Серверге арналған аутентификация

Жұмыс түрі: Дипломдық жұмыс
Тегін: Антиплагиат
Көлемі: 63 бет
Таңдаулыға:

МАЗМҰНЫ

КІРІСПЕ3

1 ИДЕНТИФИКАЦИЯ ЖӘНЕ АУТЕНТИФИКАЦИЯ5

1. 1 Идентификациялау және аутентификациялаудың теориялық негіздері5

1. 1. 1 Идентификациялау және аутентификациялау жүйесінің элементтері5

1. 1. 2 Қорғалған клиент-сервер өзара әрекеттестігі6

1. 1. 3 Желілік ортадағы шабуылдар7

1. 1. 4 Қауіпсіздік сервисіне талап7

1. 1. 5 Ашық желілердегі идентификациялау және аутентифика-циялау10

1. 1. 6 Тікелей емес идентификация және аутентификация13

1. 2 Идентификациялау және аутентификациялаудың актуальді жүйесі17

1. 2. 1 Кілттерді тарату орталығы17

1. 2. 2 Керберос хаттамасы18

1. 2. 3 Жұмыс станциялары мен қолданушыларды аутентифика-циялау20

1. 2. 4 Мандат жіберу22

1. 2. 5 Керберос хаттамасы бар жүйеге шабуыл23

2 TCP/IP ХАТТАМАЛАРЫНЫҢ СТЕГІ25

2. 1 OSI өзара байланысының жалпы моделі25

2. 2 TCP/IP және OSI модельдері арасындағы сәйкестік27

2. 3 TCP хаттамасы28

3 ЕСЕПТЕР ҚОЙЛЫМЫН ҚҰРУ38

4. 1 Кілтті құру алгоритмі39

4. 2 Бағдарламаның клиенттік бөлігінің алгоритмі40

4. 3 Бағдарламаның серверлік бөлігінің алгоритмі41

4. 4 Блок-схема алгоритма «Клиент-серверное взаимодействие»43

5 Тәжірибелік бөлім46

5. 1 Тәжірибені жүргізудің кезеңдері46

Қорытынды49

Қолданылған әдебиеттер тізімі50

А қосымшасы51

В қосымшасы59

С қосымшасы67

КІРІСПЕ

Қазіргі кезде ашық байланыс каналдарымен жіберілетін деректер көлемінің көптеп өсу шегі байқалады (соның ішінде жасырын) . Әдеттегі телефондық каналдармен банкі аралық, делдалдық кеңселер және биржалармен, ұйымдардың алысталған бөлімдерімен құнды қағаздармен сауда өткізіледі. Осыған байланысты жіберілетін деректерді қорғау проблемасы тұр. Себебі ағымдағы деректерді активті немесе пассивті түрде ұстау қаупі бар. Пассивті ұстауда деректі тек қана оқу ғана емес, сонымен қатар трафикті талдауды ( мекен-жайларды қолдану, тақырыптың басқа да деректерін, деректердің ұзындықтарын және деректердің жиілігін) қосады. Активті ұстауда деректерді өзгертуге болады (модификация, тежеу, қайталау, реквизиттерді заңсыз қолдану немесе өшіру ) .

Осы проблемаларды шешудің бір жолы байланысқа қатысушыларды идентификациялау және аутентификациялау. Идентификациялау және аутентификациялау желілік жүйелерде шамамен жиырма жылдан бері қолданылып келеді.

Желілік идентификация және аутентификация көптеген қосымшаларда қолданылуда және оны үш категорияға бөлуге болады:

Трафикті желі шекарасында басқарушылар;
Бір ретті қолданылатын парольдер;
Желілік операциялық жүйенің қолданатын қорлары.

Қазіргі кезде кең таралған жүйелер арнайы жасалған хаттамалар арқылы желілік идентификацияны қамтамасыз етуде. RADIUS желілік идентификацияны орындаудың ашық стандарты болып саналады. Windows4. 0. ОЖ-і домені тіркеу құралдарында және Microsoft компаниясының Windows 2000 ОЖ-де қолданылатын Kerberos протоколы да осындай қызмет атқарады. Бір ретті қолданылатын парольдер жүйесінің жабдықтаушысы, мысалы, Secure Computing компаниясының SafeWord және RCA Security компаниясының Secure ID өздері шығарған бір немесе біірнеше желілік идентификация протоколдарына қосымша RADIUS . протоколын да қолдайды.

Бұл бітіру жұмысында желілік өзара аутентификациялық хаттамасын қолдау ұсынылып отыр.

Респонденттерді аутентификациялау үшін, олардың шынайылығын басқа жаққа күәландыратын белгіге ие болуы керек. Сондай куәландыратын белгі - байланыс сеансы басталғанға дейін екі жаққа да белгілі идентификациялаушы. Осы бітіру жұмысы деректерді ашық байланысты каналдарымен жіберудің проблемаларын шешуге арналған:

- ашық байланысты каналдарда респонденттерді өзара аутентификациялау алгоритмі;

- алгоритмнің қорғаныштық деңгейін жоғарылататын бір рет қолданылатын кілттерді қолданатын жаңа алгоритмі;

- тап осы алгоритмдік бағдарламаның хаттама түрінде орындалуы Windows операциялық жүйе базасы TCP/IP хаттамасының стегінде жұмыс істейді;

- әрбір Client (C) және Server (S ) респонденттері хаттамаларының басқа жаққа белгілі (IC, IS ) өз идентификаторы болады.

- хаттамаға « клиентік » және « Серверлік » бағдарламалары өңделіп енгізілген.

Бітіру жұмысының бірінші бөлімінде идентификация және аутентификацияның теориялық негіздері қаралған. Кілттерді тарату орталығына, жұмысшы станциялары және пайдаланушылар аутентификациясына, мандат жіберуге анықтамалар берілген .

Екінші бөлімде OSI-дің әрекеттесуінің жалпы үлгісі, сонымен қатар OSI және TCP/IP үлгілерінің өзара сәйкестігі қаралған.

Үшінші бөлімде респонденттердің хаттамасын құрудың негізгі кезеңдерін анықтайтын есептерді құруға арналған . Есепті шешу тәсілдері мен әдістері көрсетілген .

Төртінші бөлімде хаттамасы жөнінде толық жазылған . Бұл келесі алгоритмдерден тұрады:

- кілт жасау алгоритмі

- клиентік бөлім алгоритмі

- серверлік бөлім алгоритмі

Бұл хаттама ашық байланысты каналдарда жұмыс жасауға есептелген, яғни хаттама пакеттері жарым-жарты немесе толық ұсталып қалуы мүмкін .

1 ИДЕНТИФИКАЦИЯ ЖӘНЕ АУТЕНТИФИКАЦИЯ

1. 1 Идентификациялау және аутентификациялаудың теориялық негіздері

1. 1. 1 Идентификациялау және аутентификациялау жүйесінің элементтері

Аутентификация жүйесі компьютерлік екеніне тәуелсіз, әдетте әрқашан бірнеше элемент қатысады және айқын оқиғалар болады. Біз ең алдымен аутентификациялаудан өтетін нақтылы адамды немесе адамдардың тобын аламыз. Сонымен қатар, бізге адамды немесе адамдардың тобын басқалардан айырмашылығын көрсететін мінездеме қажет. Үшіншіден, жүйені қолдануға және басқалардан авторланған қолданушыларды шектеуге жауап беретін админстратор бар. Төртіншіден, бізге айырмашылдық мінездемелердің қатысуын тексеру үшін аутентификациялау механизмі қажет. Бесіншіден, біз аутентификация табысты өткен жағдайда енуді басқару механизмін қолданып жеңілдіктер беріледі, ал егер сәтсіз болған жағдайда жеңілдіктер алынып тасталынады.

Компьютерді қорғаудың проблемаларын қарай отырып, әрқашан, не істегіміз келеді және шын мәнінде не істей алатынымызды айыра алуымыз керек. Әдетте бірінші сұрақ " біз нені қалаймыз?" қорғаныс мақсатында айтылады . Администратор есептеуіш жүйеде тек қана авторланған пайдаланушыларға рұқсат беру мақсатында болады. Тәжірибеде соған қарамастан әрқашан саңылау болады. Қорған кімде кілттің керек данасы бар, соған рұқсат береді. Қорған сырттан келген жағымсыз адамдарды ұстап қала алмайды. егер жағымсыз адамдардың қолына кілттердің түсуін қақпайлай алмасақ. Егер жағымсыз адамдар жүйеге енгісі келсе, бұл біз үшін қиын жұмыс болады. Және де барлық жерге қорған қоя алмаймыз. Әдетте, кіретін есікте үлкен бір қорған орнатамыз, және бізге ішке енуге рұқсат берген қолданушыларға сенуге тура келеді.

Аутентификация және рұқсатты басқарудың компьютерлік жүйелерінде әдетте жетілген әр түрлі екі нәрсе жүзеге асады. Бірақ кейде аралық ысырма ерекшелігінің мәні бар, яғни есікті ысырмамен басқаратын қорғанмен жабық ұстап қалады, сондай заттар бір механизмде орналасқан. Компьютерлерде аутентификация процесі ары қарай қолдану үшін қоданушының атын дұрыс орнатады, ал енуді басқару жеке жүзеге асады. Компьютерлік жүйе, ережеге сай, рұқсатты белгілі бір файлға немесе басқа ресурсқа бағынған пайдаланушы аттарын рұқсат ережелерімен салыстыру жолмен басқарады. Егер ереже пайдаланушыға осы атпен рұқсат берсе, онда ол ресурсты пайдалану мүмкіншілігін алады .

Біз аутентификациялау кезінде жүйені пайдалануға рұқсат беруді қалайтын адамдарды идентифициялай аламыз, бірақ механизмдар кемеліне жетпеген. Авторланбаған тұлғада әрқашан ресми пайдаланушының астынан бүркемелену тәсілі болады.

Бірақ пайдаланушыларды аутентификациялау компьютерлік жүйелерге өз алдына проблема болып табылады, және олар аутентификацияға жататын жалғыз объектілер емес. Бізге сонымен қатар адамның қатысуынсыз компьютерлік жүйелерді аутентификациялау қажетті, мысалы, Web-серверлер сияқты, әсіресе егер біз қымбат бағалы қызметті орындауды сұрасақ. Пайдаланушыны аутентификациялаудан айырмашылығы, мұнда аутентификацияны орындау үшін сервердің жанында тұратын нақты адам жоқ. Біз де керек адамдардың немесе кәсіпорынның қол астындағы, керек жабдықтаумен байланысқанымызға кепілдік болғанын қалаймыз.

1. 1. 2 Қорғалған клиент-сервер өзара әрекеттестігі

Қазіргі клиент/сервер сәулетінде құрылған ақпараттық жүйелерде үш деңгейді көрсетуге болады:

- ұсыну деңгейі (деректкрді көрсету және енгізу функцияларын орындайды) ;

- қолданбалы деңгей ( универсалды сервистерге, сонымен қатар белгілі пәндік облыстарға арналған функцияларға жауап береді) ;

- ақпараттық қорларға рұқсат деңгейі ( ақпараттық - есептеуіш қорларды басқару және сақтау функцияларын орындаушы ) .

Деңгейлер аралық байланысты транзакция және коммуникация менеджері қамтамасыздандырады. Интернет/Интранет технологиясын қолдану классикалық схемаға өз өзгертулерін салды, яғни универсальды клиент деңгейіне - Web-навигаторды ұсынды (мүмкін, қолданбалы аплеталармен толықты) және Web - серверге ақпараттық концентратор функцияларын қойды(транзакция және коммуникация менеджері міндеттерімен лайықты мақсатта біріктіру) .

Клиентік жұмысшы орындар Web - сервермен және жергілікті және глобальды желілермен байланыстырлады. Клиентік жүйелердің аппараттық платформасы ретінде толық функционалды компьютерлер( стационарлық немесе мобильді ), және өте қарапайым коммуникаторлар қызмет етеді.

Көпшілік ұйымдардың серверлік жүйелері ережеге сай, жалпы пайдалану каналдармен байланысқан бірнеше өндіріс алаңдарына бөлінген. Пайдаланушылардың көзқарасы бойынша мұндай бөліну білінбейді, бірақ қорғаныс тұрғысынан қарағанда тап осы жағдай өте маңызды. Клиентік жұмысшы орындардың бағдарламалық конфигурациясы қатаң емес. Оны желі бойынша алынған аплеттер немесе басқа белсенді агенттер динамикалық толықтыру жасайды.

Бұдан ары клиент/сервердің қорғаныс конфигурациясын, яғни бөлінген, әр тектілі, көпсервисті дамушы жүйелерін қарап шығамыз.

Олар үшін желілік шабуыл өте қауіпті, сондықтан пайдаланушылардың серверлерде жұмыс жасауына рұқсат етілмейді . Егер қаскүнемдер серверге рұқсатты алса, онда бір қорғау шекарасы жеңілген деген сөз[6] .

1. 1. 3 Желілік ортадағы шабуылдар

Желілі ортада шабуылды келесі түрлерге бөлуге болады :

- желіні тыңдау;

- деректердің бірлескен потоктарын өзгерту:

- инфраструктуралық желілік сервиске әсер ету:

- желілі пакеттердің жалғандығы:

- аномалды пакеттерді жіберу:

- аномалдік трафикті генерациялау:

- жетілген әрекеттен бас тарту.

Қаскүнемдер үшін желіні тыңдау келесі мақсаттарға жетуін іске асырады:

- қайта жіберілген мәлімдемелерді ұстап қалу;

- аутентификацияланған деректі ұстап қалу:

- трафикті талдау.

Деректердің бірлескен потоктарын өзгерту келесі қауіпсіздіктің бұзылуына әкеліп соғады :

- ұрлық, қайта реттеу, деректердің қайталануы ;

- өзгерту және өз деректерін қою(заңсыз делдал ) .

Инфраструктуралық желілік сервиске әсер ету:

- аттардың сервис жұмысына қол сұғу ;

- деректердің бірлескен поток маршрутын өзгерту.

Желілі пакеттердің жалғандығы келесі түрде болады:

- мекенжайлардың жалғаны;

- қосулардың ұстап қалу:

- басқа серверлердің жұмысын қайталау.

Аномалды пакеттерді жіберу және аномалдік трафикті генерациялау қол жетерлікке шабуыл жасауға мүмкіндік береді. Жетілген әрекеттен бас тарту - бұл қолданбалы деңгейдегі шабуыл, ол әсіресе, клиент-сервер бөлінген жүйелерінде маңызды[6] .

1. 1. 4 Қауіпсіздік сервисіне талап

Клиент-сервер архитектурасында жасалған жүйені қорғау үшін клиенттер де, серверлер де пайдалана алатын қауіпсіздік сервисі жиынын ерекшелеу схемасын қолдану керек. Мұндай әрекет қолданбалы компоненттерді өзіне арналмаған функцияларды орындаудан босатады, бұл олардың сенімділігінің жоғарылауын, өңдеулер және жаңартулардың жеңілдеуі мене тездетуін жақсартады. Әрине, кейбір функциялар( мысалы, енуге шек қою) қолданбалы компоненттер немесе операциялық жүйенің аумағында іске асырылады[6] .

Жиынтық қауіпсіздік сервисі жоғарыда айтылған қауіптерден қорғауға арналған. Сонымен қатар, бұл жағдайдағы қажетті шарт - архитектуралық қауіпсіздікті сақтау және қорғау құралдарын аралап шығу мүмкін еместігі .

Қауіпсіздік сервисі технологиялық болу керек, яғни қолданылып жүрген жүйелерге қарапайым орнатуларды және оның өркендеу барысында дамуын қамтамасыз етеді. Бұл мақсатқа жету үшін, стандарттарды, соның ішінде, қазіргі кезде кең таралған және өміршең Интернет стандарттарын қолдану керек.

Қауіпсіздік сервисінің бағдарламалық қамтамасыз етуді өндірушілердің қолдауымен ыңғайлы, толық суреттелген бағдарламалық интерфейсі болуға тиіс.

Сонымен қатар, олар міндетті түрде басқарылады. Бұл бөлінген орта желілік қауіпке қарсы тұра алатын орталықтандырылған конфигурациялау мен аудитті жүзеге асырады. Сонымен қатар, қауіпсіздік сервисі көп таралған басқару жүйелерімен интегралдануы керек.

Қауіпсіздік сервисі мейілінше анық, осы қызметті қолданғаннан жиналған шығындар мен ыңғайсыздықтар аз болуы керек.

клиент/сервер жүйесін қорғаудың ең басты сервисті идентификациялау және аутентификациялау болып табылады.

Идентификациялау мен аутентификациялаудың қазіргі кездегі құралы мынадай екі талапты қанағаттандыруы тиіс:

- желілік қауіпке қарсы тұру;

- желіге бірыңғай кіру концепциясын қолдау.

Бірінші талапты криптографиялық әдістерді қолдана отырып орындауға болады . Бүгінде X . 509. стандартты сертификаты бар каталогтер қызметі немесе Kerberos жүйесіне негізделген әдістемелер жалпы қолданған.

Жүйеге бірыңғай кіру пайдаланушылар үшін анықтылық пен ыңғайлылықты талап етеді. Корпоративті жүйеде тәуелсіз хабарласуларға жол беретін ақпараттық сервистер көп болса, онда көпретті идентификация/аутентификациялау өте қиын болады.

Жүйеге бірыңғай кіру қолданушылар өкілеттілігін анықтау, яғни авторизациялау кезіндегі деректерді сақтау орталығы арқылы жүзеге асырылады. Авторизациялау - бұл басқару және ақпараттық қауіпсіздік арасындағы кеңістік, сондықтан кәсіпорын масштабын аутентификациялауға арналған шешім басқаруға да, дәл осылай қорғау құралдарына да сүйене алады [6] .

Алдымен аутентификациялаудың теориялық аспектілерін қарастырамыз. Пайдаланушының жүйеге кіру процедурасы үш бөлімнен тұрады :

- идентификация;

- аутентификация ;

- рұқсат құқықтарын беру .

1. 1. 4. 1 Идентификация

Пайдаланушыны аутентификациялау үшін, алдымен оның кім екенін анықтау керек. Пайдаланушыны идентификациялауға арналған қажетті ақпаратты сұрау керек. Идентификация - бұл пайдаланушының өз статусын жариялауы. Идентификациялау үшін келесілер орындалады : пайдаланушы аты, клиенттің идентификацилық нөмірі және де пайдаланушылар туралы осы деректер базада бірегей ерекше болуы керек. Пайдаланушы термині адамды, процесті немесе жүйені білдіруі мүмкін, мысалы желі түйінін . Идентификация аутентификациялау болып есептелмейді. Пайдаланушыны өзінің кім екені туралы деректі жіберуі оның білдірмейді. Идентификация - аутентификациясыз күдік шақырады [6] .

1. 1. 4. 2 Aутентификация

Пайдаланушы идентификациялау кезінде ұсынған деректер растауды талап етеді Осы кезде аутентификациялау жүйесі әрекетке кіріседі. Пайдаланушылар аутентификациялаудың үш параметрінің біреуімен тексеріледі: олар не біледі, нені иеленеді немесе өзі нені ұсынады. Ең жиі қолданылатын әдіс '' олар не біледі '', біз осыған тоқталамыз . Пайдаланушы құпия сақтай алатын парольді өзі таңдай алады немесе оған парольді тағайындайды. Аутентификация пайдаланушының өзін парольмен растауына негізделген. Бұл әдістеменің осал жағы, басқаларға белгіліні білу өте күрделі емес. Кейде тіпті парольді теріп алуға болады(бұзуларда жиі болады ) . WEB қосымшаларда артықшылық және осы әдісті орындаудың қарапайымдылығы оған потенциалды қауіп-қатер төндіреді.

1. 1. 4. 3 Ену құқықтарын беру

Егер аутентификация табысты өтсе, жүйе пайдаланушыны тіркеуді аяқтайды, енуді басқару деректерімен пайдаланушыны пайдаланушылық сеанспен байланыстырады. Қарапайым қосымшаларда енуге құқық пайдаланушының аутентификациядан табысты өткендігін білдіретін жалаушалар арқасында іске асады. Күрделірек қосымшаларда жүйе әртүрлі пайдаланушыларға арналған әртүрлі ену құқықтарын орындайды. Қажетті қауіпсіздік деңгейінен басқа жүйеде алдын ала табысты немесе сәтсіз кіру құралдары ескерілген болу мүмкін( мысалы, Security Standart С2 стандарты-жүйедегі барлық әрекеттерді тіркеуді талап ететін, С2 қорғаныс деңгейінің стандарты) [6] .

Бұрын да айтылғандай компьютерлік жүйе субъектілердің ( процестер, пайдаланушылар ) және объектілердің жиыны бола алады. Объектілер деп біз жабдықтау құралдарын ( процессор, жад сегменттері, принтер, дискілер ) және бағдарламалық ресурстарды айтамыз( файлдар, бағдарламалар, семафорлар) . Әрбір объект жүйедегі басқа объектілерден оны айыратын бірегей атқа ие, және олардың әрқайсысы айқын және мәнді операция нәтижесінде жеткілікті. Объектілер - абстрактылы деректер үлгісі .

Операциялар объектілерге тәуелді болады. Мысалы, процессор тек қана командаларды орындай алады . Жад сегменттері жаза және оқи алады, ал карта оқытушысы тек қана оқи алады. Файлдар жазылады, оқылады және аты өзгертіледі.

Қорларға авторланған рұқсаты бар пайдаланушыларға ғана процеске рұқсат етілетіндігі белгілі. Оның есепті шешуге қажетті ресурстарға ғана рұқсаты болуына қол жеткізу керек. Бұл талап процестің жүйеге тигізетін бүлінулер санын шектеу тұрғысынан қарағанда пайдалы жеңілдіктерді минимизациялау принципіне байланысты. Мысалы, Р процесі А процедурасын шақырады, оған тек қана айнымалы және формалды параметрлерге ғана рұқсат рұқсат етіледі, ал басқа айнымалы процеске әсер ете алмайды. Ұқсас компилятор дербес файлдарға әсер етпеу керек, тек қана компиляцияға қатысы бар анықталған ішкі жиындарға(Негізгі файлдар, листингтер және т. б. ) . Басқа жағынан, компилятор Р процесінің рұқсаты жоқ, оптимальданған мақсаттарға қолданылатын жеке файлдарға ие бола алады.

Дискретті ( сайлау ) және өкілетті ( мандат ) енуді басқару тәсілін айырады. Дискретті енуде субъектілерге немесе субъектілердің топтарына белгілі қорларға белгілі әрекеттерді орындауды шектейді немесе рұқсат етеді. Концептуальдық жағынан қарағанда дискретті басқарудың ену құқықтарын, жолдарында субъектілер, ал бағаналарында - объектілер орналасқан матрица ретінде қарауға болады .

Өкілеттілік басқаруда барлық деректер құпиялық дәрежесіне байланысты деңгейлерге бөлінеді, ал барлық пайдаланушылар, осы дерекке кіру рұқсаты деңгейімен сәйкес иерархия құрушы топтарға бөлінеді .

Операциялық жүйелердің көпшілігі осы дискретті енуді басқару тәсілін қолданады. Оның негізгі артықшылығы-иілгіштігі, жетіспеушіліктері - негізгі басқарудың шашыраңқылығы және орталықтандырылған бақылаудың қиындығы, сонымен қатар ену құқықтарының деректерден алшақтығы, яғни құпия деректерді жалпыға ортақ файлдардан көшіріп алу[7] .

1. 1. 5 Ашық желілердегі идентификациялау және аутентифика-циялау

Ашық желілерде субъектілердің шынайылығын растауға және тексеруге арналған әдістер, белсенсіз және белсенді желіні тыңдауға қарсы тұра алуы тиіс . Олардың мәндері келесіге апарады .

- субъект құпия кілтті білетіндігін жариялайды, мұнда кілт желімен берілмейді, немесе шифрланған түрде беріледі .

- субъект “сауал-жауап” тәртібінде жұмыс істейтін бір ретті парольдерді генерациялаудың бағдарламалық немесе аппараттық құралымына ие екендігін жариялайды. Сұраққа бір ретті парольді немесе жауапты ұстап алып, қайтадан ойнату қаскүнемдерге ештеңе бермейтіндігін байқау қиын емес.

- субъект өзі тұрған жерінің шынайылығын жариялайды, мұнда жер серіктерінің навигациялық жүйесі қолданылады .

Ең белгілі Интернет ашық желісінің идентификация және аутентификациясын қарастырамыз. Интернет арқылы аутентификациялаудың көптеген проблемалары бар. Өзіңді пайдаланушы ретінде беру үшін идентификация және аутентификация деректерін(немесе кез келген деректі) ұстап алып, оны қайталау - өте жәңіл. Аутентификациялау кезінде жалпы онымен пайдаланушылар риза еместігін жиі айтады және қателерді жиі жібереді, яғни идентификация деректерін әлеуметтік инженерия көмегімен алуға мүмкіндік жасайды. Қосымша идентификациялау барысы интернетті қолдану кезінде пайдаланушылар арасында идентификациялауға арналған деректі таратуды қажет етеді, бұл олардың жұмысын күрделендіреді. Тағы бір проблема аутентификациялаудан кейін пайдаланушы сеансы жүрмей қалуы мүмкін [8] .

Аутентификациялаудың үш түрі бар - статикалық, орнықты және тұрақты. Статикалық аутентификация парольдерді және басқа технологияларды қолданады, бүл деректі шабуылшының қайталауынан абыройы түсірілуі мүмкін . Бұл парольдер көбінесе қайта қолданылатын парольдер деп аталады. Тұрақты аутентификация жұмыс сеанстарын өткізу кезіндегі криптографияға немесе бір ретті парольдердің жасаудың басқа тәсілдеріне қолданылады. Бұл тәсіл байланысқа шабуылшының деректерді қоюынан абыройы түсірілуі мүмкін . Тұрақты аутентификация шабуылшының деректерді қоюынан қорғайды .

Статикалық аутентификация

Статикалық аутентификация тек қана шабуылдардан қорғайды, яғни аутентификациялауда және оның келесі сеансында, аутентифкацияланушы мен аутентификациялаушы арасындағы деректерді көре алмайды. Бұл жағдайда шабуылшы пайдаланушы аутентификациясына арналған деректі анықтау үшін аутентификация процесін (заңды пайдаланушы не істей алады) және осы деректерді табу әрекеттерін іске асыру . Парольдерді қолдану арқылы дәстүрлі схема қорғаныштың осындай түрін қамтамасыздандырады, бірақ аутентификация күші парольдерді табу қиындығына және олар қаншалықты жақсы қорғалғандығына тікелей тәуелді болады [8] .

Орнықты ( Устойчивая ) аутентификация

Аутентификацияның бұл класы аутентификацияның әрбір сеансы сайын өзгеріп отыратын динамикалық деректерді қолданады. Шабуылшы аутентификацияланушы мен арасындағы деректі ұстау үшін заңды пайдаланушы атымен тығылу арқылы олардың аутентификация деректерін қайталап жазу немесе жаңа аутентификация сеансын құру әрекеттерін жүзеге асыруы мүмкін. 1 деңгейдің күшейтілген аутентификациясы мынадай шабуылдардан қорғайды, яғни алдындағы аутентификациялау сеансына қолданған деректер осылай келесі аутентификациялау сеанстарында қолданылмайды .

Әйткенмен, тұрақты аутентификация белсенді шабуылдардан қорғамайды, яғни аутентификациялаудан кейін серверді пайдаланушыларға деректерді беру кезінде, шабуылшылар деректерді немесе комндаларды өзгерте алады. Cервер логикалық байланыс деректерімен аутентификацияланған пайдаланушы деректерін уақытша байланыстырады, өйткені осы байланыс кезіндегі барлық командаларды сол қабылдады деп ойлайды. Дәстүрлі парольдер тұрақты аутентификацияны қамтамасыздандыра алмайды, өйткені пайдаланушы парольдерін ұстап алуға және бұдан кейін де қолдануға болады . Ал бір ретті парольдер және электрондық қол қоюлар осындай қорғаныс деңгейін қамтамасыздандыра алады[8] .

Тұрақты( Постоянная) аутентификация

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.