식별 및 인증 : 기본 개념

다른 서비스는 주로 이러한 주제의 서비스를위한 것입니다으로 식별 및 인증, 현대적인 소프트웨어 및 하드웨어 보안의 기초입니다. 이러한 개념은 보안 보장, 방어의 첫 번째 줄의 종류를 나타냅니다 정보 공간의 조직.

그것은 무엇입니까?

식별 및 인증은 다른 기능을 가지고있다. 첫 번째는 자신의 이름을 말할 수있는 기회를 (대신 역할을 사용자 나 프로세스)의 제목을 제공합니다. 인증의 수단에 의해 두 번째면은 피사체가 정말 그가 주장 누구의 하나입니다 완전히 확신합니다. 종종 동의어 식별 및 인증과 같은 문구 "포스트 이름"과 "인증"으로 대체됩니다.

그들은 그들 자신은 여러 종류로 나누어집니다. 다음으로, 우리는 식별 및 인증이라는 것을 고려하고 그들은 무엇인가.

인증

이 개념은 두 가지 유형을 제공 : 편도, 클라이언트는 먼저 상호 확인이 수행 될 때 즉,, 인증하는 서버에 증명하고, 양자해야합니다. 사용자의 표준 식별 및 인증을 수행하는 방법의 전형적인 예 - 특정 시스템에 로그인하는 것입니다. 따라서, 다른 종류의 다양한 목적으로 사용될 수있다.

사용자의 식별 및 인증은 두 가지 측면으로 구분하는 서비스를 조사, 지리적으로 분산 된 당사자에 만든 네트워크 환경에서 :

• 즉, 인증 자 역할;
• 어떻게이 데이터 인증 및 식별 방법을 보호하는 방법의 교환에 의해 조직되었다.

그것의 진위를 확인하기 위해, 주제는 다음 기관 중 하나에 제시해야합니다 :

• 그가 알고있는 특정 정보 (개인 번호, 비밀번호, 특수 암호화 키를, 등등 ...);
• 어떤 것은 그가 (개인 카드 또는 유사한 목적을 가진 다른 장치)를 소유;
• 는 IT의 요소 (지문, 음성 또는 다른 생체 인식 및 사용자 인증)은 특정 일.

시스템 기능

오픈 네트워크 환경에서, 당사자가 신뢰할 수있는 경로가없는, 일반적으로 피사체에 의해 전송 된 정보는 결국 수신 인증에 사용되는 정보가 다를 수 있다고한다. 즉 능동 및 수동 네트워크 스니퍼의 필수 안전, 수정, 차단 또는 다른 데이터의 재생에 대한 보호. 그들은, 재생 보호를 제공하지 않기 때문에 맑은에서 암호 전송 옵션은 암호화 된 암호 만족하지 않고, 단지 하루에 저장할 수 없습니다합니다. 오늘은 더 복잡한 인증 프로토콜을 사용하는 이유입니다.

신뢰할 수있는 식별 때문에 네트워크 위협의 다양한뿐만 아니라 다른 여러 가지 이유로뿐만 아니라 어렵습니다. 첫 번째 거의 모든 인증 기관은 납치하거나 위조 또는 스카우트 할 수있다. 사용되는 시스템의 안정성 사이의 장력은 한 손으로도 존재하고, 시스템 관리자 또는 사용자 설비 - 다른 쪽. 따라서, 일부 주파수에 필요한 보안의 이유로 (그는 다른 사람을 앉아 할 수 있습니다 대신으로)의 인증 정보의 소개를 다시 사용자에게, 그것은뿐만 아니라 추가로 문제를 만들지 만도 크게의 기회를 증가 누군가는 정보 입력을 올립니다 수 있습니다. 또한, 보호의 신뢰성 값에 상당한 영향을 의미한다.

현대 식별 및 인증 시스템은 주로 사용자 편의의 측면에서 요구 사항을 충족시켜 네트워크에 단일 사인 온 (SSO)의 개념을 지원합니다. 표준 경우 기업 네트워크는 독립적 인 순환의 가능성을 제공, 정보 서비스를 많이 가지고, 다음 개인 정보의 여러 행정부는 너무 부담이된다. 순간 지배적 인 솔루션이 아직 형성되지 않는 한 네트워크에 단일 사인 온 (SSO)의 사용이 정상이라고 말할 여전히 불가능하다.

따라서, 많은 식별 / 인증을 제공 자금의 경제성, 편리 성 및 신뢰성 사이의 타협을 찾기 위해 노력하고 있습니다. 이 경우 사용자 인증은 개별 규칙에 따라 수행된다.

특별한주의가 사용하는 서비스 가용성에 대한 공격의 대상으로 선택 될 수 있다는 사실에 지불해야한다. 경우 시스템 구성 가능성을 입력 실패한 시도의 숫자가 고정 된 후, 다음 공격자는 단지 몇 번의 키 입력으로 동작 합법적 인 사용자를 막을 수있는 방법으로 이루어진다.

암호 인증

이 시스템의 가장 큰 장점은 대부분 매우 간단하고 익숙한 것입니다. 암호는 운영 체제 및 다른 서비스에 의해 사용되며, 대부분의 조직에 매우 수용 제공하는 보안의 적절한 사용으로되어있다. 한편, 이러한 시스템의 특성을 공통적으로 식별 / 인증이 구현 될 수있는 가장 취약한 수단이다. 암호가 인기를 얻기 쉬운해야하기 때문에이 경우 권한 부여, 아주 간단하게,하지만 사람이 특정 사용자의 환경 설정을 알고 특히, 간단한의 조합을 추측하기 어렵지 않다.

때로는 암호가 특정 문서에 지정된 꽤 표준 값은 다음과 같이 원칙적으로, 비밀을 유지하지, 그리고 항상 시스템을 설치 한 후,이를 변경되어 발생합니다.

암호를 입력 할 때 당신이 볼 수있는 경우에, 사람들은 전문 광학 기기를 사용합니다.

사용자 식별 및 인증의 주요 주제는, 암호는 종종 소유자를 변경 한 특정 시간에 이들에게 동료를 통지한다. 이론적으로, 이러한 상황에서 특별한 액세스 제어를 사용하는 것이 더 올바른 것이지만, 실제로는 사용되지 않습니다. 암호 두 사람을 알고 있다면, 그것은 매우 크게 그것의 끝에서 자세한 내용을 보려면하는 기회를 증가한다.

어떻게 그것을 해결하기 위해?

보호 될 수있는 식별 및 인증과 같은 여러 가지 도구가 있습니다. 보장 할 수있다 정보 처리 구성 요소는 다음과 같다 :

• 다양한 기술적 한계의 부과. 대부분의 경우 암호 길이 및 특정 문자의 내용에 대한 규칙을 설정합니다.
• 오피스 암호 만료, 즉, 그들은 주기적으로 교체해야합니다.
• 기본 암호 파일에 제한된 액세스 할 수 있습니다.
• 로그인 할 때 사용할 수있는 실패한 시도의 총 수의 제한. 이 공격자의 식별 및 인증뿐만 아니라 정렬 방법을 수행하는 경우에만 작업을 수행해야하기 때문에 사용할 수 없습니다.
• 사용자의 예비 교육.
• 충분히 선율과 기억에 남는 등의 조합을 만들 수있는 전문 소프트웨어 암호 생성기를 사용.

암호는 인증의 다른 방법을 사용합니다도 함께 경우 이러한 조치는 모두, 어떤 경우에 사용할 수 있습니다.

일회성 암호

상기 실시 예들은 재사용과 조합 공격자를 개방하는 경우, 사용자를 대신하여 소정의 작업을 수행 할 수있다. 수동적 인 네트워크 스니퍼의 가능성에 저항력이 강한 수단으로, 식별 및 인증 시스템이 훨씬 더 안전하는 일회용 패스워드를 사용하는 이유는 비록 편리하지입니다.

지금이 순간, 가장 인기있는 소프트웨어 일회성 비밀번호 생성기 중 하나는 벨 코어가 발표 한 S / KEY라는 시스템이다. 본 시스템의 기본 개념은 사용자와 인증 서버 모두에게 알려진 F, 특정 기능이 있다는 것이다. 다음은 특정 사용자에게만 알려진 비밀 키 K입니다.

초기 투여 사용자에서이 함수의 횟수, 결과가 서버에 저장되어있는 키를 사용한다. 다음이어서, 인증 절차는 :

1. 서버에서 사용자 시스템의 키에 기능을 사용하는 횟수 1보다 작은 수에 온다.
2. 사용자 함수 결과를 상기 인증 서버에 직접 네트워크를 통해 전송된다 그러자, 제 지점에 설정 한 횟수에 비밀 키를 사용한다.
3. 서버는 얻어진 값이 함수를 사용하며 결과는 이전에 저장된 값과 비교된다. 결과가 일치하는 경우, 사용자의 ID가 설립되고, 서버는 새로운 값을 저장 한 다음 하나 카운터는 감소합니다.

실제로,이 기술의 구현은 좀 더 복잡한 구조를 가지고 있지만 지금 그것은 중요하지 않습니다. 이 함수는 암호 차단 또는 얻는 경우에도 돌이킬 수없는 때문에 인증되지 않은 액세스 인증 서버는 개인 키와 정확히 다음과 같은 일회성 비밀번호와 같은 모양을 예측할 수있는 방법을 얻을 수있는 가능성을 제공하지 않습니다.

"식별 / 인증의 독특한 시스템"( "ESIA") - 러시아에서 통합 서비스, 특별 상태 포털로.

강력한 인증 시스템에 또 다른 방법은 새 암호는 전문 프로그램이나 다양한 스마트 카드의 사용을 통해 실현되는 짧은 간격으로 발생했다는 사실에있다. 이 경우, 인증 서버는 대응하는 암호 생성 알고리즘과 연관된 특정 매개 변수를 수용한다, 또한, 클럭 동기화 서버 및 클라이언트로서 존재해야한다.

커버 로스

처음으로 Kerberos 인증 서버는 지난 세기의 90 년대 중반에 등장하지만, 그 이후로 그는 근본적인 변화를 많이받은 이미했다. 지금이 순간, 시스템의 개별 구성 요소는 거의 모든 현대 운영 체제에 존재한다.

이 서비스의 주요 목적은 다음과 같은 문제를 해결하는 것입니다 특정 비보안 네트워크와 다양한 주제의 사용자에의 집중 형태의 노드, 서버 및 클라이언트 소프트웨어 시스템이 있습니다. 이러한 각 개체는 현재 개별 비밀 키, 그리고 그가 단순히 서비스를하지 않습니다 없이는 주제의 S, 자신의 진정성을 입증 할 수있는 기회와 주제에, 그것은뿐만 아니라 자신을 호출 할뿐만 아니라, 그는 몇 가지를 알고 있다는 것을 보여줄 필요가있을 것이다 비밀 키. 다만 원칙적으로, 첫 번째 인스턴스, 네트워크가 열려, 또한, S 모르는 같이 비밀 키 S의 방향으로 보낼 수있는 방법으로 동시에 그를 알지 못한다. 이 상황에서 해당 정보의 지식의 적은 간단한 기술 데모를 사용합니다.

커버 로스 시스템을 통해 전자 식별 / 인증 서비스 사이트의 비밀 키에 대한 정보가 필요한 경우 페어 인증을 수행하는 그들에게 도움이 신뢰할 수있는 써드 파티 등의 사용을 제공합니다.

따라서, 클라이언트는 먼저 그것에 대해 필요한 정보뿐만 아니라, 요청 된 서비스를 포함하는 쿼리에 보냈다. 이 후, Kerberos는 그에게 클라이언트의 비밀 키 인 서버의 비밀 키뿐만 아니라 그것에서 일부 데이터의 사본과 암호화 티켓의 종류를 제공합니다. 이 클라이언트가 해독되었다는보고를 설립하는 경우 즉, 그는 개인 키가 정말 그를 알고 있음을 입증 할 수 있었다, 그 의도. 이것은 클라이언트가되는 사람을 나타냅니다.

특별한주의가 여기에 비밀 키의 전송 네트워크에서 실행되지 않도록주의해야한다, 그들은 암호화를 위해 독점적으로 사용된다.

생체 인증을 이용하여

생체 인식은 자신의 행동이나 생리적 특성에 따라 사람들의 자동 식별 / 인증의 조합을 포함한다. 식별 및 인증 물리적 수단은 망막 스캔 눈, 각막, 지문, 안면과 손 형상뿐만 아니라, 다른 개인 정보를 제공한다. 행동 특성은 키보드로 작품의 스타일과 서명의 역학을 포함한다. 결합 방법은 자신의 음성의 음성은 인간의 다양한 특성의 분석뿐만 아니라 인식된다.

이러한 식별 / 인증 및 암호화 시스템은 전 세계의 많은 나라에서 널리 사용되지만, 오랜 시간 동안, 그들은 매우 높은 비용과 사용의 복잡성이다. 사용자의 관점에서, 몇 가지 정보를 기억하는 것보다, 자신을 제시하는 것이 훨씬 쉽게, 때문에 최근에는 생체 인식 제품에 대한 수요로 인해 전자 상거래의 발전에 크게 증가했다. 따라서, 수요가 공급을 작성하므로 시장은 주로 지문 인식에 초점을 맞추고있다 상대적으로 저가 제품을 표시하기 시작했다.

케이스의 압도적 인 다수에서, 생체 인식 스마트 카드와 같은 다른 인증 자와 함께 사용된다. 종종 생체 인증 방위의 첫 번째 라인과 높이는 수단으로서 작용 스마트 카드, 다양한 암호화 비밀을 포함한다. 이 기술을 사용하는 경우, 생체 인식 템플릿은 동일한 카드에 저장됩니다.

생체 분야의 활동을 충분히 높다. 관련 기존 컨소시엄뿐만 아니라, 매우 활동적인 작품은 기술의 다양한 측면을 표준화하기 위해 진행되고있다. 오늘 우리는 생체 인식 기술이 증가 안전을 제공하는 이상적인 수단 및 대중 저렴한 비용으로 동시에 제시 광고 기사를 많이 볼 수 있습니다.

ESIA

식별 및 인증 ( "ESIA")의 시스템은 지원자의 신뢰성 및 전자 형태로 어떤 도시 나 공공 서비스의 경우 부처 간 협력의 구성원의 검증에 관련된 다양한 작업의 이행을 보장하기위한 특별한 서비스입니다.

는 "국가 구조의 단일 포털"뿐만 아니라 전자 정부를 기존의 다른 정보 시스템 인프라에 액세스하려면 먼저 계정을 등록해야 그 결과, 항 경련제를 얻을.

수준

식별 및 인증의 통합 시스템의 포털은 개인 계정의 세 가지 기본 수준을 제공합니다 :

• 단순화. 의 등록을 위해 단순히 이름과 성뿐만 아니라, 이메일 주소 나 휴대 전화의 형태로 통신의 일부 특정 채널을 포함한다. 사람은 다양한 정부 서비스의 제한된 목록에 대한 액세스를 제공하는이 차 수준뿐만 아니라 기존 정보 시스템의 기능을 제공합니다.
• 표준. 단순화 된 계정을 발행 초기에 필요한 취득하고 또한 여권 번호와 보험 개인 계정 정보를 포함한 추가 정보를 제공합니다. 이 정보는 자동으로 테스트가 성공하면, 계정은 상태 서비스의 확장 된 목록에 사용자를 열고, 표준 레벨로 변환되고, 연금 기금의 정보 시스템뿐만 아니라 연방 마이그레이션 서비스를 통해 확인하고있다.
• 확인했다. 계정이 수준, 식별 및 인증의 통합 시스템을 얻으려면 표준 계정에 대한 사용자뿐만 아니라 직접 방문 공인 서비스 부서를 통해 또는 통해 활성화 코드를 얻기에 의해 수행되는 신원 증명이 필요합니다 등록 편지. 개별 확인이 성공적인 경우, 계정이 새로운 레벨로 이동하며, 사용자에게 필요한 공공 서비스의 전체 목록에 대한 액세스 권한을 얻을 것입니다.

몇 일 동안 등록을 완료 할 수 있도록 절차, 실제로 공식 웹 사이트에서 직접 할 수 있습니다 필요한 데이터의 전체 목록을 볼 수있을만큼 복잡 보일 수 있다는 사실에도 불구하고.