التعريف والمصادقة: مفاهيم أساسية

2024 مؤلف: Howard Calhoun | [email protected]. آخر تعديل: 2023-12-17 10:18

تحديد الهوية والمصادقة هما أساس أدوات أمان البرامج والأجهزة الحديثة ، نظرًا لأن أي خدمات أخرى مصممة بشكل أساسي لخدمة هذه الكيانات. تمثل هذه المفاهيم نوعًا من خط الدفاع الأول الذي يضمن أمان مساحة المعلومات الخاصة بالمنظمة.

ما هذا؟

للهوية والمصادقة وظائف مختلفة. الأول يعطي الموضوع (المستخدم أو العملية التي تتصرف نيابة عنه) الفرصة لتقديم اسمه. بمساعدة المصادقة ، أصبح الطرف الثاني مقتنعًا أخيرًا أن الموضوع هو حقًا من يدعي أنه. غالبًا ما يتم استبدال التعريف والمصادقة بعبارات "رسالة الاسم" و "المصادقة" كمرادفات.

هم أنفسهم مقسمون إلى عدة أصناف. بعد ذلك ، سننظر في ماهية التعريف والمصادقة وما هما.

المصادقة

يوفر هذا المفهوم نوعين: من جانب واحد ، عند العميليجب أولاً إثبات مصداقيتها للخادم ، وذات اتجاهين ، أي عند إجراء التأكيد المتبادل. من الأمثلة القياسية على كيفية تنفيذ تعريف المستخدم القياسي والمصادقة هو إجراء تسجيل الدخول إلى نظام معين. وبالتالي ، يمكن استخدام أنواع مختلفة في كائنات مختلفة.

في بيئة شبكة يتم فيها تحديد هوية المستخدم والمصادقة على جوانب متفرقة جغرافيًا ، تختلف الخدمة المعنية في جانبين رئيسيين:

• الذي يعمل كمصدق ؛
• كيف تم تنظيم تبادل بيانات المصادقة وتحديد الهوية بالضبط وكيف يتم حمايتها.

لإثبات هويتهم ، يجب أن يقدم الموضوع أحد الكيانات التالية:

• معلومات معينة يعرفها (الرقم الشخصي ، كلمة المرور ، مفتاح التشفير الخاص ، إلخ) ؛
• شيء معين يمتلكه (بطاقة شخصية أو جهاز آخر لغرض مماثل) ؛
• شيء معين يمثل عنصرًا في ذاته (بصمات الأصابع والصوت والوسائل البيومترية الأخرى لتحديد المستخدمين والمصادقة عليهم).

ميزات النظام

في بيئة شبكة مفتوحة ، لا تملك الأطراف مسارًا موثوقًا به ، مما يعني ، بشكل عام ، أن المعلومات التي يرسلها الموضوع قد لا تتطابق في النهاية مع المعلومات المستلمة والمستخدمةعند المصادقة. مطلوب لضمان أمن الاستماع النشط والسلبي للشبكة ، أي الحماية من التصحيح أو اعتراض أو تشغيل البيانات المختلفة. يعد خيار إرسال كلمات المرور بنص عادي غير مُرضٍ ، وبنفس الطريقة ، لا يمكن لتشفير كلمة المرور إنقاذ الموقف ، لأنها لا توفر الحماية ضد الاستنساخ. هذا هو سبب استخدام بروتوكولات المصادقة الأكثر تعقيدًا اليوم.

يصعب التعرف على الهوية بشكل موثوق ليس فقط بسبب التهديدات المختلفة عبر الإنترنت ، ولكن أيضًا لمجموعة متنوعة من الأسباب الأخرى. بادئ ذي بدء ، يمكن سرقة أي كيان مصادقة تقريبًا أو تزويره أو استنتاجه. هناك أيضًا تناقض معين بين موثوقية النظام المستخدم ، من ناحية ، وراحة مسؤول النظام أو المستخدم ، من ناحية أخرى. وبالتالي ، ولأسباب أمنية ، يُطلب من المستخدم إعادة إدخال معلومات المصادقة الخاصة به مع بعض التردد (نظرًا لأن شخصًا آخر قد يكون جالسًا بالفعل في مكانه) ، وهذا لا يخلق مشكلة إضافية فحسب ، بل يزيد أيضًا بشكل كبير من فرصة أن يتمكن شخص ما من التجسس على إدخال المعلومات. من بين أمور أخرى ، تؤثر موثوقية معدات الحماية بشكل كبير على تكلفتها.

تدعم أنظمة التعريف والمصادقة الحديثة مفهوم الدخول الفردي إلى الشبكة ، والذي يسمح لك في المقام الأول بتلبية المتطلبات من حيث راحة المستخدم. إذا كانت شبكة الشركة القياسية بها العديد من خدمات المعلومات ،توفير إمكانية العلاج المستقل ، فإن الإدخال المتكرر للبيانات الشخصية يصبح مرهقًا للغاية. في الوقت الحالي ، لا يمكن القول إن استخدام تسجيل الدخول الفردي يعتبر أمرًا طبيعيًا ، نظرًا لأن الحلول السائدة لم تتشكل بعد.

وهكذا ، يحاول الكثير إيجاد حل وسط بين القدرة على تحمل التكاليف والراحة وموثوقية الوسائل التي توفر تحديد الهوية / المصادقة. يتم تفويض المستخدمين في هذه الحالة وفقًا للقواعد الفردية.

يجب إيلاء اهتمام خاص لحقيقة أن الخدمة المستخدمة يمكن اختيارها كهدف لهجوم الإتاحة. إذا تم تكوين النظام بطريقة أنه بعد عدد معين من المحاولات غير الناجحة ، يتم حظر القدرة على الدخول ، ثم في هذه الحالة ، يمكن للمهاجمين إيقاف عمل المستخدمين القانونيين ببضع ضغطات على المفاتيح.

مصادقة كلمة المرور

الميزة الرئيسية لمثل هذا النظام هي أنه بسيط للغاية ومألوف لمعظم الناس. تم استخدام كلمات المرور بواسطة أنظمة التشغيل والخدمات الأخرى لفترة طويلة ، وعند استخدامها بشكل صحيح ، فإنها توفر مستوى أمانًا مقبولاً تمامًا لمعظم المؤسسات. ولكن من ناحية أخرى ، من حيث المجموعة الإجمالية للخصائص ، تمثل هذه الأنظمة أضعف الوسائل التي يمكن من خلالها إجراء تحديد الهوية / الاستيقان. يصبح التفويض في هذه الحالة بسيطًا جدًا ، حيث يجب أن تكون كلمات المرورلا تنسى ، ولكن في نفس الوقت ليس من الصعب تخمين التركيبات البسيطة ، خاصة إذا كان الشخص يعرف تفضيلات مستخدم معين.

في بعض الأحيان يحدث أن كلمات المرور ، من حيث المبدأ ، لا يتم الاحتفاظ بها سرية ، لأنها تحتوي على قيم قياسية تمامًا محددة في وثائق معينة ، وليس دائمًا بعد تثبيت النظام ، يتم تغييرها.

عند إدخال كلمة المرور ، يمكنك أن ترى ، وفي بعض الحالات يستخدم الأشخاص أجهزة بصرية متخصصة.

يمكن للمستخدمين ، وهم الموضوعات الرئيسية لتحديد الهوية والمصادقة ، مشاركة كلمات المرور مع الزملاء من أجل تغيير الملكية لفترة معينة. من الناحية النظرية ، في مثل هذه المواقف ، سيكون من الأفضل استخدام ضوابط وصول خاصة ، ولكن من الناحية العملية لا يستخدمها أي شخص. وإذا عرف شخصان كلمة المرور ، فهذا يزيد بشكل كبير من فرص اكتشافها للآخرين في النهاية.

كيفية إصلاح هذا؟

هناك عدة وسائل لكيفية تأمين الهوية والمصادقة. يمكن لمكون معالجة المعلومات تأمين نفسه على النحو التالي:

• فرض قيود فنية مختلفة. في أغلب الأحيان ، يتم تعيين القواعد الخاصة بطول كلمة المرور ، وكذلك محتوى بعض الأحرف فيها.
• إدارة انتهاء صلاحية كلمات المرور ، أي الحاجة إلى تغييرها بشكل دوري.
• تقييد الوصول إلى ملف كلمة المرور الرئيسي.
• عن طريق تحديد العدد الإجمالي للمحاولات الفاشلة المتاحة عند تسجيل الدخول. شكرا لفي هذه الحالة ، يجب على المهاجمين تنفيذ الإجراءات فقط قبل إجراء تحديد الهوية والمصادقة ، حيث لا يمكن استخدام طريقة القوة الغاشمة.
• تدريب مسبق للمستخدمين
• استخدام برنامج مخصص لإنشاء كلمات المرور يتيح لك إنشاء مجموعات تتسم بالصدق ولا تُنسى بدرجة كافية.

يمكن استخدام كل هذه الإجراءات في أي حال ، حتى لو تم استخدام وسائل أخرى للمصادقة مع كلمات المرور.

كلمات المرور لمرة واحدة

الخيارات التي تمت مناقشتها أعلاه قابلة لإعادة الاستخدام ، وإذا تم الكشف عن المجموعة ، يحصل المهاجم على فرصة لإجراء عمليات معينة نيابة عن المستخدم. هذا هو السبب في استخدام كلمات المرور لمرة واحدة كوسيلة أقوى ، ومقاومة لإمكانية الاستماع إلى الشبكة السلبية ، وبفضل ذلك أصبح نظام تحديد الهوية والمصادقة أكثر أمانًا ، وإن لم يكن مناسبًا.

في الوقت الحالي ، أحد أشهر برامج إنشاء كلمات المرور لمرة واحدة هو نظام يسمى S / KEY ، تم إصداره بواسطة Bellcore. المفهوم الأساسي لهذا النظام هو أن هناك وظيفة معينة F معروفة لكل من المستخدم وخادم المصادقة. التالي هو المفتاح السري K ، وهو معروف فقط لمستخدم معين.

أثناء الإدارة الأولية للمستخدم ، يتم استخدام هذه الوظيفة للمفتاحعدد معين من المرات ، وبعد ذلك يتم حفظ النتيجة على الخادم. في المستقبل ، يبدو إجراء المصادقة كما يلي:

1. يأتي رقم إلى نظام المستخدم من الخادم ، وهو أقل بمقدار 1 من عدد مرات استخدام الوظيفة للمفتاح.
2. يستخدم المستخدم وظيفة المفتاح السري المتاح بعدد المرات التي تم تعيينها في الفقرة الأولى ، وبعد ذلك يتم إرسال النتيجة عبر الشبكة مباشرة إلى خادم المصادقة.
3. يستخدم الخادم هذه الوظيفة للقيمة المستلمة ، وبعد ذلك تتم مقارنة النتيجة بالقيمة المحفوظة مسبقًا. إذا كانت النتائج متطابقة ، فسيتم مصادقة المستخدم ويحفظ الخادم القيمة الجديدة ، ثم ينقص العداد بواحد.

من الناحية العملية ، فإن تنفيذ هذه التقنية له هيكل أكثر تعقيدًا بعض الشيء ، لكنه ليس مهمًا في الوقت الحالي. نظرًا لأن الوظيفة لا رجوع فيها ، حتى إذا تم اعتراض كلمة المرور أو تم الحصول على وصول غير مصرح به إلى خادم المصادقة ، فإنها لا توفر القدرة على الحصول على مفتاح سري وتتوقع بأي شكل من الأشكال شكل كلمة المرور التالية لمرة واحدة على وجه التحديد.

في روسيا ، يتم استخدام بوابة الدولة الخاصة كخدمة موحدة - "نظام تحديد الهوية / المصادقة الموحد" ("ESIA").

طريقة أخرى لنظام مصادقة قوي تتمثل في إنشاء كلمة مرور جديدة على فترات زمنية قصيرة ، والتي يتم تنفيذها أيضًا من خلالاستخدام برامج متخصصة أو بطاقات ذكية متنوعة. في هذه الحالة ، يجب أن يقبل خادم المصادقة خوارزمية إنشاء كلمة المرور المناسبة ، بالإضافة إلى بعض المعلمات المرتبطة بها ، وبالإضافة إلى ذلك ، يجب أن يكون هناك أيضًا مزامنة على مدار الساعة بين الخادم والعميل.

Kerberos

ظهر خادم مصادقة Kerberos لأول مرة في منتصف التسعينيات من القرن الماضي ، ولكن منذ ذلك الحين تلقى بالفعل عددًا كبيرًا من التغييرات الأساسية. في الوقت الحالي ، توجد المكونات الفردية لهذا النظام في كل نظام تشغيل حديث تقريبًا.

الغرض الرئيسي من هذه الخدمة هو حل المشكلة التالية: هناك شبكة معينة غير محمية ، وتتركز مواضيع مختلفة في عقدها في شكل مستخدمين ، وكذلك أنظمة برامج الخادم والعميل. كل موضوع له مفتاح سري فردي ، ولكي تتاح للموضوع C الفرصة لإثبات مصداقيته للموضوع S ، والذي بدونه لن يخدمه ببساطة ، فلن يحتاج فقط إلى تسمية نفسه ، ولكن أيضًا ليبين أنه يعرف شيئًا معينًا المفتاح السري. في الوقت نفسه ، لا تتاح لـ C الفرصة لإرسال مفتاحها السري ببساطة إلى S ، نظرًا لأن الشبكة مفتوحة أولاً وقبل كل شيء ، بالإضافة إلى ذلك ، لا تعرف S ، ومن حيث المبدأ ، يجب ألا تعرفها. في مثل هذه الحالة ، يتم استخدام تقنية أقل وضوحًا لإثبات المعرفة بهذه المعلومات.

يوفر التعريف / المصادقة الإلكترونية من خلال نظام Kerberos لذلكتستخدم كطرف ثالث موثوق به لديه معلومات حول المفاتيح السرية للكائنات المعروضة ، وإذا لزم الأمر ، يساعدهم في إجراء المصادقة الزوجية.

وهكذا يقوم العميل أولاً بإرسال طلب إلى النظام يحتوي على المعلومات اللازمة عنه وكذلك حول الخدمة المطلوبة. بعد ذلك ، يزوده Kerberos بنوع من التذكرة ، يتم تشفيره بالمفتاح السري للخادم ، بالإضافة إلى نسخة من بعض البيانات منه ، والتي يتم تشفيرها بمفتاح العميل. في حالة وجود تطابق ، ثبت أن العميل قام بفك تشفير المعلومات المخصصة له ، أي أنه كان قادرًا على إثبات أنه يعرف حقًا المفتاح السري. هذا يشير إلى أن العميل هو بالضبط ما يدعي أنه.

يجب إيلاء اهتمام خاص هنا لحقيقة أن نقل المفاتيح السرية لم يتم عبر الشبكة ، وتم استخدامها حصريًا للتشفير.

المصادقة البيومترية

تتضمن القياسات الحيوية مجموعة من الوسائل الآلية لتحديد / مصادقة الأشخاص بناءً على خصائصهم السلوكية أو الفسيولوجية. تشمل الوسائل المادية للمصادقة وتحديد الهوية التحقق من شبكية العين وقرنية العين وبصمات الأصابع وهندسة الوجه واليد وغيرها من المعلومات الشخصية. تشمل الخصائص السلوكية أسلوب العمل باستخدام لوحة المفاتيح وديناميكيات التوقيع. مجموعالأساليب هي تحليل السمات المختلفة لصوت الشخص وكذلك التعرف على كلامه.

تُستخدم أنظمة التعريف / المصادقة والتشفير هذه على نطاق واسع في العديد من البلدان حول العالم ، لكنها كانت مكلفة للغاية وصعبة الاستخدام لفترة طويلة. في الآونة الأخيرة ، زاد الطلب على منتجات القياسات الحيوية بشكل كبير بسبب تطور التجارة الإلكترونية ، لأنه من وجهة نظر المستخدم ، من الأنسب أن يقدم المرء نفسه بدلاً من حفظ بعض المعلومات. وفقًا لذلك ، يخلق الطلب عرضًا ، لذلك بدأت المنتجات الرخيصة نسبيًا في الظهور في السوق ، والتي تركز بشكل أساسي على التعرف على بصمات الأصابع.

في الغالبية العظمى من الحالات ، يتم استخدام القياسات الحيوية جنبًا إلى جنب مع أدوات المصادقة الأخرى مثل البطاقات الذكية. غالبًا ما تكون المصادقة البيومترية هي خط الدفاع الأول فقط وتعمل كوسيلة لتفعيل البطاقات الذكية التي تحتوي على أسرار تشفير مختلفة. عند استخدام هذه التقنية ، يتم تخزين قالب المقاييس الحيوية على نفس البطاقة.

النشاط في مجال القياسات الحيوية مرتفع للغاية. يوجد بالفعل اتحاد مناسب ، ويتم تنفيذ العمل بنشاط كبير بهدف توحيد مختلف جوانب التكنولوجيا. يمكنك اليوم مشاهدة الكثير من المقالات الإعلانية التي يتم فيها تقديم تقنيات القياسات الحيوية كوسيلة مثالية لزيادة الأمان وفي نفس الوقت في متناول عامة الناس.الجماهير

ESIA

نظام تحديد الهوية والتوثيق ("ESIA") هو خدمة خاصة تم إنشاؤها من أجل ضمان تنفيذ المهام المختلفة المتعلقة بالتحقق من هوية المتقدمين والمشاركين في التفاعل بين الإدارات في حالة توفير أي خدمات بلدية أو ولاية في شكل إلكتروني.

من أجل الوصول إلى "البوابة الواحدة للجهات الحكومية" ، بالإضافة إلى أي أنظمة معلومات أخرى للبنية التحتية للحكومة الإلكترونية الحالية ، ستحتاج أولاً إلى تسجيل حساب ، ونتيجة لذلك ، احصل على PES.

مستويات

توفر بوابة نظام الهوية والتوثيق الموحد ثلاثة مستويات رئيسية للحسابات للأفراد:

• مبسط. لتسجيله ، ما عليك سوى الإشارة إلى اسمك الأخير واسمك الأول ، بالإضافة إلى بعض قنوات الاتصال المحددة في شكل عنوان بريد إلكتروني أو هاتف محمول. هذا هو المستوى الأساسي ، والذي من خلاله يمكن للشخص الوصول فقط إلى قائمة محدودة من الخدمات العامة المختلفة ، وكذلك قدرات أنظمة المعلومات الحالية.
• قياسي. للحصول عليه ، تحتاج أولاً إلى إصدار حساب مبسط ، ثم تقديم بيانات إضافية أيضًا ، بما في ذلك معلومات من جواز السفر ورقم حساب التأمين الشخصي الفردي. يتم فحص المعلومات المحددة تلقائيًا من خلال أنظمة المعلوماتصندوق التقاعد ، وكذلك دائرة الهجرة الفيدرالية ، وإذا نجح الشيك ، يتم تحويل الحساب إلى المستوى القياسي ، والذي يفتح قائمة موسعة من الخدمات العامة للمستخدم.
• مؤكد. للحصول على هذا المستوى من الحساب ، يتطلب نظام التعريف والمصادقة الموحد أن يكون لدى المستخدمين حساب قياسي ، بالإضافة إلى التحقق من الهوية ، والذي يتم إجراؤه من خلال زيارة شخصية إلى فرع خدمة معتمد أو عن طريق الحصول على رمز التفعيل عبر البريد المسجل. في حالة نجاح التحقق من الهوية ، سينتقل الحساب إلى مستوى جديد ، وسيتمكن المستخدم من الوصول إلى القائمة الكاملة للخدمات الحكومية الضرورية.

على الرغم من حقيقة أن الإجراءات قد تبدو معقدة للغاية ، في الواقع ، يمكنك التعرف على القائمة الكاملة للبيانات الضرورية مباشرة على الموقع الرسمي ، لذا فإن التسجيل الكامل ممكن في غضون أيام قليلة.