Az adatok hitelessége azt jelenti, hogy azok. Hogyan ellenőrizhető az információ pontossága

Az akkreditív egy feltételes pénzbeli kötelezettség, amelyet a bank a kifizető nevében elfogad, és amely lehetővé teszi a kifizetések teljesítését a pénzeszközök kedvezményezettje javára. A bank fizethet az eladónak, vagy felhatalmazhat egy másik bankot ilyen kifizetésekre, ha az akkreditív feltételei teljesülnek.

Hitelesítés

A hitelesítés az a folyamat, amellyel meghatározzák az ügyfél személyazonosságát a rendelkezésére bocsátott információk alapján. A hitelesítés a következő módokon történik:

Az adatok hitelessége

Az adatok azon tulajdonsága, hogy hitelesek, és a rendszerek tulajdonsága, hogy képesek legyenek biztosítani az adatok hitelességét.

Az adatok hitelessége azt jelenti, hogy azokat az információs folyamat jogos résztvevői hozták létre, és nem voltak kitéve véletlen vagy szándékos torzításoknak.

A rendszer azon képessége, hogy biztosítsa az adatok hitelességét, azt jelenti, hogy a rendszer képes észlelni minden adatkorrupciós esetet, és a hiba valószínűsége nem haladja meg az előre meghatározott értéket.

Privát kulcs

Privát kulcs - egy pár titkosítási kulcs privát (titkos) része. Elektronikus aláírások létrehozására szolgál, amelyeket ezután ellenőrizni lehet, és a titkosított üzenetek visszafejtésére szolgál.

A privát kulcsot csak a tulajdonosa tárolja, semmilyen esetben sem adja ki senkinek. A privát kulcs elvesztése azt jelenti, hogy harmadik fél nyilvánosságra hozhatja a tulajdonos számára titkosított információkat, valamint azt is, hogy harmadik fél hamisíthatja meg tulajdonosának elektronikus aláírását. Minden titkosítási rendszerben mindig a privát kulcs a legfontosabb titok, ezért titokban kell tartani.

Nyilvános kulcs

A nyilvános kulcs egy kriptográfiai kulcspár nyilvános (nem minősített) része. A párja segítségével létrehozott elektronikus aláírások ellenőrzésére és az üzenetek titkosítására szolgál, amelyeket ezután visszafejtenek.

A nyilvános kulcsot regisztráció céljából elküldik egy hitelesítési központnak - egy szervezetnek, amely nyilvános kulcsok és azok tulajdonosainak regisztrálásával foglalkozik, valamint elektronikus kulcsokat bocsát ki, amelyek megerősítik a nyilvános kulcsok tulajdonjogát bizonyos személyek számára. A tanúsító központban az előfizetők nyilvános kulcsainak tanúsítványai egy adatbázisba kerülnek, ahonnan kérésre átadhatók azoknak a személyeknek, akik kapcsolatba lépnek a központtal.

A szerződés szerinti tranzakció útlevele

Szerződés szerinti tranzakció útlevele - olyan dokumentum, amelyet a szerződés szerinti devizaügylet végrehajtásakor állítanak össze.

A kölcsönszerződés szerinti tranzakció útlevele

A kölcsönszerződés szerinti ügylet útlevele olyan dokumentum, amelyet kölcsönszerződés vagy kölcsönszerződés alapján devizaművelet végrehajtásakor állítanak össze.

SSL protokoll

Az SSL -t (Secure Sockets Layer) a Netscape fejlesztette ki. Lehetővé teszi az elektronikus tanúsítványok alapján adatcserét végző felek azonosítását, a továbbított adatok végrehajtását és annak biztosítását, hogy az adatok ne torzuljanak az átvitel során.

Jegyzet! Az SSL protokoll használatának lehetőségét a mezőben található jelölőnégyzet határozza meg SSL 2.0 vagy SSL 3.0 telepítve van az internetes böngésző beállításakor.

Lakos

Lakos - egy adott országban állandóan bejegyzett vagy állandóan tartózkodó jogi vagy természetes személy.

Bizonyítvány

A tanúsítvány olyan dokumentum (esetleg elektronikus formában), amely tartalmazza a tanúsítvány birtokosát, valamint a tulajdonosára vonatkozó további információkat (például név és szervezet neve, e-mail címe stb.), Amelyet a tanúsító hatóság írt alá ...

A tanúsítvány fő feladata, hogy egy nyilvános kulcsot hozzárendeljen tulajdonosához (a párosított privát kulcs tulajdonosához).

A tanúsítványok érvényességi idővel rendelkeznek, ezt követően érvénytelenné válnak. Az érvényességi időszak tükröződik a tanúsítvány tartalmában.

A tanúsítványokat a Windows rendszerleíró adatbázisában vagy a kulcsfontosságú információk más adathordozóin tárolják. A Windows rendszerleíró adatbázisában regisztrált tanúsítványok az Internet Explorerből érhetők el, amely rendelkezik tanúsítvánnyal és privát kulcs importálás / exportálás varázslóval.

Titkosítás

Az információk titkosítása egy módja annak, hogy megakadályozzuk az információk jogosulatlan megtekintését vagy felhasználását. A titkosításhoz speciális matematikai algoritmusokat (kriptoalgoritmusokat) használnak. A titkosítás garantálja a minősített információk védelmét a harmadik felek jogosulatlan hozzáférésétől. A titkosított információk visszaállításához fordított átalakítást hajtanak végre - dekódolást. Az információk visszafejtéséhez rendelkeznie kell egy megfelelő titkos (privát) kulccsal.

A modern rendszerekben pár titkosítási kulcsot használnak: egy nyilvános kulcsot, amelyet bárki ismerhet, és annak párosított privát kulcsát, amelyet csak ennek a kulcsnak a tulajdonosa ismer. Egy pár megfelelő kulcs használható titkosításra, valamint elektronikus aláírás (ES) létrehozására és ellenőrzésére, és ugyanakkor a következő tulajdonságokkal rendelkezik:

Egy nyilvános kulccsal titkosított üzenetet csak a párosított privát kulcsa segítségével lehet visszafejteni.
A privát kulccsal létrehozott elektronikus aláírás megfelelősége a párosított nyilvános kulccsal ellenőrizhető.

Elektronikus aláírás

Az elektronikus aláírást elektronikus dokumentumok aláírására használják. Az elektronikus aláírás (ES) egy olyan elektronikus dokumentum követelménye, amelynek célja, hogy megvédje ezt az elektronikus dokumentumot a hamisítástól, és lehetővé tegye az aláíráskulcs -tanúsítvány tulajdonosának azonosítását, valamint megállapítsa, hogy az elektronikus dokumentumokban nem torzulnak az információk.

Elektronikus aláírás jön létre egy olyan segítséggel, amely tárolható hajlékonylemezen, a rendszerleíró adatbázisban, intelligens kártyákon stb.

Az ES ellenőrizhető egy pár privát kulcs használatával, amellyel ezt az ES -t létrehozták. Így a felhasználó nyilvános kulcsának ismeretében biztosan meg lehet határozni, hogy ki írta alá a dokumentumot.

Ahhoz, hogy dokumentumot küldhessen a banknak, rendelkeznie kell legalább egy elektronikus aláírással. Az egyes dokumentumok alatt használt elektronikus aláírások számát a bankban minden ügyfél külön -külön határozza meg, és a Szolgáltatási szerződés határozza meg az Internet Client for Legal Entities rendszerben.

Az azonosítás és hitelesítés a modern szoftver- és hardverbiztonsági eszközök alapját képezi, mivel minden más szolgáltatás elsősorban ezen entitások kiszolgálására szolgál. Ezek a fogalmak egyfajta első védelmi vonalat képviselnek, amely biztosítja a szervezet teret.

Ami?

Az azonosításnak és a hitelesítésnek különböző funkciói vannak. Az első lehetőséget ad az alanynak (egy felhasználó vagy egy folyamat, amely a nevében jár el), hogy megadja saját nevét. A hitelesítés segítségével a második fél végre meggyőződik arról, hogy az alany valóban az, akinek állítja magát. Az azonosítást és a hitelesítést gyakran a „névüzenet” és a „hitelesítés” kifejezés váltja fel.

Ők maguk is több fajtára oszlanak. Ezután megvizsgáljuk, hogy mi az azonosítás és hitelesítés, és mik azok.

Hitelesítés

Ez a koncepció két típust ír elő: egyirányú, amikor az ügyfélnek először be kell bizonyítania hitelességét a szerver előtt, és kétirányú, azaz kölcsönös megerősítés esetén. A szokásos felhasználói azonosítás és hitelesítés általános példája az adott rendszerbe való bejelentkezés. Így különböző típusok használhatók különböző objektumokban.

Hálózati környezetben, amikor a felhasználók azonosítását és hitelesítését földrajzilag szétszórt oldalakon végzik, a szóban forgó szolgáltatás két fő szempontból különbözik:

mi működik hitelesítőként;
hogyan szervezték meg a hitelesítési és azonosító adatok cseréjét és hogyan védik azokat.

Személyazonosságának igazolásához az alanynak be kell mutatnia az alábbi entitások egyikét:

bizonyos információk, amelyeket ismer (személyi szám, jelszó, speciális titkosítási kulcs stb.);
egy bizonyos dolog, ami a birtokában van (személyi kártya vagy más hasonló célú eszköz);
egy bizonyos dolog, amely eleme önmagának (ujjlenyomatok, hang és más biometrikus eszközök a felhasználók azonosítására és hitelesítésére).

A rendszer jellemzői

Nyílt hálózati környezetben a feleknek nincs megbízható útvonala, ami azt sugallja, hogy általában az alany által továbbított információ végül nem egyezik a hitelesítés során kapott és felhasznált információkkal. Biztosítani kell a hálózat aktív és passzív lehallgatásának biztonságát, azaz védelmet a különböző adatok javítása, lehallgatása vagy lejátszása ellen. A jelszavak világos szövegben történő átvitelének lehetősége nem kielégítő, és ugyanígy a jelszavak titkosítása sem mentheti meg a helyzetet, mivel nem nyújtanak védelmet a sokszorosítás ellen. Ezért használnak ma kifinomultabb hitelesítési protokollokat.

A megbízható azonosításnak nemcsak különböző okokból, hanem számos más okból is nehézségei vannak. Először is szinte minden hitelesítési entitás ellopható, hamisítható vagy kikövetkeztethető. Van egy bizonyos ellentmondás is egyrészt a használt rendszer megbízhatósága, másrészt a rendszergazda vagy felhasználó kényelme között. Így biztonsági okokból bizonyos gyakorisággal meg kell kérni a felhasználót, hogy adja meg újra a hitelesítési adatait (mivel lehet, hogy más személy már ül a helyén), és ez nemcsak további problémákat okoz, hanem jelentősen növeli a annak az esélye, hogy valaki kémkedni fog az információ bevitele után. Többek között a védőeszközök megbízhatósága jelentősen befolyásolja annak költségét.

A modern azonosító és hitelesítő rendszerek támogatják az egyszeri bejelentkezés koncepcióját a hálózatra, amely elsősorban megfelel a felhasználóbarátság követelményeinek. Ha egy szabványos vállalati hálózat számos információs szolgáltatással rendelkezik, amelyek biztosítják a független hozzáférés lehetőségét, akkor a személyes adatok többszörös bevitele túlságosan megterhelővé válik. Jelenleg még nem mondható el, hogy az egyszeri bejelentkezés használata a hálózatban normálisnak tekinthető, mivel az uralkodó megoldások még nem alakultak ki.

Így sokan próbálnak kompromisszumot találni az azonosítás / hitelesítés eszközeinek megfizethetősége, kényelme és megbízhatósága között. Ebben az esetben a felhasználói jogosultság egyedi szabályok szerint történik.

Különös figyelmet kell fordítani arra a tényre, hogy az igénybe vett szolgáltatás választható akadálymentesítési támadás tárgyává. Ha ezt úgy hajtják végre, hogy bizonyos számú sikertelen kísérlet után blokkolták a belépési lehetőséget, akkor ebben az esetben a támadók szó szerint néhány billentyűleütéssel leállíthatják a legális felhasználók munkáját.

Jelszó hitelesítés

Az ilyen rendszer fő előnye, hogy rendkívül egyszerű és ismerős a többség számára. A jelszavakat régóta használják az operációs rendszerek és más szolgáltatások, és ha bölcsen használják, olyan szintű biztonságot nyújtanak, amely a legtöbb szervezet számára elfogadható. Másrészt azonban az általános jellemzők tekintetében az ilyen rendszerek jelentik a leggyengébb eszközt az azonosítás / hitelesítés végrehajtására. Ebben az esetben a jogosultság meglehetősen egyszerűvé válik, mivel a jelszavaknak emlékezetesnek kell lenniük, de az egyszerű kombinációkat nem nehéz kitalálni, különösen akkor, ha egy személy ismeri egy adott felhasználó preferenciáit.

Néha előfordul, hogy a jelszavakat elvileg nem titkolják, mivel bizonyos szabványokban meghatározott értékekkel rendelkeznek, és nem mindig a rendszer telepítése után, hanem megváltoztatják őket.

A jelszó megadásakor láthatja, és bizonyos esetekben az emberek speciális optikai eszközöket is használnak.

A felhasználók, az azonosítás és a hitelesítés fő alanyai, gyakran megoszthatják jelszavaikat a kollégákkal annak érdekében, hogy egy bizonyos időre cserélhessék a tulajdonosukat. Elméletileg ilyen helyzetekben a legkorrektebb a speciális beléptető ellenőrzések használata, de a gyakorlatban ezt senki sem használja. És ha két ember ismeri a jelszót, ez nagyban növeli annak esélyét, hogy mások végül megtudják.

Hogyan lehet kijavítani?

Az azonosítás és hitelesítés többféle módon is biztosítható. Az információfeldolgozó komponens a következőképpen biztosítható:

Különféle technikai korlátozások bevezetése. Leggyakrabban szabályokat állapítanak meg a jelszó hosszára, valamint bizonyos karakterek tartalmára vonatkozóan.
A jelszavak lejárati dátumának kezelése, vagyis azok időszakos cseréjének szükségessége.
A fő jelszófájlhoz való hozzáférés korlátozása.
A bejelentkezéskor elérhető sikertelen kísérletek teljes számának korlátozásával. Emiatt a támadóknak csak műveleteket kell végrehajtaniuk az azonosítás és hitelesítés végrehajtása előtt, mivel a nyers erő módszer nem használható.
Előzetes felhasználói képzés.
Speciális szoftveres jelszógenerátorok használata, amelyek lehetővé teszik, hogy ilyen kombinációkat hozzon létre, amelyek hangosak és emlékezetesek.

Mindezek az intézkedések minden esetben használhatók, még akkor is, ha más hitelesítési módokat is használnak a jelszavakkal együtt.

Egyszeri jelszavak

A fent tárgyalt lehetőségek újra felhasználhatók, és ha a kombinációt felfedik, a támadó képes bizonyos műveleteket végrehajtani a felhasználó nevében. Éppen ezért az egyszeri jelszavakat erősebb eszközként használják a passzív hálózat lehallgatásának lehetőségével szemben, amelynek köszönhetően az azonosító és hitelesítő rendszer sokkal biztonságosabbá válik, bár nem olyan kényelmes.

Jelenleg az egyik legnépszerűbb szoftver egyszeri jelszógenerátor a Bellcore által kiadott S / KEY nevű rendszer. Ennek a rendszernek az alapkoncepciója az, hogy van egy speciális F funkció, amelyet a felhasználó és a hitelesítő szerver is ismer. A következő a K titkos kulcs, amelyet csak egy adott felhasználó ismer.

A felhasználó kezdeti adminisztrációja során ezt a funkciót bizonyos számú alkalommal használják a kulcshoz, majd az eredményt a szerverre menti. A jövőben a hitelesítési eljárás így néz ki:

A szerver egy számot küld a felhasználói rendszerbe, ami 1 -gyel kevesebb, mint ahányszor a funkciót használják a kulcshoz.
A felhasználó a függvényt a meglévő titkos kulcshoz használja az első bekezdésben megadott számú alkalommal, majd az eredményt a hálózaton keresztül közvetlenül elküldi a hitelesítési szervernek.
A szerver ezt a funkciót használja a kapott értékhez, majd az eredményt összehasonlítja a korábban elmentett értékkel. Ha az eredmények megegyeznek, akkor a felhasználó hitelesítésre kerül, és a szerver eltárolja az új értéket, majd eggyel csökkenti a számlálót.

A gyakorlatban ennek a technológiának a megvalósítása kissé összetettebb szerkezetű, de jelenleg ez nem olyan fontos. Mivel a funkció visszafordíthatatlan, még abban az esetben is, ha elhallgatja a jelszót, vagy jogosulatlan hozzáférést kap a hitelesítési szerverhez, nem ad lehetőséget a titkos kulcs beszerzésére, és semmilyen módon nem tudja megjósolni, hogyan fog kinézni a következő egyszeri jelszó.

Oroszországban egy speciális állami portált - "Unified Identification / Authentication System" ("ESIA") használnak egységes szolgáltatásként.

A megbízható hitelesítési rendszer másik megközelítése új jelszó rövid időközönként történő létrehozása, amelyet speciális programok vagy különböző intelligens kártyák használatával is megvalósítanak. Ebben az esetben a hitelesítő szervernek el kell fogadnia a megfelelő jelszógeneráló algoritmust, valamint bizonyos kapcsolódó paramétereket, és ezenkívül a szerver és az ügyfélórák szinkronizálására is szükség van.

Kerberos

A Kerberos hitelesítő szerver először a múlt század 90-es éveinek közepén jelent meg, de azóta már hatalmas számú alapvető változtatást sikerült elérnie. Jelenleg ennek a rendszernek az egyes összetevői szinte minden modern operációs rendszerben megtalálhatók.

Ennek a szolgáltatásnak a fő célja a következő probléma megoldása: van egy bizonyos nem védett hálózat, és csomópontjaiban különféle témák koncentrálódnak felhasználók formájában, valamint szerver és kliens szoftverrendszerek. Minden ilyen alanynak van egy egyedi titkos kulcsa, és ahhoz, hogy a C alanynak lehetősége legyen az S alanyra igazolni személyazonosságát, amely nélkül egyszerűen nem fogja őt szolgálni, nemcsak meg kell neveznie magát, hanem meg kell mutatnia hogy ismer bizonyos A titkos kulcs. Ugyanakkor C nem rendelkezik azzal a képességgel, hogy egyszerűen elküldi titkos kulcsát S felé, mivel mindenekelőtt a hálózat nyitott, és ezen kívül S nem tudja, és elvileg nem is kellene tudnia. Ilyen helyzetben kevésbé egyszerű technikát alkalmaznak ezen információk ismeretének bemutatására.

A Kerberos rendszeren keresztül történő elektronikus azonosítás / hitelesítés lehetővé teszi annak használatát megbízható harmadik félként, aki rendelkezik információval a kiszolgált objektumok titkos kulcsairól, és szükség esetén segíti őket a páros hitelesítés végrehajtásában.

Így az ügyfél először kérést küld a rendszerhez, amely tartalmazza a róla szükséges információkat, valamint a kért szolgáltatást. Ezt követően Kerberos biztosít neki egyfajta jegyet, amelyet a szerver titkos kulcsa titkosít, valamint az onnan származó adatok egy részének másolatát, amelyet az ügyfél kulcsa minősít. Egyezés esetén megállapítást nyer, hogy az ügyfél visszafejtette a neki szánt információkat, vagyis bizonyítani tudta, hogy valóban ismeri a titkos kulcsot. Ez arra utal, hogy az ügyfél pontosan az a személy, akinek állítja magát.

Itt különös figyelmet kell fordítani arra, hogy a titkos kulcsok átvitele nem a hálózaton keresztül történt, és azokat kizárólag titkosításra használták.

Hitelesítés biometrikus adatok felhasználásával

A biometria magában foglalja az emberek azonosítására / hitelesítésére szolgáló automatizált eszközök kombinációját viselkedési vagy élettani jellemzőik alapján. A hitelesítés és azonosítás fizikai eszközei közé tartozik a szem retinájának és szaruhártyájának, az ujjlenyomatoknak, az arc- és kézgeometriának, valamint egyéb egyedi információknak az ellenőrzése. A viselkedési jellemzők közé tartozik a billentyűzet stílusa és az aláírás dinamikája. A kombinált módszerek elemzik a személy hangjának különböző tulajdonságait, valamint felismerik beszédét.

Az ilyen azonosító / hitelesítő és titkosító rendszerek a világ számos országában mindenütt jelen vannak, de hosszú ideig rendkívül költségesek és nehezen használhatók. Az utóbbi időben a biometrikus termékek iránti kereslet jelentősen megnövekedett az e-kereskedelem fejlődése miatt, hiszen a felhasználó szemszögéből sokkal kényelmesebb bemutatkozni, mint emlékezni néhány információra. Ennek megfelelően a kereslet kínálatot teremt, így viszonylag olcsó termékek kezdtek megjelenni a piacon, amelyek elsősorban az ujjlenyomat -felismerésre összpontosítanak.

Az esetek túlnyomó többségében a biometriát más hitelesítőkkel kombinálva használják, mint például. Gyakran előfordul, hogy a biometrikus hitelesítés csak az első védelmi vonal, és eszközként szolgál a különböző titkosítási titkokat tartalmazó intelligens kártyák aktiválására. E technológia használatakor a biometrikus sablon ugyanazon a kártyán kerül mentésre.

A biometria területén az aktivitás meglehetősen magas. Már létezik egy megfelelő konzorcium, és a technológia különböző aspektusainak szabványosítása is folyamatban van. Manapság sok olyan promóciós cikket láthat, amelyek a biometrikus technológiát a biztonság fokozásának ideális eszközeként mutatják be, miközben továbbra is elérhetőek a nagyközönség számára.

ESIA

Az azonosító és hitelesítő rendszer ("ESIA") egy speciális szolgáltatás, amelyet azért hoztak létre, hogy biztosítsák a kérelmezők és az ügynökségek közötti interakcióban résztvevők hitelességének ellenőrzésével kapcsolatos különböző feladatok végrehajtását bármely önkormányzati vagy állami szolgáltatás nyújtása esetén. elektronikus formában.

Annak érdekében, hogy hozzáférhessen az "Állami struktúrák egységes portáljához", valamint a jelenlegi elektronikus kormányzat infrastruktúrájának bármely más információs rendszeréhez, először regisztrálnia kell egy fiókot, és ennek eredményeként PEP -t kell szereznie.

Szintek

A portál három fő szintű fiókot biztosít az egyének számára:

Egyszerűsített. A regisztráláshoz csak meg kell adnia vezetéknevét és keresztnevét, valamint néhány konkrét kommunikációs csatornát e-mail cím vagy mobiltelefon formájában. Ez az elsődleges szint, amelynek segítségével egy személy csak korlátozott számú különféle közszolgáltatáshoz, valamint a meglévő információs rendszerek képességeihez fér hozzá.
Alapértelmezett. Ennek megszerzéséhez először egyszerűsített számlát kell kibocsátania, majd további adatokat is meg kell adnia, beleértve az útlevélből származó információkat és az egyéni biztosítási személyes fiók számát. A megadott információkat a rendszer automatikusan ellenőrzi a Nyugdíjpénztár, valamint a Szövetségi Migrációs Szolgálat információs rendszerein keresztül, és ha az ellenőrzés sikeres, a fiók átkerül a normál szintre, amely megnyitja a felhasználót a közszolgáltatások bővített listája előtt .
Megerősített. Az ilyen szintű számla megszerzéséhez az egységes azonosítási és hitelesítési rendszer megköveteli a felhasználóktól, hogy szabványos fiókkal, valamint személyazonossági igazolással rendelkezzenek, amelyet a hivatalos szervizbe való személyes látogatás vagy az aktiváló kód ajánlott levél útján történő megküldése útján hajtanak végre. . Abban az esetben, ha a személyazonosság ellenőrzése sikeres, a fiók új szintre lép, és a felhasználó hozzáfér a szükséges állami szolgáltatások teljes listájához.

Annak ellenére, hogy az eljárások meglehetősen bonyolultnak tűnhetnek, valójában közvetlenül a hivatalos weboldalon ismerkedhet meg a szükséges adatok teljes listájával, így a teljes körű regisztráció néhány napon belül teljesen lehetséges.

A mechanizmusok szorosan összefüggnek egymással, mert egy szolgáltatás nyújtásához mechanizmust vagy mechanizmus -kombinációt használnak. A mechanizmus egy vagy több szolgáltatásban is használható. Ezeket a mechanizmusokat az alábbiakban röviden tárgyaljuk, hogy megértsük általános elképzelésüket. Az alábbiakban részletesebben tárgyaljuk őket.

Az ITU-T (X.800) öt, az információbiztonsági célokkal és támadásokkal kapcsolatos szolgáltatást azonosított, amelyek típusait az előző szakaszokban azonosítottuk. Az 1.3. Ábra öt általános szolgáltatás besorolását mutatja.

Rizs. 1.3.

A kiberbiztonsági támadások megelőzése érdekében, amelyekről beszéltünk, csak egy vagy több fent említett szolgáltatással kell rendelkeznie egy vagy több információbiztonsági cél érdekében.

Adatok bizalmas kezelése

Adatok bizalmas kezelése célja, hogy megvédje az adatokat a nyilvánosságra hozatal kísérleteitől. Ezt a széles körű szolgáltatást az ITU-T X.800 ajánlás határozza meg. Lefedheti egy egész üzenet vagy annak egy részének titkosságát, és véd a forgalom figyelése és elemzése ellen is - valójában a manipuláció megelőzésére és a forgalom figyelésére tervezték.

Az adatok integritása

Az adatok integritása célja, hogy megvédje az adatokat az ellenség általi módosítástól, beillesztéstől, törléstől és újraküldéstől. Védheti az egész üzenetet vagy az üzenet egy részét.

Hitelesítés (hitelesítés)

Ez a szolgáltatás nyújt hitelesítés (hitelesítés) kezelő a vonal másik végén. Kapcsolat-orientált kapcsolat esetén biztosítja, hogy az adó vagy a vevő hitelesítve legyen a kapcsolat létrehozása során ( tárgyak azonosítása egyenlő szint). Kapcsolat nélküli kapcsolat esetén hitelesíti az adatforrást (adat eredet hitelesítés).

Az üzenetek letiltásának kizárása

Szolgáltatás az üzenet elhagyásának kizárása megvédi az üzenetet az adattovábbító vagy -fogadó általi elutasítástól. Ha az adó elutasítja az üzenet elutasítását, akkor az adatfogadó az adó azonosító kódja (azonosítója) segítségével bizonyíthatja az üzenet eredetét. Azáltal, hogy kizárja az üzenet elutasítását a vevő részéről, az adó ezután a kézbesítés igazolásával bizonyíthatja, hogy az adatokat a tervezett címzettnek kézbesítették.

Hozzáférés-szabályozás

Hozzáférés-szabályozás védelmet nyújt az adatokhoz való jogosulatlan hozzáférés ellen. Hozzáférés ebben a definícióban a kifejezés nagyon tág, és tartalmazhat olvasást, írást, adatok módosítását, program indítását stb.

Biztonsági mechanizmusok

Az információbiztonsági szolgáltatások nyújtásához az ITU-T (X.800) néhányat ajánl biztonsági mechanizmusok az előző részben meghatározott. Az 1.4. Ábra ezen mechanizmusok osztályozását tartalmazza.

Rizs. 1.4.

Titkosítás

Titkosítás... Az adatok titkosításával vagy megszüntetésével biztosíthatja a titoktartást. A titkosítás kiegészíti más, más szolgáltatásokat nyújtó mechanizmusokat is. Manapság két módszert használnak a titkosításhoz: kriptográfia és szteganográfia. Később röviden megvitatjuk őket.

Az adatok integritása

Gépezet az adatok integritását az adatok végén hozzáad egy létrehozott rövid ellenőrző értéket egy bizonyos folyamat külön az adatoktól. A vevő adatokat és ellenőrzési nyomvonalat kap. A kapott adatok alapján új tesztjellemzőt hoz létre, és összehasonlítja az újonnan létrehozottat a fogadottal. Ha ez a két árulkodó jel megegyezik, az adatok integritását mentésre került.

Digitális aláírás

Digitális aláírás- olyan eszköz, amellyel a feladó elektronikusan aláírhatja az adatokat, a címzett pedig számítógép segítségével ellenőrizheti az aláírást. A feladó olyan folyamatot használ, amely jelezheti, hogy az aláírás rendelkezik egy privát kulccsal, amelyet nyilvánosan nyilvános használatra nyilvánosságra hozott nyilvános kulcsok közül választottak ki. A címzett a feladó nyilvános kulcsát használja annak bizonyítására, hogy az üzenetet valóban a feladó írta alá, aki azt állítja, hogy elküldte az üzenetet.

Üzenetküldés a hitelesítéshez

Nál nél üzenetek azonosítására a két objektum néhány üzenetet cserél, hogy bebizonyítsa, hogy az objektumok ismerik egymást. Például egy jogi személy be tudja bizonyítani, hogy ismer egy titkos jelet, amelyet csak ő tudhat (mondjuk, az utolsó találkozóhely partnerrel).

Forgalom kitöltése

Forgalom kitöltése azt jelenti, hogy be lehet illeszteni néhány ál adatot az adatforgalomba annak érdekében, hogy megakadályozzák a támadók azon kísérleteit, hogy azokat elemzésre használják.

Útvonalkezelés

Útvonalkezelés azt jelenti, hogy a küldő és a fogadó között rendelkezésre álló különböző útvonalakat választják és folyamatosan változtatják annak megakadályozása érdekében, hogy az ellenfél egy adott útvonalon elfogja az információkat.

Meghatalmazás

Meghatalmazás harmadik fél választását jelenti annak érdekében, hogy rábízzák a két tárgy közötti csere irányítását. Ezt például úgy tehetjük meg, hogy megakadályozzuk az üzenet elhagyását. A címzett bevonhat egy harmadik felet, akiben megbízható a feladó kéréseinek tárolása, ezáltal megakadályozva, hogy a feladó később tagadja az üzenet továbbítását.

Hozzáférés-szabályozás

Hozzáférés-szabályozás módszereket alkalmaz annak bizonyítására, hogy a felhasználónak joga van hozzáférni a rendszerhez tartozó adatokhoz vagy erőforrásokhoz. Ilyen bizonyíték például a jelszavak és

A kereskedelmi kétfaktoros hitelesítési megoldások gyakran drágák, és nehezen telepíthetők és kezelhetők. Létrehozhat azonban saját kétfaktoros hitelesítési megoldást a felhasználó IP-címének, jelzőfájljának vagy digitális tanúsítványának használatával.

Különböző kereskedelmi megoldások biztosítják a webhely biztonságát, amely túlmutat a hagyományos hitelesítési módszereken egyetlen tényező (azaz a felhasználónév és a jelszó kombinációja) használatával. A második tényező a földrajzi elhelyezkedés, a felhasználói viselkedés, a képkérések és az ismertebb intelligens kártyák, eszközök és ujjlenyomatok. A kéttényezős kereskedelmi megoldásokkal kapcsolatos további információkért tekintse meg a "További olvasmány" oldalsávban felsorolt cikkeket.

De a kereskedelmi megoldások nem az egyetlen lehetőség. A kétfaktoros hitelesítési eljárást saját maga készítheti el. Ez a cikk útmutatást nyújt a webalkalmazások kéttényezős hitelesítésének megtervezéséhez, és néhány forráskód-példát tartalmaz a saját projekt elindításához.

Kétfaktoros ellenőrzés áttekintése

Térjünk vissza a kéttényezős hitelesítés rövid áttekintéséhez, vagyis a potenciális felhasználók azonosításának két különböző formájának használatához. A hitelesség három űrlappal ellenőrizhető:

Valami híres;

Valamiféle felhasználói jellemzők;

Valami, ami a felhasználónál van.

A legtöbb alkalmazás csak az egyik ilyen formát használja, általában az elsőt. A felhasználónév és a jelszó ismert adatok.

Ez a biztonsági szint a legtöbb webhely és alkalmazás számára elfogadható. Tekintettel azonban a személyazonosság-lopások és más típusú online csalások jelentős növekedésére, egyes webhelyek kétfaktoros hitelesítést vezetnek be. Az új jogszabályoknak megfelelően 2007-től minden elektronikus banki oldalnak kétfaktoros ellenőrzést kell alkalmaznia. Hamarosan ezek a követelmények kiterjeszthetők a toborzási, orvosi, kormányzati és egyéb webhelyekre, ahol személyes adatokhoz lehet hozzáférni.

Amint fentebb említettük, sok kereskedelmi kétfaktoros ellenőrző termék létezik. Áraik nagyon eltérőek, bár a belépési szint meglehetősen magas. Nem minden vállalatnak van forrása egy jelentős megoldáshoz. Néhány vállalat pedig nagyon speciális programokat használ, amelyek rosszul kompatibilisek a kereskedelmi termékekkel. Mindenesetre hasznos, ha a saját kétfaktoros megoldásán gondolkodik. Az ebben a cikkben található irányelvek segítenek a helyes tervezési úton haladni.

IP -cím alkalmazás

A "Védje webhelyét a támadásoktól" című cikk közzétette. Röviden leírja az IP -cím használatát a további felhasználói azonosítás érdekében. Ez a módszer "valamilyen felhasználói jellemző" kategóriába tartozik. Sok kereskedelmi megoldás biológiai jellemzőket használ (például ujjlenyomatokat vagy íriszmintákat). A hardverköltségek csökkenésével és a továbbfejlesztett szoftverrel ez a lehetőség praktikusabbá vált, de az árak még mindig meglehetősen magasak.

Ezenkívül egyes felhasználók kifogásolják, hogy biometrikus adataikat a vállalatban tartsák. Egy dolog, ha valaki más megtudja a társadalombiztosítási kártya számát, és egészen más dolog az ujjlenyomatok ellopása!

Egyszerűbb és olcsóbb a kód-alapú megoldás használata. Természetesen megbízhatósága alacsonyabb, mint a fizikai megoldásoké, de sok alkalmazás esetében elegendő pontosságot biztosít. Minden felhasználónak van egy IP -címe, amely második ellenőrző tényezőként használható.

A módszer lényege abban rejlik, hogy a regisztráció megkísérlésekor a felhasználó IP -címét a webszerver vagy más forrás naplóiból szerezzük be. A címet ezután egy vagy több ellenőrzésnek vetik alá. Ha sikeres, és ha a regisztrációs név és jelszó helyes, a felhasználó hozzáférést kap. Ha a felhasználó nem teljesíti ezt az ellenőrzési szintet, a kérelmet elutasítják, vagy az elemzés mélyebb szintjére irányítják. Különösen a felhasználó további személyes kérdéseket tehet fel (például, hogy mi az anya leánykori neve), vagy megkérheti, hogy telefonon lépjen kapcsolatba egy meghatalmazott képviselővel a hálózaton kívüli ellenőrzéshez.

Az IP -cím ellenőrzésének számos módja van, amelyek mindegyike bizonyos szintű bizalmat biztosít a felhasználó azonosításában. A legegyszerűbb teszt a felhasználó IP -címének összehasonlítása a szolgáltatási területen kívüli ismert nem kívánt címek listájával. Például, ha a felhasználók főleg egy országban tartózkodnak, akkor összehasonlítást lehet végezni az adott országon kívüli nem kívánt címek listájával. Tekintettel arra, hogy a személyazonosság -lopási kísérletek jelentős része egy adott országon kívülről származik, az országon kívüli veszélyes címek letiltása nagy valószínűséggel megakadályozza a csalárd kísérletek nagy számát.

A veszélyes címek listáit nem nehéz beszerezni. Bob blokklistája a http://www.unixhub.com/block.html címen Ázsiában, Latin -Amerikában és a Karib -térségben található címblokkokkal kezdődik. A hozzárendelés hasznos lehet, ha a vállalatnak nincs felhasználói ezekben a régiókban. Meg kell jegyezni, hogy az ingyenes webhelyekről származó listákat módosítani kell annak érdekében, hogy ne blokkolják a hasznos webhelyeket. A kereskedelmi adatok pontosabbak, például a MaxMind a http://www.maxmind.com címen. Az 1. lista egy minta pszeudokódot mutat be e megközelítés megvalósításához.

Ha azonban nem szeretné blokkolni a felhasználókat régió szerint, vagy nagyobb szelektivitást szeretne, rögzítheti a felhasználó IP -címét az első látogatás során történő regisztráció során, feltéve, hogy a regisztrációs folyamat rendelkezik a felhasználó ellenőrzésének eszközeivel. Különösen megkérheti a felhasználót, hogy válaszoljon egy vagy két kérdésre (például kérje meg annak az iskolának a számát, amelyben tanult), vagy kérje meg, hogy adja meg a korábban e-mailben elküldött regisztrációs kódot. Az IP -cím megszerzése és érvényesítése után ezt a címet használhatja a későbbi regisztrációs kísérletek értékeléséhez.

Ha minden felhasználó csak ismert és rögzített IP-címmel rendelkező vállalati webhelyekről kér hozzáférést, akkor egy nagyon hatékony módszer az egyeztetés az előre jóváhagyott címek listájával. Ebben az esetben az ismeretlen webhelyek felhasználóit megfosztják hozzáférési jogaiktól. Ha azonban a felhasználók olyan webhelyekről érkeznek, amelyek címe ismeretlen előre, például otthonról, ahol általában nincs statikus IP -cím, akkor a meghatározás pontossága drasztikusan csökken.

Kevésbé megbízható megoldás a "homályos" IP -címek összehasonlítása. Az otthoni felhasználók internetszolgáltatói (ISP -k) saját, általában C vagy B osztályú alhálózatok tartományából rendelnek IP -címeket, ezért csak az IP -cím első két vagy három oktettje használható hitelesítésre. Például, ha a 192.168.1.1 cím regisztrálva van egy felhasználó számára, akkor később szükség lehet rá, hogy a 192.168.1.1 és 192.168.254.254 közötti címeket fogadja el. Ez a megközelítés némi támadási kockázatot rejt magában ugyanazon szolgáltató szolgáltatásait használó támadó részéről, de ennek ellenére jó eredményeket hoz.

Ezenkívül a felhasználók IP -címek használatával ellenőrizhetők a tartózkodási helyük meghatározásához. Meg kell vásárolnia egy kereskedelmi adatbázist, amely tartalmazza az összes ismert IP -cím hatókört és azok hozzávetőleges helyét, például egy olyan vállalattól, mint a MaxMind vagy a Geobytes (http://www.geobytes.com). Ha a felhasználó bejegyzett helye Houston, és ezt követően megpróbálja elérni az oldalt Romániából vagy akár New Yorkból, akkor a hozzáférés megtagadható, vagy legalább mélyebb ellenőrzés végezhető el. Ez a módszer megoldja azt a problémát, hogy a szolgáltató megváltoztatja a címblokkokat. A támadónak azonban továbbra is lehetősége van hozzáférni egy olyan helyről, ahol regisztrált felhasználók vannak.

A hitelesítést dupla másodperces tényezővel végezheti, kezdve azzal, hogy kizárja az összes IP -címet, amely megfelel a tiltólistának, vagy egyeztet az engedélyezőlistával. Ha engedélyezőlistát használ, és nincs benne ellenőrizhető IP -cím, akkor a felhasználó további kérdést tehet fel. Ha az IP -címet végül jóváhagyják, a felhasználó felkérheti, hogy adja hozzá az aktuális IP -címet az engedélyezőlistához (a felhasználókat tájékoztatni kell, hogy csak rendszeresen használt számítógépek vehetők fel a listába). A 2. lista a pszeudokódot mutatja a blokklistához és az engedélyezőlistához való illesztéshez.

Az IP -hitelesítés nem alkalmas olyan helyzetekre, amikor több mobilfelhasználó a szállodai szobákból, valamint az ország más részeiről és külföldről ér el egy webhelyet, folyamatosan változik az IP -cím, az internetszolgáltató és a hely. Az ilyen felhasználók esetében a Denied IP Address List nem alkalmazható. Ezek a felhasználók sem fognak megjelenni az engedélyezett IP -címek listájában. A hitelesítés során azonban továbbra is válaszolhatnak a biztonsági kérdésre.

A "barangoló felhasználók" jobb védelme érdekében elmélyítheti a vizsgálatot, figyelembe véve a böngésző verzióját (amely általában ritkán változik), az operációs rendszert és még a hálózati kártya MAC -címét is. Az ilyen módszerek használatakor azonban általában egy speciális programot kell futtatnia a kliensen a szükséges paraméterek eléréséhez. Igaz, a MAC -címek és a böngésző- és operációs rendszer -verziók hamisak lehetnek, és ez a védelmi módszer nem hibátlanul megbízható.

Jelzőfények és tanúsítványok használata

Alternatív megoldásként használhatja a másik két érvényesítési forma egyikét: "valamit a felhasználónak". A hardver -ellenőrző rendszerek speciális eszközt igényelnek. Saját tervezésű szoftverrendszerekben használhat jelzőfájlokat vagy a felhasználók számítógépén tárolt tanúsítványt. Ez a megközelítés hasonló az e-kereskedelmi webhelyek biztonsági tanúsítványaihoz, amelyek igazolják, hogy a rendelési információkat a megfelelő webhelyre továbbítják.

A legegyszerűbb módja a jelzőfájlok használata. Sok vállalat használja őket a munkamenetkulcsok és egyéb információk követésére a felhasználók számára. Csak létre kell hoznia egy állandó "beacon" fájlt, és el kell mentenie a felhasználó számítógépére a későbbi azonosítás érdekében. Túlléphet az egyszerű jelzőfájlokon, és titkosíthatja a fájl egy részét, hogy megnehezítse a csaló hamisítását.

A digitális tanúsítványok magasabb szintű biztonságot nyújtanak. Ezek előkészítést igényelnek a felhasználó részéről: a tanúsítványt belül kell létrehozni, vagy a tanúsító hatóságtól (CA) kell beszerezni. Ez utóbbi módszer megbízhatóbb, mert nehezebb külső tanúsítványt hamisítani. A tanúsítvány fenntartásának folyamatos költsége azonban összehasonlítható a kéttényezős hitelesítőeszköz-megoldás költségeivel.

Természetesen a jelzőfények és a tanúsítványok csak az alkalmazottak otthoni számítógépeire és a hitelesítési rendszerrel regisztrált egyéb számítógépekre vonatkoznak. Alternatív módszerre van szükség azon felhasználók azonosításához, akik nem hozzájuk tartozó számítógépekkel dolgoznak. Az egyik ilyen módszer a fent említett és a 2. listában bemutatott biztonsági kérdések. Azonban fontolja meg, hogy indokolt -e hozzáférés biztosítása a kritikus alkalmazásokhoz nyilvános számítógépekről, tekintettel a billentyűleütés -naplózók, a kémprogramok és más rosszindulatú programok fenyegetésére.

Ez a cikk a webalkalmazások egyszerű kétfaktoros hitelesítésének két módját tárgyalja: az egyik "valamilyen felhasználói jellemzőt" (IP-címet) használ, a másik a "valamit, amit a felhasználó" (a fájlok "jelzőfények" vagy tanúsítványok). Emlékeztetni kell arra, hogy ezek a megoldások nem biztosítják a szükséges magas biztonsági szintet, például a pénzügyi szektorban, amelyhez a hardver alkalmasabb. A cikkben vázolt megoldások azonban jól működnek más módszerekkel a vállalati hálózatok és az e-kereskedelmi webhelyek jobb védelme érdekében.

Paul Hensarling ([e -mail védett]) egy biztonsági tanácsadó cég biztonsági elemzője. CSSA által tanúsított;

Tony Howlett ([e -mail védett]) - a Network Security Services hálózati tanácsadó cég elnöke. A CISSP és a CSNA hitelesítette

Az adatok hitelessége

"... Az adatok hitelessége az adatok állapota, amelyek eredete ellenőrizhető, és amelyek egyedileg hozzárendelhetők bizonyos dimenziókhoz ..."

Egy forrás:

"A MÉRÉSEKRE VONATKOZÓ ÁLTALÁNOS SZOFTVER KÖVETELMÉNYEK. AJÁNLÁS. MI 2891-2004"

(jóváhagyta: FSUE VNIIMS Rostekhregulirovanie 2004.12.07.)

Hivatalos terminológia... Academic.ru. 2012.

Nézze meg, mi az "Adatok hitelessége" más szótárakban:

Az adatok hitelessége- az adatok állapota, amelyek eredete ellenőrizhető, és amelyek egyértelműen bizonyos mérésekhez köthetők. Forrás: MI 2891 2004: Ajánlás. GSOEE. A mérőműszerek szoftverére vonatkozó általános követelmények ...

Hitelesség- 3.5. A valódiság a kulturális örökség tárgyának értékét meghatározó tényező. A hitelesség jelentésének megértése alapvető szerepet játszik a kulturális örökséggel kapcsolatos tudományos kutatásokban, és négy fő paraméter határozza meg: ... ... Szótár-referenciakönyv a normatív és műszaki dokumentáció feltételeiről

SPKM- (Magyar Az egyszerű nyilvános kulcsú GSS API mechanizmus egy egyszerű, nyilvános kulcsú infrastruktúrán alapuló GSS API -mechanizmus) hálózati protokoll, amely nyilvános, nem szimmetrikus kulccsal rendelkező infrastruktúrával rendelkezik. A protokoll a ... ... Wikipédiára vonatkozik

MI 2891-2004: Ajánlás. GSOEE. A mérőműszerek szoftverére vonatkozó általános követelmények- Terminológia MI 2891 2004: Ajánlás. GSOEE. A mérőműszerek szoftverére vonatkozó általános követelmények: Ezek olyan mérési információk, amelyek átvitelre, értelmezésre vagy feldolgozásra alkalmas formában kerülnek bemutatásra. A kifejezés definíciói ........... Szótár-referenciakönyv a normatív és műszaki dokumentáció feltételeiről

Shang- (Shang) (Kr. E. 16-11. Század), az első megbízhatóan megalapozott bálna. dinasztia. Adatainak hitelességét az 1920 -as években erősítették meg. jósló csontokat (sárkánycsontokat) találtak Anyang közelében. Háborúkat vívni, vadászni, Sh királyai ....... A világtörténelem

UniCERT egy PKI (Public Key Infrastructure) rendszer a magán és állami bizalmi típusok számára. A PKI kifejezés hardverek és szoftverek, személyek és eljárások gyűjteményeként értelmezhető, amelyek kezeléséhez, tárolásához, ... ... Wikipedia

Elektronikus pénz- (Elektronikus pénz) Az elektronikus pénz a kibocsátó pénzügyi kötelezettségei elektronikus formában Minden, amit tudnod kell az elektronikus pénz történetéről és az elektronikus pénz fejlődéséről, az elektronikus pénz átutalásáról, cseréjéről és kivonásáról a különböző fizetési rendszerekben ... Befektetői enciklopédia

JOHN DUNS CATTLE- [lat. Ioannes (Johannes) Duns Scotus] († 1308.11.18., Köln), középkori. filozófus és teológus, katolikus. pap, a ferences szerzetesrend tagja; katolikusban. Egyház az áldottak előtt dicsőítve (megemlékezés a Nyugatról. Nov. 8.). Élet. John Duns Scot. 1473 ... ... Ortodox enciklopédia

Bibliai kritika- vagyis a szent ószövetségi zsidó és újszövetségi keresztény könyveinek kritikája. Tárgya: 1) hitelességének tanulmányozása, vagyis azokhoz a szerzőkhöz való tartozás, akiknek a hagyomány tulajdonítja őket, és általában körülményeik ... ... Encyclopedic Dictionary of F.A. Brockhaus és I.A. Efron

PAUL ST. AZ APOSTOL ÜZENETE- szakasz novozav. * kánon, amely 14 levélből áll. Mindegyikben, kivéve a Zsidó könyvet, Pál apostol név szerint nevezi magát nyitó szavaiban. Pép. szokás 4 csoportra osztani: 1) korai levelek (1–2 Thess; néha Gal is hozzáadódik hozzájuk); 2) Nagy ... ... Bibliológiai szótár

Könyvek

Velesov könyv. Védák az életmódról és a szlávok hitének eredetéről, Maksimenko Georgy Zakharovich. Ez az egyedülálló kiadvány a legújabb tudományos felfedezésekhez képest bemutatja a Veles -könyv szövegét és annak megfejtését. Itt talál választ a legnehezebb kérdésekre vonatkozóan ... Vásárlás 1404 rubelért
Velesov Veda című könyve az életmódról és a szlávok hitének eredetéről, Maksimenko G. Ez az egyedülálló kiadvány bemutatja a Veles -könyv szövegét és annak megfejtését a legújabb tudományos felfedezésekhez képest. Itt megtalálja a választ a legnehezebb kérdésekre, amelyek ...