija/broj putovnice ili druge osobne isprave;
  • SNILS broj.

Važno: strani državljani koji nemaju SNILS broj neće moći nadograditi svoj status računa na standardni.

Standardno računovodstvo omogućuje vam plaćanje kazni i računa putem interneta bankovnim karticama i elektronički novčanici, dogovorite termin kod liječnika, registrirajte zaštitni znak.

Sljedeći korak, koji otvara pristup svim funkcijama stranice, je primanje potvrđenog unosa. Vlasnici potvrđenog računa mogu putem interneta izdati razne dokumente (putovnicu, međunarodnu putovnicu, potvrde, potvrde itd.), upisati dijete u red za vrtić, dobiti pristup osobnim računima itd.

Važno: za primanje nekih usluga morate imati elektronički digitalni potpis.

Da biste potvrdili svoj račun, morate osobno doći u MFC ili naručiti kod za potvrdu poštanskim pismom, ili imati . Najpopularnija opcija je osobni kontakt Multifunkcionalni centar s putovnicom i karticom.

Zaštita osobnih podataka korisnika

Sustav pohranjuje važne osobne informacije o registriranim korisnicima:

  • podaci o putovnici;
  • SNILS broj;

Stoga portal državnih službi mora imati visoku razinu sigurnosti. Samo njegov vlasnik ima pristup svim osobnim podacima. Podaci koje vlasnici računa prenose u sustav pohranjuju se na vladinim poslužiteljima koji imaju visoka zaštita. Podaci u sustavu prenose se sigurnim kanalima s visokom razinom enkripcije.

Zauzvrat, vlasnik računa mora razumjeti da je lozinka računa ESIA pristup njegovim osobnim podacima, tako da se ne može otkriti trećim stranama. Vlasnik samostalno odabire način pohranjivanja lozinke za prijavu na račun, a sva odgovornost za sigurnost tih podataka leži na njemu.

Web stranica Državnih službi pokrenuta je još 2010., ali prvih nekoliko godina na njoj nije bilo praktički nikakvih aktivnosti. Međutim, danas se portal brzo razvija, otvarajući široke mogućnosti za svoje korisnike. Na web stranici državnih službi možete jednostavno i brzo dobiti stotine usluga od općinskog i federalnog značaja. Da biste to učinili, samo trebate ispuniti prijavu putem interneta i potvrditi radnju lozinkom za ESIA račun. Time se eliminiraju čekanja u redu, nepotreban stres i dodatni financijski izdaci.

Unificirani sustav identifikacije i autentifikacije ( ESIA) - informacijski sustav u Ruskoj Federaciji koji omogućuje ovlašteni pristup sudionicima informacijska interakcija(podnositelji zahtjeva građana i dužnosnici izvršne vlasti) na informacije sadržane u drž informacijski sustavi i drugi informacijski sustavi.

ESẐA je lozinka za sve prilike.

Što je ESẐA?

ESẐA je Unified Identification and Authentication System. Jedna lozinka za pristup svim vladinim web stranicama.

Zašto vam je potreban ESIA?

S ESIA lozinkom ne morate se svaki put registrirati na svakoj vladinoj web stranici.

ESIA - lozinka za sve prilike. Zahvaljujući njemu, izravno od kuće koristeći Internet možete:

· Zakažite termin kod liječnika putem interneta

· Saznajte više o kaznama prometne policije

· Prijavite se za registraciju braka

· Plaćanje režija

· Registrirajte svoj automobil

· Prijavite se za rodiljne naknade

· Prijavite gradski problem i dobijte rješenje u roku od 10 dana

I mnoge druge usluge putem pojedinačnih vjerodajnica!

Kako se štite osobni podaci? Tko ima pristup njima?

Samo vlasnik lozinke ima pristup osobnim podacima.

· podaci se prenose isključivo putem sigurnih kanala s najvišom razinom enkripcije

· sustav informacijske sigurnosti zadovoljava najviši standard zaštite podataka K1

· sve informacije pohranjuju se na sigurnim državnim poslužiteljima

Što je potrebno za registraciju ESIA?

1. Putovnica i SNILS - za potvrdu identiteta,

2. Broj mobitela– za potvrdu registracije.

Kako doći do lozinke?

1. Idite na stranicu za registraciju, navedite svoje Prezime, Ime i kontakt telefon. Zatim kliknite gumb "Registracija".

2. Potvrdni kod bit će poslan na vaš telefon. Unesite ga i kliknite gumb "Potvrdi".

3. Postavite lozinku i kliknite na gumb "Spremi".

4. Prijavite se na ESIA koristeći svoj telefonski broj i lozinku.

5. Unesite svoje osobne podatke (ne zaboravite navesti srednje ime) i pričekajte potvrdu u roku od pet minuta!

Što znači "Potvrđeno" i "Nepotvrđeno"? Račun?

· neprovjerena lozinka daje ograničene mogućnosti, kao što je pristup informacijskim uslugama, na primjer, pregled dugova i kazni.

· Sa potvrđena lozinka možete dobiti bilo koju od 119 elektroničkih usluga dostupnih na portalima državnih i regionalnih službi te koristiti sve dostupne usluge bez ograničenja.

Najbolji članci na temu

Prvi pogled na Motorola Z2 Play – vodeći model tvrtke
Prvi pogled na Motorola Z2 Play – vodeći model tvrtke
Video monitori i video adapteri Kako radi LCD monitor
Video monitori i video adapteri Kako radi LCD monitor
OnLive - usluga igranja u oblacima
OnLive - usluga igranja u oblacima
Kategorije:
© 2024 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.