/ /識別と認証:基本概念

識別と認証:基本概念

識別と認証は他のサービスは主にこれらのエンティティにサービスを提供するように設計されているため、最新のソフトウェアおよびハードウェアセキュリティツールの基盤です。これらの概念は、組織の情報スペースのセキュリティを確保する一種の最初の防衛線を表しています。

それは何ですか?

識別と認証

IDと認証が異なります関数。 1つ目は、サブジェクト(ユーザーまたはユーザーに代わって動作するプロセス)に自分の名前を提供する機能を提供します。認証の助けを借りて、第二者は最終的に、主題が本当に彼が主張する人物であると確信します。多くの場合、同義語として、識別と認証は「名前メッセージ」と「認証」というフレーズに置き換えられます。

それら自体はいくつかの種類に細分されます。次に、識別と認証とは何か、そしてそれらが何であるかを見ていきます。

認証

認証および暗号化識別システム

この概念は2つのタイプを提供します:一方向、つまりクライアントが最初にサーバーに対してその信頼性を証明する必要がある場合、および双方向、つまり相互確認がある場合。標準のユーザー識別と認証が実行される方法の一般的な例は、特定のシステムにログオンするための手順です。したがって、さまざまなタイプをさまざまなオブジェクトで使用できます。

ネットワーク環境では、ユーザーの識別と認証が地理的に分散した側で実行される場合、検討中のサービスは2つの主要な側面で異なります。

  • オーセンティケーターとして機能するもの。
  • 認証および識別データの交換がどのように編成され、どのように保護されているか。

その信憑性を証明するには、次のエンティティのいずれかをサブジェクトが提示する必要があります。

  • 彼が知っている特定の情報(個人番号、パスワード、特別な暗号化キーなど)。
  • 彼が所有する特定のもの(個人用カードまたは同様の目的を持つ他のデバイス)。
  • 自分自身の要素である特定のもの(指紋、音声、およびユーザーを識別および認証するその他の生体認証手段)。

システム機能

ユーザーの識別と認証の生体認証手段

オープンネットワーク環境では、当事者は信頼できるルート。これは、一般に、サブジェクトによって送信された情報が、認証で受信および使用された情報と最終的に一致しない可能性があることを示唆しています。アクティブおよびパッシブネットワーク盗聴のセキュリティ、つまり、さまざまなデータの修正、傍受、または再生に対する保護を確保する必要があります。パスワードをクリアテキストで送信するオプションは不十分であり、同様に、パスワードの暗号化は複製に対する保護を提供しないため、その日を救うことはできません。これが、今日、より高度な認証プロトコルが使用されている理由です。

信頼性の高い識別は難しいだけではありませんさまざまなネットワークの脅威が原因ですが、他のさまざまな理由もあります。そもそも、ほとんどすべての認証エンティティが盗まれたり、偽造されたり、推測されたりする可能性があります。また、使用するシステムの信頼性と、システム管理者またはユーザーの利便性との間には、一定の矛盾があります。したがって、セキュリティ上の理由から、ユーザーに認証情報の再入力を求めることが頻繁に必要になります(他の人がすでに自分の場所に座っている可能性があるため)。これにより、面倒な作業が増えるだけでなく、誰かが情報の入力をスパイしている可能性があります。とりわけ、保護具の信頼性はそのコストに大きく影響します。

最新の識別システムと認証は、ネットワークへのシングルサインオンの概念をサポートします。これは、主に使いやすさの観点からの要件を満たしています。標準的な企業ネットワークに、独立したアクセスの可能性を提供する多くの情報サービスがある場合、個人データの複数の入力は非常に負担になります。現時点では、主要なソリューションがまだ形成されていないため、ネットワークへのシングルサインオンの使用が正常であるとはまだ言えません。

したがって、多くの人が妥協点を見つけようとしています。識別/認証を提供する手段の手頃な価格、利便性、信頼性の間。この場合、ユーザー認証は個々のルールに従って実行されます。

その事実に特別な注意を払う必要があります使用されているサービスは、可用性攻撃のターゲットとして選択できます。システムが、一定回数の試行の失敗後に入力機能がブロックされるように構成されている場合、攻撃者は文字通り数回のキーストロークで合法的なユーザーの作業を停止できます。

パスワード認証

このようなシステムの主な利点は、それは非常にシンプルでほとんどの人に馴染みがあることです。パスワードは、オペレーティングシステムやその他のサービスで長い間使用されており、正しく使用すると、ほとんどの組織で受け入れられるレベルのセキュリティを提供します。しかし一方で、一般的な特性のセットの観点から、そのようなシステムは、識別/認証を実行できる最も弱い手段を表しています。この場合、パスワードは記憶に残るはずなので、認証は非常に簡単になりますが、特に特定のユーザーの好みを知っている場合は、単純な組み合わせを推測するのは難しくありません。

原則として、パスワードがない場合があります特定のドキュメントで指定されている非常に標準的な値があり、システムのインストール後に常に変更されるとは限らないため、秘密にされています。

パスワードを入力すると確認でき、場合によっては専用の光学機器を使用することもあります。

ユーザー、識別の主要な主題および認証では、特定の期間所有者を変更するために、同僚とパスワードを共有できることがよくあります。理論的には、このような状況では、特別なアクセス制御を使用するのが最も正しいでしょうが、実際には、これは誰にも使用されません。また、2人がパスワードを知っている場合、これにより、他の人が最終的にパスワードを知る可能性が大幅に高まります。

それを修正する方法は?

ポータル統合識別システム認証esia

識別と認証を保護する方法はいくつかあります。情報処理コンポーネントは、次の方法で保護できます。

  • さまざまな技術的制限の賦課。ほとんどの場合、パスワードの長さ、およびパスワード内の特定の文字の内容についてルールが確立されます。
  • パスワードの有効期限の管理、つまり、定期的にパスワードを交換する必要があります。
  • メインパスワードファイルへのアクセスを制限します。
  • 失敗した試行の総数を制限することにより、ログイン時にご利用いただけます。これにより、ブルートフォース方式は使用できないため、攻撃者は識別と認証の前にアクションを実行するだけで済みます。
  • 予備的なユーザートレーニング。
  • 特殊なソフトウェアパスワードジェネレータを使用して、このような組み合わせを作成することができます。

パスワードと一緒に他の認証手段も使用されている場合でも、これらの手段はすべてどのような場合でも使用できます。

ワンタイムパスワード

識別と認証の前のアクション

上記のオプションは次のとおりです。再利用可能であり、組み合わせが開示されている場合、攻撃者はユーザーに代わって特定の操作を実行できます。そのため、ワンタイムパスワードは、パッシブネットワークの盗聴の可能性に抵抗する強力な手段として使用されます。これにより、識別および認証システムは、それほど便利ではありませんが、はるかに安全になります。

現在最も人気のあるものの1つソフトウェアワンタイムパスワードジェネレータは、Bellcoreによって公開されているS / KEYと呼ばれるシステムです。このシステムの基本的な概念は、ユーザーと認証サーバーの両方に知られている特定の機能Fがあるということです。以下は、特定のユーザーだけが知っている秘密鍵Kです。

最初のユーザー管理中この関数は、キーに対して特定の回数使用され、その後、結果がサーバーに保存されます。将来的には、認証手順は次のようになります。

  1. サーバーからユーザーシステムに送信される数値は、関数がキーに使用される回数より1少ない数です。
  2. ユーザーは既存の機能を使用します秘密鍵最初の段落で設定された回数。その後、結果はネットワークを介して認証サーバーに直接送信されます。
  3. サーバーはこの関数を使用して得られた値。その後、結果は以前に保存された値と比較されます。結果が一致する場合、ユーザーは認証され、サーバーは新しい値を格納してから、カウンターを1つ減らします。

実際には、このテクノロジーの実装にはやや複雑な構造ですが、現時点ではそれほど重要ではありません。この機能は元に戻せないため、パスワードを傍受したり、認証サーバーに不正にアクセスしたりした場合でも、秘密鍵を取得したり、次のワンタイムパスワードがどのようになるかを予測したりすることはできません。

ロシアでは、特別な州のポータルである「統合識別/認証システム」(「ESIA」)が統合サービスとして使用されています。

強力な認証システムへの別のアプローチ新しいパスワードが短い間隔で生成されるということです。これは、専用のプログラムやさまざまなスマートカードを使用して実装されます。この場合、認証サーバーは、適切なパスワード生成アルゴリズムと特定の関連パラメーターを受け入れる必要があります。さらに、サーバーとクライアントのクロックの同期も必要です。

Kerberos

Kerberos認証サーバーが最初に登場したのは前世紀の90年代半ばですが、それ以来、彼はすでに膨大な数の根本的な変化を遂げています。現在、このシステムの個々のコンポーネントは、ほとんどすべての最新のオペレーティングシステムに存在しています。

このサービスの主な目的は次の問題の解決策:特定の保護されていないネットワークがあり、さまざまなサブジェクトがユーザーの形でそのノードに集中しているだけでなく、サーバーとクライアントのソフトウェアシステムもあります。そのような各サブジェクトには個別の秘密鍵があり、サブジェクトCがサブジェクトSに対して自分の身元を証明する機会を得るには、それなしでは単に彼に仕えることはできません。彼は自分に名前を付けるだけでなく、見せることも必要になります。彼が特定の秘密鍵を知っていること。同時に、Cには、秘密鍵をSに送信するだけの機能はありません。これは、まずネットワークが開いているためです。これに加えて、Sはそれを認識せず、原則として認識すべきではありません。このような状況では、この情報の知識を実証するために、それほど単純ではない手法が使用されます。

を介した電子識別/認証Kerberosは、サービス対象オブジェクトの秘密鍵に関する情報を持ち、必要に応じてペアワイズ認証の実行を支援する信頼できるサードパーティとして使用することを目的としています。

したがって、顧客は最初に彼に関する必要な情報と要求されたサービスを含むシステム要求。その後、Kerberosは、サーバーの秘密鍵で暗号化された一種のチケットと、クライアントの鍵で分類されたサーバーからのデータの一部のコピーを彼に提供します。一致する場合、クライアントが自分向けの情報を復号化したことが確認されます。つまり、クライアントは秘密鍵を本当に知っていることを証明できました。これは、クライアントがまさに彼が主張する人物であることを示唆しています。

ここでは、秘密鍵の転送がネットワークを介して行われず、暗号化専用に使用されていたという事実に特に注意する必要があります。

生体認証データを使用した認証

統一された識別および認証システムのポータル

バイオメトリクスには組み合わせが含まれます行動的または生理学的特性に基づいた人々の識別/認証の自動化された手段。認証と識別の物理的手段には、目の網膜と角膜、指紋、顔と手の形状、およびその他の個人情報の検証が含まれます。動作特性には、キーボードスタイルと署名のダイナミクスが含まれます。組み合わされた方法は、人の声のさまざまな特徴の分析、および彼のスピーチの認識です。

そのような識別/認証システムと暗号化は世界中の多くの国で普及していますが、長い間、暗号化は非常にコストがかかり、使用が困難でした。最近では、eコマースの発展により生体認証製品の需要が大幅に高まっています。ユーザーの観点からは、情報を覚えるよりも自分を提示する方がはるかに便利だからです。したがって、需要が供給を生み出すため、指紋認識を中心とした比較的安価な製品が市場に出始めました。

ほとんどの場合、バイオメトリクススマートカードなどの他のオーセンティケーターと組み合わせて使用​​されます。多くの場合、生体認証は防御の最前線にすぎず、さまざまな暗号化シークレットを含むスマートカードをアクティブ化する手段として機能します。このテクノロジーを使用する場合、生体認証テンプレートは同じカードに保存されます。

バイオメトリクスの分野での活動は十分です高い。対応するコンソーシアムがすでに存在し、技術のさまざまな側面を標準化するための非常に活発な作業も進行中です。今日、セキュリティを強化すると同時に一般の人々がアクセスできる理想的な手段として生体認証技術を紹介する多くの販促記事を見ることができます。

ESIA

統一された識別および認証システム

識別および認証システム(「ESIA」)は、電子形式で地方自治体または州のサービスが提供された場合に、申請者と省庁間の相互作用の参加者の信憑性の検証に関連するさまざまなタスクの実装を保証するために作成された特別なサービスです。

「シングルポータル」にアクセスするには州の構造」、および現在の電子政府のインフラストラクチャの他の情報システムでは、最初にアカウントを登録する必要があり、その結果、PEPを取得します。

レベル

統合された識別および認証システムのポータルは、個人のアカウントの3つの主要なレベルを提供します。

  • 簡略化。登録するには、名前と名、および特定の通信チャネルを電子メールアドレスまたは携帯電話の形式で指定する必要があります。これは主要なレベルであり、その助けを借りて、さまざまな公共サービスの限られたリストと、既存の情報システムの機能にのみアクセスできます。
  • 標準。それを取得するには、最初に簡略化されたアカウントを発行し、次にパスポートからの情報や個々の保険個人アカウントの番号などの追加データも提供する必要があります。指定された情報は、年金基金の情報システムと連邦移民局を通じて自動的にチェックされ、チェックが成功すると、アカウントは標準レベルに転送され、ユーザーは公共サービスの拡張リストにアクセスできるようになります。 。
  • 確認済み。このレベルのアカウントを取得するには、統一されたIDおよび認証システムで、ユーザーは標準アカウントを持っている必要があります。また、IDの確認は、認定サービス部門への個人的な訪問または書留郵便でのアクティベーションコードの受信によって実行されます。 。本人確認が成功した場合、アカウントは新しいレベルに移動し、ユーザーは必要な政府サービスの完全なリストにアクセスできるようになります。

手順は見えるかもしれませんが非常に複雑で、実際、必要なデータの完全なリストを公式Webサイトで直接知ることができるため、本格的な設計は数日でかなり可能になります。

また読む

ハザードの特定:基本的な概念
コードOKATO。 OKATOとは何ですか?また、居住地でコードを見つける方法は?
Apple IDの確認コードはどこに入力すればよいですか、どこで入手できますか?
道徳的なファージとは誰であり、なぜ彼らは愛されていないのですか?
コミュニケーションの知覚的側面:心理的内容
国家は架空のコミュニティです。
モスクワのメトロでWiFiに接続する方法:アクセスの識別
The Batの構成方法
バットをカスタマイズ! Yandexの場合:詳細ガイド
管理活動とその基本概念の文書化
ハザードの特定:決定方法
受益者は・・・受益者の特定