Axborot xavfsizligi




Download 2,72 Mb.
Pdf ko'rish
bet72/191
Sana18.11.2023
Hajmi2,72 Mb.
#101187
1   ...   68   69   70   71   72   73   74   75   ...   191
Bog'liq
axborot xavfsizligi222

Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har 
bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan 
bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol 
foyda bermaydi. Odatda bir martali parollarga asoslangan autentfikasiyalash tizimi 
masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali 
amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat 
vositalari tashqaridan to‘lov plastik kartochkalariga o‘xshash mikroprotsessor 
o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi. Odatda kalitlar deb 
ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan displey darchasiga ega. 
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni 
qo‘llashning quyidagi usullari ma’lum: 
1. 
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan 
foydalanish. 
2. 
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy 
parollar ro‘yxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish. 
3. 
Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil 


153 
dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish. 
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikasiyalash 
texnologiyasini ko‘rsatish mumkin. Bu texnologiya SecurityDynamics 
kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning, xususan 
CiscoSystems kompaniyasining serverlarida amalga oshirilgan. 
Vaqt sinxronizasiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy 
sonlarni vaqtning ma’lum oralig‘idan so‘ng generatsiyalash algoritmiga 
asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi: 

har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda 
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat 
maxfiy kalit; 

joriy vaqt qiymati. 
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan 
shaxsiy identifikasiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli 
raqamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita 
raqamidan iborat. Server foydalanuvchi tomonidan kiritilgan PIN-koddan 
foydalanib ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt 
qiymati asosida tasodifiy sonni generatsiyalash algoritmini bajaradi. So‘ngra server 
generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu 
sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi. 
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va 
serverning qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha 
yil ishlashi va demak server ichki soati bilan apparat kalitining muvofiqligi asta-
sekin buzilishi mumkin. 
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki 
usuldan foydalanadi: 

apparat kaliti ishlab chiqilayotganida uning taymer chastotasining 
me’yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server 
algoritmi parametri sifatida hisobga olinadi; 

server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va 


154 
zaruriyat tug‘ilganida ushbu kalitga moslashadi. 
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘liq. Apparat 
kalit generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida 
haqiqiy parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir 
bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan 
foydalanishga ishlatishi mumkin. Bu vaqt sinxronizasiyasiga asoslangan 
autentifikatsiya sxemasining eng zaif joyi hisoblanadi. 
Bir martali paroldan foydalanib autentifikatsiyalashni amalga oshiruvchi 
yana bir variant – «so‘rov-javob» sxemasi bo‘yicha autentifikatsiyalash. 
Foydalanuvchi tarmoqdan foydalanishga uringanida server unga tasodifiy son 
ko‘rinishidagi so‘rovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy 
sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va 
serverning ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida rasshifrovka 
qiladi. Tasodifiy son - so‘rov shifrlangan ko‘rinishda serverga qaytariladi. Server 
ham o‘z navbatida o‘sha DES algoritmi va serverning ma’lumotlar bazasidan 
olingan foydalanuvchining maxfiy kaliti yordamida o‘zi generatsiyalagan tasodifiy 
sonni shifrlaydi. So‘ngra server shifrlash natijasini apparat kalitidan kelgan son 
bilan taqqoslaydi. Bu sonlar mos kelganida foydalanuvchi tarmoqdan 
foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so‘rov-javob» autentifikatsiyalash 
sxemasi ishlatishda vaqt sinxronizasiyasidan foydalanuvchi autentifikatsiya 
sxemasiga qaraganda murakkabroq. 
Foydalanuvchini 
autentifikatsiyalash 
uchun 
bir 
martali 
paroldan 
foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy 
bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash 
mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo‘linuvchi 
ro‘yxati maxfiy parollar ketma-ketligi yoki nabori bo‘lib, har bir parol faqat bir 
marta ishlatiladi. Ushbu ro‘yxat autentifikasion almashinuv taraflar o‘rtasida 
oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘rov-javob 
jadvali ishlatiladi. Bu jadvalda autentifikasilash uchun taraflar tomonidan 
ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har bir juft faqat bir marta 


155 
ishlatilishi shart. 
Foydalanuvchini 
autentifikatsiyalash 
uchun 
bir 
martali 
paroldan 
foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy 
bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan 
foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari 
mavjud: 

o‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi 
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi 
sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi; 

bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu 
usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi 
(Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul 
ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi. 
Keng 
tarqalgan 
bir 
martali 
paroldan 
foydalanishga 
asoslangan 
autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key 
(RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilarning 
haqiqiyligini tekshirishni talab etuvchi ko‘pgina tizimlarda, xususan, Cisco 
kompaniyasining TACACS+tizimida amalga oshirilgan. 

Download 2,72 Mb.
1   ...   68   69   70   71   72   73   74   75   ...   191




Download 2,72 Mb.
Pdf ko'rish