아이튠즈 오류 

대리점에서는 사용자 인증을 어떻게 진행하나요? 메모리 외에도 스마트 카드에는 자체 마이크로프로세서가 있습니다. 이를 통해 재사용 가능한 비밀번호, 동적으로 변경되는 비밀번호 보호 방법에 대한 다양한 옵션을 구현할 수 있습니다.

보안의 두 가지 주요 구성 요소는 인증 및 권한 부여 프로세스입니다. 입증사용자 식별 과정을 나타내며, 권한 부여- 특정 식별된 사용자가 특정 리소스에 액세스할 수 있는지 여부를 확인하기 위해 인증 프로세스 후에 발생하는 프로세스입니다.

식별 데이터

다음을 사용하여 애플리케이션을 실행하는 사용자를 식별할 수 있습니다. 식별 데이터. 수업 WindowsID Windows 사용자를 대표할 수 있습니다. Windows 계정 외에도 인터페이스를 구현하는 다른 클래스를 사용하여 사용자를 식별할 수도 있습니다. II정체성. 이 인터페이스를 사용하면 사용자 이름은 물론 사용자 인증 여부와 사용된 인증 유형에 대한 정보에 액세스할 수 있습니다.

주요한사용자의 식별 데이터와 그가 속한 역할을 포함하는 개체입니다. IPrincipal 인터페이스에는 Ildentity 개체를 반환하는 Identity 속성과 사용자가 실제로 특정 역할의 구성원인지 확인하는 데 사용할 수 있는 IsInRole 메서드가 있습니다.

역할은 다음을 수행하는 사용자의 모음입니다. 동등한 권리액세스하고 사용자 관리를 위한 단위 역할을 합니다. 역할은 다음과 같습니다. Windows 그룹, 그리고 개발자가 직접 정의한 문자열 세트입니다.

.NET에서는 다음과 같은 주요 클래스를 사용할 수 있습니다. Windows 주체그리고 일반 주체. 그러나 그 외에도 자신만의 것을 만들 수도 있습니다. 특별 수업 IPrincipal 인터페이스를 구현하는 주체입니다.

다음 예에서는 생성 방법을 보여줍니다. 콘솔 애플리케이션, 주체에 대한 액세스 권한을 부여하고 기본 Windows 계정에 대한 액세스를 허용합니다.

먼저 System.Security.Principal 및 System.Threading 네임스페이스를 가져와야 합니다. 다음으로, 보안상의 이유로 .NET이 스레드의 CurrentPrincipal 속성을 자동으로 채우지 않기 때문에 .NET이 보안 주체를 적절한 Windows 계정에 자동으로 연결하도록 지정해야 합니다. 다음과 같이 이 작업을 수행할 수 있습니다.

시스템 사용; System.Collections.Generic을 사용합니다. System.Linq 사용; System.Security.Principal 사용; System.Threading 사용; 네임스페이스 ConsoleApplication1 ( 클래스 Program ( static void Main(string args) ( AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal); ) ) )

Windows 계정 세부 정보에 액세스하려면 다음 방법을 사용할 수 있습니다. WindowsIdentity.GetCurrent()그러나 주체에 한 번만 액세스해야 하는 상황에서는 더 적합합니다. 주체에 대한 다중 액세스가 필요한 경우 현재 스레드 자체가 주체에 대한 액세스를 제공하도록 SetPrincipalPolicy 메서드를 사용하여 정책을 설정하는 것이 좋습니다. 이 메서드는 현재 스레드의 주체가 다음을 저장해야 함을 지정합니다. 윈도우 객체신원.

식별을 위한 모든 클래스, 윈도우와 비슷 ID, IIdentity 인터페이스를 구현합니다. 이 인터페이스에는 파생된 모든 ID 클래스에서 구현해야 하는 세 가지 속성(AuthenticationType, IsAuthenticated 및 Name)이 있습니다.

추가하다 다음 코드 Thread 객체에서 주체의 속성에 액세스하려면 다음을 수행하세요.

WindowsPrincipal 주체 = (WindowsPrincipal)Thread.CurrentPrincipal; WindowsIdentity ID = (WindowsIdentity)principal.Identity; Console.WriteLine("ID 유형: " +identity.ToString()); Console.WriteLine("이름: " + 신원.이름); Console.WriteLine("사용자?" + principial.IsInRole(WindowsBuiltInRole.User)); Console.WriteLine("관리자?" + principial.IsInRole(WindowsBuiltInRole.Administrator)); Console.WriteLine("인증됨: " + Identity.AuthenticationType); Console.WriteLine("익명? " + 신원.IsAnonymous); Console.WriteLine("토큰: " + 신원.토큰);

이 콘솔 애플리케이션을 실행한 후 출력은 다음과 같습니다. 일부 세부 정보는 사용 중인 컴퓨터의 구성과 로그인에 사용되는 컴퓨터와 관련된 역할에 따라 달라집니다. 계정:

기회 쉬운 접근현재 사용자와 해당 역할에 대한 정보는 매우 유익합니다. 이 정보를 바탕으로 어떤 작업을 허용하고 어떤 작업을 금지해야 하는지 결정할 수 있습니다. 역할 및 그룹을 사용하는 능력 Windows 사용자제공하다 추가혜택, 관리를 허용하기 때문입니다. 표준 수단그리고 원칙적으로 사용자 역할이 변경되는 경우 코드 수정이 필요하지 않습니다. 다음 섹션에서는 역할에 대해 더 자세히 설명합니다.

선언적 역할 기반 보안

역할 기반 보안리소스에 대한 액세스 권한을 얻는 것이 중요한 상황에서 특히 유용합니다. 이에 대한 대표적인 예가 금융 산업입니다. 직원이 수행하는 역할에 따라 액세스할 수 있는 정보와 취할 수 있는 조치가 결정됩니다.

역할 기반 보안은 Windows 계정 또는 특별 카탈로그사용자는 웹 리소스에 대한 액세스를 제어합니다. 예를 들어, 웹사이트는 등록되지 않은 사용자에게만 다음을 제공할 수 있습니다. 제한된 액세스그 내용과 유료 가입자- 에 맞서, 추가 액세스특별한 콘텐츠로.

여러 면에서 ASP.NET 기술은 역할 기반 보안을 더욱 강화합니다. 간단한 과정, 이를 통해 다음을 수행할 수 있습니다. 최대서버의 코드. 예를 들어 인증 절차가 필요한 웹 서비스를 구현하려면 자격 증명 하위 시스템을 사용하면 충분합니다. 윈도우 기록기능에 대한 액세스 권한을 부여하기 전에 사용자가 적절한 Windows 사용자 그룹의 구성원인지 먼저 확인하는 웹 메서드를 작성합니다.

적용 시나리오를 고려해 봅시다 내부 네트워크, Windows 계정 사용에 의존합니다. 시스템에 관리자 및 보조자라는 그룹이 있고 사용자가 조직 내 역할에 따라 이러한 그룹에 할당되었다고 가정해 보겠습니다. 또한 이 애플리케이션에는 관리자 그룹의 사용자만 액세스할 수 있는 직원 정보를 표시할 수 있는 기능이 있습니다. 물론 코드를 쉽게 작성하여 여부를 확인할 수 있습니다. 현재 사용자 Managers 그룹의 구성원 및 이 기능에 대한 액세스가 허용되는지 여부.

그러나 나중에 계정 그룹을 다시 정렬하고 구성원이 직원 정보에도 액세스할 수 있어야 하는 인사 그룹을 추가하려는 경우 문제가 발생합니다. 이 경우 모든 코드를 다시 검토하고 새 그룹에 대한 규칙이 포함되도록 모든 코드를 업데이트해야 합니다.

이 시나리오에서 더 적절한 접근 방식은 ReadEmployeeDetails와 같은 이름별로 권한을 만들고 필요에 따라 그룹에 할당하는 것입니다. 코드에서 ReadEmployeeDetails 권한을 확인하는 경우 직원 및 인사 그룹 구성원에 대한 정보에 대한 액세스를 허용하도록 애플리케이션을 업데이트하는 것은 그룹을 만들고, 원하는 사용자를 그룹에 배치하고, ReadEmployeeDetails 권한을 할당하는 것만큼 간단합니다.

코드 액세스 보호와 마찬가지로 역할 기반 보안 쿼리(예: "사용자는 관리자 그룹에 있어야 합니다")는 IPrincipal 클래스에서 IsInRole() 메서드를 호출하거나 특성을 사용하여 필수적으로 구현할 수 있습니다. 권한 요구 사항은 속성을 사용하여 클래스 또는 메서드 수준에서 선언적으로 지정할 수 있습니다. .

시스템 사용; System.Security 사용; System.Security.Principal 사용; System.Security.Permissions 사용; 네임스페이스 ConsoleApplication1 ( 클래스 프로그램 ( 정적 void Main(string args) ( AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal); try ( ShowMessage(); ) catch (SecurityException 예외) ( Console.WriteLine("Exception " + 예외.메시지) ; ) finally ( Console.ReadLine(); ) ) static void ShowMessage() ( Console.WriteLine("현재 주체는 로컬로 로그인되었으며 사용자 그룹의 구성원입니다."); ) ) )

비회원 사용자의 컨텍스트에서 이 애플리케이션을 실행하는 경우 지역 단체 Windows에서 Users를 호출하면 ShowMessage() 메서드에서 예외가 발생합니다.

웹 응용 프로그램의 경우 ASP.NET 코드가 실행되는 계정은 이 그룹의 구성원이어야 합니다. 안에 실제 응용이 계정을 관리자 그룹에 추가하지 마십시오.

각 시험 문제에는 다양한 작성자의 답변이 여러 개 있을 수 있습니다. 답변에는 텍스트, 수식, 그림이 포함될 수 있습니다. 시험 작성자 또는 시험 답안 작성자는 문제를 삭제하거나 편집할 수 있습니다.

신분증

이를 위해서는 사용자가 다음을 수행해야 합니다. 확인하다- 귀하의 "이름"(식별자)을 표시하십시오. 이를 통해 등록한 사용자가 시스템에 의해 식별된 사용자 중 하나인지 확인합니다. 그리고 입력된 식별자에 따라 사용자에게 적절한 액세스 권한이 할당됩니다.

입증

안에 일반적인 경우, 사용자뿐만 아니라 리소스에 대한 다른 액세스 주체도 식별 및 인증됩니다.

식별 및 인증 절차의 구현 집합을 일반적으로 호출합니다. 승인 절차

승인 절차는 보호에 있어 매우 중요합니다. 컴퓨터 정보, 왜냐하면 리소스에 대한 모든 제한적인 액세스 정책은 사용자 식별자와 관련하여 구현됩니다. 즉, 공격자는 다른 사람의 식별자를 사용하여 시스템에 로그인함으로써 시스템에 로그인할 때 식별자가 제공된 사용자의 리소스에 대한 액세스 권한을 얻습니다.

불법적인 사용자가 시스템에서 작업하는 것을 방지하려면 시스템에서 각 합법적인 사용자(또는 사용자 그룹)를 인식하는 절차가 필요합니다. 이를 위해 시스템은 사용자를 식별할 수 있는 정보를 안전한 장소에 저장할 의무가 있으며, 사용자는 시스템에 로그인할 때, 특정 작업을 수행할 때, 리소스에 액세스할 때 자신을 식별할 의무가 있습니다. , 이 시스템에서 그에게 할당된 식별자를 나타냅니다. 식별자를 수신하면 시스템은 식별자를 인증합니다. 즉, 해당 식별자가 일련의 식별자에 속하는지 여부를 확인합니다. 식별이 인증으로 보완되지 않으면 식별 자체가 모든 의미를 잃게 됩니다. 일반적으로 잘못된 식별자를 제시하려는 시도 횟수에는 제한이 있습니다. 사용자 인증은 다음 원칙을 기반으로 할 수 있습니다.

  • 사용자가 비밀번호를 제시한 경우
  • 사용자가 비밀 키 정보를 가지고 있다는 증거를 제시하는 경우
  • 일부 시험 문제에 대한 답변;
  • 그와 불가분하게 연결된 일부 변하지 않는 표시를 사용자가 제시하는 경우;
  • 그가 있다는 증거를 제공하는 것에 대해 특정 장소 V 특정 시간;
  • 신뢰할 수 있는 제3자에 의한 사용자 인증에 관한 것입니다.

인증 절차는 위조, 무차별 대입, 위조를 방지해야 합니다. 사용자를 인식한 후 시스템은 이 사용자에게 부여된 권한, 사용자가 사용할 수 있는 정보 및 방법(읽기, 쓰기, 수정 또는 삭제), 실행할 수 있는 프로그램, 사용할 수 있는 리소스 등을 알아내야 합니다. 문제

이런 종류. 이 과정을 권한 부여 . 따라서 사용자 로그인은 식별, 인증, 승인으로 구성됩니다. 진행 중 추가 작업때로는 특정 작업에 대한 추가 승인이 필요할 수 있습니다.

액세스 제어를 구현하는 다양한 메커니즘이 있습니다. 예를 들어, 시스템의 각 리소스(또는 구성 요소)는 이 리소스에 대한 액세스가 허용된 모든 사용자의 식별자를 지정하고 허용되는 액세스 종류를 결정하는 액세스 제어 목록과 연결될 수 있습니다. 사용자가 특정 리소스에 액세스하면 시스템은 다음을 확인합니다. 이 리소스의액세스 제어 목록이 있는 경우 이 사용자가 요청된 모드에서 지정된 리소스를 작동할 수 있는지 여부를 확인합니다. 사용자 인증 메커니즘을 구현하는 또 다른 예는 프로필입니다.

사용자 - 모든 사용자 식별자를 특정 사용자에게 액세스가 허용된 개체 목록과 일치시켜 액세스 유형을 나타내는 목록입니다. 모든 시스템 리소스의 식별자에 해당하는 열과 등록된 모든 사용자의 식별자에 해당하는 행이 있는 테이블인 소위 액세스 매트릭스라는 시스템 데이터 구조를 구성할 수 있습니다. i번째 열의 교차점에서 j번째 행표에서 시스템 관리자는 j번째 리소스에 대한 i번째 식별자 소유자의 허용된 액세스 유형을 나타냅니다. 특별한 사람만이 인증 메커니즘에 접근할 수 있어야 합니다. 시스템 프로그램, 시스템 보안을 엄격하게 보장할 뿐만 아니라 제한된 서클시스템 보안을 담당하는 사용자. 해당 메커니즘은 무단 사용자가 우발적으로 또는 의도적으로 액세스하지 못하도록 주의 깊게 보호해야 합니다. 에 대한 많은 공격 정보 시스템특히 접근 제어 수단을 비활성화하거나 우회하는 것을 목표로 합니다. 다른 상호 작용 대상을 인증할 때 시스템에서 유사한 작업이 수행됩니다( 지원자)(예: 시스템(검증자)이 있는 응용 프로그램 프로세스 또는 프로그램). 상호작용 주체의 인증과 달리 객체의 인증 절차, 진위성 확립 이메일, 은행 계좌 등을 통해 소유권 사실을 확인합니다. 이 개체의지정된 식별자의 소유자입니다.

신분증 각 사용자(사용자 그룹)가 보호 개체에 대한 해당 액세스 제한 정책을 비교하도록 설계되었습니다.
이를 위해 사용자는 자신의 "이름"(식별자)을 표시하여 자신을 식별해야 합니다. 이를 통해 등록한 사용자가 시스템에 의해 식별된 사용자 중 하나인지 확인합니다. 그리고 입력된 식별자에 따라 사용자에게 적절한 액세스 권한이 할당됩니다.
입증 식별 절차를 제어하도록 설계되었습니다. 이를 위해서는 사용자가 비밀번호를 입력해야 합니다. 입력된 비밀번호가 정확하면 등록 사용자와 식별된 사용자 간의 고유한 통신이 확인됩니다.
일반적으로 사용자뿐만 아니라 리소스에 접근하는 다른 주체도 식별 및 인증됩니다.
식별 및 인증 절차의 구현 집합을 일반적으로 절차라고 합니다. 권한 부여 . 때로는 사용자를 식별할 필요가 없지만 인증 절차만으로 충분할 수도 있습니다. 예를 들어, 필요한 작업을 수행할 때 현재(이미 등록된) 사용자를 확인해야 할 때 이런 일이 발생합니다. 추가 보호. 결과적으로, 식별 제어가 항상 필요한 것은 아닙니다. 즉, 경우에 따라 인증이 수행되지 않을 수도 있습니다.
인증 절차는 컴퓨터 정보를 보호하는 데 매우 중요합니다. 리소스에 대한 모든 제한적인 액세스 정책은 사용자 식별자와 관련하여 구현됩니다. 즉, 공격자는 다른 사람의 식별자를 사용하여 시스템에 로그인함으로써 시스템에 로그인할 때 식별자가 제공된 사용자의 리소스에 대한 액세스 권한을 얻습니다.
식별 및 인증 요구 사항
이러한 보호 메커니즘에 대한 공식 요구 사항은 다음과 같습니다.
. 액세스 주체의 식별 및 인증은 식별자(코드)와 최소 6자리 영숫자 길이의 조건부 영구 비밀번호를 사용하여 시스템에 로그인할 때 수행되어야 합니다(AC 분류에 따른 보안 클래스 1G 및 1B의 경우).
. 보안 시스템은 사용자가 접근을 요청할 때 자신을 식별하도록 요구해야 합니다.
. 보안 시스템은 신원 확인의 진위 여부를 확인해야 합니다. 인증을 수행해야 합니다. 이를 위해서는 필요한 식별 및 인증 데이터가 있어야 합니다.
. 보안 시스템은 미식별 사용자와 인증 시 신원 확인이 확인되지 않은 사용자(SVT 분류에 따른 보안 등급 5)가 보호 자원에 접근하는 것을 방지해야 합니다. SVT 분류에 따른 보안 클래스 3의 경우 추가 요구 사항이 도입됩니다. 즉, 보안 시스템은 수신된 ID를 특정 사용자의 모든 작업과 안정적으로 연결할 수 있어야 합니다.
"...최소 6자리 영숫자 길이의 조건부 영구 비밀번호..."라는 제한 외에도 이러한 요구 사항은 어떤 방식으로든 메커니즘 구현에 대한 접근 방식을 공식화하지 않습니다. 비밀번호 보안. 또한 이러한 요구 사항은 비밀번호 보호 메커니즘을 구현하는 방법을 지정하지 않으며 강제하지도 않습니다. 추가 제한 사항추측에 대한 비밀번호 저항력 증가와 관련이 있습니다. 특히, 그들은 사용을 규제하지 않습니다 외부 미디어비밀번호 정보 - 플로피 디스크, 스마트 카드 등
추가 요구 사항:
최신 운영 체제에서 인증 절차의 잘못된 구현 및 해당 보호 메커니즘 구현에 오류가 있는 것과 관련된 전체 위협 그룹이 있습니다. 따라서 추가 보호를 위해 인증 메커니즘을 고려하는 것이 좋습니다. 또한 정보에 대한 무단 접근에 대응하기 위해서는 식별 및 인증 메커니즘이 가장 중요하므로 이를 고려해야 합니다. 가능한 옵션그들의 예약.
또한 선언된 틀 내에서 체계적 접근인증 메커니즘을 개발할 때 보안 시스템 설계에 명시적이고 숨겨진 위협방어를 극복합니다.
등록된 사용자의 수와 유형에 따른 승인
잠재적인 공격자로 인식되어야 하는 사람/
1. 시스템에 한 명의 사용자가 등록되어 있습니다.
이 사용자애플리케이션 사용자이자 보안 관리자입니다. 출처는 여기입니다 잠재적인 위협기업의 제3자 직원일 뿐이며 전체 보호 작업은 컴퓨터(또는 시스템)에 대한 액세스를 제어하는 ​​것으로 귀결됩니다. 비밀번호 보호를 위해.
이 사건은 변질되었으며 우리는 더 이상 고려하지 않습니다. 보호되는 경우에도 무단 액세스로부터 정보를 보호하기 위한 공식 요구 사항에 따라 기밀 정보추정된 필수 출석보안 관리자.
2. 보안관리자 및 1인 애플리케이션 사용자
응용 프로그램 사용자가 한 명인 시스템의 일반적인 경우는 보안 관리자가 있고 시스템에 응용 프로그램 사용자가 한 명뿐인 경우입니다. 여기서 보안 관리자의 작업에는 시스템(보안 관리자) 및 기타 컴퓨터 리소스에 액세스하는 애플리케이션 사용자의 권한을 제한하는 것이 포함됩니다. 특히 컴퓨터에서 해결하도록 허용된 작업 집합, 컴퓨터에 연결할 수 있는 장치 집합(예: 외부 모뎀, 프린터 등), 처리된 데이터를 저장하는 방법(예: 암호화된 형식으로만 플로피 디스크에 저장) 등
안에 이 경우보호된 개체의 리소스를 무단으로 사용하는 경우 잠재적인 공격자는 기업의 제3자 직원이거나 애플리케이션 사용자 자신일 수 있습니다. 여기에서 애플리케이션 사용자는 의식적인 위반자 역할을 할 수도 있고, 예를 들어 누군가의 요청에 따라 일부 프로그램을 실행하여 제3자 위반자 역할을 하는 "도구"가 될 수도 있습니다.
3. 시스템에는 보안관리자와 다수의 애플리케이션 사용자가 등록되어 있습니다.
보안 관리자 외에도 시스템에는 여러 명의 애플리케이션 사용자가 있을 수 있습니다. 이 경우 여러 직원이 보호되는 컴퓨터의 리소스를 사용할 수 있습니다. 다양한 업무. 이를 고려하여 보호 개체의 정보와 기타 리소스는 둘 사이에 구분되어야 합니다.
이 경우 승인된 애플리케이션 사용자가 잠재적 위반자에 추가되며, 그 목적은 다른 사용자가 보호 개체에 저장된 정보에 액세스하는 것일 수 있습니다.
컴퓨터를 사용할 때(특히 워크스테이션) LAN의 일부로 보호 개체의 로컬 리소스 외에도 네트워크 리소스도 보호 대상입니다.
이 경우 서버에 대한 접근권한은 사용자별로 구분될 수 있으며, 네트워크 서비스, 분할된 네트워크 자원( 공유 폴더예를 들어, 네트워크 프린터) 등.
여기서 공격자(인증된 사용자)는 NSD를 획득하려고 시도하여 다음을 수행할 수 있습니다. 네트워크 리소스, 워크스테이션에서 그를 공격하기 위해 접근이 허용되지 않습니다.
등록된 사용자 유형 및 수에 따른 건물 인허가 권장 사항
구현하기 가장 쉬운 보호는 제3자 직원으로부터 보호하는 것입니다. 이 경우 모든 보호 조치는 비밀번호 로그인 메커니즘을 사용하는 데 할당됩니다.
나중에 살펴보겠지만, 이 경우에는 비밀번호 보호를 극복하기 위해 명백한 위협에만 대응해야 하며, 그로부터 자신을 보호하는 것은 어렵지 않습니다.
그러나 주요 위협은 다음을 수행할 수 있는 권한이 있는 사용자의 의도적 또는 비의도적 행위입니다. 몰래 공격보호된 리소스로 이동합니다(예: 자신이 디자인한 프로그램을 실행하여).
식별 및 인증 메커니즘은 모든 잠재적 공격자에 대한 대응을 제공해야 합니다. 보호 대상과 관련된 제3자 및 컴퓨터에 등록된 승인된 사용자 모두. 여기서 우리 얘기 중이야애플리케이션 사용자에 대해 메커니즘 사용을 포함하여 보안 관리자의 정보에 대한 무단 액세스로부터 보호를 구현하는 것은 불가능합니다. 암호화 보호(암호화 드라이버에 들어가기 전에 정보를 제거할 수 있습니다).
그렇게 말하면 우리는 할 수 있습니다 다음과 같은 결론:
1. 보호 대상에는 원칙적으로 다음에 따라 등록됩니다. 적어도, 두 명의 사용자 - 애플리케이션 사용자와 보안 관리자. 따라서 비밀번호 보호 메커니즘을 구현할 때 잠재적인 공격자로서 일반적으로 보호 대상과 관련된 제3자뿐만 아니라 의도적이든 비의도적이든 공격을 수행할 수 있는 승인된 사용자도 고려해야 합니다. 비밀번호 보호 메커니즘.
2. 비밀번호 보호에 대한 공격을 고려할 때 비밀번호 보호에 대한 명백한 위협으로 특징지어질 수 있는 제3자와 비교할 때 인증된 사용자의 공격으로부터 보호하는 것이 질적으로 더 어렵다는 점을 고려해야 합니다. 숨겨진 위협이 그들에 대해 실현될 수 있습니다.
식별 및 인증 메커니즘으로 해결된 문제 분류(도표)
보호 대상의 목적에 따른 업무 분류
비밀번호 보호 메커니즘으로 해결되는 작업 분류의 기본은 보호 대상(컴퓨터)의 목적입니다. 보호되는 리소스 및 위협 소스(잠재적 공격자) 목록이 결정되는 것은 개체의 목적에 따라 결정됩니다.

우리는 모두 로그인 절차를 잘 알고 있습니다. 자신의 계정소셜 네트워크, 온라인 게임 또는 이메일: 로그인 정보와 비밀번호를 제공하세요. 개인 페이지. RuNet 및 지역화된 시스템에서는 이를 종종 인증이라고 합니다. 기술적 포인트보기가 근본적으로 잘못되었습니다. 입력 양식에서 Enter를 누르면 두 개가 완전히 시작됩니다. 다양한 프로세스– 인증 및 승인. 오류가 발생하면 어느 단계에서 오류가 발생하는지 명확하게 이해할 필요가 있습니다.

당연히 인증과 권한 부여는 모두 네트워크 계정에 액세스하는 과정에서만 사용되는 것이 아닙니다. 자동화 시스템, EDI, 데이터 전송, 플라스틱 은행 카드 - 이러한 절차는 하루에 한 번 이상 자동으로 수행됩니다.

영어 시스템에서는 용어와 혼동이 없습니다. 두 절차가 모두 눈에 숨겨져 있기 때문에 사용자는 인증과 권한 부여의 차이점에 대해 생각조차 하지 않습니다. “로그인” – “로그인, 로그인”을 권장합니다.

비교

인증 절차는 어떻게 진행되나요? 여기 자신의 이메일에서 최신 스팸을 읽기로 결정한 특정 사용자가 있습니다. 사서함. 그는 우편 서비스 웹 사이트에 가서 광고와 뉴스를 읽지만 아직 편지가 표시되지 않습니다. 시스템은 그의 신원이나 의도를 알지 못합니다. 로그인 및 비밀번호 입력 양식에 "사용자 이름/qwerty"를 입력하고 이 정보를 제출하면 인증 프로세스가 시작됩니다. 시스템은 동일한 이름을 가진 사용자가 존재하는지, 입력한 비밀번호가 해당 사용자의 계정과 일치하는지 확인합니다. 대부분의 경우 이러한 식별자를 일치시키는 것만으로도 충분하지만 데이터 보안이 우선인 서비스에서는 인증서 존재 여부, 특정 IP 주소또는 추가 코드확인.

인증을 통과했다는 것은 사용자가 자신이 누구인지를 의미합니다. 그러나 이는 데이터에 대한 액세스 권한을 제공하기에 충분하지 않습니다. 인증 프로세스가 시작됩니다. 다음의 경우 우편 서비스고객은 동등한 권리를 갖습니다. 각 고객은 편지와 문서를 보고, 편집하고, 새 문서를 만들 수 있습니다. 하지만 소셜 네트워크에서또는 방문자가 속한 포럼에서 특정 그룹, 인증은 시스템이 목성에 허용되는 것과 황소에게 허용되지 않는 것을 결정하는 데 도움이 됩니다. 예를 들어, 귀하를 블랙리스트에 추가한 사용자에게 메시지를 작성할 권한이 없습니다. 메시지를 입력할 때까지는 메시지에 비디오 링크를 추가할 수 없습니다 일정량의게시물; 당신을 "친구"로 추가한 사람의 사진을 볼 수 있습니다. 안에 로컬 시스템해당 사용자 계정은 일부 프로그램에 대한 접근이 불가능할 수 있으며, 문서 편집이나 복사가 금지될 수 있습니다.

승인 프로세스 중에 계정 소유자 또는 계정 소유자는 특정 작업을 수행할 수 있는 권한을 갖습니다. 이는 로그인 중뿐만 아니라 데이터 조작을 시도하는 동안에도 발생합니다. 이것이 인증과 권한 부여의 차이입니다. 첫 번째는 현재 세션에 대한 일회성 절차이고, 두 번째는 프로세스를 시작하기 전에 사용자가 지속적으로 수행하는 절차입니다.

인증과 승인의 차이점을 기억하려면 일반적으로 폐쇄된 산업 단지에 비유하는 것이 도움이 됩니다. 입장 시 방문자는 ID를 제시하고(로그인 및 비밀번호 입력) 보안요원이 데이터베이스를 확인하여 이 사람의 입장 가능 여부를 확인합니다. 서류가 진짜이고 이름이 목록에 있으면 시설 출입이 허용됩니다. 실험실에 들어가려면 프레스 센터로 가는 패스 하나, 쓰레기를 제거하기 위한 패스 하나, 세 번째 패스가 필요합니다. 보안 서비스는 개체에 대한 접근 권한을 확인하고 직원의 특정 작업을 허용하거나 금지합니다. 이것이 승인이 이루어지는 방식입니다.

인증 프로세스는 사용자가 시스템에 로그인할 때 시작됩니다. 이는 로그인/비밀번호 쌍, 지문 등 식별 데이터를 제공합니다. 설치된 인증서, 카드 및 해당 PIN 코드. 이 경우 클라이언트 측의 오류가 발생할 수 있습니다. 인증이 성공적으로 완료되고 사용자 작업이 수행되면 서버에서 자동으로 인증이 트리거됩니다. 이 과정영향을 미치지 마십시오.

우선, 간단한 예~에서 일상 생활어느 것이 도움이 될 것인가? 일반 개요승인이 인증 및 식별과 어떻게 다른지 이해합니다.

신입사원이 처음 출근하면 입구에 있는 경비원에게 자신을 소개하고 이제 여기서 매니저로 일하겠다고 말합니다. 그래서 그는 식별하다자신 - 그가 누구인지 알려줍니다.

보안 담당자는 일반적으로 그의 말을 받아들이지 않고 그가 실제로 그랬다는 증거를 제시할 것을 요구합니다. 새 관리자사무실 건물에 들어갈 권리가 있습니다. 사진이 포함된 출입증을 제시하고 이를 경비원이 이용할 수 있는 직원 목록과 비교하면 문제가 해결됩니다. 직원이 진위 확인 - 합격 입증.

마침내 소중한 문이 열리고 경비원은 직원에게 특정 문을 열어줍니다. 허가 접수됨 - 완료됨 권한 부여.

안에 가상 세계모든 것이 실제 생활과 거의 동일합니다. "캐릭터"의 이름만 변경됩니다. 보안요원은 현장 출입을 통제하는 서버입니다. 그리고 출근한 관리자는 자신의 계정에 로그인하려는 사용자입니다.

모든 경비원이 관리자의 시력과 이름을 알고 있는 경우에도 절차가 매일 반복된다는 점을 추가해야 합니다. 그것은 단지 보안관의 임무일 뿐입니다. 서버도 그렇습니다.

세 가지 개념은 모두 계정에 대한 사용자 액세스를 제어하는 ​​동일한 프로세스의 단계입니다.

사이트에서 작업을 수행하려면 클라이언트가 시스템에 "자신을 소개"해야 합니다. 사용자 식별 - 사이트나 서비스에 접속해야 하는 이유를 제공합니다. 일반적으로 식별자는 등록 중에 지정된 로그인 또는 이메일 주소입니다. 서버가 데이터베이스에서 지정된 데이터와 일치하는 데이터를 찾으면 클라이언트가 식별됩니다.

로그인은 물론 훌륭합니다. 그런데 사이트에 등록한 사람이 입력했다는 보장은 어디에 있습니까? 최종적으로 사용자의 진위 여부를 확인하기 위해 시스템에서는 일반적으로 인증을 수행합니다.

오늘날 가장 자주 사용되는 이중 인증, 여기서 첫 번째 요소는 재사용 가능한 일반 비밀번호입니다. 그러나 두 번째 요소는 이 경우 사용되는 인증 방법에 따라 다를 수 있습니다.

  • 일회용 비밀번호 또는 PIN 코드
  • 자기 카드, 스마트 카드, 디지털 서명 인증서;
  • 생체인식 매개변수: 음성, 망막, 지문.

급속한 발전에도 불구하고 생체 인식 방법인증을 수행할 때 신뢰성이 그다지 높지 않다는 점을 여전히 인식해야 합니다. 원격 사용. 망막이나 지문을 스캔하는 장치와 애플리케이션의 올바른 작동을 항상 보장할 수 있는 것은 아닙니다. 확인 과정에서 실제 소유자의 손으로 만든 모형이나 사진이 사용되지 않았다고 100% 확신하는 것은 불가능합니다. 현재 이 방법은 인증 절차를 직접 제어할 수 있는 경우에만 신뢰할 수 있는 방법으로 간주됩니다. 예를 들어, 직원이 기업에 입사할 때 생체 인식 방법꽤 기능적입니다.

인터넷에서처럼 검사관이 검사 대상자와 멀리 떨어져 있을 때 이 방법이 훨씬 더 잘 작동합니다. 이중 인증일회용 비밀번호를 사용합니다. 인증 수단은 매우 다르므로 각 경우에 항상 가장 편리한 수단을 선택할 수 있습니다. 이는 SMS를 통한 인증, 하드웨어 토큰을 사용한 일회용 비밀번호 생성 또는 다음을 통한 인증일 수 있습니다. 특별한 응용스마트폰으로 - 선택은 사용자의 몫입니다.

이는 사용자가 자신의 진실을 시스템에 증명하는 단방향일 수도 있고, "요청-응답" 시스템을 사용하여 서버와 클라이언트가 상호 진위 여부를 확인하는 양방향일 수도 있습니다. 이러한 유형의 2FA는 Protectimus Ultra 토큰에 사용되며 무엇보다도 피싱 사이트에 노출될 위험을 제거할 수 있습니다.

클라이언트가 계정에 로그인하는 마지막 단계를 승인이라고 합니다. 식별 및 인증 성공 여부에 따라 서버는 사용자가 사이트에서 특정 작업을 수행하는 것을 허용하거나 허용하지 않습니다.

"승인"과 "인증"이라는 용어에는 상당한 차이가 있습니다. 인터넷에서 '2단계 인증'이라는 표현을 자주 듣거나 읽을 수 있지만 엄밀히 말하면 틀린 말이다. 결국, 사용자 인증은 그에게 어떤 시스템에서든 권한을 부여하는 것이며, "이 사람이 이 정보나 기능에 접근하도록 허용할 수 있습니까?"라는 질문에 대한 최종 대답입니다. 그리고 그 고유성으로 인해 인증은 이중 요소가 될 수 없습니다.

그러나 불필요한 혼동을 피하기 위해 일반적으로 이러한 차이점은 강조되지 않으며 두 개념을 동의어로 사용합니다.

식별, 인증, 권한 부여가 무엇인지 명확하게 이해하면 이들이 나타내는 기능을 올바르게 사용할 수 있습니다. 그리고 전체 인터넷과 개인 사용자의 보안은 이것으로부터만 이익을 얻을 것입니다.

Windows 7 운영 체제에는 데스크톱을 위한 차세대 보안 기술이 도입되었으며 그 중 하나가 인증 및 권한 부여입니다. 일부 기술은 강화를 목표로 합니다. 일반 인프라 Windows 및 나머지는 시스템 및 사용자 데이터 관리를 지원합니다.

Windows 7에서 파일 및 폴더 공유와 같은 효과적인 보안 조치를 설치하기 전에 보안 설정 중에 사용되는 사용자 계정 유형과 방법을 이해하는 것이 중요합니다. 네트워크 프로토콜사용자 로그인을 인증하고 권한을 부여합니다.

인증은 사용자에게 연락할 때 사용자의 신원을 확인하는 데 사용되는 프로세스입니다. 컴퓨터 시스템또는 추가 시스템 리소스. 비공개 및 공개 컴퓨터 네트워크(인터넷 포함) 대부분의 경우 인증에는 사용자 자격 증명 확인이 포함됩니다. 즉, 사용자 이름과 비밀번호입니다. 그러나 결제 처리와 같은 중요한 거래 유형의 경우 비밀번호가 도난당하거나 해킹될 수 있으므로 사용자 이름과 비밀번호 인증만으로는 충분하지 않습니다. 이러한 이유로 현재 대부분의 인터넷 비즈니스와 기타 많은 거래에서는 디지털 인증서, 인증 기관에서 발급하고 확인합니다.

인증은 논리적으로 인증보다 우선합니다. 인증을 통해 시스템은 인증된 사용자가 보호된 시스템 리소스에 액세스하고 업데이트할 수 있는지 여부를 결정할 수 있습니다. 인증을 사용하면 폴더 및 파일에 대한 지시적 액세스, 액세스 시간, 허용되는 저장 공간 크기 등을 설정할 수 있습니다.

  • 시스템 리소스에 대한 변경은 처음에는 시스템 관리자가 허용합니다.
  • 사용자가 액세스하거나 업데이트하려고 할 때 시스템 리소스행동 허가는 시스템이나 애플리케이션에 의해 평가됩니다.

후자의 옵션을 사용하면 사용자가 인증이나 승인 없이 액세스할 수 있습니다. 익명의 인증되지 않은 사용자에게 액세스를 제공하려는 경우에 사용됩니다. 이러한 액세스는 일반적으로 매우 제한됩니다.

권한 부여 및 인증 프로세스.

네트워크의 파일에 액세스하려면 사용자는 신원 확인을 위해 인증을 받아야 합니다. 이는 네트워크 로그인 프로세스 중에 수행됩니다. 수술실 윈도우 시스템 7 네트워크 로그인의 경우 다음과 같은 인증 방법이 있습니다.

  • Kerberos 버전 5: 운영 체제를 실행하는 클라이언트 및 서버에 대한 기본 인증 방법 마이크로소프트 윈도우. 사용자 계정과 컴퓨터 계정을 인증하는 데 사용됩니다.
  • Windows NT LAN Manager(NTLM): 다음 용도로 사용됩니다. 하위 호환성와 함께 운영체제 Windows 2000 및 일부 응용 프로그램보다 오래되었습니다. Kerberos 버전 5보다 유연성, 효율성, 보안성이 떨어집니다.
  • 인증서 매핑: 일반적으로 스마트 카드와 함께 로그인 인증에 사용됩니다. 스마트 카드에 저장된 인증서는 사용자 계정과 연결됩니다. 스마트 카드 판독기는 스마트 카드를 읽고 사용자를 인증하는 데 사용됩니다.

Windows 7의 새로운 인증 기능.

사용자 로그인 및 인증 프로세스와 관련된 여러 가지 개선 사항이 추가되었습니다. 윈도우 비스타®. 이러한 개선 사항이 증가했습니다. 기본 세트확인하는 데 도움이 되는 인증 기능 더 나은 보안및 제어 가능성. Windows 7에서 Microsoft는 다음과 같은 새로운 인증 기능을 제공하여 Windows Vista에서 시작된 개선을 계속합니다.

  • 스마트 카드
  • 생체 인식
  • 인터넷상의 성격 통합.

스마트 카드.

스마트 카드를 사용하는 것이 가장 일반적인 인증 방법입니다. 조직과 사용자가 스마트 카드를 채택하도록 장려하기 위해 Windows 7에서는 스마트 카드를 보다 쉽게 ​​사용하고 배포할 수 있는 새로운 기능을 제공합니다. 이러한 새로운 기능을 통해 스마트 카드를 사용하여 다음과 같은 다양한 작업을 수행할 수 있습니다.

  • 스마트 카드 플러그 앤놀다
  • PIV(개인 식별 확인), NIST(국립표준기술연구소) 표준
  • Kerberos 스마트 카드 로그인을 지원합니다.
  • BitLocker 드라이브 암호화
  • 문서 및 이메일
  • 비즈니스 애플리케이션과 함께 사용하세요.

생체 인식.

생체인식은 점점 더 대중화되는 기술입니다. 쉬운 접근시스템, 서비스 및 리소스에 적용됩니다. 개인을 고유하게 식별하기 위해 생체인식은 그의 변하지 않는 측정값을 사용합니다. 신체적 특성. 가장 일반적으로 사용되는 생체 특성 중 하나는 지문입니다.

지금까지는 없었습니다 표준 지원생체 인식 장치. 이 문제를 해결하기 위해 Windows 7에서는 WBF(Windows Biometric Framework)를 도입했습니다. WBF가 제공하는 새로운 세트생체 인식 장치를 사용하여 지문 인식을 지원하는 구성 요소입니다. 이러한 구성 요소는 사용자 안전을 향상시킵니다.

Windows 생체인식 프레임워크를 사용하면 사용자와 관리자가 쉽게 설정하고 관리할 수 있습니다. 생체 인식 장치~에 로컬 컴퓨터또는 도메인에서.

인터넷상의 성격 통합.

계정 관리는 보안 전략입니다. 인증을 활성화하거나 비활성화하려면 특정 컴퓨터또는 온라인으로 관리하는 모든 컴퓨터가 그룹 정책을 사용합니다.

완성 온라인 신분증그룹 정책을 관리할 수 있습니다. 다음과 같이 구성된 정책: “ 네트워크 보안: PKU2U 식별을 요청할 때 이 컴퓨터에서 온라인 ID를 사용하도록 허용”은 PKU2U 프로토콜을 사용하여 이 컴퓨터를 인증하는 온라인 ID 기능을 제어합니다. 이 정책 설정은 이 컴퓨터에 로그온하는 도메인 계정이나 로컬 사용자 계정의 기능에 영향을 주지 않습니다.



질문이 있으신가요?

오타 신고

편집자에게 전송될 텍스트:

보내다