Cum se configurează smartphone-uri și PC-uri. Portal informativ

Sistem unificat de identificare. Ce este esia? Ce este

15.04.2019 Televizoare (Smart TV)

V.Shramko

PCWeek / RE Nr. 45, 2004

Prevenirea daunelor asociate cu pierderea informațiilor confidențiale stocate pe computere este una dintre cele mai importante sarcini pentru orice companie. Se știe că personalul întreprinderii este adesea principalul vinovat al acestor pierderi. Potrivit unui studiu al Institutului de Securitate Informatică, erorile neintenționate ale angajaților reprezintă 55% din aceste daune, iar acțiunile colegilor necinstiți și resentimente - 10%, respectiv 9%. Restul pierderilor sunt asociate cu probleme de protecție fizică (dezastre naturale, alimentare cu energie) - 20%, viruși - 4% și atacuri externe- 2%.

Principala modalitate de a proteja informațiile de intruși este introducerea așa-numitelor instrumente AAA, sau 3A (autentificare, autorizare, administrare). Printre fondurile AAA loc semnificativ ocupă sisteme hardware și software de identificare și autentificare (SIA) și dispozitive pentru introducerea semnelor de identificare (termenul corespunde GOST R 51241-98), concepute pentru a proteja împotriva accesului neautorizat (NSD) la computere.

Când folosește SIA, un angajat are acces la un computer sau la o rețea corporativă numai după ce a trecut cu succes procedura de identificare și autentificare. Identificarea constă în recunoașterea unui utilizator printr-o caracteristică de identificare inerentă sau atribuită. Verificarea apartenenței utilizatorului a semnului de identificare prezentat acestuia se realizează în timpul procesului de autentificare.

SIA hardware și software include identificatori, dispozitive de intrare-ieșire (cititoare, dispozitive de contact, adaptoare, carduri de boot de încredere, conectori placa de bazași altele) și software-ul corespunzător. Identificatorii sunt proiectați pentru a stoca identificatori unici. În plus, pot stoca și procesa o varietate de date sensibile. Dispozitivele de intrare-ieșire și software-ul transferă date între identificator și computerul protejat.

Pe piata mondiala securitatea informatiei segmentul AAA este în continuă creștere. Această tendință este evidențiată în recenziile și prognozele analitice de la Infonetics Research, IDC, Gartner și alte companii de consultanță.

Acest articol se va concentra pe sistemele combinate de identificare și autentificare. Această alegere se datorează faptului că în prezent sistemele din această clasă oferă cea mai eficientă protecție a computerelor împotriva falsificării.

Clasificarea sistemelor de identificare și autentificare

SIA moderne, în funcție de tipul de semne de identificare utilizate, sunt împărțite în electronice, biometrice și combinate (vezi Fig. 1).

Figura 1 - Clasificarea SIA după tipul semnelor de identificare

În sistemele electronice, semnele de identificare sunt reprezentate în formular cod digital stocate în memoria identificatorului. Astfel de SIA sunt dezvoltate pe baza următorilor identificatori:

  • carduri inteligente de contact;
  • carduri inteligente fără contact;
  • chei USB (cunoscute și ca jetoane USB);
  • Identificatori iButton.

V sisteme biometrice ah, caracteristicile de identificare sunt caracteristici individuale ale unei persoane, numite caracteristici biometrice. Identificarea și autentificarea acestui tip se bazează pe procedura de citire a caracteristicii biometrice prezentate a utilizatorului și compararea acesteia cu un șablon obținut anterior. În funcție de tipul de caracteristici utilizate, sistemele biometrice sunt împărțite în statice și dinamice.

Biometria statică (numită și fiziologică) se bazează pe datele obținute din măsurători ale caracteristicilor anatomice ale unei persoane (amprentele digitale, forma mâinii, modelul irisului, diagrama vaselor de sânge faciale, modelul retinian, trăsăturile faciale, fragmentele codului genetic etc.).

Biometria dinamică (numită și biometrie comportamentală) se bazează pe analiza acțiunilor umane (parametrii vocii, dinamica și forma semnăturii).

În ciuda multitudinii de caracteristici biometrice, dezvoltatorii SIA se concentrează pe tehnologiile de recunoaștere prin amprenta, trăsături faciale, geometria mâinii și irisului. Deci, de exemplu, conform raportului International Biometric Group, pe piața mondială de securitate biometrică în 2004, ponderea sistemelor de recunoaștere a amprentelor digitale a fost de 48%, trăsăturile faciale - 12%, geometria mâinii - 11%, iris - 9%, parametri vocali - 6%, semnături - 2%. Cota rămasă (12%) este legată de middleware.

În sistemele combinate, mai multe semne de identificare sunt utilizate simultan pentru identificare. O astfel de integrare permite atacatorului să ridice bariere suplimentare pe care nu le poate depăși și, dacă poate, atunci cu dificultăți semnificative. Dezvoltarea sistemelor combinate se realizează în două direcții:

  • integrarea identificatorilor într-un sistem dintr-o clasă;
  • integrarea sistemelor de diferite clase.

În primul caz, sistemele bazate pe carduri inteligente fără contact și chei USB, precum și carduri inteligente hibride (de contact și fără contact) sunt folosite pentru a proteja computerele de manipulare. În al doilea caz, dezvoltatorii „încrucișează” cu pricepere SIA-urile biometrice și electronice (în continuare, în articol, un astfel de conglomerat se numește sistem de identificare și autentificare bioelectronic).

Caracteristici ale sistemelor electronice de identificare și autentificare

SIA electronice și o analiză a caracteristicilor lor cheie, permițându-vă să faceți o alegere în favoarea unuia sau a altuia produs, pot fi găsite în recenzia mea „Protecția computerului: sisteme electronice de identificare și autentificare” (vezi PC Week / RE, Nr. 12 /2004, p. 18). Voi oferi doar principalele caracteristici ale SIA electronice, cunoașterea cărora ajută la înțelegerea structurii și principiului de funcționare a sistemelor combinate.

SIA combinată poate include carduri inteligente de contact și fără contact și chei USB. Elementul principal al acestor dispozitive este unul sau mai multe încorporate circuite integrate(cipuri), care pot fi cipuri de memorie, cipuri cu logică dură și microprocesoare (procesoare). În prezent, identificatorii cu procesor au cea mai mare funcționalitate și grad de securitate.

Cipul cardului inteligent de contact al microprocesorului se bazează pe un procesor central, un procesor criptografic specializat (opțional), memorie cu acces aleatoriu (RAM), memorie doar în citire (ROM), memorie programabilă doar în citire (PROM), un senzor numere aleatorii, temporizatoare, port de comunicare serial.

Memoria cu acces aleatoriu este folosită pentru stocarea temporară a datelor, de exemplu, rezultatele calculelor efectuate de procesor. Capacitatea sa este de câțiva kiloocteți.

Memoria permanentă stochează instrucțiunile executate de procesor și alte date nevolatile. Informațiile din ROM sunt înregistrate în momentul producerii cardului. Capacitatea memoriei poate fi de zeci de kilobytes.

Există două tipuri de PROM-uri utilizate în cardurile inteligente de contact: EPROM-uri programabile unice și cele mai frecvent întâlnite EEPROM-uri reprogramabile. PROM este folosit pentru a stoca date de utilizator care pot fi citite, scrise și modificate și date confidențiale (de exemplu, chei criptografice) care nu sunt accesibile pentru programe de aplicație... Capacitatea PROM este de zeci și sute de kilobytes.

Unitatea centrală de procesare a unui card inteligent (de obicei un procesor RISC) asigură implementarea diferitelor proceduri de prelucrare a datelor, controlul accesului la memorie și controlul execuției procesului de calcul.

Un procesator specializat este responsabil pentru implementarea diferitelor proceduri necesare pentru a crește securitatea SIA:

  • generarea de chei criptografice;
  • implementarea algoritmilor criptografici (GOST 28147-89, DES, 3DES, RSA, SHA-1 etc.);
  • efectuarea de operațiuni cu semnătură digitală electronică (generare și verificare);
  • efectuarea de operații cu un cod PIN etc.

Cardurile inteligente fără contact sunt împărțite în identificatori de proximitate și carduri inteligente bazate pe standardele internaționale ISO / IEC 15693 și ISO / IEC 14443. Majoritatea SIA-urilor bazate pe carduri inteligente fără contact se bazează pe tehnologia de identificare prin frecvență radio. Din punct de vedere structural, identificatorii de frecvență radio (vezi Tabelul 1) sunt fabricați sub formă de carduri de plastic, brelocuri, jetoane, discuri, etichete etc.

Tabelul 1 - Identificatori de frecvență radio

Principalele componente ale cardurilor inteligente fără contact sunt cipul și antena. În interiorul identificatorilor poate exista și o baterie cu litiu. Identificatorii cu baterie sunt numiți activi, fără baterie - pasivi. Fiecare identificator are un număr de serie unic de 32/64 de biți.

Identificatorii de proximitate funcționează la 125 kHz. Cipul include un microcircuit de memorie (sau un microcircuit hard logic) cu unități auxiliare: modul de programare, modulator, unitate de control etc. Capacitatea memoriei variază de la 8 la 256 de octeți. Proximity folosește în principal EPROM programabil unic pentru citire, dar există și un EEPROM reinscriptibil. Memoria conține un număr unic de identificare, cod de dispozitiv și informații de serviciu (biți de paritate, biți de început și sfârșit de transmisie a codului etc.).

De obicei, ID-urile de proximitate sunt pasive și nu conțin o sursă de energie chimică - o baterie cu litiu. În acest caz, microcircuitul este alimentat de un câmp electromagnetic emis de cititor. Cititorul citește datele la o viteză de 4 kbps la o distanță de până la 1 m.

Sistemele de identificare și autentificare bazate pe proximitate nu sunt sigure criptografic (cu excepția sistemelor personalizate).

Cardurile inteligente fără contact funcționează la 13,56 MHz și sunt împărțite în două clase pe baza standardelor internaționale ISO / IEC 15693 și ISO / IEC 14443.

Standardul ISO / IEC 14443 include versiunile A și B, care diferă prin modul în care este modulat semnalul radio transmis. Standardul acceptă schimbul de date (citire-scriere) la o viteză de 106 kbps (viteza poate fi mărită la 212, 424 sau 848 kbps), distanța de citire este de până la 10 cm.

Pentru implementarea funcțiilor de criptare și autentificare în identificatorii standardului ISO / IEC 14443, pot fi utilizate trei tipuri de cipuri: un microcircuit cu logică MIFARE rigidă, un procesor sau un procesor criptografic. Tehnologia MIFARE este o dezvoltare a Philips Electronics și este o extensie a ISO / IEC 14443 (reviziunea A).

Standardul ISO / IEC 15693 extinde raza de acțiune a identificatorului fără contact la 1 m. La această distanță, schimbul de date se realizează la o viteză de 26,6 kbps.

Cheile USB (vezi Tabelul 2) sunt concepute pentru a funcționa cu un port USB de pe un computer. Ele sunt fabricate structural sub formă de brelocuri, care sunt produse în carcase colorate, au lumini indicatoare funcționează și sunt ușor de așezat pe o grămadă de chei. Fiecare identificator are un număr de serie unic pe 32/64 de biți, flashat din fabrică.

Tabelul 2 - Caracteristicile cheilor USB

Următoarele chei USB sunt cele mai populare pe piața rusă:

  • iKey 10xx, iKey 20xx, seria iKey 3000 - dezvoltat de Rainbow Technologies;
  • eToken R2, eToken Pro de la Aladdin Knowledge Systems;
  • ePass1000, ePass2000 de la Feitian Technologies;
  • ruToken este o dezvoltare comună a companiei Aktiv și a companiei ANKAD.

Donglele USB sunt succesorii cardurilor inteligente de contact. Prin urmare, structurile cheilor USB și cardurilor inteligente, precum și volumele dispozitivelor de stocare similare, sunt practic identice. Cheile USB pot include:

  • procesor - control și prelucrare de date;
  • procesor criptografic - implementarea algoritmilor GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 și alte transformări criptografice;
  • Controler USB - oferind o interfață cu un port USB pentru computer;
  • RAM - stocarea datelor variabile;
  • EEPROM - stocarea cheilor de criptare, parolelor, certificatelor și a altor date importante;
  • ROM - stocarea comenzilor și a constantelor.

Sisteme combinate

Introducerea SIA combinată (vezi Tabelul 3) în sistemul de securitate a informațiilor al companiei crește numărul de caracteristici de identificare, făcând astfel posibilă protejarea mai eficientă a computerelor și a rețelei corporative de atacuri neautorizate. În plus, unele tipuri de sisteme sunt capabile să controleze acces fizic in cladiri si incinte si controleaza-l.

Tabelul 3 - Funcțiile principale ale SIA combinate

Pe piață astăzi Securitatea calculatorului prezent sisteme combinate identificarea și autentificarea următoarelor tipuri:

  • sisteme bazate pe carduri inteligente fără contact și chei USB;
  • sisteme bazate pe carduri inteligente hibride;
  • sisteme bioelectronice.

Carduri inteligente fără contact și dongle USB

Integrarea hardware a dongle-urilor USB și a cardurilor inteligente fără contact implică faptul că o antenă și un microcircuit care suportă o interfață fără contact sunt încorporate în corpul cheii. Acest lucru permite utilizarea unui singur identificator pentru a organiza controlul accesului atât la computer, cât și la sediul biroului. Pentru a intra in birou, angajatul isi foloseste identificatorul ca pe o cartela contactless, iar la accesarea datelor protejate de calculator, ca pe o cheie USB. În plus, la ieșirea din cameră, extrage identificatorul din conectorul USB (pentru a putea intra înapoi mai târziu) și astfel blochează automat funcționarea computerului.

În 2004, pe piața rusă au apărut doi identificatori combinați de acest tip:

  • RFiKey - dezvoltat de Rainbow Technologies;
  • eToken PRO RM - dezvoltat de Aladdin Software Security R.D. ...

RFiKey (Figura 2) este o iKey USB cu un cip de proximitate încorporat dezvoltat de HID Corporation.

Figura 2 - Identificator RFiKey

Produsul RFiKey acceptă interfata USB 1.1 / 2.0 și funcționează cu cititoare HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) și firma ruseasca Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader).

Principalele caracteristici ale RFiKey includ următorii indicatori:

  • frecvența de funcționare a microcircuitului de proximitate - 125 kHz;
  • viteza procesorului - 12 MHz;
  • algoritmi criptografici implementati - MD5, RSA-1024, DES, 3DES, RC2, RC4, RC5;
  • standarde acceptate - PKCS # 11, MS Crypto API, PC / SC;
  • sistem de fișiere cu trei niveluri de acces la date;
  • Sisteme de operare acceptate - Windows 95/98 / ME / NT4 (SP3) / 2000 / XP / 2003.

Identificatorul eToken RM este un dongle USB eToken Pro cu un cip încorporat care acceptă o interfață fără contact (Fig. 3). Clientul poate alege furnizorul și tipul de microcircuit în funcție de nevoile sale. În prezent, compania oferă cipuri radio produse de HID Corporation, EM Microelectronic-Marin, Philips Electronics (tehnologie MIFARE), Cotag International și JSC Angstrem.

Figura 3 - identificatorul eToken RM

De exemplu, identificatorul pasiv de frecvență radio BIM-002 al companiei interne „Angstrem” este realizat sub forma unui semn rotund. Este construit pe baza microcircuitului KB5004XK1, care se bazează pe o memorie EPROM de 64 de biți și o unitate de programare folosită pentru a scrie un cod unic de identificare.

Principalele caracteristici ale eToken RM cu un identificator BIM-002 încorporat includ următorii indicatori:

  • frecvența de funcționare a BIM-002 - 13,56 MHz;
  • interval de citire cod de identificare - până la 30 mm;
  • viteza procesorului - 6 MHz;
  • algoritmi criptografici implementati - RSA-1024, DES, 3DES, SHA-1;
  • prezența unui generator hardware de numere aleatoare;
  • standarde acceptate - PKCS # 11, PKCS # 15 (CRYPTOKI), MS Crypto API, PC / SC, X.509 v3, SSL v3, S / MIME, IPSec / IKE, GINA, RAS / Radius / PAP / CHAP / PAP;
  • Sisteme de operare acceptate - Windows 98 / ME / NT / 2000 / XP / 2003, ASP Linux 7.2, Red Hat Linux 8.0, SuSe Linux 8.2.

Pe piața internă, prețurile estimate pentru identificatorii combinați sunt: ​​RFiKey 1032 - de la 41 USD, RFiKey 2032 și RFiKey 3000 - de la 57 USD, eToken RM cu 32 KB de memorie protejată și BIM-002 - de la 52 USD.

Diferența dintre costul unui dongle USB combinat și obișnuit este aproximativ aceeași cu prețul unui smart card Proximity. Rezultă că integrarea cardurilor inteligente fără contact și a cheilor USB nu duce la aproape nicio creștere a costurilor hardware atunci când se trece la un sistem combinat de identificare și autentificare. Recompensa este evidentă: un identificator în loc de doi.

Carduri inteligente hibride

Cardurile inteligente hibride conțin cipuri diferite care nu sunt conectate între ele (Figura 4). Un cip acceptă interfața de contact, altele (Proximity, ISO 14443/15693) fără contact. La fel ca și în cazul integrării cheilor USB și a cardurilor inteligente contactless, SIA-urile bazate pe carduri inteligente hibride rezolvă o dublă problemă: protecția împotriva manipulării computerelor și în sediul companiei în care sunt păstrate. În plus, pe cardul inteligent este plasată o fotografie a angajatului, ceea ce îi permite să fie identificat vizual.

Figura 4 - Structura unui smart card hibrid

Dorința de a integra tehnologiile cu frecvență radio contactless și contact smart card se reflectă în dezvoltarea multor companii: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems etc.

De exemplu, HID Corporation, un dezvoltator principal de SIA bazat pe identificatori fără contact, a lansat identificatori de card care combină diverse tehnologii citirea semnelor de identificare. Rezultatul acestor evoluții a fost crearea de carduri inteligente hibride:

  • Smart ISOProx II - integrarea unui cip Proximity și a unui cip cu interfață de contact (opțional);
  • iCLASS - Integrare cip ISO / IEC 15693 și cip interfață pin (opțional);
  • iCLASS Prox - Integrarea cipului de proximitate, cipului ISO / IEC 15693 și cipului de interfață de contact (opțional).

Pe piața internă, prețurile pentru aceste produse sunt: ​​iCLASS - de la 5,1 USD; Smart ISOProx II - de la 5,7 USD; iCLASS Prox - de la 8,9 USD.

În Rusia, Aladdin Software Security R.D. a fost dezvoltată o tehnologie pentru producția de carduri inteligente hibride eToken Pro / SC RM. În ele, microcircuite cu o interfață de contact eToken Pro sunt încorporate în carduri inteligente fără contact. Firma oferă carduri inteligente diferiți producători: JSC Angstrem (BIM-002), HID Corporation (ISOProx II), Cotag International (Bewator Cotag 958), Philips Electronics (tehnologia MIFARE) și altele. Alegerea opțiunii de combinare este determinată de client.

O analiză a costurilor financiare ale trecerii la carduri inteligente hibride, ca în cazul combinării cardurilor inteligente fără contact și a cheilor USB, confirmă din nou triumful principiului „două în unu”. Dacă plasați o fotografie a unui angajat pe identificator, atunci acest principiu se transformă în „trei într-unul”.

Sisteme bioelectronice

Pentru a proteja computerele de manipulare, sistemele biometrice sunt de obicei combinate cu două clase de SIA electronice - bazate pe carduri inteligente de contact și bazate pe chei USB.

Integrarea cu sisteme electronice bazat pe carduri inteligente fără contact, este utilizat în principal în sistemele de control al accesului în încăperile fizice.

După cum sa menționat deja, tehnologiile de identificare a amprentelor sunt lider pe piața de securitate biometrică astăzi. Un astfel de loc onorabil pentru amprenta digitală se datorează următoarelor circumstanțe:

  • este cea mai veche și mai studiată metodă de recunoaștere;
  • caracteristica sa biometrică este stabilă: suprafața pielii de pe deget nu se modifică în timp;
  • valori ridicate ale indicatorilor de acuratețe a recunoașterii (conform declarațiilor dezvoltatorilor de instrumente de securitate a amprentei digitale, probabilitatea unei refuzuri false a accesului este de 10-2, iar probabilitatea unui acces fals este de 10-9);
  • simplitatea și comoditatea procedurii de scanare;
  • ergonomia și dimensiunea redusă a dispozitivului de scanare;
  • cel mai preț scăzut dintre sistemele de identificare biometrică.

Drept urmare, scanerele de amprente au devenit cele mai utilizate parte din SIA combinat, folosit pentru a proteja computerele de falsificare. Pe locul doi în ceea ce privește prevalența pe piața securității informatice se află SIA-urile bazate pe carduri inteligente de contact.

Exemple de acest tip de integrare sunt Precise 100 MC (Fig. 5) și AET60 BioCARDKey (Fig. 6) de la Precise Biometrics AB și, respectiv, Advanced Card Systems. Pentru a accesa resursele de informații ale unui computer folosind aceste instrumente, utilizatorul trebuie să introducă un smart card în cititor și să pună degetul pe scaner. Șabloanele de amprente sunt stocate criptate în memoria securizată a cardului inteligent. Dacă imaginea amprentei se potrivește cu șablonul, este permis accesul la computer. Utilizatorul este foarte mulțumit: nu este nevoie să-și amintească o parolă sau un cod PIN, procedura de conectare la sistem este mult simplificată.

Figura 5 - Product Precise 100 MC

Figura 6 - Produs AET60 BioCARDKey

Precise 100 MC și AET60 BioCARDKey sunt dispozitive USB care funcționează în Mediul Windows... Cititoarele de carduri inteligente acceptă toate tipurile de carduri cu microprocesor care respectă standardul ISO 7816-3 (protocoale T = 0, T = 1). Cititoarele de amprente sunt scanere tip capacitiv cu viteze de scanare de 4 și 14 amprente pe secundă pentru Precise 100 MC și, respectiv, AET60 BioCARDKey.

Pentru a reduce numărul dispozitiv periferic, puteți integra un scaner de amprente și un cititor de carduri inteligente în tastatura USB a computerului protejat. Exemple de astfel de dispozitive sunt KBPC-CID (Fig. 7) al alianței Fujitsu Siemens Computers, Precise 100 SC Keyboard (Fig. 8) și Precise 100 MC Keyboard de la Precise Biometrics AB.

Figura 7 - Produs KBPC-CID

Figura 8 - Tastatură Product Precise 100 SC

Pentru a accesa resursele informaționale ale computerului, ca în versiunea anterioara, utilizatorul trebuie să pună smart cardul în cititor și să pună degetul pe scaner. Pare o decizie interesantă și promițătoare a dezvoltatorilor de sisteme de securitate combinate de a combina un dongle USB cu un sistem de identificare a amprentei (în continuare vom numi un astfel de dispozitiv biokey USB). Un exemplu al acestei soluții este biokey-ul FingerQuick USB (Fig. 9) al corporației japoneze NTT Electronics și ClearedKey (Fig. 10) al companiei americane Priva Technologies.

Figura 9 - Biokey FingerQuick USB

Figura 10 - USB Biokey ClearedKey

În viitorul apropiat, cheile bio USB ar putea deveni larg răspândite datorită avantajelor lor:

  • nivel ridicat de securitate (prezența unui scaner de amprentă, stocarea datelor secrete, în special șabloane de amprentă, într-o memorie nevolatilă protejată a identificatorului, criptarea schimbului de date cu un computer);
  • implementare hardware a transformărilor criptografice;
  • lipsa unui cititor hardware;
  • unicitatea caracteristicii, dimensiunea redusă și ușurința de stocare a identificatorilor.

Principalul dezavantaj al cheilor bio USB este prețul lor ridicat. De exemplu, FingerQuick are un cost aproximativ de 190 USD.

Concluzie

La prima vedere, sistemele combinate de identificare și autentificare reprezintă un fel de produse scumpe, exotice. Dar experiența mondială în dezvoltarea sistemelor de securitate informatică arată că toate utilizate în în prezent echipamentele de protecție au fost cândva produse atât de exotice. Și acum sunt norma pentru o viață sigură. Prin urmare, este foarte probabil ca o soartă similară să aștepte sistemele combinate.

Identificarea și autentificarea sunt baza oricăror sisteme de securitate a sistemelor informatice, deoarece toate mecanismele de securitate a informațiilor sunt concepute pentru a funcționa cu subiecții și obiectele numite ale sistemului automatizat. Amintiți-vă că atât utilizatorii, cât și procesele pot acționa ca subiecți ai AS, precum și informații și altele resurse informaționale sisteme.

Atribuirea unui identificator personal subiecților și obiectelor de acces și compararea acestuia cu o listă dată se numește identificare. Identificarea oferă următoarele funcții:

Autentificarea și determinarea autorității subiectului atunci când acesta este admis în sistem,

Controlul puterilor stabilite în timpul unei sesiuni de lucru;

Înregistrarea acțiunilor etc.

Autentificarea (autentificarea) este verificarea identității subiectului de acces al identificatorului prezentat de acesta și confirmarea autenticității acestuia. Cu alte cuvinte, autentificarea înseamnă a verifica dacă subiectul care leagă este cine pretinde a fi.

Procedura generală de identificare și autentificare a unui utilizator la accesarea AS este prezentată în Fig. 2.10. Dacă în procesul de autentificare se stabilește autenticitatea subiectului, atunci sistemul de securitate a informațiilor trebuie să determine puterile acestuia (setul de drepturi). Acest lucru este necesar pentru controlul și diferențierea ulterioară a accesului la resurse.

În funcție de componenta controlată a sistemului, metodele de autentificare pot fi împărțite în autentificarea partenerilor de comunicare și autentificarea sursei de date. Autentificarea partenerului de comunicare este utilizată atunci când se stabilește (și se verifică periodic) o conexiune în timpul unei sesiuni. Servește pentru a preveni amenințările precum mascarada și reluarea sesiunii anterioare de comunicare. Autentificarea sursei de date este verificarea originii unei date individuale.

În ceea ce privește direcția, autentificarea poate fi unidirecțională (utilizatorul își dovedește identitatea în sistem, de exemplu, atunci când se conectează) și bidirecțională (reciprocă).

Orez. 2.10. Procedura clasică de identificare și autentificare

De obicei, metodele de autentificare sunt clasificate în funcție de mijloacele utilizate. În acest caz, aceste metode sunt împărțite în patru grupuri:

1. Pe baza cunoștințelor unei persoane care are dreptul de a accesa resursele sistemului, unele informații secrete - o parolă.

2. Pe baza utilizării unui articol unic: un jeton, card electronic si etc.

3. Pe baza măsurării parametrilor biometrici umani - atribute fiziologice sau comportamentale ale unui organism viu.

4. Pe baza informațiilor asociate cu utilizatorul, de exemplu, cu coordonatele acestuia.

Să luăm în considerare aceste grupuri.

1. Cele mai comune, simple și obișnuite, sunt metodele de autentificare bazate pe parole - identificatorii secreti ai subiecților. Aici, când subiectul își introduce parola, subsistemul de autentificare o compară cu parola criptată stocată în baza de date de referință. Dacă parolele se potrivesc, subsistemul de autentificare permite accesul la resursele AS.

Metodele de parole trebuie clasificate în funcție de gradul de schimbare a parolei:

Metode care utilizează parole persistente (reutilizabile),

Metode care utilizează parole unice (schimbate dinamic).

Majoritatea difuzoarelor folosesc parole reutilizabile. În acest caz, parola utilizatorului nu se schimbă de la sesiune la sesiune în timpul de valabilitate stabilit de administratorul de sistem. Acest lucru simplifică procedurile de administrare, dar crește amenințarea declasificării parolei. Există multe modalități de a sparge o parolă: de la aruncarea cu ochiul peste umăr până la interceptarea unei sesiuni de comunicare. Probabilitatea ca o parolă să fie deschisă de către un atacator crește dacă parola are un sens semantic (anul nașterii, numele fetei), este scurtă, introdusă într-un singur registru, nu are restricții privind perioada de existență etc. Este important. dacă parola este permisă să fie introdusă numai în modul interactiv sau este posibilitatea de a accesa din program.

În acest din urmă caz, este posibil să rulați un program pentru ghicirea parolelor - „crusher”.

O modalitate mai sigură este să folosești parole unice sau care se schimbă dinamic.

Următoarele metode de protecție prin parolă sunt cunoscute pe baza parolelor unice:

Metode de modificare a schemei de parole simple;

Metode cerere-răspuns;

Metode funcționale.

În primul caz, utilizatorului i se prezintă o listă de parole. În timpul autentificării, sistemul cere utilizatorului o parolă, numărul din lista căreia este determinat de o lege aleatorie. Lungimea si număr de serie caracterul inițial al parolei poate fi setat și aleatoriu.

Atunci când se utilizează metoda „provocare-răspuns”, sistemul pune utilizatorului câteva întrebări generale, răspunsurile corecte la care sunt cunoscute doar unui anumit utilizator.

Metodele funcționale se bazează pe utilizarea unei funcții speciale de conversie a parolelor. Acest lucru face posibilă oferirea capacității de a schimba (conform unor formule) parolele utilizatorului în timp. Funcția specificată trebuie să îndeplinească următoarele cerințe:

Pentru o anumită parolă x, este ușor de calculat Parolă Nouă ;

Cunoscând x și y, este dificil sau imposibil să definiți o funcție.

Cele mai cunoscute exemple de metode funcționale sunt: ​​metoda transformării funcționale și metoda „strângerii de mână”.

Ideea din spatele metodei de transformare funcțională este schimbare periodică funcția în sine. Acesta din urmă se realizează prin prezența unor parametri care se schimbă dinamic în expresia funcțională, de exemplu, o funcție de la o anumită dată și oră. Utilizatorului i se spune parola inițială, funcția actuală și frecvența schimbării parolei. Este ușor de observat că parolele utilizatorului pentru perioadele de timp date vor fi următoarele: x, f (x), f (f (x)), ..., f (x) n-1.

Metoda strângerii mâinii este următoarea. Funcția de conversie a parolei este cunoscută doar de utilizator și de sistemul de securitate. La intrarea în AS, subsistemul de autentificare generează o secvență aleatorie x, care este transmisă utilizatorului. Utilizatorul calculează rezultatul funcției y = f (x) și îl returnează sistemului. Sistemul compară propriul rezultat calculat cu cel primit de la utilizator. Dacă rezultatele specificate se potrivesc, autenticitatea utilizatorului este considerată dovedită.

Avantajul metodei este că transferul oricărei informații care poate fi folosită de un atacator este minimizat aici.

În unele cazuri, utilizatorul poate avea nevoie să verifice identitatea altui utilizator de la distanță sau a unui AS la care va accesa. Metoda cea mai potrivită aici este metoda „strângere de mână”, deoarece niciunul dintre participanți schimb de informatii nu va primi niciuna informații confidențiale.

Rețineți că metodele de autentificare bazate pe OTP nu oferă nicio securitate absolută. De exemplu, dacă un atacator are capacitatea de a se conecta la rețea și de a intercepta pachetele transmise, atunci le poate trimite pe acestea din urmă ca ale sale.

2. Recent, s-au răspândit metodele combinate de identificare, necesitând, pe lângă cunoașterea parolei, prezența unui token - un dispozitiv special care confirmă autenticitatea subiectului.

Cardurile sunt împărțite în două tipuri:

Pasive (carduri de memorie);

Activ (carduri inteligente).

Cele mai comune sunt cardurile cu bandă magnetică pasivă, care sunt citite de un dispozitiv special care are tastatură și procesor. Când folosește cardul specificat, utilizatorul introduce numărul său de identificare. Dacă se potrivește cu versiunea electronică codificată în card, utilizatorul are acces la sistem. Acest lucru vă permite să identificați în mod fiabil persoana care a obținut acces la sistem și să excludeți utilizarea neautorizată a cardului de către un intrus (de exemplu, dacă acesta este pierdut). Această metodă este adesea denumită autentificare cu două componente.

Uneori (de obicei pentru controlul accesului fizic) cardurile sunt folosite singure, fără a cere un număr personal de identificare.

Avantajul folosirii cardurilor este ca procesarea informatiilor de autentificare este efectuata de catre cititor, fara a le transfera in memoria calculatorului. Aceasta exclude posibilitatea interceptării electronice prin canale de comunicare.

Dezavantajele cardurilor pasive sunt următoarele: sunt semnificativ mai scumpe decât parolele, necesită cititori speciali, iar utilizarea lor implică proceduri speciale de contabilitate și distribuție securizată. De asemenea, trebuie protejate de intruși și, desigur, nu lăsate în dispozitivele de citire. Sunt cunoscute cazuri de falsificare a cardurilor pasive.

Pe lângă memorie, cardurile inteligente au propriul microprocesor. Acest lucru vă permite să implementați diferite opțiuni metode de protecție prin parolă: parole reutilizabile, parole cu schimbare dinamică, metode convenționale de provocare-răspuns. Toate cardurile oferă autentificare cu două componente.

La avantajele indicate ale cardurilor inteligente, trebuie adăugată multifuncționalitatea acestora. Ele pot fi utilizate nu numai în scopuri de securitate, ci și, de exemplu, pentru tranzacții financiare. Un dezavantaj concomitent al cărților este costul lor ridicat.

O direcție promițătoare în dezvoltarea cardurilor este dotarea acestora cu standardul pentru extinderea sistemelor PCMCIA portabile (PC Card). Aceste carduri sunt carduri PC portabile care se potrivesc în slotul pentru carduri PC și nu necesită cititoare speciale. Sunt destul de scumpe în zilele noastre.

3. Metodele de autentificare bazate pe măsurarea parametrilor biometrici ai unei persoane (vezi Tabelul 2.6) asigură o identificare aproape 100%, rezolvând problema pierderii parolelor și a identificatorilor personali. Cu toate acestea, astfel de metode nu pot fi folosite la identificarea proceselor sau a datelor (obiecte de date), deoarece acestea abia încep să se dezvolte (există probleme cu standardizarea și distribuția) și necesită până acum echipamente complexe și costisitoare. Acest lucru duce la utilizarea lor până în prezent numai în instalații și sisteme deosebit de importante.

Exemple de implementare a acestor metode sunt sistemele de identificare a utilizatorului după modelul irisului ochiului, amprentele palmei, forma urechilor, imaginea în infraroșu a vaselor capilare, prin scriere de mână, după miros, prin timbrul vocii, și chiar de ADN.

Tabelul 2.6

Exemple de metode biometrice

Metode fiziologice

Tehnici comportamentale

Eliminarea amprentelor

Scanarea irisului

Scanarea retinei

Geometria mâinii

Recunoastere faciala

Analiza scrisului de mână de la tastatură

O nouă direcție este utilizarea caracteristicilor biometrice în cardurile de plată inteligente, jetoanele de trecere și elementele de comunicare celulară. De exemplu, atunci când plătește într-un magazin, deținătorul cardului își pune degetul pe scaner pentru a confirma că cardul este cu adevărat al lui.

Să numim cele mai utilizate atribute biometrice și sistemele corespunzătoare.

· Amprentele digitale. Aceste scanere sunt mici, versatile și relativ ieftine. Repetabilitate biologică a amprentei este de 10-5%. În prezent sunt promovate aplicarea legii din cauza alocărilor mari în arhive electronice amprenta.

· Geometria mâinii. Dispozitivele adecvate sunt utilizate atunci când este dificil să utilizați scanerele digitale din cauza murdăriei sau rănilor. Repetabilitate biologică a geometriei mâinii este de aproximativ 2%.

· Iris. Aceste dispozitive sunt de cea mai mare precizie. Probabilitatea teoretică ca doi irisi să coincidă este de 1 la 1078.

· Imagine termică facială... Sistemele vă permit să identificați o persoană la o distanță de până la zeci de metri. În combinație cu o căutare în baza de date, astfel de sisteme sunt folosite pentru a identifica angajații autorizați și pentru a elimina străinii. Cu toate acestea, atunci când se schimbă condițiile de lumină, scanerele faciale au o rată de eroare relativ mare.

· Voce. Testul de voce este convenabil pentru utilizare în aplicații de telecomunicații. Necesar pentru acest 16 biți placa de sunetși un microfon cu condensator sunt sub 25 USD. Probabilitatea de eroare este de 2 - 5%. Această tehnologie este potrivită pentru verificarea vocală pe canalele de comunicare telefonică, este mai fiabilă decât apelarea în frecvență a unui număr personal. În zilele noastre se dezvoltă direcțiile de identificare a unei persoane și a stării sale prin voce - este agitat, bolnav, spune adevărul, nu în sine etc.

· Intrare de la tastatură. Aici, când introduceți, de exemplu, o parolă, sunt monitorizate viteza și intervalele dintre clicuri.

· Semnătură. Digitizerele sunt folosite pentru a controla semnăturile scrise de mână.

4. Cea mai nouă direcție de autentificare este de a dovedi autenticitatea unui utilizator de la distanță la locația sa. Acest mecanism de apărare se bazează pe utilizarea unui sistem de navigație spațială precum GPS (Global Positioning System). Un utilizator cu echipament GPS trimite în mod repetat coordonatele sateliților specificați care se află în linia de vedere. Subsistemul de autentificare, cunoscând orbitele sateliților, poate determina locația utilizatorului cu o precizie de metru. Fiabilitatea ridicată a autentificării este determinată de faptul că orbitele sateliților sunt supuse fluctuațiilor, care sunt dificil de prezis. În plus, coordonatele se schimbă constant, ceea ce anulează posibilitatea interceptării lor.

Echipamentul GPS este simplu și fiabil de utilizat și relativ ieftin. Acest lucru îi permite să fie utilizat în cazurile în care un utilizator autorizat la distanță trebuie să fie în locul potrivit.

Rezumând capacitățile instrumentelor de autentificare, acesta poate fi clasificat după nivelul de securitate a informațiilor în trei categorii:

1. Autentificare statică;

2. Autentificare puternică;

3. Autentificare permanentă.

Prima categorie oferă protecție numai împotriva falsificării în sistemele în care atacatorul nu poate citi informațiile de autentificare în timpul unei sesiuni. Parolele tradiționale persistente sunt un exemplu de facilitate de autentificare statică. Eficacitatea lor depinde în principal de dificultatea de a ghici parolele și, de fapt, de cât de bine sunt protejate.

Pentru a compromite autentificarea statică, un atacator poate spiona, alege, ghici sau intercepta datele de autentificare etc.

Autentificarea puternică utilizează acreditări de autentificare dinamică care se modifică cu fiecare sesiune. Implementările de autentificare puternică sunt sisteme care utilizează parole unice și semnături electronice... Autentificarea mai puternică protejează împotriva atacurilor în care un atacator poate intercepta informațiile de autentificare și poate încerca să le folosească în sesiunile viitoare.

Cu toate acestea, autentificarea puternică nu oferă protecție împotriva atacurilor active, în timpul cărora un atacator mascat poate rapid (în timpul sesiunii de autentificare) să intercepteze, să modifice și să insereze informații în fluxul de date transmis.

Autentificarea permanentă asigură identificarea fiecărui bloc de date transmise, ceea ce le protejează de modificarea sau inserarea neautorizată. Un exemplu de implementare a categoriei specificate de autentificare este utilizarea algoritmilor de generare a semnăturilor electronice pentru fiecare bit de informație transmis.

Identificarea și autentificarea sunt baza instrumentelor moderne de securitate software și hardware, deoarece orice alte servicii sunt concepute în principal pentru a servi aceste entități. Aceste concepte reprezintă un fel de primă linie de apărare care asigură spațiul organizației.

Ce este?

Identificarea și autentificarea au funcții diferite. Prima oferă subiectului (un utilizator sau un proces care acționează în numele său) capacitatea de a furniza un nume propriu. Cu ajutorul autentificării, a doua parte este în sfârșit convinsă că subiectul este cu adevărat cine pretinde a fi. Adesea, identificarea și autentificarea sunt înlocuite cu expresiile „nume mesaj” și „autentificare”.

Ei înșiși sunt împărțiți în mai multe soiuri. În continuare, ne vom uita la ce sunt identificarea și autentificarea și ce sunt acestea.

Autentificare

Acest concept prevede două tipuri: unidirecțional, când clientul trebuie mai întâi să-și dovedească autenticitatea serverului și bidirecțională, adică atunci când există confirmare reciprocă. Exemplu standard modul în care se realizează identificarea și autentificarea standard a utilizatorilor este procedura de conectare un anumit sistem... În acest fel, tipuri diferite poate fi folosit la diverse obiecte.

Într-un mediu de rețea, când identificarea și autentificarea utilizatorilor sunt efectuate pe părți dispersate geografic, serviciul luat în considerare diferă în două aspecte principale:

  • ce acționează ca un autentificator;
  • cum a fost organizat schimbul de date de autentificare și identificare și cum este protejat.

Pentru a-și dovedi identitatea, subiectul trebuie să prezinte una dintre următoarele entități:

  • anumite informații pe care le cunoaște ( numar personal, parolă, cheie criptografică specială etc.);
  • un anumit lucru pe care îl deține (un card personal sau un alt dispozitiv cu un scop similar);
  • un anumit lucru care este un element al lui însuși (amprente digitale, voce și alte mijloace biometrice de identificare și autentificare a utilizatorilor).

Caracteristicile sistemului

Într-un mediu de rețea deschisă, părțile nu au o rută de încredere, ceea ce sugerează că în caz general informațiile transmise de subiect pot să nu se potrivească în cele din urmă cu informațiile primite și utilizate în autentificare. Este necesar să se asigure securitatea interceptării active și pasive în rețea, adică protecția împotriva corectării, interceptării sau reproducerii diferitelor date. Opțiunea de transmitere a parolelor în text clar este nesatisfăcătoare și, în același mod, criptarea parolelor nu poate salva ziua, deoarece acestea nu oferă protecție împotriva reproducerii. Acesta este motivul pentru care astăzi sunt folosite protocoale de autentificare mai sofisticate.

Identificarea de încredere are dificultăți nu numai din diverse motive, ci și din mai multe alte motive. În primul rând, aproape orice entitate de autentificare poate fi furată, contrafăcută sau dedusă. Există, de asemenea, o anumită contradicție între fiabilitatea sistemului utilizat, pe de o parte, și comoditatea administratorului sau utilizatorului de sistem, pe de altă parte. Astfel, din motive de securitate, este necesar să se ceară utilizatorului să-și introducă din nou informațiile de autentificare (din moment ce o altă persoană poate fi deja așezată în locul lui), iar acest lucru nu numai că creează bătăi de cap suplimentară, ci și crește semnificativ șansa ca cineva să spioneze introducerea informațiilor. Printre altele, fiabilitatea echipamentului de protecție afectează semnificativ costul acestuia.

Sistemele moderne de identificare și autentificare susțin conceptul de conectare unică la rețea, care îndeplinește în primul rând cerințele în ceea ce privește ușurința de utilizare. Dacă standardul rețeaua corporativă are multe servicii de informare care prevăd posibilitatea unui acces independent, apoi în acest caz, introducerea multiplă a datelor cu caracter personal devine prea împovărătoare. Pe acest moment nu se poate spune încă că utilizarea single sign-on este considerată normală, întrucât soluțiile dominante nu au apărut încă.

Astfel, mulți încearcă să găsească un compromis între accesibilitatea, comoditatea și fiabilitatea mijloacelor prin care se asigură identificarea/autentificarea. Autorizarea utilizatorului în în acest caz efectuate conform regulilor individuale.

O atenție deosebită trebuie acordată faptului că serviciul utilizat poate fi selectat ca obiect al unui atac de accesibilitate. Dacă se face în așa fel încât, după un anumit număr de încercări nereușite, capacitatea de a intra a fost blocată, atunci, în acest caz, atacatorii pot opri munca utilizatorilor legali prin literalmente câteva apăsări de taste.

Autentificare prin parolă

Principalul avantaj al unui astfel de sistem este că este extrem de simplu și familiar pentru majoritatea. Parolele există de mult timp sisteme de operareși alte servicii și, atunci când sunt utilizate corect, oferă un nivel de securitate destul de acceptabil pentru majoritatea organizațiilor. Dar, pe de altă parte, în ceea ce privește setul general de caracteristici, astfel de sisteme reprezintă cel mai slab mijloc prin care se poate realiza identificarea/autentificarea. În acest caz, autorizarea devine destul de simplă, deoarece parolele ar trebui să fie memorabile, dar combinațiile simple nu sunt greu de ghicit, mai ales dacă o persoană cunoaște preferințele unui anumit utilizator.

Uneori se întâmplă ca parolele, în principiu, să nu fie ținute secrete, deoarece au valori destul de standard specificate în anumite documentații și nu întotdeauna după ce sistemul este instalat, acestea sunt modificate.

Când introduceți parola, puteți vedea, iar în unele cazuri oamenii chiar folosesc dispozitive optice specializate.

Utilizatorii, principalele subiecte de identificare și autentificare, pot deseori să partajeze parole cu colegii pentru ca aceștia să poată anumit timp a schimbat proprietarul. În teorie, în astfel de situații, cel mai corect ar fi să folosiți controale speciale de acces, dar în practică acestea nu sunt folosite de nimeni. Și dacă două persoane cunosc parola, acest lucru crește foarte mult șansele ca alții să afle în cele din urmă despre ea.

Cum să o repar?

Există mai multe mijloace prin care identificarea și autentificarea pot fi securizate. Componenta de procesare a informațiilor poate fi securizată prin următoarele:

  • Impunerea diferitelor restricții tehnice. Cel mai adesea, regulile sunt stabilite pentru lungimea parolei, precum și conținutul anumitor caractere din aceasta.
  • Gestionarea datei de expirare a parolelor, adică necesitatea înlocuirii periodice a acestora.
  • Restricționarea accesului la fișierul principal cu parole.
  • Prin limitarea numărului total de încercări nereușite disponibile la conectare. Acest lucru asigură că atacatorii trebuie să efectueze acțiuni numai înainte de identificare și autentificare, deoarece metoda brute-force nu poate fi utilizată.
  • Instruirea preliminară a utilizatorilor.
  • Folosind generatoare de parole software specializate care vă permit să creați astfel de combinații care sunt eufonice și destul de memorabile.

Toate aceste măsuri pot fi folosite în orice caz, chiar dacă împreună cu parolele sunt folosite și alte mijloace de autentificare.

Parole unice

Opțiunile discutate mai sus sunt reutilizabile, iar dacă combinația este dezvăluită, atacatorul poate efectua anumite operațiuni în numele utilizatorului. De aceea, parolele unice sunt folosite ca un mijloc mai puternic, rezistent la posibilitatea interceptării pasive a rețelei, datorită căruia sistemul de identificare și autentificare devine mult mai sigur, deși nu atât de convenabil.

În prezent, unul dintre cele mai populare generatoare de software parole unice este un sistem numit S/KEY, publicat de Bellcore. Conceptul de bază al acestui sistem este că există functie specifica F, care este cunoscut atât de utilizator, cât și de serverul de autentificare. Următoarea este cheia secretă K, care este cunoscută doar de un anumit utilizator.

În timpul administrării inițiale a utilizatorului, această funcție este utilizată pentru cheie de un anumit număr de ori, după care rezultatul este salvat pe server. În viitor, procedura de autentificare arată astfel:

  1. Pe sistem personalizat serverul primește un număr care este cu 1 mai mic decât numărul de ori când funcția este utilizată pentru cheie.
  2. Utilizatorul folosește funcția la cheia secretă existentă de câte ori a fost setat în primul paragraf, după care rezultatul este trimis prin rețea direct la serverul de autentificare.
  3. Serverul folosește această funcție la valoarea primită, după care rezultatul este comparat cu valoarea salvată anterior. Dacă rezultatele se potrivesc, atunci utilizatorul este autentificat și serverul stochează noua valoare și apoi decrește contorul cu unul.

În practică, implementarea acestei tehnologii are o structură ceva mai complexă, dar în acest moment acest lucru nu este atât de important. Deoarece funcția este ireversibilă, chiar și în cazul interceptării parolei sau obținerii accesului neautorizat la serverul de autentificare, nu oferă posibilitatea de a obține cheia secretă și de a prezice în niciun fel cum va arăta următoarea parolă unică.

În Rusia, un portal de stat special este utilizat ca serviciu unificat - " un singur sistem identificare/autentificare „(„ ESIA „).

O altă abordare a unui sistem de autentificare fiabil este generarea unei noi parole la intervale scurte de timp, care este implementată și prin utilizarea unor programe specializate sau a diverselor smart carduri. În acest caz, serverul de autentificare trebuie să accepte algoritmul corespunzător de generare a parolei, precum și anumiți parametri asociați și, în plus, trebuie să existe și o sincronizare a ceasurilor serverului și clientului.

Kerberos

Serverul de autentificare Kerberos a apărut pentru prima dată la mijlocul anilor 90 ai secolului trecut, dar de atunci a reușit deja să obțină număr mare schimbări fundamentale. în prezent componente individuale acest sistem este prezent în aproape fiecare sistem de operare modern.

Scopul principal a acestui serviciu este soluția la următoarea problemă: există o anumită rețea neprotejată, iar în nodurile sale sunt concentrate diverse subiecte sub formă de utilizatori, precum și sisteme software server și client. Fiecare astfel de subiect are o cheie secretă individuală și, pentru ca subiectul C să aibă posibilitatea de a-și dovedi propria identitate subiectului S, fără de care pur și simplu nu-l va servi, va trebui nu numai să se numească, ci și să arate că ştie un anume Cheia secretă. În același timp, C nu are capacitatea de a-și trimite pur și simplu cheia secretă către S, deoarece, în primul rând, rețeaua este deschisă și, pe lângă aceasta, S nu știe și, în principiu, nu ar trebui să o cunoască. Într-o astfel de situație, se folosește o tehnică mai puțin simplă pentru a demonstra cunoașterea acestor informații.

Identificarea/autentificarea electronică prin sistemul Kerberos prevede utilizarea acestuia ca terț de încredere care deține informații despre cheile secrete ale obiectelor deservite și, dacă este necesar, îi asistă în efectuarea autentificării perechi.

Astfel, clientul trimite mai întâi o cerere către sistem, care conține informatie necesara despre el, precum și despre serviciul solicitat. După aceea, Kerberos îi oferă un fel de bilet, care este criptat cu cheia secretă a serverului, precum și o copie a unei părți a datelor din acesta, care este clasificată cu cheia clientului. În cazul unei potriviri, se stabilește că clientul a decriptat informațiile destinate lui, adică a putut demonstra că cunoaște cu adevărat cheia secretă. Acest lucru sugerează că clientul este exact persoana care pretinde că este.

O atenție deosebită trebuie acordată aici faptului că transferul cheilor secrete nu a fost efectuat prin rețea și au fost folosite exclusiv pentru criptare.

Autentificare folosind date biometrice

Biometria include o combinație instrumente automate identificarea/autentificarea persoanelor pe baza caracteristicilor lor comportamentale sau fiziologice. Mijloacele fizice de autentificare și identificare includ verificarea retinei și corneei ochilor, amprentele digitale, geometria feței și a mâinii și alte informații individuale. Caracteristicile comportamentale includ stilul tastaturii și dinamica semnăturii. Metodele combinate sunt analiza diverse caracteristici vocea unei persoane, precum și recunoașterea discursului său.

Astfel de sisteme de identificare/autentificare și criptare sunt omniprezente în multe țări din întreaga lume, dar de multă vreme au fost extrem de diferite. cost ridicatși complexitatea aplicației. Recent, cererea de produse biometrice a crescut semnificativ datorită dezvoltării comerțul electronic, întrucât, din punctul de vedere al utilizatorului, este mult mai convenabil să te prezinți decât să-ți amintești niște informații. În consecință, cererea creează ofertă, astfel încât pe piață au început să apară produse relativ ieftine, care se concentrează în principal pe recunoașterea amprentelor digitale.

În marea majoritate a cazurilor, biometria este folosită în combinație cu alți autentificatori, cum ar fi. Adesea, autentificarea biometrică este doar prima linie de apărare și acționează ca un mijloc de activare a cardurilor inteligente care includ diverse secrete criptografice. Când utilizați această tehnologie, șablonul biometric este salvat pe același card.

Activitatea în domeniul biometriei este destul de mare. Există deja un consorțiu corespunzător și, de asemenea, se lucrează destul de activ pentru standardizarea diferitelor aspecte ale tehnologiei. Astăzi puteți vedea o mulțime de articole publicitare în care tehnologiile biometrice sunt prezentate ca remediu ideal asigurând securitate sporită şi în acelaşi timp accesibilă maselor.

ESIA

Sistemul de identificare și autentificare („ESIA”) este serviciu special, creată pentru a asigura implementarea diferitelor sarcini legate de verificarea autenticității solicitanților și a participanților la interacțiunea interagenții în cazul furnizării oricărei servicii municipale sau servicii publiceîn formă electronică.

Pentru a avea acces la „Portalul unic al structurilor de stat”, precum și la orice alte sisteme informatice ale infrastructurii existente e-guvernare, mai întâi va trebui să vă înregistrați un cont și, ca urmare, să obțineți un PEP.

Niveluri

Portalul oferă trei niveluri principale de conturi pentru persoane fizice:

  • simplificat. Pentru a-l înregistra, trebuie doar să indicați numele și prenumele, precum și un anumit canal de comunicare sub forma unei adrese de e-mail sau a unui telefon mobil. Acesta este nivelul primar prin care o persoană are acces doar la o listă limitată de diverse servicii guvernamentale, precum și la capacitățile sistemelor informatice existente.
  • Standard. Pentru a-l obține, inițial trebuie să emiteți un cont simplificat, apoi să furnizați și date suplimentare, inclusiv informații din pașaport și numărul contului individual de asigurare personală. Informațiile specificate sunt verificate automat prin sistemele informatice ale Fondului de pensii, precum și ale Serviciului Federal de Migrație, iar dacă verificarea are succes, contul este transferat către nivel standard, care deschide utilizatorul la o listă extinsă de servicii guvernamentale.
  • Confirmat. Pentru a obține acest nivel de cont, un sistem unificat de identificare și autentificare impune utilizatorilor să aibă un cont standard, precum și confirmarea identității, care se realizează printr-o vizită personală la un departament de service autorizat sau prin primirea unui cod de activare prin scrisoare comandată... În cazul în care verificarea identității are succes, contul va fi transferat către nou nivel, iar utilizatorul va avea acces la lista completă a serviciilor guvernamentale necesare.

În ciuda faptului că procedurile pot părea destul de complicate, de fapt, puteți face cunoștință cu lista completă a datelor necesare direct pe site-ul oficial, astfel încât o înregistrare cu drepturi depline este destul de posibilă în câteva zile.

Prin crearea unui cont pe site-ul oficial al gosuslugi.ru, o persoană devine simultan un utilizator al ESIA. Această abreviere înseamnă Unified Identification and Authentication System. De fapt, aceasta este o cheie de acces care se potrivește tuturor resurselor care oferă servicii federale și municipale. Care sunt avantajele acestui sistem și cum să vă înregistrați la ESIA prin portalul Serviciilor de Stat, vor fi descrise în acest articol.

Ce este ESIA?

În primul rând, trebuie spus că ESIA este un sistem de funcționare a căruia este responsabil Ministerul Telecomunicațiilor și Comunicațiilor de Masă al Rusiei. Orice persoană poate deveni membru al sistemului entitate sau organizație. Înregistrarea în ESIA pe portalul Serviciului de Stat este gratuită, procedura fiind disponibilă pentru toți utilizatorii de internet. În același timp, fiecare participant înregistrat la sistem are dreptul în orice moment.

Prin înregistrare, o persoană primește o parolă care poate fi folosită pentru a accesa toate site-urile guvernamentale care participă la program. Adică, cu o sesiune activă privind Serviciile Publice și trecerea, de exemplu, la resursa Școala Virtuală conectată la Sistemul Informațional Unificat, nu va fi nevoie să vă reidentificeți.

Pe lângă intrarea unică în portalurile de stat, sistemul oferă o ieșire simultană din ele. Adică, la sfârșitul sesiunii privind serviciile de stat, accesul la conturile de pe site-ul Serviciului Federal de Migrație, al Fondului de pensii al Federației Ruse, al Serviciului Fiscal Federal etc. va fi întrerupt.

ESIA oferă posibilitatea de a introduce și modifica în mod independent datele personale ale proprietarului contului prin intermediul Contului personal. Autenticitatea numărului SNILS este verificată cu ajutorul serviciului PFR, corectitudinea INN este verificată cu ajutorul Serviciului Fiscal, iar datele pașapoartelor și informațiile din cardurile de migrație (pentru cetățenii străini) - de către serviciul FMS.

Ce oferă ESIA?

Înregistrarea în ESIA pentru o persoană este o oportunitate de a utiliza funcționalitatea site-ului web al Serviciului de Stat și a altor servicii de informare conectate la program. Acest lucru deschide oportunități excelente pentru proprietarul contului, permițând:

  • emite diverse documente prin internet, de exemplu, un pașaport, un permis de conducere;
  • faceți o programare cu un medic prin internet, alegând o dată și o oră convenabile pentru vizita;
  • pune copilul la coadă Grădiniţă, inscrie-l la scoala, cercuri si sectii, tabere de vara;
  • aflați despre amenzi și datorii fiscale;
  • depune cereri pentru furnizarea de diverse servicii, de exemplu, înregistrarea căsătoriei, schimbarea numelui, înregistrarea unui certificat TIN;
  • plăti facturile pentru utilitati publice, telefon;
  • aplicați pentru beneficii și beneficii sociale, primiți beneficii;
  • invata despre economii de pensii, verificați-vă contul personal la FIU etc.

Cum să devii membru al sistemului?

Prin crearea unui cont pe portalul Serviciilor de Stat, utilizatorul devine membru al ESIA. Pentru a vă autentifica, trebuie să accesați gosuslugi.ru și să indicați numele dvs. real și numărul de telefon sau e-mailul într-un formular special. Informațiile trebuie să fie actualizate, deoarece în profil vor trebui adăugate informații suplimentare din pașaport și date personale din alte documente importante (SNILS, TIN).

Pentru a finaliza procedura de înregistrare pentru un cont pe portalul ESIA, trebuie să introduceți codul de activare trimis de sistem la numărul de telefon introdus la pasul anterior. A doua opțiune de activare a contului este să vă confirmați contul urmând linkul din e-mailul primit prin e-mail.

Important: în timpul înregistrării, utilizatorul trebuie să aibă acces la telefon mobil sau cutie poștală folosit la crearea unui cont.

Cum îmi verific contul?

După ce parcurge o procedură simplă de creare a unui cont pe site-ul Serviciului de Stat, o persoană devine membru al ESIA cu un cont simplificat. Merită să vă dați seama ce este.

Contabilitatea simplificată oferă dreptul de a intra în portal și de a vizualiza informații despre diverse servicii care sunt prevăzute pe acesta. Cu toate acestea, utilizatorul nu va putea primi aceste servicii, deoarece acțiunile de pe site vor fi limitate.

Proprietarii de înregistrări simplificate pot verifica online datorii și amenzi și pot primi alerte despre acestea. Însă fiecare utilizator își poate „crește” contul adăugând informații despre el însuși.

Prin specificarea numărului SNILS și a datelor pașaportului, titularul contului, după verificarea informațiilor de către sistem, primește un cont standard. Pentru a atribui statutul unui cont standard, va trebui să specificați în profil:

  • numele tău complet;
  • gen, locul nașterii și data;
  • cetățenie;
  • seria/numarul pasaportului sau alt act de identitate;
  • numărul SNILS.

Important: cetățenii străini care nu au numere SNILS nu vor putea face upgrade la statutul de înregistrare la standard.

Contabilitatea standard vă permite să plătiți amenzi și facturi online folosind carduri bancare și portofele electronice, faceți o programare la medic, înregistrați o marcă.

Următorul pas, care deschide accesul la toate funcțiile site-ului, este obținerea unei înregistrări confirmate. Posesorii unui cont verificat pot întocmi diverse documente (pașaport, pașaport internațional, certificate, certificate etc.) prin internet, pot înscrie un copil la coadă la o grădiniță, pot avea acces la conturile personale etc.

Important: pentru a primi unele servicii, trebuie să aveți o semnătură digitală electronică.

Pentru a vă verifica contul, trebuie fie să vă prezentați personal la MFC, fie să comandați un cod de confirmare prin poștă, sau au. Cea mai populară opțiune este contactul personal cu Centru multifuncțional cu pașaport și card.

Protecția datelor personale ale utilizatorului

Sistemul stochează un important Informații personale despre utilizatorii inregistrati:

  • datele pașaportului;
  • numărul SNILS;

Prin urmare, portalul Serviciului de Stat trebuie să aibă un nivel ridicat de securitate. Doar proprietarul are acces la toate informațiile personale. Datele transferate în sistem de către titularii de cont sunt stocate pe serverele guvernamentale care au protectie ridicata... Datele din sistem sunt transmise pe canale securizate cu un nivel ridicat de criptare.

La rândul său, proprietarul contului trebuie să înțeleagă că parola contului ESIA este accesul la datele sale personale, prin urmare, aceasta nu poate fi dezvăluită unor terți. Proprietarul alege metoda de stocare a parolei pentru intrarea în cont în mod independent, în timp ce toată responsabilitatea pentru siguranța acestor date îi revine lui.

Site-ul Serviciului de Stat a fost lansat în 2010, dar în primii ani practic nu a existat nicio activitate pe el. Cu toate acestea, astăzi portalul se dezvoltă rapid, deschizând oportunități largi pentru utilizatorii săi. Pe site-ul Serviciului de Stat, puteți obține ușor și rapid sute de servicii de importanță municipală și federală. Pentru a face acest lucru, trebuie doar să completați o cerere prin internet și să confirmați operațiunea cu parola contului ESIA. Acest lucru elimină cozile, stresul inutil și costurile financiare suplimentare.

Sistem unificat de identificare și autentificare ( ESIA) este un sistem informatic din Federația Rusă care oferă acces autorizat participanților comunicare(cetăţeni solicitanţi şi oficiali autorităţilor executive) la informaţiile cuprinse în stat sisteme de informare si alte sisteme informatice.

ESЍA este o parolă pentru toate ocaziile.

Ce este ESЍA?

ESЍA este sistemul unificat de identificare și autentificare. O singură parolă pentru a accesa toate site-urile guvernamentale.

De ce este nevoie de ESIA?

Cu parola ESIA, nu trebuie să vă înregistrați de fiecare dată pe fiecare site web de stat.

ESIA este o parolă pentru toate ocaziile. Datorită lui, poți direct de acasă folosind internetul:

Faceți o programare cu un medic prin internet

Aflați despre amenzile dvs. de trafic

Solicitați înregistrarea căsătoriei

· Plata pentru „apartamentul comunal”

Înregistrați o mașină

Solicitați un beneficiu de sarcină

· Raportați o problemă în oraș și obțineți o soluție în 10 zile

Și multe alte servicii și servicii printr-o singură acreditare!

Cum sunt protejate datele personale? Cine are acces la ele?

Doar proprietarul parolei are acces la datele personale.

Datele sunt transmise exclusiv pe canale securizate cu cel mai înalt nivel de criptare

Sistemul de securitate a informațiilor respectă cel mai înalt standard de protecție a datelor K1

Toate informațiile sunt stocate pe servere guvernamentale securizate

De ce aveți nevoie pentru a înregistra un ESIA?

1. Pașaport și SNILS - pentru a confirma identitatea,

2. Numar de mobil- pentru a confirma înregistrarea.

Cum obțin o parolă?

1. Accesați pagina de înregistrare, introduceți Numele, Numele și numărul de telefon de contact. Apoi faceți clic pe butonul „Înregistrare”.

2. Un cod de confirmare va fi trimis pe telefonul dvs. Introduceți-l și faceți clic pe butonul „Confirmare”.

3. Setați parola și faceți clic pe butonul „Salvați”.

4. Conectați-vă la ESIA folosind numărul de telefon și parola.

5. Introduceți datele personale (nu uitați să indicați al doilea nume) și așteptați confirmarea în cinci minute!

Ce înseamnă „Confirmat” și „Neconfirmat”. Cont?

· parola neconfirmataoportunități limitate, cum ar fi accesul la servicii de informare, de exemplu, vizualizarea datoriilor și a amenzilor.

· Cu cu o parolă verificată puteți obține oricare dintre cele 119 de servicii electronice disponibile pe portalurile federale și regionale ale serviciilor publice și puteți utiliza toate serviciile disponibile fără restricții.

Top articole similare

Mișcare diferită a mouse-ului pe verticală și pe orizontală
Mișcare diferită a mouse-ului pe verticală și pe orizontală
Cum să comprimați texturile în Fallout 4
Cum să comprimați texturile în Fallout 4
Rămâne doar să înțelegem nivelul cerut
Rămâne doar să înțelegem nivelul cerut
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.