标识和认证：基本概念

标识和认证是现代软件和硬件安全的基础，任何其他服务主要用于这些科目的服务。 这些概念代表了一种的第一道防线，确保安全 信息空间的 组织。

这是什么？

标识和认证具有不同的功能。 第一个提供（即行为代表的用户或过程）有机会说出自己的名字的主题。 通过认证的手段是第二方是完全相信的主题确实是对他们来说，他声称自己是一个。 通常情况下，作为一个同义词识别和认证是由短语“帖子名称”和“认证”所取代。

他们自己也被分为几个品种。 其次，我们认为，识别和认证，以及它们是什么。

认证

这个概念提供了两种类型：单向的，客户端必须首先证明给服务器进行身份验证，以及双边，那就是，当相互确认进行。 如何进行用户的标准识别和认证典型例子 - 是登录到特定的系统。 因此，不同类型的可在各种对象来使用。

在网络环境中，用户的识别和认证上取得地理上分散的各方，检查服务是由两个主要方面区分：

• 充当认证器;
• 它是如何通过数据验证和识别，以及如何保护它的交换组织起来。

为了证实其真实性，主体必须提交下列实体之一：

• 他知道某些信息（个人号码，密码，一种特殊的加密密钥等）;
• 某些东西，他拥有（个人卡或具有类似目的的一些其他设备）;
• 某些事情，这是它的一个元件（指纹，声音或其他生物特征识别和用户的认证）。

系统特点

在开放的网络环境下，当事人不具有可信路径，它是说，在一般情况下，由对象发送的信息可能最终是来自和用于验证的信息不同。 有源和无源网络嗅探器的要求的安全，即，防止更正，拦截或不同的数据的重放。 在清除密码传送选项是不理想，就不能拯救世界，和加密的密码，因为他们没有提供，回放保护。 这就是为什么今天使用更复杂的身份验证协议。

可靠的识别是困难的，不仅是因为各种网络威胁，同时也为其他各种原因。 第几乎任何认证实体可以被绑架，或者伪造侦察。 正在使用的系统的可靠性之间的张力也存在，在一方面，该系统管理员或用户设施 - 为另一方。 因此，对于以一定的频率所需的安全性的原因，要求用户重新推出其认证信息（而不是他可能要参加一些其他人），它不仅创造额外的麻烦，也显著增加的机会有人能撬的信息输入。 此外，该保护的可靠性是指其价值显著影响。

现代识别和认证系统支持单点登录到网络，这主要迎合在用户友好性方面的要求的概念。 如果标准企业网络有大量的信息服务，提供一个独立的循环的可能性，那么个人数据的多个管理变得过于沉重。 目前，它仍然不能说网络使用单点登录的是正常的，因为还没有形成主要的解决方案。

因此，许多人都试图找到之间的资金承受能力，方便性和可靠性，它提供了识别/验证的妥协。 在这种情况下用户授权是根据各个规则进行。

特别要注意这样的事实，所使用的服务可以被选为可用性攻击的对象。 如果 系统配置 被以这样的方式，一些失败的尝试进入的可能性已经被锁定后，则攻击者可以通过只需几个按键停止操作合法用户做出。

密码认证

该系统的主要优点是，它是非常简单和最熟悉的。 密码早已被使用的操作系统和其他服务，并通过正确的使用提供保障，这是大多数企业完全可以接受的。 在另一方面，通过一组共同的这种系统的特征是，通过该识别/认证可以被实现最弱的装置。 授权在这种情况下变得相当简单，因为密码必须是吸引人的，但它并不难猜测的简单组合，特别是当人都知道一个特定用户的喜好。

有时，它发生的密码，在原则上，不保密，因为是特定的文件中规定相当标准值，而不是总是在安装系统后，对其进行更改。

当你输入你的密码，你可以看到，在某些情况下，人们甚至使用专门的光学仪器。

用户的识别和认证的主要议题，密码经常被告知同事对那些在特定的时代已经改变所有者。 从理论上讲，在这种情况下，它会更正确使用特殊的访问控制，但在实践中不使用。 如果密码知道两个人，这是非常显着增加了在它的结束和学习更多的机会。

如何解决呢？

有几个工具，如识别和验证进行保护。 所述信息处理组件可以保证如下：

• 各种技术限制强加于人。 大多数情况下设置密码长度和特定字符的内容规则。
• 办公室密码过期，即他们需要定期更换。
• 有限公司获得基本的密码文件。
• 失败的尝试登录时可用总数的限制。 因为这个攻击者必须进行只执行识别和验证以及分拣方法的动作可以不被使用。
• 用户进行了初步培训。
• 使用专门的软件密码生成器，可以创建这样的组合具有足够悠扬，令人难忘。

所有这些措施，可以在任何情况下使用，即使加上密码也将采用身份验证的其他手段。

一次性密码

上述实施例中是可重复使用，并且在打开的组合攻击者的情况下是能够代表用户的执行某些操作。 这就是为什么作为一个被动的网络嗅探器的可能性性更强的手段，使用一次性密码标识和认证系统更加安全，虽然不是很方便。

目前，最流行的软件一次性密码生成器中的一个是所谓的S / KEY系统，由Bellcore发布。 该系统的基本概念是，有是F，这是众所周知的用户和认证服务器二者的特定功能。 下面是一个秘密密钥K，只知道一个特定的用户。

在最初的管理用户，该功能用于密钥的次数，然后将结果保存在服务器上。 接着，认证过程如下：

1. 来自服务器的用户系统涉及到比的使用功能的键的次数少1的数目。
2. 用户功能用于秘密密钥在已在第一点被设定，于是结果经由网络直接发送到所述认证服务器的次数。
3. 服务器使用该功能所获得的值，然后将结果与先前存储的值进行比较。 如果结果一致，则该用户的身份被确定，并且服务器存储新值，然后减少一个计数器。

在实践中，这种技术的实现有一个较为复杂的结构，但目前也没关系。 由于该功能是不可逆的，即使密码截取或获得 未经授权的访问 到身份验证服务器不提供可能获得私钥和任何办法预测它怎么会正好如下所示一次性密码。

在俄罗斯作为一个统一的服务，一个特殊的国家门户网站 - “识别/验证的独特系统”（“ESIA”）。

强认证系统的另一种方法在于，新的密码，在很短的时间间隔，这也可以通过使用专门的程序或各种智能卡实现所产生的事实。 在这种情况下，认证服务器必须接受相应的密码生成算法和与它相关联的某些参数，另外，必须存在作为时钟同步服务器和客户端。

Kerberos的

首次Kerberos身份验证服务器出现在上世纪90年代中期，但自那时以来，他已经收到了很多根本性的变化。 目前，该系统的各个组件存在于几乎所有的现代操作系统。

这项服务的主要目的是解决以下问题：是有一定的非安全网络，并在各学科中的用户浓缩形式的节点，服务器和客户端的软件系统。 每个这样的实体存在个人密钥，并有机会证明自己的真实性主题的S，不，他根本不会做出任何学科，它需要不仅自称，但也表明，他知道一些密钥。 同时，由于没有办法只有在你的密钥S的方向发送作为一审的网络是开放的，另外，S不知道，而且，原则上，不认识他。 在这种情况下，使用这些信息知识的那么简单技术示范。

通过Kerberos系统电子识别/验证提供了其作为信任的第三方，其中有关于服务站点的密钥信息，并协助他们在必要时进行配对认证使用。

因此，客户端首先在包含它的必要信息，以及所请求的服务的查询发送。 在此之后，Kerberos身份给了他一种与该服务器的密钥，以及来自它的一些数据的副本，这是客户的秘密密钥加密票。 在它建立在客户端破译信息的情况下预定的话，那就是，他能够证明私钥真的认识他。 这表明客户端，这就是它的人。

应特别注意这里采取确保密钥的传输不会在网络上进行，它们是专门用于加密。

使用生物识别认证

生物识别涉及基于其行为或生理特征的人自动识别/认证的组合。 的识别和认证物理手段提供视网膜扫描和眼角膜，指纹，面部和手形，以及其他个人信息。 行为特征还包括与键盘的工作作风和签名的动态。 相结合的方法是人声的不同特点进行分析，以及他的讲话的识别。

这种识别/验证和加密系统在世界上许多国家广泛使用，但很长一段时间，他们是非常高的成本和使用的复杂性。 最近，生物识别产品的需求显著由于电子商务的发展而增加，因为，从用户的角度来看，更容易出现自身，而不是记住一些信息。 因此，需求创造供给，所以市场开始出现相对低价位的产品，这主要集中在指纹识别功能。

在绝大多数情况下，生物识别是与其他认证程序，如智能卡结合使用。 通常生物认证是唯一的防御的第一线，并作为提高的手段 的智能卡， 包括各种密码秘密。 当使用这种技术，生物模板存储在同一张卡上。

在生物识别领域活性足够高。 现有相关联合体，以及非常活跃的工作正在进行中规范技术的各个方面。 今天，我们可以看到很多的生物识别技术主要包括提供更高的安全性的理想手段，并在同一时间负担得起的群众广告文章。

ESIA

的识别和认证（“ESIA”）系统是一种特殊的服务，旨在确保有关申请者的真实性以及与任何市政或公共服务的电子形式的事件间的合作成员的核查各项工作的落实。

为了获得一个“国家结构的单一门户”，以及现有电子政务的任何其他信息系统的基础设施，首先需要注册帐号，因此，得到的抗癫痫药物。

水平

的识别和验证一个统一的系统的门户网站提供账户对个人的三个基本层次：

• 简化。 对于其注册只需提供您的姓氏和名字，以及沟通的电子邮件地址或手机的形式，一些特定的通道。 这个初级阶段，由其中一人只给予的各种政府服务的有限列表访问，以及现有信息系统的能力。
• 标准。 为了获得最初必要发布一个简化的帐户，然后还要提供额外的信息，包括护照号码和保险个人账户信息。 这些信息是通过养老基金的信息系统，以及联邦移民局自动选中，并且，如果测试成功，该帐户被转换成标准的水平，它打开用户的状态服务扩展列表。
• 证实。 为了获得这个级别账号，鉴定和认证一个统一的系统，需要用户到一个标准帐户，以及身份，这是通过个人访问授权的维修部门或通过获取激活码进行证明一封挂号信。 在个别确认成功的情况下，该账户将进入一个新的水平，并为用户将获得所需的公共服务的完整列表。

尽管该程序可能看起来很复杂，无法真正看到所需的数据的完整列表，可以直接在官方网站上，这样就可以完成注册了几天。