標識和認證：基本概念

標識和認證是現代軟件和硬件安全的基礎，任何其他服務主要用於這些科目的服務。 這些概念代表了一種的第一道防線，確保安全 信息空間的 組織。

這是什麼？

標識和認證具有不同的功能。 第一個提供（即行為代表的用戶或過程）有機會說出自己的名字的主題。 通過認證的手段是第二方是完全相信的主題確實是對他們來說，他聲稱自己是一個。 通常情況下，作為一個同義詞識別和認證是由短語“帖子名稱”和“認證”所取代。

他們自己也被分為幾個品種。 其次，我們認為，識別和認證，以及它們是什麼。

認證

這個概念提供了兩種類型：單向的，客戶端必須首先證明給服務器進行身份驗證，以及雙邊，那就是，當相互確認進行。 如何進行用戶的標準識別和認證典型例子 - 是登錄到特定的系統。 因此，不同類型的可在各種對象來使用。

在網絡環境中，用戶的識別和認證上取得地理上分散的各方，檢查服務是由兩個主要方面區分：

• 充當認證器;
• 它是如何通過數據驗證和識別，以及如何保護它的交換組織起來。

為了證實其真實性，主體必須提交下列實體之一：

• 他知道某些信息（個人號碼，密碼，一種特殊的加密密鑰等）;
• 某些東西，他擁有（個人卡或具有類似目的的一些其他設備）;
• 某些事情，這是它的一個元件（指紋，聲音或其他生物特徵識別和用戶的認證）。

系統特點

在開放的網絡環境下，當事人不具有可信路徑，它是說，在一般情況下，由對象發送的信息可能最終是來自和用於驗證的信息不同。 有源和無源網絡嗅探器的要求的安全，即，防止更正，攔截或不同的數據的重放。 在清除密碼傳送選項是不理想，就不能拯救世界，和加密的密碼，因為他們沒有提供，回放保護。 這就是為什麼今天使用更複雜的身份驗證協議。

可靠的識別是困難的，不僅是因為各種網絡威脅，同時也為其他各種原因。 第幾乎任何認證實體可以被綁架，或者偽造偵察。 正在使用的系統的可靠性之間的張力也存在，在一方面，該系統管理員或用戶設施 - 為另一方。 因此，對於以一定的頻率所需的安全性的原因，要求用戶重新推出其認證信息（而不是他可能要參加一些其他人），它不僅創造額外的麻煩，也顯著增加的機會有人能撬的信息輸入。 此外，該保護的可靠性是指其價值顯著影響。

現代識別和認證系統支持單點登錄到網絡，這主要迎合在用戶友好性方面的要求的概念。 如果標準企業網絡有大量的信息服務，提供一個獨立的循環的可能性，那麼個人數據的多個管理變得過於沉重。 目前，它仍然不能說網絡使用單點登錄的是正常的，因為還沒有形成主要的解決方案。

因此，許多人都試圖找到之間的資金承受能力，方便性和可靠性，它提供了識別/驗證的妥協。 在這種情況下用戶授權是根據各個規則進行。

特別要注意這樣的事實，所使用的服務可以被選為可用性攻擊的對象。 如果 系統配置 被以這樣的方式，一些失敗的嘗試進入的可能性已經被鎖定後，則攻擊者可以通過只需幾個按鍵停止操作合法用戶做出。

密碼認證

該系統的主要優點是，它是非常簡單和最熟悉的。 密碼早已被使用的操作系統和其他服務，並通過正確的使用提供保障，這是大多數企業完全可以接受的。 在另一方面，通過一組共同的這種系統的特徵是，通過該識別/認證可以被實現最弱的裝置。 授權在這種情況下變得相當簡單，因為密碼必須是吸引人的，但它並不難猜測的簡單組合，特別是當人都知道一個特定用戶的喜好。

有時，它發生的密碼，在原則上，不保密，因為是特定的文件中規定相當標準值，而不是總是在安裝系統後，對其進行更改。

當你輸入你的密碼，你可以看到，在某些情況下，人們甚至使用專門的光學儀器。

用戶的識別和認證的主要議題，密碼經常被告知同事對那些在特定的時代已經改變所有者。 從理論上講，在這種情況下，它會更正確使用特殊的訪問控制，但在實踐中不使用。 如果密碼知道兩個人，這是非常顯著增加了在它的結束和學習更多的機會。

如何解決呢？

有幾個工具，如識別和驗證進行保護。 所述信息處理組件可以保證如下：

• 各種技術限制強加於人。 大多數情況下設置密碼長度和特定字符的內容規則。
• 辦公室密碼過期，即他們需要定期更換。
• 有限公司獲得基本的密碼文件。
• 失敗的嘗試登錄時可用總數的限制。 因為這個攻擊者必須進行只執行識別和驗證以及分揀方法的動作可以不被使用。
• 用戶進行了初步培訓。
• 使用專門的軟件密碼生成器，可以創建這樣的組合具有足夠悠揚，令人難忘。

所有這些措施，可以在任何情況下使用，即使加上密碼也將採用身份驗證的其他手段。

一次性密碼

上述實施例中是可重複使用，並且在打開的組合攻擊者的情況下是能夠代表用戶的執行某些操作。 這就是為什麼作為一個被動的網絡嗅探器的可能性性更強的手段，使用一次性密碼標識和認證系統更加安全，雖然不是很方便。

目前，最流行的軟件一次性密碼生成器中的一個是所謂的S / KEY系統，由Bellcore發布。 該系統的基本概念是，有是F，這是眾所周知的用戶和認證服務器二者的特定功能。 下面是一個秘密密鑰K，只知道一個特定的用戶。

在最初的管理用戶，該功能用於密鑰的次數，然後將結果保存在服務器上。 接著，認證過程如下：

1. 來自服務器的用戶系統涉及到比的使用功能的鍵的次數少1的數目。
2. 用戶功能用於秘密密鑰在已在第一點被設定，於是結果經由網絡直接發送到所述認證服務器的次數。
3. 服務器使用該功能所獲得的值，然後將結果與先前存儲的值進行比較。 如果結果一致，則該用戶的身份被確定，並且服務器存儲新值，然後減少一個計數器。

在實踐中，這種技術的實現有一個較為複雜的結構，但目前也沒關係。 由於該功能是不可逆的，即使密碼截取或獲得 未經授權的訪問 到身份驗證服務器不提供可能獲得私鑰和任何辦法預測它怎麼會正好如下所示一次性密碼。

在俄羅斯作為一個統一的服務，一個特殊的國家門戶網站 - “識別/驗證的獨特系統”（“ESIA”）。

強認證系統的另一種方法在於，新的密碼，在很短的時間間隔，這也可以通過使用專門的程序或各種智能卡實現所產生的事實。 在這種情況下，認證服務器必須接受相應的密碼生成算法和與它相關聯的某些參數，另外，必須存在作為時鐘同步服務器和客戶端。

Kerberos的

首次Kerberos身份驗證服務器出現在上世紀90年代中期，但自那時以來，他已經收到了很多根本性的變化。 目前，該系統的各個組件存在於幾乎所有的現代操作系統。

這項服務的主要目的是解決以下問題：是有一定的非安全網絡，並在各學科中的用戶濃縮形式的節點，服務器和客戶端的軟件系統。 每個這樣的實體存在個人密鑰，並有機會證明自己的真實性主題的S，不，他根本不會做出任何學科，它需要不僅自稱，但也表明，他知道一些密鑰。 同時，由於沒有辦法只有在你的密鑰S的方向發送作為一審的網絡是開放的，另外，S不知道，而且，原則上，不認識他。 在這種情況下，使用這些信息知識的那麼簡單技術示範。

通過Kerberos系統電子識別/驗證提供了其作為信任的第三方，其中有關於服務站點的密鑰信息，並協助他們在必要時進行配對認證使用。

因此，客戶端首先在包含它的必要信息，以及所請求的服務的查詢發送。 在此之後，Kerberos身份給了他一種與該服務器的密鑰，以及來自它的一些數據的副本，這是客戶的秘密密鑰加密票。 在它建立在客戶端破譯信息的情況下預定的話，那就是，他能夠證明私鑰真的認識他。 這表明客戶端，這就是它的人。

應特別注意這裡採取確保密鑰的傳輸不會在網絡上進行，它們是專門用於加密。

使用生物識別認證

生物識別涉及基於其行為或生理特徵的人自動識別/認證的組合。 的識別和認證物理手段提供視網膜掃描和眼角膜，指紋，面部和手形，以及其他個人信息。 行為特徵還包括與鍵盤的工作作風和簽名的動態。 相結合的方法是人聲的不同特點進行分析，以及他的講話的識別。

這種識別/驗證和加密系統在世界上許多國家廣泛使用，但很長一段時間，他們是非常高的成本和使用的複雜性。 最近，生物識別產品的需求顯著由於電子商務的發展而增加，因為，從用戶的角度來看，更容易出現自身，而不是記住一些信息。 因此，需求創造供給，所以市場開始出現相對低價位的產品，這主要集中在指紋識別功能。

在絕大多數情況下，生物識別是與其他認證程序，如智能卡結合使用。 通常生物認證是唯一的防禦的第一線，並作為提高的手段 的智能卡， 包括各種密碼秘密。 當使用這種技術，生物模板存儲在同一張卡上。

在生物識別領域活性足夠高。 現有相關聯合體，以及非常活躍的工作正在進行中規範技術的各個方面。 今天，我們可以看到很多的生物識別技術主要包括提供更高的安全性的理想手段，並在同一時間負擔得起的群眾廣告文章。

ESIA

的識別和認證（“ESIA”）系統是一種特殊的服務，旨在確保有關申請者的真實性以及與任何市政或公共服務的電子形式的事件間的合作成員的核查各項工作的落實。

為了獲得一個“國家結構的單一門戶”，以及現有電子政務的任何其他信息系統的基礎設施，首先需要註冊帳號，因此，得到的抗癲癇藥物。

水平

的識別和驗證一個統一的系統的門戶網站提供賬戶對個人的三個基本層次：

• 簡化。 對於其註冊只需提供您的姓氏和名字，以及溝通的電子郵件地址或手機的形式，一些特定的通道。 這個初級階段，由其中一人只給予的各種政府服務的有限列表訪問，以及現有信息系統的能力。
• 標準。 為了獲得最初必要發布一個簡化的帳戶，然後還要提供額外的信息，包括護照號碼和保險個人賬戶信息。 這些信息是通過養老基金的信息系統，以及聯邦移民局自動選中，並且，如果測試成功，該帳戶被轉換成標準的水平，它打開用戶的狀態服務擴展列表。
• 證實。 為了獲得這個級別賬號，鑑定和認證一個統一的系統，需要用戶到一個標準帳戶，以及身份，這是通過個人訪問授權的維修部門或通過獲取激活碼進行證明一封掛號信。 在個別確認成功的情況下，該賬戶將進入一個新的水平，並為用戶將獲得所需的公共服務的完整列表。

儘管該程序可能看起來很複雜，無法真正看到所需的數據的完整列表，可以直接在官方網站上，這樣就可以完成註冊了幾天。