Sertifikatga Asoslangan Autentifikatsiya

o'rnatilgan bo'lsa. 
Muhim 
na parolga asoslangan autentifikatsiya, na sertifikatga asoslangan 
autentifikatsiya shaxsiy mashinalar yoki parollarga jismoniy kirish bilan bog'liq xavfsizlik 
muammolarini hal qiladi. Ochiq kalitli kriptografiya faqat ba'zi ma'lumotlarni imzolash 
uchun ishlatiladigan shaxsiy kalit sertifikatdagi ochiq kalitga mos kelishini tekshirishi 
mumkin. Mashinaning jismoniy xavfsizligini himoya qilish va maxfiy kalit parolni sir 
saqlash foydalanuvchi zimmasida. 
1.
Communicator kabi mijoz dasturlari ushbu mijoz uchun berilgan har qanday 
sertifikatlarda e'lon qilingan ochiq kalitlarga mos keladigan shaxsiy kalitlar ma'lumotlar 
bazasini saqlaydi. Mijoz ushbu ma'lumotlar bazasiga parolni birinchi marta mijoz ushbu 
sessiya davomida unga kirishi kerak bo'lganida so'raydi-masalan, foydalanuvchi birinchi 
marta SSL-yoqilgan serverga kirishga urinishi, bu sertifikatga asoslangan mijoz 
autentifikatsiyasini talab qiladi. Ushbu parolni bir marta kiritgandan so'ng, foydalanuvchi 
seansning qolgan qismida, hatto boshqa SSL yoqilgan serverlarga kirishda ham uni qayta 
kiritishi shart emas. 
2.
Mijoz shaxsiy kalitlar ma'lumotlar bazasini ochadi, foydalanuvchi sertifikati 
uchun shaxsiy kalitni oladi va ushbu shaxsiy kalitdan mijoz va server tomonidan kiritilgan 
ma'lumotlar asosida tasodifiy yaratilgan ba'zi ma'lumotlarni raqamli imzolash uchun 
foydalanadi. Ushbu ma'lumotlar va raqamli imzo shaxsiy kalitning haqiqiyligining 
"dalillari" ni tashkil qiladi. Raqamli imzo faqat shu shaxsiy kalit bilan yaratilishi mumkin 
va SSL sessiyasiga xos bo'lgan imzolangan ma'lumotlarga nisbatan tegishli ochiq kalit 
bilan tasdiqlanishi mumkin. 
3.
Mijoz foydalanuvchi sertifikatini ham, dalillarni ham (raqamli imzolangan 
tasodifiy yaratilgan ma'lumotlar qismini) tarmoq bo'ylab yuboradi. 
4.
Server foydalanuvchi shaxsini tasdiqlash uchun sertifikat va dalillardan 
foydalanadi. (Ushbu ish uslubini batafsil muhokama qilish uchun qarang SSL ga kirish.) 
5.
Ushbu nuqtada server ixtiyoriy ravishda boshqa autentifikatsiya vazifalarini 
bajarishi mumkin, masalan, mijoz tomonidan taqdim etilgan sertifikat foydalanuvchi 
yozuvida LDAP katalogida saqlanganligini tekshirish. Keyin server aniqlangan 

foydalanuvchiga so'ralgan manbaga kirishga ruxsat berilganligini baholashni davom 
ettiradi. Ushbu baholash jarayonida ldap katalogida, kompaniya ma'lumotlar bazalarida 
va hokazolarda qo'shimcha ma'lumotlardan foydalangan holda turli xil standart 
avtorizatsiya mexanizmlari qo'llanilishi mumkin. Agar baholash natijasi ijobiy bo'lsa, 
server mijozga so'ralgan manbaga kirishga imkonberadi. 
Agar rasm solishtirish orqali ko'rib turganingizdek sertifikatlar mijoz va server 
o'rtasidagi o'zaro autentifikatsiya qismini o'rniga. Foydalanuvchidan kun davomida 
tarmoq bo'ylab parollarni yuborishni talab qilish o'rniga, bitta tizimga kirish 
foydalanuvchidan shaxsiy kalit ma'lumotlar bazasi parolini tarmoq bo'ylab yubormasdan 
bir marta kiritishni talab qiladi. Sessiyaning qolgan qismida mijoz foydalanuvchini duch 
kelgan har bir yangi serverga tasdiqlash uchun foydalanuvchi sertifikatini taqdim 
etadi. Tasdiqlangan foydalanuvchi identifikatoriga asoslangan mavjud avtorizatsiya 
mexanizmlari ta'sir qilmaydi. 

Download 301,85 Kb.

Do'stlaringiz bilan baham: