Contactos
el principal

Propiedad de sistemas para poder asegurar la autenticidad de los datos. Autenticación de dos factores. Competente e incompetente

La carta de crédito es la obligación monetaria condicional tomada por el Banco sobre las instrucciones del pagador, que le permite cumplir con los pagos a favor del destinatario de los fondos. El Banco puede realizar pagos al vendedor o darle a otro banco para producir dichos pagos al realizar las condiciones de la carta de crédito.

Autenticación

La autenticación es el proceso de determinar la identidad del cliente de acuerdo con la información proporcionada por él. La autenticación se realiza de las siguientes maneras:

Datos auténticos

La propiedad de los datos es genuina y las propiedades de los sistemas pueden garantizar la autenticidad de los datos.

La autenticidad de los datos significa que fueron creados por participantes legales en el proceso de información y no se sometieron a distorsión aleatoria o deliberada.

La capacidad del sistema para garantizar la autenticidad de los datos significa que el sistema puede detectar todos los casos de distorsión de datos con una probabilidad de un error que no exceda el valor especificado.

Llave cerrada

Clave cerrada (clave privada) - Cerrada (secreta) parte de un par de claves criptográficas. Sirve para crear firmas electrónicas, que luego se pueden revisar usando, y para descifrar los mensajes que fueron encriptados.

La clave cerrada almacena solo su dueño, en ningún caso lo describe a nadie. La pérdida de una clave cerrada significa la posibilidad de divulgación por parte de terceros de cualquier información cifrada por su propietario, así como la posibilidad de falsificar por el EP de su propietario por parte de terceros. En cualquier sistema criptográfico, la clave privada es siempre el secreto más importante, por lo que debe mantenerse en secreto.

Llave abierta

Tecla pública (clave pública) - Parte abierta (insoportable) de un par de claves criptográficas. Sirve para verificar las firmas electrónicas creadas por un par de pares y para cifrar mensajes que se descifrarán aún más.

La clave pública se envía al registro con la Autoridad de Certificación: la organización participó en el registro de claves abiertas y sus propietarios, además de emitir electrónicos que confirman la pertenencia de las claves abiertas a personas específicas. En el centro de certificados, los certificados de todas las pulsaciones de claves públicas se colocan en la base de datos, desde donde se pueden proporcionar a solicitud a cualquier persona en el centro.

Transacciones de pasaporte bajo el contrato.

El pasaporte de la transacción del contrato es un documento, que se emite en la implementación de la transacción de moneda en virtud del contrato.

Transacciones de pasaportes sobre el acuerdo de préstamo.

El pasaporte de la transacción en virtud del acuerdo de préstamo es un documento que se emite en la implementación de una transacción de moneda sobre un acuerdo de préstamo o un acuerdo de préstamo.

Protocolo SSL

SSL (la capa segura de los sockets) fue desarrollada por Netscape. Le permite identificar los signos en curso sobre la base de los certificados electrónicos, para llevar a cabo los datos transmitidos y garantizar la falta de distorsión de los datos en el proceso de transmisión.

¡Nota! La capacidad de utilizar el protocolo SSL está determinado por la presencia de la casilla de verificación en el campo SSL 2.0 o SSL 3.0instalado al configurar un navegador de Internet.

Residente

El residente es legal o individual, constantemente registrado o residente permanentemente en un país determinado.

Certificado

El certificado es un documento (posiblemente en forma electrónica) que contiene que pertenece al titular del certificado, junto con información adicional sobre su propietario (por ejemplo, nombre completo y nombre de la organización, dirección de correo electrónico, etc.), firmada por la Autoridad de Certificado (Certificado Autoridad).

La tarea principal del certificado es vincular la clave pública con la identidad de su propietario (el propietario de la clave cerrada emparejada).

Los certificados tienen un período de validez, al final de los cuales se vuelven inválidos. El período de validez se refleja en el contenido del certificado.

Los certificados se almacenan en el Registro de Windows o en otros medios de información clave. El acceso a los certificados registrados en el Registro de Windows se puede obtener de Internet Explorer, en el que hay un asistente de importación / exportación de certificados y claves cerradas.

Cifrado

La información de cifrado es una forma de evitar la visualización no autorizada o el uso de la información. Los algoritmos matemáticos especiales (granjas criptales) se aplican para el cifrado. El cifrado garantiza la protección de la información secreta del acceso no autorizado de terceros. Para restaurar la información cifrada, la transformación inversa se realiza: decodificación. Para descifrar la información, es necesario tener la clave secreta (cerrada) correspondiente.

En los sistemas modernos, se utilizan un par de claves de cifrado: clave pública (clave pública), que puede conocerse a cualquiera, y el par de claves privados, conocido solo por el propietario de esta clave. Se pueden usar un par de claves relevantes para el cifrado, así como para crear y verificar la firma electrónica (EE), y al mismo tiempo posee las siguientes propiedades:

  • El mensaje encriptado con la clave pública solo se puede descifrar utilizando un par de llaves cerradas.
  • EP, creado con una llave cerrada, se puede probar para su cumplimiento con el par de su llave abierta.

Firma electronica

Se utiliza una firma electrónica para firmar documentos electrónicos. La firma electrónica (PE) son los accesorios de un documento electrónico diseñado para proteger este documento electrónico de la falsificación y permitir identificar al propietario del certificado clave de la firma, así como establecer la falta de distorsión de la información en el documento electrónico.

La firma electrónica se forma mediante el uso que se puede almacenar en un disquete, en el registro del sistema, en mapas inteligentes, etc.

El EP puede ser probado por, emparejado a esa llave cerrada, con la que se formó este EP. Por lo tanto, conocer la clave pública del usuario, puede instalar con precisión quién firmó este documento.

Para enviar un documento al banco, debe tener al menos una firma electrónica. La cantidad de EP utilizada en cada documento se determina en el Banco individualmente para cada cliente y se establece en el Acuerdo de Servicio en el sistema de clientes de Internet para entidades legales.

Método de autenticación de datos transmitido en el sistema de transmisión de datos digitales, caracterizado por la organización e identificación de la autenticación de datos antes de transferir a una estructura jerárquica de al menos una unidad de directorio de raíces, el bloque de subdirectorio y la unidad de bloques, y el algoritmo de identidad del archivo se utiliza para el archivo, y la autenticidad de la certificación de archivos correspondiente El valor del bloque subdirectorio referido al archivo, y el valor que certifica la autenticidad del archivo, a su vez, es utilizado por el algoritmo de autenticación, y el valor de autenticación certificado correspondiente se conserva al referirse a El subdirectorio del catálogo de raíz. Otros aspectos de la invención se refieren a la autenticación del segundo directorio raíz generando la segunda certificación de la autenticidad del valor y la autenticación de los datos de los datos antes de la encapsulación en la tabla o sección del flujo de transporte. El efecto técnico logrado por la invención es garantizar la verificación de la integridad de los datos y la autenticación del software proporcionado por varios operadores de transmisión. 4 s. y 20 zp. F-Lies, 7 yl.

Descripción del texto en forma de facsímil (ver parte gráfica).

Afirmar

1. El método de identificación de la autenticidad de los datos transmitidos en el sistema de transmisión de datos digitales, caracterizado porque dichos datos antes de la transmisión se organiza en una estructura jerárquica de al menos una unidad de directorio de raíces, un bloque subdirectorio y un bloque de archivos, a El archivo del algoritmo de autenticación, y el valor de autenticación del archivo correspondiente se guarda en el subdirectorio, se refiere a este archivo, a esta licencia de archivos, el valor, a su vez, use algún algoritmo de autenticación y la autenticación de certificación correspondiente del valor subdirectorio se conserva por El directorio raíz se refirió a este subdirectorio. 2. El método de acuerdo con la reivindicación 1, caracterizado porque la autenticidad del archivo del archivo se realiza aplicando el algoritmo de hashing a algunos o todos los datos de este archivo y la función Hash resultante se guarda como una certificación del valor de autenticación del archivo en el subdirectorio mencionado. Este archivo. 7. El método de acuerdo con la reivindicación 2, caracterizado porque dicho algoritmo de hashing es un algoritmo protegido criptográficamente que genera el valor casi único de la función hash, basada en un conjunto de datos determinado.4. 7. El método de acuerdo con cualquiera de los elementos precedentes, caracterizado porque la autenticación de datos de archivos para una pluralidad de archivos se realiza aplicando el algoritmo de hashing al conjunto de datos combinados de varios archivos, con la generación de la función de hash único. 7. El método de acuerdo con uno de los puntos anteriores, caracterizado porque el certificado de autenticación subdirectory se realiza aplicando el algoritmo de hashing al menos al valor de autenticación del archivo certificado y la función Hash resultante se guarda como una certificación de la autenticación del valor en el valor en el valor en el valor Valor referido a este subdirectorio del directorio raíz. 6. 7. El método de acuerdo con cualquiera de los párrafos anteriores, caracterizado porque el certificado de autenticación de un conjunto de subdirectorios se realiza aplicando el algoritmo de hashing para combinar la certificación de la autenticidad de los valores de los valores de una pluralidad de subdirectorios. , con la generación de una sola función hash. 7. El método de acuerdo con uno de los elementos anteriores, caracterizado porque al menos algunos de los datos almacenados en el directorio raíz, use la clave secreta del algoritmo de cifrado y el valor cifrado resultante se guarda en el directorio raíz. 8. El método de acuerdo con la reivindicación 7, caracterizado porque los datos cifrados mencionados corresponden a una firma digital generada utilizando la clave secreta del algoritmo de cifrado que se puede verificar utilizando la tecla abierta correspondiente. 9. 7. El método de acuerdo con uno de los elementos anteriores, caracterizado porque la unidad dependiente incluye algún valor cifrado generado por la clave secreta, y la certificación del valor de autenticidad para esta unidad se calcula, en función de los resultados de la aplicación del algoritmo de autenticación a Dicho valor cifrado, y se almacena en el bloque, se refiere al bloqueo dependiente mencionado. 9. El método de acuerdo con la reivindicación 9, caracterizado porque el valor de la firma para dicho bloque dependiente se genera utilizando un algoritmo de cifrado y se usa un algoritmo de cifrado para generar una certificación mencionada de la autenticidad del valor para generar un valor mencionado. 7. Método según la reivindicación 9 o 10, caracterizado porque el bloque dependiente modificado es el subdirectorio o bloque de archivos. El método de la reivindicación 9 o 10, caracterizado porque dicha unidad dependiente es la unidad del segundo catálogo de raíz. 7. El método de acuerdo con cualquiera de los elementos anteriores, caracterizado porque los bloques anteriores corresponden a los múltiples archivos de datos encapsulados en la sección de datos o tablas de la sección, incapsulado en los paquetes de datos para la formación de flujo de tráfico. 13. Método según la reivindicación 13, caracterizado porque dichos bloques corresponden preferiblemente a objetos de datos formateados de acuerdo con DSCMCC.15. 13. El método de la reivindicación 13 o 14, caracterizado porque los bloques mencionados anteriormente se encapsulan en tablas y paquetes que cumplen con los requisitos de la norma MPEG.16. Método de identificación de la autenticación del primer y segundo conjunto de bloques de datos relacionados transmitidos en el sistema de transmisión de datos digitales, caracterizado porque un bloque desde el primer conjunto de bloques contiene una firma generada por una clave secreta utilizada para el bloque mencionado anteriormente, el La autenticidad de al menos esta firma está certificada por la autenticación del algoritmo y la autenticidad de certificación, el valor se guarda en el bloque de dicho segundo conjunto de bloques que se refieren al primer bloque mencionado. 16. Método según la reivindicación 16, caracterizado porque dicho valor cifrado corresponde a una firma digital generada por la clave secreta aplicada a al menos algunos de los datos en el bloque correspondiente. 16. El método de la reivindicación 16 o 17, caracterizado porque los bloques de datos mencionados corresponden al conjunto de archivos de datos encapsulados en la configuración de datos o tablas de la sección, encapsulados en los paquetes de datos para la formación de la corriente de transporte. 19. El método de identificación de la autenticidad de los datos transmitidos en el sistema de transmisión de datos digitales, caracterizado porque los datos se organizan como una secuencia de archivos de datos y certifican la autenticidad de los archivos, independientemente de la operación u operaciones de formato y encapsulación de datos. y frente a esta operación u operaciones utilizadas por los datos del sistema de transmisión digital mencionados para preparar datos para la transmisión en la flujo de transporte de paquetes.20. 7. Método según la reivindicación 19, caracterizado porque la autenticación de datos se realiza antes de encapsular los datos en la secuencia de tablas, que luego se encapsulan en paquetes de datos de flujo de paquetes. 7. El método de acuerdo con cualquiera de los elementos anteriores, caracterizado porque el sistema de transmisión de datos digitales mencionado corresponde a un sistema de televisión digital.22. El método de verificar los datos recibidos transmitidos en el sistema de transmisión de datos digitales de acuerdo con cualquiera de los párrafos.1-15, caracterizado porque el decodificador de recepción aplica un algoritmo de autenticación al archivo y compara el valor con el valor de autenticación almacenado en el referente A este archivo subdirectory, y también se aplica al menos el archivo que se mencionando por la certificación de la autenticidad del archivo es el valor almacenado en dicho subdirectorio, el algoritmo de autenticación y compara el valor resultante con el certificado correspondiente al valor de la raíz contenida en el directorio raíz contenido en el directorio de subdirectorio. Con referencia a este subdirectory.23. El método de verificación de los datos recibidos transmitidos en el sistema de transmisión de datos digitales de acuerdo con cualquiera de los párrafos.16-18, caracterizado porque el decodificador verifica el valor de la firma de la primera unidad utilizando la clave abierta apropiada y también verifica la certificación mencionada. Valor de autenticidad contenido en el bloque mencionado en un segundo conjunto de bloques mencionado, aplicando un algoritmo de autenticación a al menos el valor de la firma mencionada. El método de verificación de los datos recibidos transmitidos en el sistema de transmisión de datos digitales de acuerdo con cualquiera de los párrafos .19-21, caracterizado porque la operación de verificación de datos se realiza después de que se restauró el archivo de datos al decodificador de datos encapsulados y formateados transmitidos por El sistema de transmisión de datos digital.

Fotos

, , , , ,

TK4A - Enmiendas a la publicación de información sobre las invenciones en los boletines "de invenciones (aplicaciones y patentes)" e "invenciones. Modelos útiles"

Página: 604

Impreso: 15. ... Los bloques mencionados están encapsulados en la tabla ...

Boletín de publicación de número y año: 18-2004

Necesitará

  • Tarjeta de biblioteca
  • acceso a Internet
  • Capacidad para trabajar con catálogos de la biblioteca.
  • Capacidad para trabajar con servicios de búsqueda de Internet.

Instrucción

Averigüe con lo que está tratando, con un hecho o evaluación, con el que nos enfrentamos al recibir nueva información son los hechos. El hecho se llama información ya probada para la confiabilidad. Esa información que no se verificó ni no se puede verificar, el hecho no lo es. Los hechos pueden ser números, fechas, nombres, eventos. Todo lo que se puede tocar, medir, enumerar, confirmar. Los hechos son proporcionados por varias fuentes: institutos de investigación, agencias sociológicas, agencias estadísticas, etc. Lo principal es que distingue el hecho de la evaluación: objetividad. La evaluación siempre expresa la posición subjetiva de alguien, una actitud emocional, pidiendo algunas acciones. El hecho no da ninguna evaluación, no llama nada.

Verifique las fuentes de información, con las que nos enfrentamos son fuentes de información. No todos los hechos podemos verificar su propio, por lo que nuestro conocimiento se basa en gran medida en la confianza en las fuentes. ¿Cómo verificar la fuente de información? Se sabe que el criterio de la verdad es la práctica, en otras palabras, es verdadera solamente, con lo que podemos resolver una tarea específica. La información debe ser efectiva. Esta eficiencia refleja el número de personas que aplicaron con éxito esta información. Cuanta más personas confíe en la fuente, consulte la información más cara proporcionada.

Compare fuentes de información para la felicidad, la popularidad y la autoridad de la fuente aún no son una garantía de confiabilidad. Uno de los signos de información confiable es su consistencia. Cualquier hecho debe ser confirmado por los resultados de la investigación independiente, es decir,. Él debe repetir. Los investigadores independientes deben llegar a las mismas conclusiones. Para recibir información al azar, debe tratarse con mucho cuidado. Cuanto mayor sea la misma información recibida de diferentes fuentes, la información es más cara.

Verifique la reputación de la información de la fuente es que la fuente siempre es responsable de los hechos proporcionados. Esta responsabilidad no solo es moral y moral, sino también real. Para la provisión de datos dudosos de las organizaciones, pueden perder sus medios de vida. Pérdida de lectores, penalización o incluso encarcelamiento: las consecuencias para los mentirosos pueden ser los más graves. Las organizaciones sólidas protegen la reputación y nunca se arriesgarán, publicaron información poco fiable. Lea la historia de la organización, averigüe los nombres de sus líderes, lea las críticas de los lectores y opiniones de expertos.

Conozca el autor de la fuente de la información de la información, en última instancia, es transmitida por personas. Si la información le causa dudas, marque quién es el autor. Lea otras obras del autor, aprenda su biografía, ya sea que tenga un título científico, que la posición posee la experiencia en este campo y, por supuesto, a quién. Si es imposible saber sobre el autor, no se recomienda confiar en la información dudosa.

El costo de las soluciones comerciales de autenticación de dos factores a menudo es alto, y para colocar dispositivos de identificación y administrarlo es difícil. Sin embargo, puede crear su propia solución para la autenticación de dos factores utilizando la dirección IP del usuario, el archivo "Faro" o un certificado digital.

Varias soluciones comerciales aseguran la protección de los sitios web que van más allá de los métodos de autenticación tradicionales utilizando un factor (es decir, combinaciones del nombre de usuario y la contraseña). Como segundo factor, puede tomar una ubicación geográfica, un comportamiento del usuario, solicita imágenes, así como tarjetas inteligentes, dispositivos y huellas dactilares más familiares. Puede encontrar información adicional sobre soluciones comerciales de dos factores en los artículos que se enumeran en la "literatura adicional".

Pero las soluciones comerciales no son la única opción. Se puede preparar un procedimiento de autenticación de dos factores de forma independiente. Este artículo propone algunas recomendaciones para el diseño de la autenticación de dos factores para aplicaciones web, y también proporciona ejemplos del texto de origen, sobre la base de los cuales puede iniciar su propio proyecto.

Descripción general de los controles de dos factores

Vuelvemos a una breve revisión de la autenticación de dos factores, es decir, el uso de dos formas diferentes de identificación de los usuarios potenciales. Puede verificar la autenticidad con el uso de tres formularios:

    Algo famoso

    Algunas características de usuario;

    Algo que está disponible en el usuario.

La mayoría de las aplicaciones utilizan solo una de estas formas, generalmente la primera. El nombre de usuario y la contraseña son datos conocidos.

Este nivel de seguridad es bastante aceptable para la mayoría de los nodos y aplicaciones web. Sin embargo, dado un aumento significativo en el número de datos personales y otros tipos de fraude en la red, se ingresa la autenticación de dos factores en algunos nodos web. De acuerdo con la nueva legislación, desde 2007, todos los sitios de banca electrónica deben aplicar un control de dos factores. Pronto, estos requisitos se pueden distribuir a sitios de reclutamiento, médicos, gubernamentales y otros sitios donde puede acceder a datos personales.

Como se señaló anteriormente, hay muchos productos comerciales para cheques de dos factores. Sus precios son los más diferentes, aunque el nivel inicial es bastante alto. No todas las empresas tienen un medio para una solución importante. Y algunas empresas utilizan programas altamente especializados que son poco compatibles con los productos comerciales. En cualquier caso, es útil pensar en su propia solución de dos factores. Las recomendaciones dadas en este artículo ayudarán a alcanzar la forma de diseño correcta.

Dirección IP de la aplicación

En el artículo "Proteja el sitio de los ataques", publicado en., Se proporciona una breve descripción de la aplicación de la dirección IP para la identificación adicional de usuario. Este método se refiere a la categoría "Algunas características de usuario". En muchas soluciones comerciales, se utilizan características biológicas (por ejemplo, huellas dactilares o el patrón del iris). Gracias a una disminución en el costo del hardware y la mejora de los programas, esta opción se ha vuelto más práctico, pero los precios siguen siendo bastante altos.

Además, algunos usuarios se oponen al almacenamiento de sus datos biométricos en la empresa. ¡Es una cosa si alguien encuesta el número de tarjetas de seguridad social, y otro robo de huellas dactilares!

Use una solución basada en el código del programa es más fácil y más barata. Naturalmente, su precisión es inferior a las soluciones físicas, pero para muchas aplicaciones proporciona una precisión suficiente. Cada usuario tiene una dirección IP que se puede usar como un segundo factor de verificación.

La esencia del método se reduce al hecho de que cuando intenta registrarse, la dirección IP del usuario se extrae de los registros del servidor web u otra fuente. La dirección se somete luego a uno o más cheques. En caso de éxito y, si el nombre de registro y la contraseña son correctos, el usuario recibe acceso. Si el usuario no aprueba este nivel de verificación, la solicitud se rechaza o se envía a un nivel más profundo de análisis. En particular, el usuario se le puede solicitar preguntas personales adicionales (por ejemplo, para llamar al nombre de la madre) o se propone comunicarse con el representante autorizado para la asignación.

Hay varias formas de verificar la dirección IP, cada una de las cuales proporciona un cierto nivel de confiabilidad al identificar al usuario. La prueba más simple es comparar la dirección IP del usuario con una lista de direcciones no deseadas conocidas fuera del área de servicio. Por ejemplo, si los usuarios están principalmente en un país, puede compararse con la lista de direcciones no deseadas fuera de este país. Dado que una parte significativa de los intentos de robo de datos personales procede de fuera del país específico, bloquear las direcciones peligrosas fuera del país, sin duda, evitará una gran cantidad de intentos de fraude.

Obtener listas de direcciones peligrosas no será difícil. Lista de la lista de bloques de Bob en http://www.unixhub.com/block.html comienza con bloques de direcciones en Asia, América Latina y los países del Caribe. La comparación con ella puede ser útil si la compañía no tiene usuarios en estas regiones. Cabe señalar que en las listas recibidas de los nodos libres, se requieren algunos cambios para no bloquear los sitios útiles. Las listas comerciales se caracterizan por una mayor precisión, como MaxMind en http://www.maxmind.com. El listado 1 muestra una muestra de pseudocódigo para implementar este enfoque.

Sin embargo, si usted es indeseable para bloquear a los usuarios por región o necesita una selectividad más alta, puede registrar la dirección IP del usuario al registrarse durante la primera visita, siempre que el proceso de registro tenga herramientas de verificación de usuarios. En particular, puede ofrecer al usuario a responder una o dos preguntas (por ejemplo, solicitar al nombrar el número de la escuela en la que estudió) o pedirle que ingrese el código de registro, que se transfirió anteriormente por correo electrónico. Una vez que se recibe la dirección IP y las verificaciones, puede usar esta dirección para evaluar los intentos de registro posteriores.

Si todos los usuarios accederán a Access solo con sitios corporativos con direcciones IP conocidas y fijas, un método muy efectivo es una coincidencia con una lista de direcciones previamente aprobadas. Al mismo tiempo, los usuarios con sitios desconocidos pierden los derechos de acceso. Sin embargo, si los usuarios apelan a los sitios cuyas direcciones se desconocen de antemano, por ejemplo, desde la casa, donde generalmente no hay una dirección IP estática, la precisión de la definición disminuye considerablemente.

Una solución menos confiable es comparar las direcciones IP "FUZZY". Los proveedores de Internet del usuario del hogar asignan direcciones IP desde el rango que les pertenecen, generalmente subredes de clase C o B. Por lo tanto, solo puede usar las dos primeras o tres Oscilaciones de dirección IP. Por ejemplo, si la dirección está registrada 192.168.1.1 para el usuario, entonces, posteriormente, puede tener que recibir direcciones de 192.168.1.1 a 192.168.254.254. Este enfoque se asocia con cierto riesgo de ataque de un atacante, que utiliza los servicios del mismo proveedor, pero sin embargo da buenos resultados.

Además, los usuarios se pueden verificar utilizando las direcciones IP para determinar su ubicación. Es necesario comprar una base de datos comercial que contenga todas las áreas conocidas de direcciones IP y su ubicación aproximada, por ejemplo, de una compañía de dicha como MaxMind o Geobytes (http://www.geobytes.com). Si la ubicación registrada del usuario es Houston y, posteriormente, intentará ponerse en contacto con los sitios de Rumania o incluso de Nueva York, entonces puede rechazar o al menos realizar una verificación más profunda. Este método resuelve el problema de cambiar la dirección del bloque de direcciones. Sin embargo, el atacante sigue siendo una posibilidad de acceso desde el lugar donde hay usuarios registrados.

Puede realizar autenticación con un doble factor, a partir de la excepción de todas las direcciones IP que coincidan con la lista de bloqueo, o comparación con la lista "Blanco". Si se aplica la lista "Blanca" y no hay una dirección IP para verificar, el usuario se le puede hacer una pregunta adicional. Si finalmente se aprueba la dirección IP, se le puede solicitar al usuario que agregue la dirección IP actual a la lista blanca (se debe explicar a los usuarios que solo se pueden agregar las direcciones de las computadoras usadas regularmente a la lista). El listado 2 muestra Pseudocódigo para comparación con la lista de bloqueo y la lista "Blanco".

La autenticación utilizando direcciones IP no es adecuada para aquellos casos en que los numerosos usuarios móviles recurren al sitio desde las habitaciones del hotel y otros lugares del país y en el extranjero, cambiando constantemente direcciones IP, proveedores de Internet y ubicación. Para tales usuarios, no puede aplicar una lista de direcciones IP prohibidas. Estos usuarios no estarán en la lista de direcciones IP permitidas. Sin embargo, aún pueden responder la pregunta de la prueba durante la autenticación.

Para proporcionar una protección más confiable para "usuarios errantes", puede profundizar el cheque, teniendo en cuenta la versión del navegador (que, por regla general, cambia con poca frecuencia), el sistema operativo e incluso la dirección MAC de la tarjeta de red. Sin embargo, al usar dichos métodos, generalmente necesita ejecutar un programa especial en el cliente para acceder a los parámetros necesarios. VERDADERO, las direcciones MAC y las versiones del navegador y el sistema operativo pueden ser falsificadas, y este método de protección no está impecable confiable.

Uso de "faros" y certificados.

Una opción alternativa es usar una de las otras dos formas de verificación: "Algo que tiene un usuario". Sistemas de verificación de hardware Solicite un dispositivo especial. En los sistemas de software diseñados de forma independiente, puede usar los archivos "FAILSHOUSES" o el certificado almacenado en las computadoras de usuario. Este enfoque es similar a los certificados de seguridad en sitios web de comercio electrónico, que se aseguran de que la información del pedido se transfiera al sitio deseado.

La forma más fácil de aplicar los archivos "faros". Muchas compañías las usan para realizar un seguimiento de las claves de sesión y otra información para los usuarios. Solo es necesario crear un "faro" de archivo permanente y guardarlo en la computadora de un usuario para identificarlo en el futuro. No se puede limitar al simple archivo "faro" y cifrar una parte del archivo para que el estafador sea más difícil de fingirlo.

Los niveles de seguridad más altos proporcionan certificados digitales. Requieren una cierta preparación del usuario: el certificado debe crearse dentro de la empresa o recibir de la Autoridad de Certificado, CA). El último método es más confiable, en cuanto a falsificar un certificado externo es más difícil. Sin embargo, los costos actuales de mantener el certificado son comparables al costo de una solución de dos factores basada en dispositivos de identificación.

Por supuesto, los archivos y certificados "faros" son aplicables solo en las computadoras domésticas de los empleados y otras computadoras registradas en el sistema de autenticación. Necesita un método alternativo para identificar a los usuarios que trabajan con computadoras que no les pertenecen. Uno de estos métodos son los problemas de control mencionados anteriormente y se enumeran en la listado 2. Sin embargo, piense si el acceso a aplicaciones importantes de las computadoras disponibles públicamente está justificado, teniendo en cuenta la amenaza de programas que registran las pulsaciones de teclas en las llaves, spyware y otros maliciosos. programas.

El artículo analiza dos formas de organizar una autenticación simple de dos factores para aplicaciones web: uno que usa "algún tipo de características de usuario" (dirección IP), la otra con el uso de "algo que tiene un usuario" ("fichos" archivos o certificados). Debe recordarse que estas soluciones no proporcionan un nivel muy alto de seguridad requerido, por ejemplo, en el sector financiero para el cual el hardware es más adecuado. Pero las decisiones proporcionadas en el artículo se combinan perfectamente con otros métodos para una protección más confiable de las redes corporativas y los sitios de comercio electrónico.

Paul Hensarling ([Correo electrónico protegido]) - Analista de seguridad en una empresa de consultoría. Tiene un certificado CSSA;

Tony Haulett ([Correo electrónico protegido]) - Presidente de la firma de consultoría de red de servicios de seguridad de la red. Cescados CISSP y CSNA

Los mecanismos están estrechamente relacionados, porque el mecanismo o la combinación de mecanismos se utilizan para proporcionar mantenimiento. El mecanismo se puede utilizar en uno o varios servicios. Debajo de estos mecanismos se discuten brevemente para comprender su idea común. A continuación, se considerarán con más detalle.

ITU -T (X.800) identificó cinco servicios relacionados con los objetivos de la seguridad de la información y los ataques cuyos tipos que hemos definido en las secciones anteriores. La Figura 1.3 muestra la clasificación de cinco servicios comunes.


Higo. 1.3.

Para evitar ataques contra la seguridad de la información, de la que hablamos, solo tenemos uno o más servicios que se muestran anteriores para uno o más propósitos de seguridad de la información.

Confidencialidad

Confidencialidad Diseñado para proteger los datos de intentar su divulgación. Este amplio servicio definido en la recomendación de ITU -T X.800. Puede cubrir la confidencialidad de todo un mensaje o su parte, y también protege contra el seguimiento del tráfico y su análisis, en realidad, está diseñado para prevenir la interferencia y el monitoreo del tráfico.

Integridad de los datos

Integridad de los datos Desarrollado para proteger los datos de la modificación, insertar, eliminar y volver a transmitir información por parte de un oponente. Puede proteger un mensaje completo o parte del mensaje.

Autenticación (autenticación)

Este servicio proporciona autenticación (autenticación) Operador en el otro extremo de la línea. Al conectar orientado, garantiza la autenticación del transmisor o receptor durante el establecimiento de la conexión ( autenticación de objetos nivel igual). Cuando se conecta sin conectar la conexión, confirma la autenticidad de la fuente de datos (autenticación del origen de los datos).

Exclusión de referirse a los mensajes.

Servicio exclusión de referirse a los mensajes. Protege de la falla del mensaje por un transmisor o receptor de datos. Con la exclusión de una falla del mensaje por el transmisor, el receptor de datos puede demostrar que el origen del mensaje usando el código de identificación (identificador) del transmisor. Con la exclusión de referirse a los mensajes del receptor, el transmisor usando la confirmación de entrega puede demostrar que los datos se entregan al destinatario deseado.

Control de acceso

Control de acceso Proporciona protección contra el acceso a datos no asequibles. Acceso En esta definición, el término es muy amplio y puede incluir la lectura, la escritura, el cambio de datos, inicie la ejecución del programa, etc.

Mecanismos de seguridad

Para proporcionar servicios de seguridad de la información de la UIT -T (X.800) recomienda algunos mecanismos de seguridadDefinido en la sección anterior. La figura 1.4 da la clasificación de estos mecanismos.


Higo. 1.4.
Cifrado

Cifrado. Clasificación o en descomposición de datos, es posible garantizar la confidencialidad. El cifrado también complementa otros mecanismos que proporcionan otros servicios. Hoy en día, se utilizan dos métodos para el cifrado: criptografía y steganografía - tylinea (steganganography). Los discutiremos brevemente en el futuro.

Integridad de los datos

Mecanismo integridad de los datos Agrega un breve señal de control al final de los datos (valor de verificación) que se crea proceso específico por separado de los datos. El receptor recibe datos y un signo de prueba. Sobre la base de los datos obtenidos, crea una nueva función de prueba y compara la creación recién creada con la obtenida. Si estos dos signos de control coinciden, integridad de los datos Se salvó.

Firma digital

Firma digital - La herramienta a la que el remitente puede usar los datos utilizando la electrónica, y el receptor puede verificar la firma usando una computadora. El remitente utiliza un proceso que puede indicar que esta firma tiene una clave privada seleccionada de las teclas públicas, que se han anunciado públicamente para uso general. El receptor utiliza la clave pública del remitente para demostrar que el mensaje está realmente firmado por el remitente que afirma enviar un mensaje.

Mensajería para la identificación

Para mensajería de intercambio para la identificación Dos objetos intercambian algunos mensajes para demostrar que estos objetos se conocen entre sí. Por ejemplo, una entidad legal puede demostrar que conoce un signo secreto que solo puede saber (digamos, el último lugar de la reunión con un compañero).

Tráfico de llenado

Tráfico de llenado significa que puede insertar algunos datos ficticios en el tráfico de datos para interrumpir los intentos de los atacantes para usarlo para su análisis.

Gestión de enrutamiento

Gestión de enrutamiento Indica la elección y el cambio continuo en varias rutas disponibles entre el remitente y el receptor para prevenir al enemigo en la intercepción de información sobre una ruta específica.

Poder legal

Poder legal Indica la elección de un tercero, para confiarla para monitorear el intercambio entre dos objetos. Esto se puede hacer, por ejemplo, para evitar la falla del mensaje. El receptor puede involucrar a un tercero, que se puede confiar en el almacenamiento de las solicitudes del remitente, y, por lo tanto, evitar la denegación posterior del remitente de la transferencia de mensajes.

Control de acceso

Control de acceso Utiliza los métodos de prueba de que el usuario tiene el derecho de acceder a los datos o recursos propiedad del sistema. Ejemplos de tales pruebas: contraseñas y



¿Te gustó el artículo? Compártelo
Artículos recomendados sobre el tema.
Celular: lo que es en el iPad y cuál es la diferencia.Celular: lo que es en el iPad y cuál es la diferencia.
Ir a la televisión digital: ¿Qué hacer y cómo prepararse?Ir a la televisión digital: ¿Qué hacer y cómo prepararse?
Encuestas sociales trabajan en internet.Encuestas sociales trabajan en internet.
Los visitantes ahora están discutiendo
Savin grabó un mensaje de video a los Tyuments.Savin grabó un mensaje de video a los Tyuments. Tenda.
Menú de mesas soviéticas, ¿cuál fue el nombre del jueves en cantinas soviéticas?Menú de mesas soviéticas, ¿cuál fue el nombre del jueves en cantinas soviéticas? Asus
Cómo hacer B.Cómo hacer en la lista "Palabra" alfabéticamente: consejos útiles Androide
¿Cómo ver compañeros de clase que se retiran de amigos?¿Cómo ver compañeros de clase que se retiran de amigos? Asus