Autentifikatsiya-bu shaxsni tasdiqlash jarayoni. Tarmoq o'zaro aloqalari kontekstida autentifikatsiya bir tomonni boshqa tomon tomonidan ishonchli identifikatsiyalashni o'z ichiga oladi. Tarmoqlar orqali autentifikatsiya qilish turli shakllarda bo'lishi mumkin. Sertifikatlar autentifikatsiyani qo'llab-quvvatlash usullaridan biridir.
Tarmoqning o'zaro ta'siri odatda mijoz o'rtasida, masalan, shaxsiy kompyuterda ishlaydigan brauzer dasturlari va veb-saytni joylashtirish uchun ishlatiladigan dasturiy ta'minot va apparat kabi server o'rtasida sodir bo'ladi. Mijozning autentifikatsiyasi mijozning server tomonidan ishonchli identifikatsiyasini anglatadi (ya'ni mijoz dasturidan foydalangan deb taxmin qilingan shaxsni aniqlash). Server autentifikatsiyasi mijoz tomonidan serverni ishonchli identifikatsiyalashni anglatadi (ya'ni ma'lum bir tarmoq manzilida server uchun javobgar deb taxmin qilingan tashkilotni aniqlash).
Mijoz va server autentifikatsiyasi sertifikatlarni qo'llab-quvvatlaydigan autentifikatsiyaning yagona shakli emas. Masalan, elektron pochta xabaridagi raqamli imzo, jo'natuvchini aniqlaydigan sertifikat bilan birgalikda, ushbu sertifikat bilan aniqlangan shaxs haqiqatan ham ushbu xabarni yuborganligi to'g'risida kuchli dalillarni taqdim etadi. Xuddi shunday, HTML shaklida raqamli imzo, imzolagan belgilaydi sertifikat bilan birga, dalillarni taqdim etishi mumkin, aslida keyin, shaxs belgilangan, deb bu sertifikat shaklida mazmuniga rozi edi tomonidan. Autentifikatsiyadan tashqari, ikkala holatda ham raqamli imzo bir daraja taqdim etilishini ta'minlaydi-ya'ni raqamli imzo imzo chekuvchiga keyinchalik elektron pochta yoki shaklni yubormaganligini da'vo qilishni qiyinlashtiradi.
Mijoz autentifikatsiya eng intranets yoki extranets ichida tarmoq xavfsizligi muhim elementi hisoblanadi. Mijozlar autentifikatsiyasining ikkita shaklini kuzatadigan bo'limlar:
Parol Asoslangan Autentifikatsiya. Deyarli barcha server dasturlari ism va parol yordamida mijozning autentifikatsiyasiga ruxsat beradi. Masalan, server foydalanuvchiga serverga kirish huquqini berishdan oldin ism va parolni yozishni talab qilishi mumkin. Server ismlar va parollar ro'yxatini yuritadi; agar ma'lum bir ism ro'yxatda bo'lsa va foydalanuvchi to'g'ri parolni yozsa, server kirish huquqini beradi.
Sertifikat Asoslangan Autentifikatsiya. Sertifikatlar asosida mijoz autentifikatsiya SSL protokoli qismidir. Mijoz tasodifiy ravishda yaratilgan ma'lumotlarni raqamli ravishda imzolaydi va sertifikatni ham, imzolangan ma'lumotlarni ham tarmoq bo'ylab yuboradi. Server imzoni tasdiqlash va sertifikatning haqiqiyligini tasdiqlash uchun ochiq kalitli kriptografiya texnikasidan foydalanadi.
Parolga Asoslangan Autentifikatsiya mijozni ism va parol yordamida tasdiqlash bilan bog'liq asosiy qadamlar
Foydalanuvchi allaqachon autentifikatsiyasiz yoki SSL orqali server autentifikatsiyasi asosida serverga ishonishga qaror qildi.
Foydalanuvchi server tomonidan nazorat resurs talabqildi.
Server talab qilingan manbaga kirishga ruxsat berishdan oldin mijozning autentifikatsiyasinitalab qiladi.
Mijozni serverga tasdiqlash uchun parol yordamida Serverdan autentifikatsiya so'roviga javoban mijoz ushbu server uchun foydalanuvchi nomi va parolini so'ragan dialog oynasini ko'rsatadi. Foydalanuvchi ish seansi paytida foydalanmoqchi bo'lgan har bir yangi server uchun foydalanuvchi ism va parolni alohida etkazib berishi kerak.
Mijoz ism va parolni tarmoq bo'ylab aniq yoki shifrlangan SSL ulanishida yuboradi.
Server mahalliy parol ma'lumotlar bazasida ism va parolni qidiradi va agar ular mos keladigan bo'lsa, ularni foydalanuvchi shaxsini tasdiqlovchi dalil sifatida qabul qiladi.
Server aniqlangan foydalanuvchiga so'ralgan manbaga kirishga ruxsat berilganligini aniqlaydi va agar shunday bo'lsa, mijozga unga kirishga ruxsat beradi.
Ushbu tartibga solish bilan foydalanuvchi har bir server uchun yangi parolni etkazib berishi kerak va ma'mur har bir foydalanuvchi uchun ism va parolni, odatda alohida serverlarda kuzatib borishi kerak.
Keyingi bo'limda ko'rsatilgandek, sertifikatga asoslangan autentifikatsiyaning afzalliklaridan biri shundaki, u uchta qadamni foydalanuvchiga faqat bitta parolni etkazib berishga imkon beradigan mexanizm bilan almashtirish uchun ishlatilishi mumkin (bu tarmoq bo'ylab yuborilmaydi) va administratorga foydalanuvchi autentifikatsiyasini boshqarish imkoniyatini beradi markazidaily.ca
Sertifikatga Asoslangan Autentifikatsiya mijozlar autentifikatsiyasi sertifikatlar va SSL protokoli yordamida qanday ishlashi ko'rsatilgan. Foydalanuvchini serverga tasdiqlash uchun mijoz tasodifiy ravishda yaratilgan ma'lumotlarni raqamli ravishda imzolaydi va sertifikatni ham, imzolangan ma'lumotlarni ham tarmoq bo'ylab yuboradi. Ushbu munozara uchun ba'zi ma'lumotlar bilan bog'liq bo'lgan raqamli imzoni mijoz tomonidan serverga taqdim etilgan dalil sifatida ko'rib chiqish mumkin. Server bu dalillar kuchiga foydalanuvchi shaxsini tasdiqlasa.
foydalanuvchi allaqachon serverga ishonishga qaror qilgan va resurs so'ragan va server so'ralgan manbaga kirish huquqini berish-qilmasligini baholash jarayonida mijozning autentifikatsiyasini talab qilgan deb taxmin qiladi.
mijozni serverga tasdiqlash uchun sertifikat yordamida ko'rsatilgan jarayondan farqli o'laroq, SSL dan foydalanishni talab qiladi. 5-rasm, shuningdek, mijozning serverdagi mijozni aniqlash uchun ishlatilishi mumkin bo'lgan haqiqiy sertifikatga ega ekanligini taxmin qiladi. Sertifikatga asoslangan autentifikatsiya odatda parolga asoslangan autentifikatsiyadan afzal deb hisoblanadi, chunki u foydalanuvchida mavjud bo'lgan narsalarga (shaxsiy kalit) va foydalanuvchi biladigan narsalarga (shaxsiy kalitni himoya qiladigan parol) asoslanadi. Biroq, bularni ta'kidlash muhimdir ikkita taxmin faqat ruxsatsiz xodimlar foydalanuvchi mashinasiga yoki paroliga kirish huquqiga ega bo'lmagan taqdirda, mijoz dasturiy ta'minotining shaxsiy kalit ma'lumotlar bazasi uchun parol o'rnatilgan bo'lsa va dasturiy ta'minot parolni oqilona tez-tez talab qilish uchun o'rnatilgan bo'lsa.
Muhim na parolga asoslangan autentifikatsiya, na sertifikatga asoslangan autentifikatsiya shaxsiy mashinalar yoki parollarga jismoniy kirish bilan bog'liq xavfsizlik muammolarini hal qiladi. Ochiq kalitli kriptografiya faqat ba'zi ma'lumotlarni imzolash uchun ishlatiladigan shaxsiy kalit sertifikatdagi ochiq kalitga mos kelishini tekshirishi mumkin. Mashinaning jismoniy xavfsizligini himoya qilish va maxfiy kalit parolni sir saqlash foydalanuvchi zimmasida.
Communicator kabi mijoz dasturlari ushbu mijoz uchun berilgan har qanday sertifikatlarda e'lon qilingan ochiq kalitlarga mos keladigan shaxsiy kalitlar ma'lumotlar bazasini saqlaydi. Mijoz ushbu ma'lumotlar bazasiga parolni birinchi marta mijoz ushbu sessiya davomida unga kirishi kerak bo'lganida so'raydi-masalan, foydalanuvchi birinchi marta SSL-yoqilgan serverga kirishga urinishi, bu sertifikatga asoslangan mijoz autentifikatsiyasini talab qiladi. Ushbu parolni bir marta kiritgandan so'ng, foydalanuvchi seansning qolgan qismida, hatto boshqa SSL yoqilgan serverlarga kirishda ham uni qayta kiritishi shart emas.
Mijoz shaxsiy kalitlar ma'lumotlar bazasini ochadi, foydalanuvchi sertifikati uchun shaxsiy kalitni oladi va ushbu shaxsiy kalitdan mijoz va server tomonidan kiritilgan ma'lumotlar asosida tasodifiy yaratilgan ba'zi ma'lumotlarni raqamli imzolash uchun foydalanadi. Ushbu ma'lumotlar va raqamli imzo shaxsiy kalitning haqiqiyligining "dalillari" ni tashkil qiladi. Raqamli imzo faqat shu shaxsiy kalit bilan yaratilishi mumkin va SSL sessiyasiga xos bo'lgan imzolangan ma'lumotlarga nisbatan tegishli ochiq kalit bilan tasdiqlanishi mumkin.
Mijoz foydalanuvchi sertifikatini ham, dalillarni ham (raqamli imzolangan tasodifiy yaratilgan ma'lumotlar qismini) tarmoq bo'ylab yuboradi.
Server foydalanuvchi shaxsini tasdiqlash uchun sertifikat va dalillardan foydalanadi. (Ushbu ish uslubini batafsil muhokama qilish uchun qarang SSL ga kirish.)
Ushbu nuqtada server ixtiyoriy ravishda boshqa autentifikatsiya vazifalarini bajarishi mumkin, masalan, mijoz tomonidan taqdim etilgan sertifikat foydalanuvchi yozuvida LDAP katalogida saqlanganligini tekshirish. Keyin server aniqlangan foydalanuvchiga so'ralgan manbaga kirishga ruxsat berilganligini baholashni davom ettiradi. Ushbu baholash jarayonida ldap katalogida, kompaniya ma'lumotlar bazalarida va hokazolarda qo'shimcha ma'lumotlardan foydalangan holda turli xil standart avtorizatsiya mexanizmlari qo'llanilishi mumkin. Agar baholash natijasi ijobiy bo'lsa, server mijozga so'ralgan manbaga kirishga imkonberadi.
Agar rasm solishtirish orqali ko'rib turganingizdek sertifikatlar mijoz va server o'rtasidagi o'zaro autentifikatsiya qismini o'rniga. Foydalanuvchidan kun davomida tarmoq bo'ylab parollarni yuborishni talab qilish o'rniga, bitta tizimga kirish foydalanuvchidan shaxsiy kalit ma'lumotlar bazasi parolini tarmoq bo'ylab yubormasdan bir marta kiritishni talab qiladi. Sessiyaning qolgan qismida mijoz foydalanuvchini duch kelgan har bir yangi serverga tasdiqlash uchun foydalanuvchi sertifikatini taqdim etadi. Tasdiqlangan foydalanuvchi identifikatoriga asoslangan mavjud avtorizatsiya mexanizmlari ta'sir qilmaydi.