Zbekiston respublikasi axborot texnalogiyalarini rivojlantirish vazirligi


-rasm: Sertifikat organidan (CA) sertifikatlarni so'rash. 3-rasm


Download 1.91 Mb.
bet2/2
Sana04.05.2023
Hajmi1.91 Mb.
#1425549
1   2
Bog'liq
7-amaliy ish.IoT

2-rasm: Sertifikat organidan (CA) sertifikatlarni so'rash.


3-rasm: CA sertifikati yordamida server autentifikatsiyasi.

IoT uchun autentifikatsiya
TLS protokoli va CAlar IoT qurilmalarining identifikatorini tasdiqlash uchun kamroq mos kelishi mumkin. Masalan, IoT qurilmasi shaxsiy tarmoqda ishlashi mumkin va shuning uchun internetga asoslangan CA ga kira olmaydi. Buning yechimi har bir IoT qurilmasiga (va uning IoT ekotizimidagi har bir serverga) o‘ziga xos identifikator va uning qonuniyligini tashqi hokimiyatga murojaat qilmasdan isbotlash usulini berishdir.
Serverlar uchun javob, ularning mikrodasturlarini IoT qurilmalari ulanadigan so'nggi nuqta va serverning o'zi yoki tegishli CA uchun umumiy sertifikat bilan dasturlashdir. Keyin IoT qurilmalari ushbu server sertifikatiga ishonish uchun dasturlashtiriladi. Server o'z identifikatorini taqdim etganda, IoT qurilmasi unga ishonishni biladi va autentifikatsiyani yakunlash uchun serverdan faqat identifikatsiyaga egaligini isbotlashi kerak. IoT qurilmasi uchun jarayon biroz murakkabroq va har bir qurilma ishlab chiqarilayotganda yoki uning dasturiy ta'minotini dasturlashda o'ziga xos narsani o'rnatishga tayanadi - bu provayder deb nomlanuvchi jarayon. Buning ikki yo'li mavjud: undan biron bir materialni ajratib oling yoki unga biron bir materialni quying.

4-rasm: IoT qurilmalari server sertifikatiga ishonish uchun dasturlashtirilgan.
Identifikatsiyani olish va kiritish bilan bog'liq muammolar
Agar sotuvchilar har bir qurilmadan material olish orqali noyob identifikatorlarni o'rnatishni tanlasalar, ular serverga ushbu identifikatorlarning ma'lumotlar bazasini yuklashlari mumkin. Ushbu yondashuv autentifikatsiya oqimining 3-bosqichini soddalashtiradi. Mijoz IoT qurilmasi shunchaki o'z identifikatorini va ushbu identifikatsiyaning kriptografik tekshiruvini serverga yuboradi, bu esa identifikatsiya uning ma'lumotlar bazasida ro'yxatga olinganligini va tekshirishning to'g'riligini tasdiqlaydi. Keyin server sertifikatlarni ishlatmasdan qurilmaga ishonchni o'rnatdi.

Garchi bu oqim oddiy bo'lsa-da, identifikatsiyalar ro'yxatini olishda qiyinchiliklar mavjud. Har bir qurilma ishlab chiqarish jarayonida kriptografik jihatdan tekshiriladigan identifikatoriga ega bo'lishi kerak, bu ko'p vaqt talab qilishi va shuning uchun qimmatga tushishi mumkin. Qurilma identifikatorlari ro'yxatini boshqarish qiyin bo'lishi mumkin, ayniqsa IoT ekotizimi millionlab qurilmalarni o'z ichiga olgan bo'lsa. Soxta qurilma identifikatorlarini kiritish uchun tahrir qilinishini to'xtatish uchun ma'lumotlar bazasi xavfsiz tarzda saqlanishi va unga kirishi kerak.
Shunga qaramay, agar ushbu muammolar to'g'ri hal qilinsa, haqiqiy qurilma identifikatorlari ma'lumotlar bazasini saqlash qurilma autentifikatsiyasining amaliy yechimidir.
Ikkinchi yondashuv har bir qurilmaga autentifikatsiya materialini kiritishdir. Bu ko'pincha mikrochip ishlab chiqarish liniyasiga CA o'rnatish orqali amalga oshiriladi. Ishlab chiqarish jarayonida har bir mikrochip o'z identifikatorini belgilaydi va keyin CA ishlab chiqarish liniyasidan ushbu identifikatsiya uchun imzolangan sertifikatni so'raydi. Ushbu CA ga mijozning IoT serveri ham kirishi mumkin, undan keyin autentifikatsiya jarayonining 3-bosqichida qurilma sertifikatining haqiqiyligini tekshirish uchun foydalanishi mumkin.

Bu erda qiyinchilik - ishonch. CA tomonidan berilgan sertifikat faqat serverga mikrochip sotuvchisi qurilmani yaratganligi va uning kalitlarini tekshirganligini aytadi. U qurilmani kim sotib olganini serverga aytmaydi. Shu tarzda ishlab chiqarilgan qurilmalarni sotib olayotgan mijozlar kremniy sotuvchisiga o'z ishlab chiqarish liniyasini tasodifiy yoki zararli noto'g'ri foydalanishdan himoya qilish uchun ishonishlari kerak. Aks holda, u sertifikat bergan boshqa qurilmalarga mijozning IoT serveri tomonidan autentifikatsiya qilinishiga ruxsat berishi mumkin.
Ideal holda, mikrochip ishlab chiqaruvchisi o'zining har bir mijozi uchun ishlab chiqarish liniyasida CAga ega bo'lishi kerak, ammo bu xavfsizroq yondashuv ko'plab IoT so'nggi bozorlarida xarajat nuqtai nazaridan qabul qilinishi mumkin emas.
Ishonch ildizini o'rnatishning uchinchi usuli - 3-bosqichda autentifikatsiyani to'ldirish uchun proshivka dasturlashtirilganda har bir qurilmaga maxfiy autentifikatsiya parolini kiritish.
Biroq, bu yondashuv bilan xavf mavjud.
Qurilmalarning har biri o'ziga xos identifikator yoki sirga ega emas, chunki ular bir xil proshivka bilan dasturlashtirilgan. Agar proshivka sizib ketgan bo'lsa, barcha qurilmalar buziladi va har kim serverda qurilmani ro'yxatdan o'tkazishi mumkin. Ushbu muammolarning ta'sirini, masalan, umumiy parolga ega 1000 ta qurilma to'plamini yaratish yoki parolning amal qilish muddatini cheklash orqali cheklash mumkin. Ushbu yondashuv foydali bo'lishi mumkin, lekin parollar ko'payganligi sababli, qurilmalar eskirganligi sababli uzilib qolishi va hokazolar sababli bir nechta boshqa muammolarni keltirib chiqarishi mumkin.
Agar qurilmalar uchinchi tomon tomonidan dasturlashtirilgan bo'lsa, tez-tez bo'lganidek, mijoz o'zining maxfiy materialiga ishonishi yoki mikrodasturni tekshira olmasdan o'rnatish uchun kriptografik usullardan foydalanishini talab qilishi kerak. Ularning ikkalasi ham keyingi logistik muammolarni anglatadi, shuningdek, proshivka kodiga kiritilgan intellektual mulkni (IP) potentsial xavf ostiga qo'yadi.
Har bir IoT qurilmasi uchun o'ziga xos identifikatorni o'rnatishning eng xavfsiz, ammo qimmatli yondashuvi har biri dasturlashtirilganda hozir bo'lish uchun muhandisni yuborishdir. Bu har bir qurilma uchun taxminan 20 daqiqa muhandislik vaqtini oladi, bu odatda ko'plab IoT ekotizimlari miqyosida amaliy bo'lmagan deb hisoblanadi. Biroq, u qurilmani loyihalash va rejalashtirish bosqichlarida xavfsizlikni boshqarish ehtiyojlarini oldindan bilishning afzalliklarini namoyish etadi.
Ko'pgina kompaniyalar IoT bilan shug'ullanadi, ularning har biri turli xil imkoniyatlarga, xavfsizlik muammolariga va xavfga munosabatga ega. Bu shuni anglatadiki, IoT ekotizimlariga qo'shilish uchun qurilmalarni tayyorlashga umumiy yondashuv yo'q. Ba'zi kompaniyalar ta'minlash jarayonini o'zlari hal qiladi, bu esa har bir qurilma uchun maxfiy materialni o'zlari xohlagancha in'ektsiya qilish yoki chiqarishni osonlashtiradi. Boshqalar esa kerakli infratuzilmaga ega bo'lmaydilar, lekin har bir qurilmaga o'rnatilgan IP qiymatiga katta e'tibor va hurmat bilan o'z qurilmalarini ta'minlash uchun uchinchi tomonga to'lash uchun xavfsizlik haqida etarlicha qayg'uradilar.
Ikkala yondashuv ham ushbu kompaniyalar qurilmalarni ta'minlash paytida o'zlarining IoT ekotizimlari xavfsizligini oshirishga qaratilgan sa'y-harakatlaridan foyda oladi. Parollarni proshivkaga joylashtirish kabi arzonroq variantlarni tanlaganlar, avvaldan tejamkorliklari keyinchalik mikrodastur maxfiyligini boshqarish va mumkin bo'lgan xavfsizlik buzilishlarini bartaraf etish xarajatlariga to'lib ketishini payqashlari mumkin
Nazariy savollar.
1 IoT qurilmasi uchun o'ziga xos identifikatorni o'rnatishning eng xavfsiz yo`llari.
2 IoT uchun autentifikatsiya turlari.
3 IoT qurilmalarida TLS protokol autentifikatsiya.
4 IoT Mijoz serverga ulanishni amalga oshiradi tartibini ayting.
Download 1.91 Mb.

Do'stlaringiz bilan baham:
1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling