Kafedra: at. Fan: Elektron to’lov tizimlari. Mustaqil ish. Mavzu

Identifikatsiya va autentifikatsiya

Download 107,52 Kb.

bet	2/22
Sana	25.02.2022
Hajmi	107,52 Kb.
	#310642

1 2 3 4 5 6 7 8 9 ... 22

Bog'liq
elektron to'lov tizimlari 2-MI

Identifikatsiya va autentifikatsiya
Autentifikatsiya (ingliz tili. authentication < yunon. aθθεντικός [authentikos]" haqiqiy, haqiqiy " < aττός [autos] "o'zi; u eng ko'p") — autentifikatsiya qilish tartibi, masalan: foydalanuvchi Login ma'lumotlar bazasida saqlangan parol bilan kiritilgan parolni (ko'rsatilgan Login uchun) taqqoslash orqali Foydalanuvchining haqiqiyligini tekshirish;
jo'natuvchining ochiq kaliti bo'yicha xatning raqamli imzosini tekshirish orqali elektron xat haqiqiyligini tasdiqlash;
faylning nazorat summasini ushbu fayl muallifi tomonidan e'lon qilingan summaga muvofiqligini tekshirish.
Rus tilida bu atama asosan axborot texnologiyalari sohasida qo'llaniladi.
Tizimlarning ishonchliligi va xavfsizlik siyosatini hisobga olgan holda, autentifikatsiya qilish bir tomonlama yoki o'zaro bo'lishi mumkin. Odatda kriptografik usullar yordamida amalga oshiriladi.
Autentifikatsiya qilish avtorizatsiya (sub'ektga muayyan huquqlarni berish tartibi) va identifikatsiyalash (shaxsni identifikatsiyalash yo'li bilan tanib olish tartibi) bilan aralashmasligi kerak.
Standartlar
Autentifikatsiya standartlarini belgilovchi hujjatlar
GOST R Iso / IEC 9594-8-98-autentifikatsiya asoslari
Ushbu standart:
katalog tomonidan saqlangan autentifikatsiya ma'lumotlarining formatini belgilaydi;
katalogdan autentifikatsiya ma'lumotlarini olish usulini tavsiflaydi;
autentifikatsiya ma'lumotlarini katalogda shakllantirish va joylashtirish usullari haqida old shartlarni belgilaydi;
dastur dasturlari autentifikatsiya qilishni amalga oshirish uchun bunday autentifikatsiya ma'lumotidan foydalanishi mumkin bo'lgan uchta usulni aniqlaydi va autentifikatsiya qilish orqali boshqa himoya xizmatlari qanday ta'minlanishi mumkinligini tasvirlaydi. Ushbu standart ikki xil autentifikatsiya turini o'z ichiga oladi: oddiy, parolni da'vo qilingan identifikatorni tekshirish sifatida ishlatish va kriptografik usullar yordamida yaratilgan hisobga olish kartalarini ishlatish
FIPS 113 — COMPUTER DATA AUTHENTICATION
Ushbu standart ma'lumotlarni autentifikatsiya qilish algoritmini(DAA) belgilaydi, bu ma'lumotlar ruxsatsiz va tasodifiy ma'lumotlarni o'zgartirishni aniqlash uchun ishlatilishi mumkin, standart ma'lumotlar shifrlash standartida(DES) ko'rsatilgan algoritmga asoslanadi.Federal axborotni qayta ishlash standartlari(FIPS PUB) 46 va Treasury's Electronic Funds and Security transfer Policy and American National Standard Institute(ANSI) va Standard for Standard for moliyaviy Institut Message Authentication.
Ushbu standart kriptografik autentifikatsiya qilish orqali uzatilgan ma'lumotlarning yaxlitligini nazorat qilish uchun ishlatiladi.
Autentifikatsiya tizimi elementlari
Har qanday autentifikatsiya tizimida odatda bir nechta elementlarni ajratish mumkin:
jarayondan o'tadigan mavzu;
mavzuning xususiyatlari-bu o'ziga xos xususiyat;
autentifikatsiya tizimining egasi, uning ishini nazorat qilish va nazorat qilish;
autentifikatsiya mexanizmi, ya'ni tizimning ishlash printsipi;
mavzuga muayyan kirish huquqini beruvchi kirishni boshqarish mexanizmi.
Autentifikatsiya omillari
Kompyuterlar paydo bo'lishidan oldin ham, mavzuning turli xil xususiyatlari, uning xususiyatlari ishlatilgan. Endi tizimda muayyan xususiyatlardan foydalanish talab qilinadigan ishonchlilik, xavfsizlik va amalga oshirish xarajatlariga bog'liq. 3 autentifikatsiya omillarini ajratish:
Biz bilgan narsalar, masalan, ba'zi maxfiy ma'lumotlar. Bu faqat vakolatli mavzu bo'lishi kerak bo'lgan maxfiy ma'lumotlar. Yashirin so'z yoki parol bo'lishi mumkin, masalan, og'zaki xabar, matnli taqdimot, qulf yoki shaxsiy identifikatsiya raqami (PIN) uchun kombinatsiya. Bug ' mexanizmi juda oson amalga oshirilishi mumkin va past narxga ega. Lekin muhim kamchiliklar bor: parolni maxfiy saqlash ko'pincha qiyin, tajovuzkorlar doimiy ravishda o'g'irlik, xakerlik va parolni tanlashning yangi usullari bilan kelishadi (qarang: ). bandit kriptoanaliz, qo'pol kuch usuli). Bu bug ' mexanizmini zaiflashtiradi.
Biz ega bo'lgan narsa, masalan, har qanday noyob jismoniy ob'ekt. Bu erda muayyan noyob ob'ektga ega bo'lish muhim ahamiyatga ega. Bu shaxsiy bosma, qulf kaliti bo'lishi mumkin, kompyuter uchun bu xarakteristikani o'z ichiga olgan ma'lumotlar fayli. Xarakterli xususiyat ko'pincha maxsus autentifikatsiya qurilmasiga, masalan, plastik karta, Smart-kartaga o'rnatiladi. Tajovuzkor uchun bunday qurilmani olish parolni buzishdan ko'ra qiyinlashadi va qurilma o'g'irlangan taqdirda mavzu darhol xabar berishi mumkin. Bu usul bug ' mexanizmidan ko'ra xavfsizroq bo'ladi, lekin bunday tizimning narxi ancha yuqori.
O'zimizning ajralmas qismi bo'lgan biometrik narsa. Xususiyat-bu mavzuning jismoniy xususiyati. Bu portret, barmoq izi yoki palma, ovoz yoki ko'zning o'ziga xos xususiyati bo'lishi mumkin. Mavzu nuqtai nazaridan bu usul eng oddiy: parolni eslab qolish yoki autentifikatsiya qilish qurilmasini siz bilan birga o'tkazish kerak emas. Shu bilan birga, biometrik tizim vakolatli foydalanuvchini tasdiqlash uchun yuqori sezuvchanlikka ega bo'lishi kerak, ammo shunga o'xshash biometrik parametrlarga qarshi tajovuzkorni rad etishi kerak. Bundan tashqari, bunday tizimning narxi juda yuqori. Ammo uning kamchiliklariga qaramay, biometrik juda istiqbolli omil bo'lib qolmoqda.
Autentifikatsiya qilish usullari
Elektron imzo yordamida autentifikatsiya qilish
06.04.2011 N 63-FZ "elektron imzo to'g'risida" federal qonuni (o'zgartirishlar bilan) quyidagi elektron imzo turlarini taqdim etadi:
Oddiy elektron imzo-elektron imzo, bu kodlar, parollar yoki boshqa vositalardan foydalanish orqali ma'lum bir shaxs tomonidan elektron imzo yaratish faktini tasdiqlaydi.
Malakasiz elektron imzo-elektron imzo:
elektron imzo kalitidan foydalangan holda axborotning kriptografik konvertatsiyasi natijasida olingan;
elektron hujjatni imzolagan shaxsni aniqlash imkonini beradi;
imzolangan paytdan keyin elektron hujjatga o'zgartirish kiritish faktini aniqlash imkonini beradi;
elektron imzo vositalari yordamida yaratiladi.
Malakali elektron imzo-malakasiz elektron imzoning barcha xususiyatlariga va quyidagi qo'shimcha belgilarga mos keladigan elektron imzo:
elektron imzo tekshiruvi kaliti malakali sertifikatda ko'rsatilgan;
elektron imzolarni yaratish va tekshirish uchun ushbu federal qonunga muvofiq belgilangan talablarga muvofiqligini tasdiqlovchi elektron imzo vositalari qo'llaniladi.
Parol bilan autentifikatsiya qilish
Qayta foydalanish mumkin parollarni autentifikatsiya qilish
Bir martalik parollar bo'yicha autentifikatsiya qilish
Qayta foydalanish mumkin parollarni autentifikatsiya qilish
Kirish-parol to'plamini kiritish shakli
Kompyuter tizimida autentifikatsiya qilishning bir usuli - "Login" (ingliz tili) deb nomlangan umumiy nutqda foydalanuvchi identifikatoringizni kiritishdir. login-foydalanuvchi nomi, hisob) va parol-ba'zi maxfiy ma'lumotlar. Ishonchli (mos yozuvlar) juft Login-parol maxsus ma'lumotlar bazasida saqlanadi.
Oddiy autentifikatsiya qilish quyidagi umumiy algoritmga ega:
Mavzu tizimga kirishni talab qiladi va shaxsiy identifikator va parolni kiritadi;
Kiritilgan noyob ma'lumotlar autentifikatsiya serveriga keladi, ular mos yozuvlar bilan taqqoslanadi;
Agar ma'lumotlar mos yozuvlar bilan mos keladigan bo'lsa, autentifikatsiya muvaffaqiyatli deb topiladi, farq bilan-mavzu 1-bosqichga o'tadi.
Sub'ekt tomonidan kiritilgan parol tarmoqqa ikki shaklda uzatilishi mumkin:
Parol autentifikatsiya protokoli (parol autentifikatsiya bayonnomasi, PAP)asosida ochiq shaklda shifrlanmagan.
SSL yoki TLS shifrlash yordamida. Bunday holda, mavzu tomonidan kiritilgan noyob ma'lumotlar tarmoq orqali xavfsiz tarzda uzatiladi.
Xavfsizlik
Parollarni saqlash va uzatishda eng yaxshi xavfsizlik nuqtai nazaridan bir tomonlama funktsiyalar qo'llanilishi kerak. Odatda bu maqsadlar uchun kriptografik jihatdan chidamli Xash funktsiyalari qo'llaniladi. Bunday holda, server faqat parol tasvirini saqlaydi. Parolni qabul qilib, uni Xash-konvertatsiya qilishni amalga oshirganingizdan so'ng, tizim natijani unda saqlangan mos yozuvlar usuli bilan taqqoslaydi. Ularning identifikatorlari bilan parollar bir xil. Tasvirga kirish imkoniga ega bo'lgan tajovuzkor uchun parolni o'zi hisoblash deyarli mumkin emas.
Qayta foydalanish mumkin parollardan foydalanish bir qator muhim kamchiliklarga ega. Birinchidan, mos yozuvlar parolining o'zi yoki uning aralashgan tasviri autentifikatsiya serverida saqlanadi. Ko'pincha parolni saqlash kriptografik o'zgarishlarsiz, tizim fayllarida amalga oshiriladi. Ularga kirganingizdan so'ng, tajovuzkor osongina maxfiy ma'lumotlarga ega bo'ladi. Ikkinchidan, mavzu qayta foydalanish mumkin bo'lgan parolni eslab qolishga (yoki yozishga) majbur. Tajovuzkor uni faqat ijtimoiy muhandislik ko'nikmalarini qo'llash orqali, hech qanday texnik vositalarsiz olishlari mumkin. Bundan tashqari, sub'ekt parolni o'zi tanlagan taqdirda tizimning xavfsizligi sezilarli darajada kamayadi. Ko'pincha ular lug'atda mavjud bo'lgan so'z yoki so'zlarning kombinatsiyasiga ega. GOST 28147-89 da kalit uzunligi 256 bit(32 bayt). Psevdo-tasodifiy sonlar generatoridan foydalanganda kalit yaxshi statistik xususiyatlarga ega. Masalan, lug'atdagi so'z bo'lgan parol, 16 bit uzunligi bilan pseudosluchaynomu raqamiga kamaytirilishi mumkin, bu esa GOST kalitidan 16 marta qisqartiriladi. Etarli vaqt bilan, tajovuzkor parolni oddiy qidiruv orqali yorib yuborishi mumkin. Ushbu muammoni hal qilish-tasodifiy parollardan foydalanish yoki parolni o'zgartirish kerak bo'lgan mavzu parolining muddati cheklangan.
Hisob bazalari
UNIX oilasining OS bilan ishlaydigan kompyuterlarda bazaviy fayl /etc / master.passwd (Linux tarqatishlarida, odatda, faqat root tomonidan o'qilishi mumkin bo'lgan /etc/shadow fayli), bu erda foydalanuvchi parollari ochiq parollardan Xash funktsiyalari sifatida saqlanadi, bundan tashqari, foydalanuvchi huquqlari haqida ma'lumot bir xil faylda saqlanadi. Dastlab, UNIX tizimlarida parol (shifrlangan shaklda) xavfsiz bo'lmagan barcha foydalanuvchilarga o'qilishi mumkin bo'lgan /etc/passwd faylida saqlangan.
Windows NT/2000/XP/2003 (Windows domeniga kiritilmagan) operatsion tizimiga ega bo'lgan kompyuterlarda bunday ma'lumotlar bazasi SAM (xavfsizlik hisobi menejeri — hisobni himoya qilish menejeri) deb ataladi. SAM bazasi foydalanuvchilarning hisoblarini saqlaydi, shu jumladan, himoya qilish tizimi uchun zarur bo'lgan barcha ma'lumotlarni o'z ichiga oladi. %Windir%\system32\config \ katalogida joylashgan.
Windows server 2000/2003 domenlarida bunday ma'lumotlar bazasi Active Directory hisoblanadi.
Shu bilan birga, autentifikatsiya ma'lumotlarini saqlashning yanada ishonchli usuli maxsus apparat (komponentlar) dan foydalanish hisoblanadi.
Agar kerak bo'lsa, turli xil kompyuterlarda (xavfsizlik tizimini qo'llab-quvvatlaydigan) xodimlarning ishlashini ta'minlash uchun tashkilot serverida autentifikatsiya ma'lumotlarini va kriptografik kalitlarni saqlashga imkon beruvchi apparat-dasturiy ta'minot tizimlaridan foydalaning. Foydalanuvchilar o'zlarining autentifikatsiya ma'lumotlari va kriptografik kalitlarga ega bo'lgan har qanday kompyuterda (ish stantsiyasida) erkin ishlashlari mumkin.
Bir martalik parollar bo'yicha autentifikatsiya qilish
Asosiy kalit eToken
Mavzuning qayta foydalanish mumkin bo'lgan parolini olgach, tajovuzkor buzilgan maxfiy ma'lumotlarga doimiy kirish huquqiga ega. Ushbu muammo bir martalik parollar (OTP — One Time Password) yordamida hal etiladi. Ushbu usulning mohiyati — parol faqat bitta kirish uchun amal qiladi, har bir keyingi kirish so'rovi bilan yangi parol talab qilinadi. Bir martalik parollar uchun autentifikatsiya mexanizmi apparat va dasturiy ta'minot bo'lishi mumkin.
Bir martalik parollarni ishlatish texnologiyalari quyidagilarga bo'linishi mumkin:
Pseudosluchaynyh sonlar generatoridan foydalanish, mavzu va tizim uchun yagona;
Yagona vaqt tizimi bilan birga vaqt belgilaridan foydalanish;
Mavzu va tizim uchun yagona tasodifiy parollar bazasidan foydalanish;
Birinchi usul sub'ekt va tizim uchun bir xil qiymatga ega bo'lgan yolg'onchi tasodifiy sonlar generatoridan foydalanadi. Sub'ekt tomonidan yaratilgan parol bir tomonlama funktsiyadan ketma-ket foydalanilganda yoki avvalgi so'rovdan noyob ma'lumotlarga asoslangan har bir yangi so'rovda tizimga o'tkazilishi mumkin.
Ikkinchi usul vaqt belgilaridan foydalanadi. Bunday texnologiya misol sifatida SecurID bo'lishi mumkin. Bu apparat kalitlari foydalanish va vaqt bilan sinxronlashtirish asoslangan. Autentifikatsiya ma'lum vaqt oralig'ida tasodifiy sonlarni yaratishga asoslangan. Noyob maxfiy kalit faqat tizim bazasida va mavzuning apparat qurilmasida saqlanadi. Agar mavzu tizimga kirishni talab qilsa, u PIN-kodni, shuningdek, apparat qurilmasidagi ushbu nuqtada ko'rsatilgan tasodifiy hosil bo'lgan raqamni kiritish talab qilinadi. Tizim kiritilgan PIN-kodni va sub'ektning maxfiy kalitini uning bazasidan taqqoslaydi va bazadan va joriy vaqtdan maxfiy kalit parametrlariga asoslangan tasodifiy sonni hosil qiladi.
Bundan tashqari, ishlab chiqarilgan raqamning kimligi va mavzu tomonidan kiritilgan raqam tekshiriladi.
Autentifikatsiya protokollari
Autentifikatsiya qilish tartibi kompyuterlar o'rtasida ma'lumot almashish uchun ishlatiladi va aloqa liniyasining shovqin ishtirokchilaridan birini tinglash yoki almashtirishdan himoya qiluvchi juda murakkab kriptografik protokollardan foydalaniladi. Va, odatda, autentifikatsiya tarmoq o'zaro o'rnatish, har ikki ob'ektlar uchun zarur bo'lgan, chunki, autentifikatsiya o'zaro bo'lishi mumkin.
Shunday qilib, bir nechta autentifikatsiya oilalari aniqlanishi mumkin:
Kompyuterda foydalanuvchi autentifikatsiyasi:
Shifrlangan nomi (login);
Password Authentication bayonnomasi, PAP (bir guruh kirish-parol);
Kirish kartasi (sertifikat bilan USB, SSO);
Biometrics (ovoz, barmoq izi/palma/ko'zning nuri).
Tarmoqda autentifikatsiya qilish:
Raqamli imzo yordamida Secure SNMP;
SAML (Security Assertion Markup Language);
Cookie sessiyasi;
Kerberos Tickets;
X. 509 Sertifikatlari;
OpenID Connect OAuth 2.0 protokoli orqali autentifikatsiya qilish usuli
Windows NT 4 oilasining operatsion tizimlarida NTLM protokoli (NT LAN menejeri — NT Lan menejeri) ishlatiladi. Va Windows 2000/2003 domenlarida juda yaxshi Kerberos protokoli qo'llaniladi.
Internetda autentifikatsiya qilish
Bunday xizmatlarga kirishda autentifikatsiya qilish talab qilinadi:
elektron pochta;
veb-forum;
ijtimoiy tarmoqlar;
Internet-banking;
to'lov tizimlari;
korporativ saytlar;
onlayn xarid qilish.
Autentifikatsiya qilishning ijobiy natijasi (ishonch munosabatlarini o'rnatish va sessiya kalitini ishlab chiqishdan tashqari) Foydalanuvchining avtorizatsiyasi, ya'ni uning vazifalarini bajarish uchun belgilangan resurslardan foydalanish huquqini berishdir.
Axborot tizimlarida identifikatsiya qilish-bu identifikatsiyalash predmeti uchun axborot tizimida ushbu mavzuni aniq belgilaydigan identifikator tomonidan aniqlangan protsedura. Identifikatsiya qilish jarayonini amalga oshirish uchun axborot tizimida sub'ektga tegishli identifikator oldindan tayinlanishi kerak (ya'ni, mavzu axborot tizimida ro'yxatga olinadi). Identifikatsiya qilish tartibi autentifikatsiya qilish bilan bevosita bog'liq: mavzu autentifikatsiya qilish jarayonidan o'tadi va agar autentifikatsiya muvaffaqiyatli bo'lsa, autentifikatsiya qilish omillari asosida axborot tizimi sub'ektning identifikatorini aniqlaydi. Shu bilan birga, identifikatsiyalashning ishonchliligi bajarilgan autentifikatsiya qilish jarayonining ishonchliligi darajasi bilan to'liq aniqlanadi.

Download 107,52 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 ... 22