БИРГИНА ФОЙДАЛАНИШГА АСОСЛАНГАН ПРОТОКОЛЛАРНИНГ
ХАВФСИЗЛИК ТАҲЛИЛИ
О.Ё. Зокиров (доцент, Муҳаммад ал-Хоразмий номидаги ТАТУ)
А.Н.Махмудов (магистрант, Муҳаммад ал-Хоразмий номидаги ТАТУ)
Ҳозирда булутли ҳисоблаш тизимларида ва корпоратив ташкилотларда
айнан
SSO
асосида
фойдаланувчиларни
аутентификациялаш
ва
авторизациялаш
амалга
оширилмоқда.
Мазкур
технология
фойдаланувчиларга кўплаб хизматлардан ёки тизимлардан фойдаланиш учун
ягона қайд ёзувини ишлатиш имкониятини тақдим этади. SSO
технологиясидан
фойдаланишнинг
контекс
диаграммаси
1-расмда
келтирилган.
SSO
Фойдаланувчи
Мижоз
Хизматлар
A
A
A
A
A- аутентификация ва/ ёки авторизация токени
1
2
3
4
3
4
3
4
1-расм. SSO технологиясидан фойдаланишнинг контекс диаграммаси
Мазкур диаграмма SSO технологияси ишлашининг умумий кўринишини
тасвирлайди. Мазкур технологияда кўп сонли фойдаланувчилар тури мавжуд
бўлиб, улар компьютер, таблет, мобил телефонлар ва бошқа қурилмалардан
фойдалинишлари мумкин (шунинг учун уларни мижоз деб номлаш мумкин).
Мазкур фойдаланувчилар маълумотлар, иловалар ёки иловалар қисми
кўринишида бўлиши мумкин бўлган хизматдан фойдаланишни истайдилар.
SSO технологиясидан фойдаланиш орқали, фойдаланувчилар хизматлардан
фойдаланиш учун шахсни тасдиқлаш ва авторизация муолажаларини амалга
оширадилар.
SSO технологиясини тушунтириш учун қатор муҳим тушунчалар
мавжуд, улар қаторига идентификация провайдери (Identity Provider, IdP),
авторизация сервери (Authorization Server, AS), хизмат провайдери (Service
Provider, SP), фойдаланувчи агенти (User Agent, UA), токен (Token)
кабиларни киритиш мумкин [126]. SSO технологиясини амалга оширишнинг
бир қанча усуллари мавжуд, улар умумий номда SSO протоколлари деб
юритилади. Ҳар бир SSO протоколи маълум шароитларга мўжалланган ва
улардан турли мақсадларда фойдаланилади. Ҳозирда кенг қўлланилувчи SSO
протоколларига OAuth2 , OpenID Connect, SAML, LDAP, CAS, CoSign ва
бошқаларни киритиш мумкин.
Ҳар бир протокол ўзида SSO технологияси хизматини таклиф қилсада,
уларнинг ишлаш принципида, маълумотларни сақлаш форматида, таклиф
361
қилган хавфсизлик муолажаларида ва амалга ошириш тартибида катта
фарқлар мавжуд. Шу сабабли, бирор протоколни танлашдан олдин уларнинг,
фойдаланилувчи тизимга мослигини аниқлаш мақсадида қиёсий таққослаш
лозим. Шунинг учун қуйида SSO технологиясини булутли хизмат учун
амалга оширишдан олдин уларни тизимга мослигини текшириш амалга
оширилди.
Дастлаб, SSO технологиясини амалга ошириш имконини берувчи
протоколларнинг вазифалари бўйича таҳлили амалга оширилди. Таҳлил
натижалари 1-жадвалда келтирилган. Таҳлил протоколларда аутентификация,
авторизация имконининг мавжудлиги, токен формати, токеннинг амал қилиш
муддатининг мавжудлиги ва фойдаланишда фойдаланувчи розилигини сўраш
каби омиллар асосида амалга оширилди. Жадвалдаги ? белгиси - маълумот
ноъмалумлигини англатса, * белгиси авторизация учун аутентификациядан
ўтказилиши, яъни, алоҳида аутентификация муолажасини мавжуд
эмаслигини кўрсатади.
SSO технологиясини амалга ошириш протоколларининг таҳлили 1-жадвал
Аутентификация Авторизация
Токен
формати
Фойдаланувчи
розилигини
сўраш
Токен
муддати
OAuth2
Йўқ
*
Бор
XML ёки
JSON
Бор
Танловга
кўра
OpenID
Connect
Бор
Бор
JSON
Бор
Бор
SAML 2.0
Бор
Бор
XML
Йўқ
Бор
LDAP
Бор
Бор
?
Йўқ
Йўқ
CAS
Бор
Йўқ
XML
Йўқ
?
CoSign 3
Бор
Йўқ
XML
Йўқ
?
Протоколларни амалга оширишда уларда фойдаланилган токенларнинг
формати муҳим аҳамият касб этади. Хусусан, JSON формати XML форматига
қараганда ҳозирги кундаги фойдаланишга қулай, ихчам ва тушунарли.
Бундан ташқари XML форматида кўплаб ортиқча “сўз”лар мавжуд бўлиб
JSON форматидан маълумотни ўқиш ва ёзиш ҳам XML форматига нисбатан
тезкор амалга оширилади.
Мазкур диссертация ишида амалга ошириладиган аутентификация
усулининг оммавий бўлиши (яъни, веб, форма кўринишда, мобил платформа
ва ҳ.) ва авторизация имкониятини ҳам тақдим қилиши талаблари қўйилди.
1-жадвалдаги натижалар эса OAuth2, CAS ва CoSign протоколларида
авторизация ёки аутентификация муолажаларининг мавжуд эмаслигини
кўрсатмоқда. Демак, LDAP, SAML 2.0 ва OpenID протокол вариантлари
қолади.
LDAP протоколдан локаль тармоқда SSO хизматини қуришда
фойдаланилсада, веб иловаларда қўлланилмаганлиги сабабли, кам қизиқарли
соҳа ҳисобланади.
SAML 2.0 протоколи ўзида XML форматига токенни тақдим қилиши
сабабли, ҳисоблаш имконияти чекланган муҳитлар учун ноқулайдир.
Шунинг учун, булутли ҳисоблаш тизимлари аутентификация, авторизация ва
362
турли муҳитларда амалга ошириш имкониятини тақдим этувчи OpenID
Connect протоколи танлаб олинди. Бундан ташқари OpenID Connect
протоколини танлашда унинг янги стандарт эканлиги ва аксарият булутли
ҳисоблаш хизматларини таклиф этувчилар (Facebook, Googele ва ҳ.)
томонидан фойдаланиш даражаси ҳам инобатга олинди.
Do'stlaringiz bilan baham: |