Parollar asosida autentifikatsiyalash
.
Autentifikatsiyaning keng tarqalgan sxemalaridan biri oddiy autentifikatsiyalash
bo‘lib, u an’anaviy ko‘p martali parollarni ishlatishiga asoslangan. Tarmoqdagi foydalanu-
vchini oddiy autentifikatsiyalash muolajasini quyidagicha tasavvur etish mumkin.
Tarmoqdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida o‘zining
identifikatori va parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun
tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori
44
laydi;
bo‘yicha ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib foydalanuvchi
kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffaqiyat-
li o‘tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va avtorizatsiya tizimi
orqali uning maqomi uchun aniqlangan xuquqlarni va tarmoq resurslaridan foydalanish-
ga ruxsatni oladi.
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 6.1–rasmda keltirilgan.
6.1-rasm. Paroldan foydalangan holda oddiy autentifikatsiyalash.
Ravshanki, foydalanuvchining parolini Shifrlamasdan uzatish orqali autentifikatsi-
yalash varianti xavfsizlikning xatto minimal darajasini kafolatlamaydi. Parolni himoyalash
uchun uni himoyalanmagan kanal orqali uzatishdan oldin Shifrlash zarur. Buning uchun
sxemaga Shifrlash Ek va rasShifrovka qilish Dk vositalari kiritilgan. Bu vositalar bo‘linuvchi
maxfiy kalit K orqali boshqariladi. Foydalanuvchining haqiqiyligini tekshirish foydalanuv-
chi yuborgan parol PA bilan autentifikatsiya serverida saqlanuvchi dastlabki qiymat P’ A
ni taqqoslashga asoslangan. Agar PA va P’A qiymatlar mos kelsa, parol PA haqiqiy, foyda-
lanuvchi A esa qonuniy hisoblanadi.
Oddiy autentifikatsiyani tashkil etish sxemalari nafaqat parollarni uzatish, balki ular-
ni saqlash va tekshirish turlari bilan ajralib turadi. Eng keng tarqalgan usul – foydalanu-
vchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir. Bunda fayllarga o‘qish va
yozishdan himoyalash atributlari o‘rnatiladi (masalan, operatsion tizimdan foydalanishni
nazoratlash ruyxatidagi mos imtiyozlarni tavsiflash yordamida). Tizim foydalanuvchi kirit-
gan parolni parollar faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda Shifrlash
yoki bir tomonlama funksiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usuln-
ing kamchiligi – niyati buzuq odamning tizimda ma’mur imtiyozlaridan, Shu bilan birga
tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.
Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining bardoshli-
gi past, chunki ularda autentifikatsiyalovchi axborot ma’noli so‘zlarning nisbatan katta
bo‘lmagan to‘plamidan jamlanadi. Ko‘p martali parollarning ta’sir muddati tashkilotning
P
A
E
k
D
k
k
k
Kanal
ha
?
P
A
=P
’
A
P
’
A
yo‘q
45
xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam ravishda almashtirib tur-
ish lozim. Parollarni Shunday tanlash lozimki, ular lug‘atda bo‘lmasin va ularni topish
qiyin bo‘lsin. Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har
bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir mar-
ta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi.
Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydal-
anuvchilarni tekshirishda qo‘llaniladi. Bir martali parollarni generatsiyalash apparat yoki
dasturiy usul oqali amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanish-
ning apparat vositalari tashqaridan to‘lov plastik kartochkalariga o‘xShash mikroprotses-
sor o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi. Odatda kalitlar deb
ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan displey darchasiga ega.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo‘llashning quy-
idagi usullari ma’lum:
1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3. Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli pse-
vdotasodifiy sonlar generatoridan foydalanish. Birinchi usulni amalga oshirish misoli sifa-
tida SecurID autentikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya
Security Dynamics kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarn-
ing, xususan Cisco Systems kompaniyasining serverlarida amalga oshirilgan. Vaqt sinxroni-
zatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy sonlarni vaqtning ma’lum
oralig‘idan so‘ng generatsiyalash algoritmiga asoslangan. Autentifikatsiya sxemasi quy-
idagi ikkita parametrdan foydalanadi:
• har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda foydalanuv-
chining apparat kalitida saqlanuvchi noyob 64- bitli sondan iborat maxfiy kalit;
• joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy iden-
tifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va apparat kaliti
displeyida akslanuvchi tasodifiy sonning oltita raqamidan iborat. Server foydalanuvchi
tomonidan kiritilgan PIN-koddan foydalanib ma’lumotlar bazasidagi foydalanuvchining
maxfiy kaliti va joriy vaqt qiymati asosida tasodifiy sonni generatsiyalash algoritmini baja-
radi. So‘ngra server generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi.
Agar bu sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasi bilan bir muammo bog‘liq. Apparat kalit generatsiyalag-
an tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy parol hisoblanadi. Shu
sababli, umuman, qisqa muddatli vaziyat sodir bo‘lishi mumkinki, xaker PIN-kodni ushlab
qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga
asoslangan autentifikatsiya sxemasining eng zaif joyi hisoblanadi.
|
