Д.-10 Spring Security парольдерді хэштеу және шифрлау.
СНАР протоколында статикалық жасырын паролдері қолданылады. РАР
протоколына СНАР протоколының ерекшелігі әрбір пайдаланушыға өз
паролдері арқылы берілгендерді пайдалануға мүмкіндік береді. РАР
протоколына қарағанда СНАР протоколдары желілерде көп қолданылады.
СНАР протоколындағы паролдерді шифрлеу жүйесі криптографиялық
алгоритмдердің хэштеу жүйесі көмегімен орындалады. СНАР
протоколында RFC 1334 стандартында ХЭШ – функциясы HD 5
алгоритмдерімен анықталады. Яғни бұл алгоритм мәні 16 –байттан тұрады.
СНАР протоколы 4 типтен пакеттермен анықталады:
- Шақыру (Challenge);
- Жауап (Response);
- Нақтылау (Sеicess);
- Жоққа шығару (Tailure);
Аутентификация процесі СНАР протоколында шақыру панелін
пайдалану арқылы басталады.
Жойылғыш кампьютер дайджест нәтижесінде алынған шақыру
функциясын бір нақты функция көмегімен шифрлеп, жасырын сөзді
табады . Дайджест сұранысты қайталаған жаққа жауап пакет түрін
қайтарады.
Бір жақты хэш - функциясы Шақыру және Жауап пакеттеріне
қолданғандықтан, жойылуы пайдаланушының паролін анықтау мүмкін
болмайды.
Сервер жауап пакетін қабылдап, қабылданған жауап парағын нәтижемен
салыстырады. Егер нәтижелер сәйкес келсе, онда аутентификация сәтті өтеді
және жойылған кампьютерге сервер нақтылау пакетін жібереді.
Кері жағдайда сервер жойылушы компьютерге жоққа шығару пакетін
жіберіп, байланысты үзеді.
Егер жауап пакеті қайталанып берілсе, онда Шақыру пакеті серверде
қайталанып жіберіледі.
S/ Key протoколы
Бір ретті паролдермен құрылған аутентификация протоколдарының енң
таралған интернеттегі стандартты протоколға S/Key протоколы жатады. Бұл
протоколдар көптеген жүйелерде қолданылады, сонымен қатар CISCO
компаниясының TACACS жүйесінде де қолданылады. S/Key ашық жүйемен
жұмыс атқарады және әрбір пайдаланушыға жеке пароль береді. Бұл паролдер
генерациялары бір жақты функциялармен жүргізіледі. S/Key протаколы MD4
хэштеу алгоритмімен анықталады. Ал S/Key протаколдарының кейбір түрлері
MD5 хэштеу функциясын қолданады. Аутентификация жиыны 100 бір жақты
паролдерден тұрады. Тізімдегі бір жақты паролдер N-100 болады. Ал W101
кілтін есептеу үшін L функциясының аргументі және берілген функцияны 101
рет орындайтын рекурсив мына түрде есептеледі.
Мұндағы К кілті пайдаланушылардың жасырын кілті болып табылады, ал N
және W101 жасырынды емес сандар берілгендер қорында қайталама ретінде
сақталады.
W101 мәнін қабылдаған қайталанушы бөлімі бір жақты функцияны бір рет
орындайды.
W’101=h(W’100). Егер аутентификация W’100=W100 сәйкес келсе, онда
аутентификация дұрыс, әрі сәтті орындалғанын анықтайды. S/Key протоколы
әрбір пайдаланушы үшін идентификатор және тұрақты жасырын пароль
бекітеді. Берілгендер фазасы әдетте пайдаланушылар сұранысымен
орындалады.
Жойылу мүмкіндігін орталықтан басқару.
Жойылушы байланыстар локалды сервер жүйесімен байланысады. Әдетте
егер локальді желі үлкен сигменттерді байланыстырса, онда жойылу мүмкіндігі
үшін бір сервер аз болады.
Локалды жүйеде бірнеше серверді байланыстыру кампьютерге жүктеледі,
орталықтырылған жүйемен басқару дегенді білдіреді. Пайдаланушылар
жойылушы серверге өту үшін RAS протоколы арқылы немесе СННР
протоколдары арқылы аутентификациялық протоколдар жүреді. Пайдаланушы
логикалық жүйеге ену үшін қажетті серверге сұраныс жібереді,
аутентификациядан өтеді, авторазацияланады және нәтижесінде рұқсат алады
да өзіне қажетті операцияны орындайды. Ал кері жағдайда рұқсат берілмей өз
қажеттілігін ала алмайды. Мұндай жүйе пайдаланушы үшін ыңғайсыз. Себебі,
пайдаланушы бірнеше рет аутентификация процесінен өтеді, жасырын
паролдерді есте сақтау қажет болады. Желі серверіне өту үшін өте ыңғайсыз
жағдай туындайды. Мұндай берілгендер қорын өзгерту жағдайында сақтап қалу
оңайға түспейді. Мысалы егер қызметкерлерді жұмыстан шығарсақ оны
тізімнен жою күрделене түседі. Паролдерді орнатып, өзгерту, аудиттер құру
мәселесі туындайды.
Көрсетілген қиындықтардың барлығына желіге аутентификациялау және
авторизациялау қызметтерін атқаратын орталық жүйесін орнату қажет. Жүйеге
кіруді бақылау орталығы үшін арнайы сервер беріледі, яғни ол серверді
аутентификациялау сервері деп аталады. Бұл сервер жойылушы
пайдаланушылардың нақтылығын тексеру үшін қолданылады.
Сенімділік ақпараттық жүйе аутентификациясының қызметтерін,
квалификациясын күшейтеді, яғни жоғарылатады. Жалпы компьютерлік желіні
қолғау жүйесінің берілгендер қоры сақталады.
Әдетте жойылушы компьютерлерге кіру мүмкіндігі көбінесе берілгендер
қорын қорғау жүйесі орталақтандырылып әрекеттенеді. Операциялы жүйенің
желісі каталогтар қызаметтерін сақтап, пайдаланушылардың эталонды
парольдерін сақтайды, стандартты РАР және СНАР пратаколдарымен қызмет
атқарады.
Жойылушы сервер мен орталықтандырылған берілгендер қорын қорғау үшін
сервер аутентификациясы қолданылады. РАР және СНАР протоколдары
жойылушы сервермен және аутентификация серверлерін біріктіріп шағын
жүйе құрады. Бұл шағын жүйелер барлық функцияларды орындайды.
Орталықтандырылған жүйенің танымал протоколдарына TACACS(Terminal
Access Controller Access Control System) және RADIUS (Remote Authentication
Dial-In User Service). алуымызға болады. Олар ең алдымен ұйымдастыру үшін,
орталық желіні бірнеше желіге бөлу үшін қолданылады. Мұндай жүйеде
администратор берілгендер қорының идентификаторларын және пайдаланушы
парольдерін басқарады. TACACS және RADIUS прoтoколдары бөлек сервер
аутентификацияларын қолдануға болады. яғни мұндай жағдай NDS(Novell
Directory Service) каталогтар қызметтері қолданылады. Ал TACACS және
RADIUS протоколдары сыртқы жүйе аутентификацияларымен
ұйымдастырылады.
TACACS жүйесін қарастырайық. TACACS жүйесі клиент – сервер
архитектурасымен орындалған жүйе. Ол құрамына жойылушы компьюерлердің