|
mijozni serverga tasdiqlash uchun sertifikat yordamida
|
| bet | 11/14 | | Sana | 17.05.2024 | | Hajmi | 51,77 Kb. | | #239293 |
Bog'liq Mavzu Ochiq kalitli shifrlash algoritmlariga asoslangan autenti-fayllar.orgmijozni serverga tasdiqlash uchun sertifikat yordamida ko'rsatilgan jarayondan farqli o'laroq, SSL dan foydalanishni talab qiladi. 5-rasm, shuningdek, mijozning serverdagi mijozni aniqlash uchun ishlatilishi mumkin bo'lgan haqiqiy sertifikatga ega ekanligini taxmin qiladi. Sertifikatga asoslangan autentifikatsiya odatda parolga asoslangan autentifikatsiyadan afzal deb hisoblanadi, chunki u foydalanuvchida mavjud bo'lgan narsalarga (shaxsiy kalit) va foydalanuvchi biladigan narsalarga (shaxsiy kalitni himoya qiladigan parol) asoslanadi. Biroq, bularni ta'kidlash muhimdir ikkita taxmin faqat ruxsatsiz xodimlar foydalanuvchi mashinasiga yoki paroliga kirish huquqiga ega bo'lmagan taqdirda, mijoz dasturiy ta'minotining shaxsiy kalit ma'lumotlar bazasi uchun parol o'rnatilgan bo'lsa va dasturiy ta'minot parolni oqilona tez-tez talab qilish uchun o'rnatilgan bo'lsa.
Muhim na parolga asoslangan autentifikatsiya, na sertifikatga asoslangan autentifikatsiya shaxsiy mashinalar yoki parollarga jismoniy kirish bilan bog'liq xavfsizlik muammolarini hal qiladi. Ochiq kalitli kriptografiya faqat ba'zi ma'lumotlarni imzolash uchun ishlatiladigan shaxsiy kalit sertifikatdagi ochiq kalitga mos kelishini tekshirishi mumkin. Mashinaning jismoniy xavfsizligini himoya qilish va maxfiy kalit parolni sir saqlash foydalanuvchi zimmasida.
Communicator kabi mijoz dasturlari ushbu mijoz uchun berilgan har qanday sertifikatlarda e'lon qilingan ochiq kalitlarga mos keladigan shaxsiy kalitlar ma'lumotlar bazasini saqlaydi. Mijoz ushbu ma'lumotlar bazasiga parolni birinchi marta mijoz ushbu sessiya davomida unga kirishi kerak bo'lganida so'raydi-masalan, foydalanuvchi birinchi marta SSL-yoqilgan serverga kirishga urinishi, bu sertifikatga asoslangan mijoz autentifikatsiyasini talab qiladi. Ushbu parolni bir marta kiritgandan so'ng, foydalanuvchi seansning qolgan qismida, hatto boshqa SSL yoqilgan serverlarga kirishda ham uni qayta kiritishi shart emas.
Mijoz shaxsiy kalitlar ma'lumotlar bazasini ochadi, foydalanuvchi sertifikati uchun shaxsiy kalitni oladi va ushbu shaxsiy kalitdan mijoz va server tomonidan kiritilgan ma'lumotlar asosida tasodifiy yaratilgan ba'zi ma'lumotlarni raqamli imzolash uchun foydalanadi. Ushbu ma'lumotlar va raqamli imzo shaxsiy kalitning haqiqiyligining "dalillari" ni tashkil qiladi. Raqamli imzo faqat shu shaxsiy kalit bilan yaratilishi mumkin va SSL sessiyasiga xos bo'lgan imzolangan ma'lumotlarga nisbatan tegishli ochiq kalit bilan tasdiqlanishi mumkin.
Mijoz foydalanuvchi sertifikatini ham, dalillarni ham (raqamli imzolangan tasodifiy yaratilgan ma'lumotlar qismini) tarmoq bo'ylab yuboradi.
Server foydalanuvchi shaxsini tasdiqlash uchun sertifikat va dalillardan foydalanadi. (Ushbu ish uslubini batafsil muhokama qilish uchun qarang SSL ga kirish.)
Ushbu nuqtada server ixtiyoriy ravishda boshqa autentifikatsiya vazifalarini bajarishi mumkin, masalan, mijoz tomonidan taqdim etilgan sertifikat foydalanuvchi yozuvida LDAP katalogida saqlanganligini tekshirish. Keyin server aniqlangan foydalanuvchiga so'ralgan manbaga kirishga ruxsat berilganligini baholashni davom ettiradi. Ushbu baholash jarayonida ldap katalogida, kompaniya ma'lumotlar bazalarida va hokazolarda qo'shimcha ma'lumotlardan foydalangan holda turli xil standart avtorizatsiya mexanizmlari qo'llanilishi mumkin. Agar baholash natijasi ijobiy bo'lsa, server mijozga so'ralgan manbaga kirishga imkonberadi.
Agar rasm solishtirish orqali ko'rib turganingizdek sertifikatlar mijoz va server o'rtasidagi o'zaro autentifikatsiya qismini o'rniga. Foydalanuvchidan kun davomida tarmoq bo'ylab parollarni yuborishni talab qilish o'rniga, bitta tizimga kirish foydalanuvchidan shaxsiy kalit ma'lumotlar bazasi parolini tarmoq bo'ylab yubormasdan bir marta kiritishni talab qiladi. Sessiyaning qolgan qismida mijoz foydalanuvchini duch kelgan har bir yangi serverga tasdiqlash uchun foydalanuvchi sertifikatini taqdim etadi. Tasdiqlangan foydalanuvchi identifikatoriga asoslangan mavjud avtorizatsiya mexanizmlari ta'sir qilmaydi.
|
| |
