Лекция 29
Аутентификация әдістері және рұқсаттарды басқару
Жоспар:
1. Қауіпсіздіктің негізгі технологиялары.
2. Желілік ОЖ-гі пайдаланушылардың аутентификация құралдары.
Лекция мақсаты: Аутентификация әдістері және рұқсаттарды басқаруларға түсінік беру, тақырыпты пысықтау
1. Қауіпсіздіктің негізгі технологияларына мыналар жатады: аутентификация, авторизация, тексеру және қорғалған арна технологиясы.
Аутентификация (authentication) - жағымсыз тұлғалардың желіге рұқсатсыз кіруіне жол бермейді, ал ресми пайдаланушыларға рұксат береді. Аутентификацияны идеитификациядан айырған жөн. Идентификация пайдаланушымен жүйеге өз идентификаторын хабарлауда қорытылады, ал аутентификация - бұл пайдаланушының өзін кіммін десе, сол екенін, әсіресе онымен енгізілген идентификатордың соныкі екенін дәлелдеу процедурасы болып табылады.
Авторизация (authorization) желілік әкімге пайдаланушылардың желі ресурстарына рұқсатын басқару тәсілін береді. Ресми және ресми емес пайдаланушыларды танып білетін аутентификациядан айырғанда, авторизация жүйесі тек қана аутентификация процедурасын өткен ресми пайдаланушылармен жұмыс жасайды. Авторизацияның мақсаты - әрбір ресми пайдаланушыға ол үшін жүйе әкімімен анықталған нақты рұқсат түрлері мен қорларға рұксат беруден түзеледі.
Авторизацияның негізгі принципі - «қауіпсіздіктің жалғыз қол қою принципі» пайдаланушыларға желіге біррет логикалық кіруді іске асыруға және оларға қолдануға рұқсат етілген барлық қорларға жетуге мүмкіндік береді. Авторизация жүйелері операциялық жүйе құралдарымен іске асырылған немесе өзі Kerberos жүйесі типті бөлек күрделі бағдарламалық пакеттерді ұсынған болуы мүмкін.
Тексеру (auditing) - бұл қорғалатын жүйелік қорларға рұқсатпен байланысты оқиғалардың жүйелік журналда бекітілуі. Есептеу және байқау құралдары қауіпсіздікпен байланысты маңызды оқиғаларды немесе рұқсат құру, алу не жүйелік қорларды жою үшін жасалған кез келген әрекеттерді анықтауға және жазып қоюға мүмкіндік береді. Тексеру тіпті жүйені «бұзудың» сәтсіз әрекеттерін де белгілеп қалу үшін қолданылады.
Қорғалған канал технологиясы ашық транспорттық желі, мысалы, Internet бойымен мәліметтерді беріп жіберудің қауіпсіздігін қамтамасыз ету үшін үнделген. Қорғалған арнаға үш негізгі функциялардың орындалуы кіреді:
-
абоненттердің өзара аутентификациясы;
-
арна бойымен таралатын хабарлаулардың бекітілмеген рұқсаттан қорғанысы;
-
арна бойымен келіп түсетін хабарлаулардың тұтастылығын растау.
Қосылуды құру кезінде екі жақтың өзара аутентификациясы, мысалы, сертификаттарды айырбастау жолымен орындалуы мүмкін.
Құпиялық шифрлеудің қандай да бір әдісімен қамсыздандырылуы мүмкін.
Таралатын хабарлаулардың тұтастығы оған (оны кілтпен шифрлемес бұрын) оның мәтініне бір жақты функцияны қолданудың нәтижесінде алынған дайджестің қосылуының аркасында жүзеге асырылады.
2. Адамның аутентификациясының дәстүрлі тәсілі парольді қолдану болып табылады. Ол үшін аутентификацияны өткізетін жүйеге пайдаланушы идентификаторы мен оның паролінің сәйкестігі алдын ала белгілі болуы керек. Мұндай сәйкестік, мысалы, пайдаланушылар жайында есептік жазбасы бар мәліметтер базасында анықталуы мүмкін. Жүйеге логикалық кіру кезінде пайдаланушы жүйенің, мәліметтер базасындағы сәйкес жазумен салыстырылатын өз идентификаторы мен паролін хабарлайды.
Желі әкіміне тағайындау саясатын құруға және парольдерді қолдануға арналған алғыр құралдар беріледі: пароль әрекет ету максималды және минималды мезгілдерін тапсыру, қолданған парольдердің тізімін сақтау, бірнеше сәтсіз логикалық кіруден кейінгі жүйенің тәртібін басқару.
Желілік деңгейдегі аутентификацияның белгілі бір ерекшелігі болады. Сондықтан жиірек желілік операциялық жүйелерде пароль желімен берілмейтін аутентификация сызбасы қолданылады.
Домен пайдаланушыларының аутентификациясы олардың сервердің SAM деп аталатын мәліметтер базасында шифрленген түрде сақталатын парольдерінің негізінде орындалады. Парольдер бір жақты функцияның көмегімен шифрленеді. SAM базасында пайдаланушылардың парольдерінің дайджестері сақталады. Логикалық кіру кезінде пайдаланушы өз компьютеріне аты мен паролін жергілікті түрде енгізеді. Атау желі бойымен SAM базасын сақтаушы серверге жіберіледі, ал парольге жұмыс станциясында сол парольді SAM мәліметтер базасына жазғанда қолданылған бір жақты функция қолданылады, яғни динамикалық түрде пароль дайджесті есептеледі. Пайдаланушының жұмыс станциясына серверден желі бойымен әлдебір «тексергіш» шақыру сөз жіберіледі. Бұл шақыру сөз жұмыс станциясында аргумент ретінде пароль дайджестісі қолданылатын екінші біржақты функцияның көмегімен шифрленеді. Нәтижесінде алынған жауап SAM серверіне жіберіледі. Серверде шақыру сөз екінші біржақты функцияның және SAM базасынан алынған пайдаланушы паролінің дайджестінің көмегімен шифрленеді де, жұмыс станциясымен жіберілген жауаппен салыстырылады. Нәтижелер сөйкес келсе, аутентификация сәтті өтті деп есептеледі. Осылайша, пайдаланушының логикалық кіруі кезінде пароль байланыс арналарымен жіберілмейді.
Көп ретті парольдерде негізделген аутентификация алгоритмдері аса сенімді емес. Анағұрлым сенімдірегі бір ретті парольдерді қолданатын сызбалар болып табылады. Бір ретті парольдердің генерациясы не бағдарламалық түрде, не аппараттық түрде орындалуы мүмкін. Парольдерді жасайтын құрылғы немесе бағдарлама токен деп аталады. Орындау тәсілінен тәуелсіз токен бір ғана функцияны орындайды: ол парольді генерациялайды және оны аутентификациялық сервер жұмыс істейтін компьютерге жібереді. Аутентификациялық сервер парольді тексереді де, пайдаланушыға логикалық кіруді жүзеге асыруға рұқсат береді.
Сертификаттарды қолданатын аутентификация парольдердің қолдануына балама болып табылады және желі пайдаланушыларының саны миллиондармен өлшенгенде табиғи шешіммен көрінеді. Сондай жағдайларда пайдаланушылардың парольдерін тағайындауымен және сақтауымен байланысты оларды алдын ала тіркеу процедурасы тым ауыртпалықты және іске асырылмайтын сияқты болып кетеді. Сертификаттарды қолдану кезінде пайдаланушыға өз қорларына рұқсат беретін желі өз пайдаланушылары туралы ешқандай ақпарат сақтамайды - олар оны өз сауалдарында пайдаланушылардың жеке басын куәландыратын сертификаттар түрінде береді. Сертификаттар арнайы уәкілетті ұйымдармен - сертификация орталықтарымен беріледі. Сондықтан құпия ақпаратты (жабық кілттерді) сақтау мақсаты қазір пайдаланушылардың өздеріне жүктеледі.
Сертификат электрондық пішін түрінде келеді, онда сертификат иесінің аты, сертификат берген ұйым атауы, сертификат иесінің ашық кілті, сертификатты берген ұйымның электрондық қолтаңбасы сияқты өрістер болады.
Сертификаттарды қолдану сертификаттаушы ұйымдардың көп емес және олардың ашық кілттері бәріне қандай да бір тәсілмен, мысалы, журналдардағы жариялаулардың арқасында мәлім болуы мүмкін екендігі жайлы жорамал негізінде салынған.
Пайдаланушы өз тұлғасын растауды қалағанда, ол өз сертификатын екі түрде көрсетеді: ашық, яғни ол оны сертификаттаушы ұйымда алған түрінде және шифрленген өзінің жабық кілтін қолдануымен. Аутентификацияны өткізетін жақ ашық сертификаттан пайдаланушының ашық кілтін алады да, соның көмегімен шифрленген сертификаттың шифрін ашады. Нәтиженің ашық сертификатпен сәйкес келуі ұсынушының расында ашық-жабығы көрсетілген қос кілттің иесі екенін фактімен айғақтайды.
Содан соң ұйым сертификатында көрсетілген белгілі ашық кілттің арқасында сол ұйымның сертификаттағы қолтаңбасының шифрін ашу өткізіледі. Егер нәтижесінде сол пайдаланушының атымен және оның ашық кілтімен сол сертификат шықса, онда ол шынымен сертификациялық орталықта тіркеуден өткен және өзін кіммін деп жарияласа, сол болып табылады, сондықтан сертификатта көрсетілген ашық кілт соған тиесілі.
Бақылау сұрақтары:
1. Қауіпсіздіктің негізгі технологиялары.
2. Желілік ОЖ-гі пайдаланушылардың аутентификация құралдары.
Достарыңызбен бөлісу: |