Дәріс. Пайдаланушыны идентификациялау және аутентификациялау

Компьютерлік жүйеде тіркелген әрбір субъект (пайдаланушы, құрылғы, процесс және т.б.) оны анықтайтын белгілі бір ақпаратпен байланысқан болуы тиіс. Субъект ретінде пайдаланушы немесе оның атынан жұмыс жүргізетін ақпарат қарастырылады. Ол ақпарат субъектің идентификаторы деп аталынады.

Идентификатор сан немесе таңбалардың жолы (тізбегі) түрінде құрастырылады. Егер пайдаланушы желіде тіркелген идентификаторы бар болса, оны жарияланған немесе заңды пайдаланушы деп атайды. Ал басқалары жарияланбаған немесе заңсыз деп есептеледі. Пайдаланушы компьютерлік жүйенің ресурстарына қол жеткізуі үшін идентификация мен аутентификация процедураларынан өтуі тиіс.

Идентификация (Identification) дегеніміз пайдаланушыны идентификаторы бойынша анықтау процедурасы. Ондай амал пайдаланушы желіге кіруге талаптанғанда орындалады. Пайдаланушы желінің сұранысына жауап ретінде өзінің идентификаторын хабарлайды, ал жүйе оны өзінің базасында бар екендігін тексереді.

Идентификациялау процесін адамдар үшін екі түрлі тәсілмен орындауға болады: атрибутивтік және биометрикалық тәсілдер. Атрибутивтік тәсіл бойынша адамға рұқсат қағаз (пропуск), жетон (тағатын белгі), кілттер және т.б., немесе пароль, коды бар зат. Ал биометрикалық тәсіл бойынша адамның саусақтарының өрнегі, көздің сыртқы мөлдір қабығы мен көз торы және тағы басқа сипаттамалары пайдаланылады. Бұл тәсіл мамандардың тұжырымы бойынша ең сенімді деп есептелінеді.

Аутентификация (Authentication) дегеніміз пайдаланушының, процесс немесе құрылғының шын екендігін тексереді. Мұндай тексеру пайдаланушының (процестің немес құрылғының) шын мәнінде өзі екендігін сенімді түрде көз жеткізеді. Тексеру кезінде пайдаланушы да ақпарат алмасуға қатысады. Пайдаланушы өзінің идентификаторының шын екендігін дәлелдейді. Ол үшін парольді немесе сертификатты енгізеді.

Пайдаланушының (субъектің) шын екендігін тексеру кезінде оны идентификациялау мен аутентификациялау процестері бір-бірімен байланысқан болады. Осылардың тексеруінен кейін ғана жүйе пайдаланушыға өзінің ресурстарын пайдалануға рұқсат береді.

Желінің барлық ресурстарына қол жеткізу үшін пайдаланушы аутентификациялау процесінен бір рет өтсе жеткілікті. Сондықтан қазіргі кездегі операциялық жүйелерде орталықтандырылған аутентификациялау қызметі қарастырылған. Ол қызметті желідегі бір сервер атқарады және ол өзінің жұмысы үшін деректер базасын (ДБ) пайдаланады. Бұл деректер базасында желіні пайдаланушылар туралы есептік деректер, оның ішінде пайдаланушылардың идентификаторлары мен парольдері, тағы басқа да ақпараттар болады [2,9-11,14-16].

Желідегі пайдаланушыны қарапайым аутентификациялау процедурасын келесі түрде сипаттауға болады.

1. Пайдаланушы желіге логикалық кіруге талаптанғанда өзінің идентификаторы мен паролін енгізеді. Бұл деректер аутентификациялау серверіне өңдеуге түседі.

2. Пайдаланушының идентификаторы бойынша аутентификациялау серверіндегі деректер базасында сақталынған тиісті жазу табылады.

3. Одан пароль алынып, пайдаланушы енгізген парольмен салыстырылады.

4. Егер ол парольдер бірдей болса, онда аутентификациялау табысты аяқталды деп есептелінеді. Пайдаланушы өзінің статусына байланысты желінің ресурстарын пайдалануға мүмкіншілік алады және авторизациялау жүйесі анықтаған өзінің статусына сай құқықтарға ие болады.

Қарапайым аутентификациялау схемасында пайдаланушының паролі мен идентификаторын жеткізуді келесі тәсілдермен орындауға болады:

1. Шифрланбаған түрде. Мысалы, парольді аутентификациялау PAP (Password Authentication Protocol) протоколы бойынша парольдер ашық түрде қорғалмаған байланыс арналары арқылы жеткізіледі.

2. Қорғалынған түрде. Барлық жіберілетін деректер (пайдаланушының паролі мен идентификаторы, кездейсоқ сан және уақыт белгісі) шифрлау немесе бір бағытталған функция арқылы қорғалынған болады.

Әрине, пайдаланушының паролін шифрланбаған түрде жіберу қауіпсіздіктің ең төменгі деңгейін де қамтамасыз ете алмайды. Сондықтан парольді қорғау үшін жіберудің алдында оны шифрлау қажет.

Қарапайым аутентификациялауды ұйымдастырудың схемасы парольдерді жіберудің әдістерімен қатар, оларды сақтау мен тексерудің түрлері де өзгеше болады. Пайдаланушылардың парольдерін сақтаудың тәсілдерінің ең көп тараған түрі оларды ашық түрде жүйелік файлдарда сақтау. Ол файлдардың оқудан немесе жазудан қорғауға арналған атрибуттары болады. Бұл тәсілде криптографиялық механизмдер қолданылмайды. Бұл тәсілдің кемшілігі – қаскүнемнің жүйелік файлға, оның ішіндегі парольдер файлына қол жеткізу мүмкіншілігінің болуы.

Операциялық жүйені сенімді түрде қорғау үшін пайдаланушының паролі тек өзіне ғана белгілі болуы, ол парольді жүйенің администраторы да білмеуі керек. Әрине, администратор кейбір пайдаланушылардың паролін білуі мүмкін. Пайдаланушының паролін пайдалану администраторға өз атымен кіруден артықшылық бермейді, себебі пайдаланушының құқықтары администратордың құқығынан төмен болады. Бірақ басқа пайдаланушының паролімен кіру администраторға аудит жүйесінен өтуге мүмкіншілік береді. Сонымен қатар, ол пайдаланушының беделін түсіруі мүмкін. Ондай жағдай қорғалған жүйеде болмауы тиіс. Сонымен, пайдаланушылардың парольдері операциялық жүйеде ашық түрде сақталынбайды.

Қауіпсіздікті сақтау үшін парольдерді жеткізу мен сақтаудың бір бағыттық функцияларды пайдалану тәсілін қолданады. Көбінесе парольдерді шифрлау үшін пайдаланушылар тізіміне белгілі тұрақты криптографиялық хэш-функцияның бірін пайдаланады. Пайдаланушылар тізімінде парольдің өзі сақталынбайды, оның образы ғана сақталынады.

Парольдің образы дегеніміз парольге хэш-функцияны пайдаланудың нәтижесі. Хэш-функция бір бағытты болғандықтан образы бойынша парольді қалпына келтіруге болмайды. Бірақ хэш-функцияны есептеу енгізілген парольдің образын, оның дұрыстығын тексеруге мүмкіндік береді.

Мысалы, бір бағыттық функция келесі түрде анықталуы мүмкін:

h(p) = Fp(ID).

Мұндағы: p - пайдаланушының паролі, ID - пайдаланушының идентификаторы, Fp - парольді кілт ретінде пайдаланатын шифрлау процедурасы.

Мұндай функцияны пайдалану пароль мен кілттің ұзындықтары бірдей болғанда ыңғайлы. Аутентификациялаушы серверге h(p) бейнесін жіберіп, алдын ала есептеліп, деректер базасында сақталынған оның эквивалентімен h(p’) салыстырылады. Егер h(p) = h(p’) болса, онда пайдаланушының аутентификациялаудан табысты өткені.

Аутентификациялаудың ең көп тараған схемасының бірі – қарапайым аутентификациялау. Ол дәстүрлі көп реттік парольдерді пайдалануға негізделген. Көп реттік парольдерді пайдалану бөлінген ақпараттың мысалы ретінде қарастыруға болады. Әзірше қорғалынған виртуальды желілерде VPN (Virtual Private Network) клиенттер серверге қол жеткізуі үшін парольдерді пайдаланады.

Бірақ соңғы кездері аутентификациялаудың тиімдірек құралдары пайдаланыла бастады. Мысалы, бір реттік парольдер, смарт-карталар, PIN-кодтар және цифрлық сертификаттар негізінде құрастырылған программалық және аппараттық аутентификациялау жүйелері.








Дата добавления: 2016-06-02; просмотров: 8301;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.012 сек.