|
Parollar tiykarında autentifikatsiyalaw
|
| bet | 7/12 | | Sana | 19.05.2024 | | Hajmi | 0,7 Mb. | | #243912 |
Bog'liq Identifikatsiya va autentifikatsiya avtorizatsiya maselesi kurs 1.2. Parollar tiykarında autentifikatsiyalaw
Autentifikatsiyaniń keń tarkalgan sxemalarınan biri ápiwayı autentifikatsiyalash bulib, ol dástúriy kup retli parollardı itttlatittti- ga tiykarlanǵan. Tarmaqtaǵı paydalanıwshın ápiwayı autentifikatsiyalash muo- lajasini kuyidagicha oyda sawlelendiriw múmkin. Tarmaqtan paydalanıwǵa urınǵan paydalanıwshı kompyuter klaviaturasında uzınıń identifikatori hám parolın teredi. Bul maǵlıwmatlar autentifikatsiya serverine ishleniw ushın túsedi. Autentifikatsiya serverinde saklanayotgan paydalanıwshı identifikatori buyicha maǵlıwmatlar bazasınan uyqas jazıw tabıladı, odan paro- lni tawıp paydalanıwshı kirgizgen parol menen takkoslanadi. Eger olar uyqas kelse, autentifikatsiya muvaffakiyatli utgan esaplanadi hám paydalanıwshı legal (konuniy) makomini hám avtorizatsiya sisteması orkali onıń makomi ushın aniklangan xukuklarni hám tarmaq resurslarınan paydalanıwǵa ruxsattı aladı.
Paroldan paydalanǵan túrde ápiwayı autentifikatsiyalash sxeması
suwretde keltirilgen.
Paydalanıwshı A Autentifikatsiya serveri
4-súwret. Paroldan paydalanǵan uolda ápiwayı autentifikatsiyalash.
Paydalanıwshınıń parolın shifrlamasdan uzatıw orkali autentifikatsiyalash variantı qawipsizliktiń xatto minimal dárejesin kepilliklamaydi. Paroldı qorǵaw ushın onı ximoyalanmagan kanal orkali uzatıwdan aldın shifrlaw zárúr. Onıń ushın sxemaǵa shifrlaw Yek hám rasshifrovka etiw Bk quralları kiritilgen. Bul qurallar bulinuvchi jasırın gilt K orkali boshkariladi. Paydalanıwshınıń xakikiyligini tekseriw paydalanıwshı jibergen parol RA menen autentifikatsiya serverinde saklanuvchi dáslepki kiymat PA ni takkoslashga tiykarlanǵan. Eger RA hám PA kiymatlar uyqas kelse, parol RA xakikiy, paydalanıwshı A bolsa konuniy esaplanadi.
Ápiwayı autentifikatsiyani shólkemlestiriw sxemaları nafakat parollar - ni uzatıw, bálki olardı sakdash hám tekseriw túrleri menen ajralıp tu- radi. Eń keń tarkalgan usıl - paydalanıwshılar parolın sistemalı fayl- larda, ochik túrde sakdash usılı bolıp tabıladı. Bunda fayllarǵa ukish hám jazıwdan qorǵaw atributları urnatiladi (mısalı, operatsion sistemadan paydalanıwdı qadaǵalawlaw ruyxatidagi uyqas jeńilliklerdi xarakteristikalaw járdeminde). Sistema paydalanıwshı kirgizgen paroldı parollar faylsda sakdanayotgan jazıw menen salıstıradı. Bul usılda shifrlaw yamasa bir tárepleme funksiyalar sıyaqlı kriptografik mexanizmler isletilmaydi. Bul usıldıń kemshiligi niyeti buzuk adamdıń sistemada administrator jeńilliklerinen, usınıń menen birge sistema fayllarınan, atap aytqanda parol fayllarınan paydalanıw múmkinshiligi- bolıp tabıladı.
Qawipsizlik nuktai názerinen parollardı bir tárepleme funksiya - lardan paydalanıp uzatıw hám sakdash kulay esaplanadi. Bul túrde paydalanıwshı paroldıń ochik forması urniga onıń bir tárepleme funksiya h (.) den paydalanıp alınǵan suwretin jiberiwi shárt. Bul uzgartirish ganim tárepinen paroldı onıń suwreti orkali ashiq jarıya kila almaǵanlıǵın ka- folatlaydi, sebebi ganim sheshilbeytuǵın sanlı máselege dus keledi.
Kup retli parollarǵa tiykarlanǵan ápiwayı autentifikatsiyalash sistemasınıń sabırlıǵı tómen, sebebi olarda autentifikatsiyalovchi informaciya mánisli suzlarning salıstırǵanda úlken bulmagan tuplamidan jıynanadı. Kup retli parollardıń tásir múddeti shólkemdiń qawipsizligi siyasatı - de belgileniwi hám bunday parollardı úzliksiz túrde almastırıp tu- rish kerek. Parollardı sonday tańlaw kerekki, olar lugatda bulmasin hám olardı tapittt kiyin bulsin.
Bir retli parollarǵa tiykarlanǵan autentifikatsiyalashda payda - lanishga xar bir surov ushın túrli parollar isletiledi. Bir retli dinamikalıq parol fakat sistemadan bir ret paydalanıwǵa yarokdi. Eger, xatto kimdir onı ustap kolsa xam parol payda bermeydi. Ádetde bir retli parollarǵa tiykarlanǵan autentfikatsiyalash sisteması aralıqtaǵı paydalanıw - chilarni tekseriwde kullaniladi.
Bir retli parollardı generatsiyalash apparat yamasa programmalıq usıl okali ámelge asırılıwı múmkin. Bir retli parollar tiykarındaǵı payda - lanishning apparat quralları tashkaridan tulov plastik kartochkalarına uxshash mikroprotsessor urnatilgan miniatyur kuridmalar kurinishda ámelge asıradı. Ádetde giltler dep atalıwshı bunday kartalar klaviatu- raga hám úlken bulmagan displey túńligine iye.
Paydalanıwshılardı autentifikatsiyalash ushın bir retli parollardı kullashning kuyidagi usılları málim:
Birden-bir vakt sistemasına tiykarlanǵan vakt belgidari mexanizminen paydalanıw.
Legal paydalanıwshı hám tekseriwshi ushın ulıwma bulgan tosınarlı parollar ruyxatidan hám olardıń isenimli sinxronlash mexaniz- midan paydalanıw.
Paydalanıwshı hám tekseriwshi ushın ulıwma bulgan birdey dáslepki kiymatli psevdotasodifiy sanlar generatorınan paydalanıw.
Birinshi usıldı ámelge asırıw mısalı retinde SecurID autenti- katsiyalash texnologiyasın kursatish múmkin. Bul texnologiya Security Dynamics kompaniyası tárepinen islep chikilgan bulib, kator kompaniyalar - dıń, atap aytqanda Cisco Systems kompaniyasınıń serverlerinde ámelge asırid- gan.
vakt sinxronizatsiyasidan paydalanıp autentifikatsiyalash sxeması tosınarlı sanlardı vaktning málim aralıǵından sung generatsiyalash algo- ritmiga tiykarlanǵan. Autentifikatsiya sxeması kuyidagi eki parametrden paydalanadı :
xar bir paydalanıwshına atalǵan hám autentifikatsiya serverinde xamda paydalanıwshınıń apparat giltida saklanuvchi kem ushraytuǵın 64-bitli sandan ibarat jasırın gilt;
ámeldegi vakt kiymati.
Aralıqtaǵı paydalanıwshı tarmaqtan paydalanıwǵa urınganida odan jeke identifikaciya nomeri PINni kirgiziw usınıs etidadi. PIN turtta dawıslı rakamdan hám apparat gilti displeyinde akslanuvchi tosınarlı sannıń altı rakamidan ibarat. Server paydalanıwshı tárepinen kiri- tnlgan PIN-koddan paydalanıp maǵlıwmatlar bazasındaǵı paydalanıwshınıń jasırın gilti hám ámeldegi vakt kiymati tiykarında tosınarlı sannı genera- siyalash algoritmın atqaradı. Sungra server generatsiyalangan san menen paydalanıwshı kirgizgen sannı takkoslaydi. Eger bul sanlar uyqas kelse, server paydalanıwshına sistemadan paydalanıwǵa ruxsat beredi.
Autentifikatsiyanin bul sxemasınan paydalanıwda apparat gilt hám serverdiń kat'iy vaktiy sinxronlanishi talap etiledi. Sebebi apparat gilt bir neshe jıl islewi hám sonday eken server ishki saatı menen apparat ka- litining muvofikligi az-azdan aynıwı múmkin. Bul mashqalanı sheshiwde Security Dynamics kompaniyası kuyidagi eki usıldan paydalanadı :
apparat gilti islep chikilayotganida onıń taymer chastotası - dıń normasınan shetlesiwi anik ulchanadi. Shetlesiwdiń bul kiymati server algoritmı parametri retinde esapqa alınadı ;
server arnawlı bir apparat gilt generatsiyalagan kodlardı gúzetedi hám zárúriyat tugilganida bul giltga iykemlesedi.
Autentifikatsiyaning bul sxeması menen taǵı bir mashqala boglik. Apparat gilt generatsiyalagan tosınarlı san úlken bulmagan vakt oraligi dawamında xakikiy parol esaplanadi. Usınıń sebepinen, ulıwma, kiska mud- datli jaǵday júz bulishi múmkin, xaker PIN-kodtı ustap kolishi jáne onı tarmaqtan paydalanıwǵa isletiwi múmkin. Bul vakt sinxronizatsiya- siga tiykarlanǵan autentifikatsiya sxemasınıń eń hálsiz jayı esaplanadi.
Bir retli paroldan paydalanıwshı autentifikatsiyalashni ámelge asırıwshı taǵı bir variant - «surov-juwap» sxeması buyicha autentifikatsiyalash. Paydalanıwshı tarmaqtan paydalanıwǵa urınganida server oǵan tosınarlı san kurinishidagi surovni uzatadı. Paydalanıwshınıń apparat gilti bul tosınarlı sannı, mısalı DES algoritmı hám paydalanıwshınıń apparat gilti yadında hám serverdiń maǵlıwmatlar bazasında saklanuvchi jasırın gilti járdeminde rasshifrovka etedi. Tosınarlı san - surov shifrlanǵan kurinishda serverge kaytariladi. Server xam uz gezeginde usha DES algoritmı hám serverdiń maǵlıwmatlar bazasınan alınǵan payda - lanuvchining jasırın gilti járdeminde uzi generatsiyalagan tosınarlı sannı shifrlaydı. Sungra server shifrlaw nátiyjesin apparat giltidan kelgen san menen takkoslaydi. Bul sanlar uyqas kelgeninde paydalanıwshı tarmaqtan paydalanıwǵa ruxsat aladı. Atap ótiw kerekki, «surov-juwap» autentifikatsiyalash sxeması isletiwde vakt sinxronizatsiyasidan paydalanıwshı autentifikatsiya sxemasına karaganda quramalırok.
Paydalanıwshın autentifikatsiyalash ushın bir retli paroldan paydalanıwdıń ekinshi usılı paydalanıwshı hám tekseriwshi ushın ulıwma bulgan tosınarlı parollar ruyxatidan hám olardıń isenimli sinxronlash mexanizminen paydalanıwǵa tiykarlanǵan. Bir retli parollardıń bulinuvchi ruyxati jasırın parollar izbe-izligi yamasa tuplami bulib, xar bir parol fakat bir ret isletiledi. Bul ruyxat autentifikatsi- az waqıt almasinuv tárepler urtasida aldınan taksimlanishi shárt. Bul usıldıń bir variantına qaray surov-juwap kestesi isletiledi. Bul jad- valda autentifikatsilash ushın tárepler tárepinen isletiluvchi surovlar hám juwaplar ámeldegi bulib, xar bir jup fakat bir ret itttlatilittti shárt.
Paydalanıwshın autentifikatsiyalash ushın bir retli paroldan paydalanıwdıń úshinshi usılı paydalanıwshı hám tekseriwshi ushın ulıwma bulgan birdey dáslepki kiymatli psevdotasodifiy sanlar generatorınan paydalanıwǵa tiykarlanǵan. Bul usıldı ámelge asırıwdıń kuyidagi vari- antlari ámeldegi:
uzgartiriluvchi bir retli parollar izbe-izligi.
Gezek- dagi autentifikatsiyalash sessiyasında paydalanıwshı naǵız ózi sessiya ushın aldınǵı sessiya parolınan alınǵan jasırın giltda shifrlanǵan paroldı jaratadı hám uzatadı ;
bir tárepleme funksiyaǵa tiykarlanǵan parollar izbe-izligi.
Bul usıldıń moxiyatini bir tárepleme funksiyanıń ketma- ket isletiliwi (Lampartning ataqlı sxeması ) quraydı. Qawipsizlik nuktai názerinen bul usıl izbe-iz uzgartiriluvchi parollar usılına salıstırǵanda ábzal esaplanadi.
Keń tarkalgan bir retli paroldan paydalanıwǵa tiykarlanǵan autentifikatsiyalash protokollarınan biri Internet de standartlastırılgan S/Key (RFC1760 ) protokolı bolıp tabıladı. Bul protokol aralıqtaǵı paydalanıwshı - larning xakikiyligini tekseriwdi talap etiwshi kupgina sistemadarda, atap aytqanda, Cisco kompaniyasınıń TACACS+tizimnda ámelge asırılǵan.
|
| |
