ISC - Coverstory


مفاهيم اوليه در تعيين هويت AAA که مخفف Authentication, Authorization and Accounting است سه محور اصلي در کنترل دسترسي در شبکه هستند که در اين بخش در مورد هريک از آن‌ها به طور مجزا و مختصر صحبت مي‌شود. ابتدا تعريفي از هريک از اين مفاهيم ارائه مي‌دهيم. 1.1 Authentication 1.1.1 مفهوم Authentication به معناي وارسي عناصر شناسائي ارائه شده از سوي کاربر،‌ تجهيزات يا نرم‌افزارهايي است که تقاضاي استفاده و دسترسي به منابع شبکه را دارند. عناصر شناسايي در ابتدايي‌ترين و معمول‌ترين حالت شامل نام کاربري و کلمه عبور مي‌باشند. در صورت نياز به بالاتر بودن پيچيدگي فرايند کنترل و وارسي هويت، مي‌توان با اضافه نمودن عناصر شناسايي به اين مهم دست يافت. بديهي‌ است که با اضافه نمودن فاکتورها و عناصر شناسايي، نوع خدمات گيرنده مورد استفاده، پايگاه‌هاي داده‌اي مورد نظر و در بسياري از موارد پروتکل‌ها و استانداردها نيز بايد مطابق با تغييرات اعمال شده در نظر گرفته شوند تا يکساني در ارائه خدمات در کل شبکه حفظ شود. پس از ارائه عناصر شناسايي از سوي متقاضي، سيستم، کد کاربري و کلمه عبور را با بانک اطلاعاتي مختص کدهاي شناسايي کاربري مقايسه کرده و پذيرش يا عدم پذيرش دسترسي به منابع را صادر مي‌کند. عمل Authentication، در طراحي‌ شبکه‌هايي با حجم کم و متوسط عموماً توسط تجهيزات مسيريابي و يا ديوارهاي آتش انجام مي‌گيرد. علت استفاده از اين روش مجتمع سازي و ساده سازي پياده‌سازي عمل Authentication است. با استفاده از امکانات موجود نياز به استقرار يک سرور مجزا براي صدور پذيرش هويت متقاضيان دسترسي مرتفع مي‌گردد. از سوي ديگر در شبکه‌هاي با حجم و پيچيدگي نسبتاً بالا،‌ عموماً با توجه به پردازش بالاي مختص عمل Authentication، سروري بصورت مستقل و مجزا به اين امر اختصاص مي‌يابد. در اين روش از استانداردها و پروتکل‌هاي مختلفي همچون TACACS+ و RADIUS استفاده مي‌گردد. 1.1.2 فعال نمودن Authentication فعال نمودن Authentication بر روي تجهيزات مورد استفاده در شبکه عملي است که عموماً در چهار مرحله انجام مي‌شود : الف - فعال نمودن AAA بر روي سخت‌افزارهاي مورد نظر ب - ايجاد پايگاه‌ داده‌اي از کدهاي کاربري کاربران يا تجهيزات شبکه به همراه کلمه‌هاي عبور. همانگونه که ذکر شد، اين پايگاه مي‌تواند در داخل تجهيزات مورد استفاده در شبکه‌هاي با حجم کم پياده‌سازي شود. در شبکه‌هاي با حجم نسبتاً بالا که در آن‌ها نياز به استفاده از سرور مختص عمل Authentication احساس مي‌شود، تجهيزات فعال شبکه به گونه‌اي پيکربندي مي‌شوند که عمل Authentication را با استفاده از پايگاه‌هاي داده‌اي مستقر بر روي سرورهاي مختص اين فرايند،‌ انجام دهند. ج – ايجاد فهرستي از نحوه انجام عمل Authentication. اين فهرست‌ها به تعيين روش‌ مورد نظر براي عمل Authentication اختصاص دارند. د – اعمال روش پيشنهادي ار مرحله قبل. در هر شبکه، در صورت نياز به عمل Authentication، اين چهار مرحله بر روي تمامي تجهيزاتي که در عمل AAA نقش دارند اجرا مي‌شوند. 1.2 Authorization 1.2.1 مفهوم Authorization Authorization فرايندي است که طي آن به کاربران و يا تجهيزات متقاضي دسترسي به منابع، امکان استفاده از منبع يا منابع مستقر بر روي شبکه داده مي‌شود. به بيان ديگر اين عمل براي مديران شبکه امکان تعيين نوع دسترسي به هريک از منابع شبکه، براي تک تک متقاضيان دسترسي و يا گروهي از آن‌ها، را فراهم مي‌کند. از سوي ديگر،‌ عمل امکان اختصاص آدرس‌هاي شناخته شده و از پيش تعيين شده به کاربران يا تجهيزات، همچون متقاضياني که با استفاده از پروتکل PPP به شبکه متصل مي‌شوند،‌ را مي‌دهد. اين عمل متقاضي را ملزم به استفاده از نوع خاصي ار استانداردها يا پيکربندي‌هاي ارتباطي مورد نظر مدير شبکه مي‌کند. زماني که Authorization بر روي شبکه فعال شده باشد، خادم شبکه‌اي که مسئوليت Authorization را بر عهده دارد اطلاعات کاربر را از روي پايگاه داده کاربرها استخراج مي‌کند. اين پايگاه داده مي‌تواند بر روي سرور محلي بوده و يا بر روي پايگاهي مجزا قرار داشته باشد. پس از استخراج اين اطلاعات، وضعيت دسترسي مورد قبول مديريت با تقاضاي کاربر قياس گرديده و تاييد يا عدم تاييد اجازه استفاده از سرويس يا منبع مورد نظر متقاضي صادر مي‌شود. 1.2.2 برقراري Authorization برقراري و فعال نمودن Authorization عملي مشابه فعال نمودن Authentication است. براي برقراري و فعال نمودن Authorization، Authentication بايد فعال شده باشد. به عبارت ديگر کليه مراحل را مي‌توان به شکل زيرخلاصه نمود: الف - فعال نمودن Authentication بر روي سخت‌افزارهاي مورد نظر. همانگونه که ذکر شد اولين مرحله از چهار مرحله فعال‌سازي اين فرايند، فعال‌ سازي AAA بر روي تجهيزات است. ب – ايجاد فهرستي از نحوه انجام عمل Authorization. اين فهرست‌ها علاوه بر تعيين روش‌ مورد نظر براي عمل Authorization، مبين سرويس مورد نظر براي عمل Authorization نيز مي‌باشند. ج – اعمال روش ساخته شده ار مرحله قبل. 1.3 Accounting 1.3.1 مفهوم Accounting Accounting آخرين بخش از فرايند جمعي AAA است. طي اين فرايند، گزارشي از عملکرد کاربران يا سخت‌افزارهايي که هويت آن‌ها طي اعمال Authentication و Authorization تاييد شده است، توسط سرور AAA تهيه مي‌شود. 1.3.2 فعال سازي Accounting فرايند فعال سازي Accounting مشابه Authorization است که مهم‌ترين مراحل شامل ايجاد فهرست‌هاي روش Accounting و اعمال آن‌هاست.

مرجع:

Hiltgen, A.Kramp, T.Weigold, T. Kramp, UBS Wealth Manage, "Secure Internet banking authentication", Security & Privacy Magazine, IEEE, 2006.

مژگان سبحاني m_sobhani@isc.co.ir

براي دريافت نسخه PDF مقاله مفاهيم اوليه در تعيين هويت اينجا را كليك كنيد.