Information Security(Part 02): AAA Model and Non-Repudiation

 

AAA மாதிரி (AAA Model)

தகவல் பாதுகாப்பு (Information Security) மற்றும் கணினி வலையமைப்புக்கள் (Computer Networks) துறைகளில் முக்கியமாக பயன்படுத்தப்படும் ஒரு பாதுகாப்பு மாதிரி (AAA Model) ஆகும். AAA என்பது Authentication (அடையாள உறுதிப்படுத்தல்), Authorization (அனுமதி வழங்கல்), மற்றும் Accounting (கண்காணிப்பு/பதிவேடு) என்ற மூன்று முக்கிய கூறுகளைக் கொண்டது. இந்த மாதிரி, ஒரு கணினி அமைப்பில் பயனர்களின் அணுகலை பாதுகாப்பாக நிர்வகிக்க உதவுகிறது.

 

முதலாவதாக, அடையாள உறுதிப்படுத்தல் (Authentication) என்பது ஒரு பயனர் உண்மையில் யார் என்பதை உறுதிப்படுத்தும் செயல்முறையாகும். இது பொதுவாக பயனர் பெயர் (username) மற்றும் கடவுச்சொல் (password) மூலம் செய்யப்படுகிறது. உதாரணமாக, ஒரு வங்கி தானியங்கி (ATM) இயந்திரத்தில், பயனர் தனது தனிநபர்அடையாள எண்ணை (PIN) உள்ளிடும்போது, கணக்கு அட்டையை செலுத்தியவர் அல்லது தற்பொழுது குறித்த கணக்கினை கையாள்பவர் அந்த கணக்கின் உரிமையாளர் தானா என்பதை உறுதிப்படுத்துகிறது. அதேபோல், ஒரு மின்னஞ்சல் கணக்கில் உள்நுழைவு (login) செய்வதற்கும் பயனர் பெயர் (username) மற்றும் கடவுச்சொல் (password) பயன்படுத்தப்படுகிறது. இவை அனைத்தும் அடையாளத்தை உறுதிப்படுத்தல் (Authentication) ஆகும்.

 

இரண்டாவதாக, அனுமதி வழங்கல் (Authorization) என்பது ஒரு பயனருக்கு எந்த செயல்களை செய்ய அனுமதி வழங்கப்படுகிறது என்பதை தீர்மானிக்கும் செயல்முறையாகும். எல்லா பயனர்களுக்கும் ஒரே அளவிலான அனுமதி இருப்பதில்லை. உதாரணமாக, ஒரு நிறுவனத்தில் நிர்வாக பொறுப்பில் உள்ள (Admin) பயனர் அனைத்து கோப்புகளையும் அணுக முடியும். ஆனால், ஒரு சாதாரண பயனருக்கு (Normal user) குறிப்பிட்ட கோப்புகளை மட்டுமே பார்க்க அல்லது திருத்த அனுமதி வழங்கப்படும். அதேபோல், தானியங்கி (ATM) இயந்திரத்தில், பயனர் தனது கணக்கில் உள்ள பணத்தை மட்டுமே எடுக்க அனுமதிக்கப்படுகிறது. இது அனுமதி வழங்கல் (Authorization) ஆகும்.

 

மூன்றாவதாக, கண்காணிப்பு/பதிவேடு (Accounting) என்பது பயனர்கள் என்ன செய்கிறார்கள் என்பதை பதிவு செய்யும் செயல்முறையாகும். இது கணக்காய்வு (Audit) மற்றும் கண்காணிப்பு (Monitoring) நோக்கங்களுக்குப் பயன்படுத்தப்படுகிறது. உதாரணமாக, ஒரு வங்கியில் தானியங்கி இயந்திரம் (ATM) மூலம் பணம் எடுக்கப்பட்ட நேரம், தொகை, மற்றும் இடம் போன்ற தகவல்கள் பதிவு செய்யப்படும். அதேபோல், ஒரு கணினி அமைப்பில் பயனர் எப்போது உள்நுழைவு (login) செய்தார், என்ன கோப்புகளை அணுகினார், என்ன மாற்றங்கள் செய்தார் என்பதெல்லாம் பதிவு செய்யப்படும். இது பாதுகாப்பு விசாரணைகளுக்கும் மிகவும் உதவுகிறது.

 

AAA மாதிரியை (Model) பின்வரும் எளிய உதாரணத்தின் மூலம் புரிந்து கொள்ளலாம். ஒரு கல்லூரி கணினி ஆய்வகத்தை எடுத்துக்கொள்வோம். தரம் 10 இல் கற்கும் கலைச்செல்வன் என்ற மாணவன் முதலில் தனது பயனர் பெயர் (username) மற்றும் கடவுச்சொல் (Password) மூலம் உள்நுழைவு (login) செய்கிறார். முறைமை முதலில் குறித்த கல்லூரியில் குறித்த தரத்தில் கல்வி கற்கும் குறித்த மாணவனின் விபரங்களை அடையாளம் காணும். அந்த மாணவன் தான் இந்த கலைச்செல்வன் என்பதையும் இந்த குறித்த கலைச்செல்வன் தான் பயனர் கணக்கை பயன்படுத்தினார் என்பதனை உறுதிசெய்ய ஒருதரம் பயன்படுத்தும் கடவுச்சொல்லை (One Time Password - OTP) ஏற்கனவே தன்னிடமுள்ள கலைச்செல்வனின் தொலைபேசி இலக்கத்திற்கு குறுந்தகவலாகவோ அல்லது  மின்னஞ்சல் முகவரிக்கு செய்தியாகவோ அனுப்பும். அதனை அவர் உடனடியாக உள்ளீடு செய்யவேண்டும். இதன்மூலம் பயனர்கணக்கை பயன்படுத்துபவர் தான் குறித்த கலைச்செல்வன் என்பது உறுதி செய்யப்படும். பின்னர் உள்நுழைய அனுமதி வழங்கும். இது ,அடையாள உறுதிப்படுத்தல் (Authentication) எனப்படும். பின்னர், உள்நுழைந்தவர் தெரிவுசெய்யும் பாடநெறியை கலைச்செல்வன் என்ற பயனருக்கு அனுமதியளிக்கப்பட்ட பாடநெறிகளுடன் ஒப்பிட்டு அவற்றிக்கான அனுமதியை அல்லது மறுப்பை தெரிவிக்கும்.  இதன்மூலம் உள்நுழைந்த பயனர் தனக்கென ஒதுக்கப்பட்ட பாடநெறிகளை  மட்டுமே பயன்படுத்த அனுமதி பெறுகிறார் இச் செயற்பாடு அனுமதி வழங்கல்  (Authorization) எனப்படுகிறது. அவர் எந்த நேரத்தில் உள்நுழைந்தார் (login), எவ்வளவு நேரம் பயன்படுத்தினார் மற்றும் எந்தெந்த பாடங்களை அணுகினார் போன்ற தகவல்கள் முறைமையில் பதிவு செய்யப்படும். இச் செயற்பாடு கண்காணிப்பு (Accounting) எனப்படுகிறது.

 

முடிவாக, AAA Model என்பது ஒரு பாதுகாப்பான மற்றும் கட்டுப்படுத்தப்பட்ட கணினி சூழலை உருவாக்க மிகவும் அவசியமான ஒரு மாதிரி ஆகும். இது பயனர்களின் அடையாளத்தை உறுதிப்படுத்துவதோடு, அவர்களுக்கு வழங்கப்படும் அனுமதிகளை கட்டுப்படுத்தி, அவர்களின் செயல்பாடுகளை கண்காணிக்க உதவுகிறது. எனவே, நவீன தகவல் தொழில்நுட்ப அமைப்புகளில் AAA Model முக்கிய பங்கு வகிக்கிறது.

 

மறுப்பதற்கான இயலாமை (Non-Repudiation)

தகவல் பாதுகாப்பு துறையில் முக்கியமான ஒரு கருத்தாக மறுப்பதற்கான இயலாமை (Non-Repudiation) கருதப்படுகிறது. இதன் பொருள், ஒரு செயலை செய்த நபர் பின்னர் அதை மறுக்க முடியாத நிலையை உருவாக்குவதாகும். அதாவது, ஒரு தகவலை அனுப்பியவர் அல்லது ஒரு செயல்பாட்டை செய்தவர், “நான் இதை செய்யவில்லை” என்று மறுப்பதைத் தடுக்கும் பாதுகாப்பு ஏற்பாடுகளே மறுப்பதற்கான இயலாமை (Non-Repudiation) ஆகும்.

 

இது பொதுவாக இலக்கமுறை கையொப்பங்கள் (Digital Signatures), குறியாக்கம் (Encryption), மற்றும் கணக்காய்வுப்பதிவுகள் (audit logs) போன்ற தொழில்நுட்பங்களின் மூலம் உறுதி செய்யப்படுகிறது. இது தகவல் பரிமாற்றங்களில் நம்பகத்தன்மையை (trust) அதிகரிக்கிறது.

 

முதலாவது உதாரணமாக, மின்னஞ்சல் தொடர்பைப் (Email Communication) பார்க்கலாம். ஒருவர் ஒரு முக்கியமான மின்னஞ்சலை இலக்கமுறை கையொப்பத்துடன் அனுப்பினால், அந்த மின்னஞ்சல் உண்மையில் அந்த நபரால் அனுப்பப்பட்டது என்பதை உறுதி செய்ய முடியும். பின்னர் அவர் “நான் இந்த மின்னஞ்சலை அனுப்பவில்லை” என்று கூற முடியாது. இது மறுப்பதற்கான இயலாமை (Non-Repudiation) ஆகும்.

 

இரண்டாவது உதாரணமாக, நிகழ்நிலை வங்கி பரிவர்த்தனையை (Online Banking Transaction) எடுத்துக்கொள்ளலாம். ஒரு பயனர் பணம் மாற்றும் போது ஒருதடவை பயன்படுத்தும் கடவுச்சொல் (One Time Password - OTP) அல்லது இலக்கமுறை உறுதிப்படுத்தல் பயன்படுத்தப்படுகிறது. இந்த செயல்முறைகள் அந்த பரிவர்த்தனை உண்மையில் அந்த பயனரால் செய்யப்பட்டதாக பதிவு செய்யும். பின்னர் அவர் அந்த பரிவர்த்தனையை மறுப்பது கடினமாகும்.

 

மூன்றாவது உதாரணமாக, மின் வணிக தளங்களில் பொருட்கள் வாங்குதல் குறிப்பிடத்தக்கது. ஒருவர் ஒரு பொருளுக்கான வேண்டுகோள் விடுத்து, இலக்கமுறை கையொப்பம் அல்லது உறுதிப்படுத்தல் மூலம் அதை ஒப்புதல் அளித்தால், பின்னர் “நான் இந்த வேண்டுகோளை விடுக்க்கவில்லை” என்று மறுப்பது சாத்தியமில்லை. இது விற்பனையாளரும் வாங்குபவரும் இடையே நம்பகத்தன்மையை உருவாக்குகிறது.

 

மேலும், மறுப்பதற்கான இயலாமை(Non-Repudiation) சட்ட ரீதியாகவும் முக்கியமானது. ஒப்பந்தங்கள் (contracts), மின்னணு ஆவணங்கள் (electronic documents), மற்றும் அதிகாரப்பூர்வ பரிவர்த்தனைகளில், யார் என்ன செய்தார் என்பதை உறுதிப்படுத்துவதில் இது முக்கிய பங்கு வகிக்கிறது.

 

முடிவாக, மறுப்பதற்கான இயலாமை(Non-Repudiation) என்பது தகவல் பாதுகாப்பில் நம்பகத்தன்மை மற்றும் பொறுப்புணர்வை (accountability) உறுதி செய்யும் ஒரு முக்கியக் கூறாகும். இது ஒரு செயலை செய்தவர் அதை மறுக்க முடியாதவாறு நிரூபிக்க உதவுகிறது. எனவே, இலக்கமுறை உலகில் (Digital World) பாதுகாப்பான மற்றும் நம்பகமான தொடர்புகளுக்கு இது மிகவும் அவசியமானது.

உண்மைத்தன்மை (Authenticity) மற்றும் மறுப்பதற்கான இயலாமை (Nonrepudiation)

உண்மைத்தன்மைக்கும் மறுப்பதற்கான இயலாமைக்கும் உள்ள வேறுபாடு என்னவென்றால்  உண்மைத்தன்மை என்பது நீங்கள் ஒரு குறிப்பிட்ட நபரிடம் ஒரு குறிப்பிட்ட நேரத்தில் பேசுகிறீர்கள் என்பதை உங்களுக்கு நிரூபித்தல் ஆகும்.. மறுப்பதற்கான இயலாமை என்பது, ஒரு குறிப்பிட்ட நபர் கடந்த காலத்தில் ஏதேனும் ஒன்றைச் செய்தார் அல்லது கூறினார் என்பதை நிரூபித்தல் ஆகும்.

தொடரும்......................