21-MAVZU: FOYDALANUVCHI IDENTIFIKATSIYASI VA
AUTENTIFIKATSIYASI
Reja:
1.
Asosiy tushunchalar va turkumlanishi
2.
Parollar asosida autentifikatsiyalash
3.
Foydalanuvchilarni
biometrik
identifikatsiyalash
va
autentifikatsiyalash
Tayanch iboralar:
Identifikatsiya,
autentifikatsiya,
ma’murlash,
avtorizatsiya, maskarad, takroriy, majburiy kechikish.
1 Asosiy tushunchalar va turkumlanishi
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori
(nomi)
bo’yicha aniqlash jarayoni. Bu foydalanuvchitarmoqdan
foydalanishga
uringanida
birinchi
galda bajariladigan
funksiyadir.
Foydalanuvchi
tizimga uning so‘rovi bo’yicha o‘zining identifikatorini
bildiradi, tizim esa o‘zining ma’lumotlar bazasida uning borligini tekshiradi.
Autentifikatsiya (Authentication) – ma’lum qilingan foydalanuvchi,
jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish
foydalanuvchi (jarayon yoki qurilma) haqiqatdan aynan o‘zi ekanligigaishonch
xosil qilishiga imkon beradi. Autentifikatsiya o‘tkazishda tekshiruvchi taraf
tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda
tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi. Odatda
foydalanuvchi tizimga o‘z xususidagi noyob, boshqalarga ma’lum bo‘lmagan
axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani
tasdiqlaydi.
Identifikatsiya va autentifikatsiya sub’ektlarning (foydalanuvchi-larning)
haqiqiy ekanligini aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir.
Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga
tizimning ruxsati aynan shularga bog‘liq. Sub’ektni identifikatsiyalash va
autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi.
Avtorizatsiya (Authorization) – subektga tizimda ma’lum vakolat va
resurslarni berish muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u
foydalanadigan resurslarni belgilaydi. Agar tizim avtorizatsiyalangan shaxsni
avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa bu tizimda axborotning
konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya
muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy
bog‘langan.
Ma’murlash (Accounting) – foydalanuvchining tarmoqdagi harakatini, shu
jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot
axboroti xavfsizlik nuqtai nazaridan tarmoqdagi xavfsizlik xodisalarini oshkor
qilish, taxlillash va ularga mos reaksiya ko‘rsatish uchun juda muhimdir.
Ma’lumotlarni uzatish kanallarini himoyalashda sub’ektlarning o‘zaro
autentifikatsiyasi, ya’ni aloqa kanallari orqali bog‘lanadigan sub’ektlar
xaqiqiyligining o‘zaro tasdig‘i bajarilishi shart.Xaqiqiylikning tasdig‘i odatda
seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga oshiriladi.
“Ulash” atamasi orqali tarmoqning ikkita sub’ekti o‘rtasida mantiqiy bog‘lanish
tushuniladi. Ushbu muolajaning maqsadi – ulash qonuniy sub’ektbilan amalga
oshirilganligiga va barcha axborot mo‘ljallangan manzilgaborishligiga ishonchni
ta’minlashdir.
O‘zining xaqiqiyligining tasdiqlash uchun sub’ekt tizimga turli asoslarni
ko‘rsatishi mumkin. Sub’ekt ko‘rsatadigan asoslarga bog‘liq holda
autentifikatsiya jarayonlari quyidagi kategoriyalarga bo‘linishi mumkin:
- biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya
kodi PIN (Personal Identification Number) hamda “so‘rov javob” xilidagi
protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko‘rsatish mumkin;
- biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart-
kartalar, sertifikatlar va touch memory qurilmalari;
- qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o‘z
tarkibiga foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko‘zining
rangdor pardasi va to‘r pardasi, barmoq izlari, kaft geometriyasi va x.) asoslangan
usullarni oladi. Bu kategoriyada kriptografik usullar va vositalar ishlatilmaydi.
Beometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni
nazoratlashda ishlatiladi.
Parol – foydalanuvchi hamda uning axborot almashinuvidagi sherigi
biladigan narsa. O‘zaro autentifikatsiya uchun foydalanuvchi va uning sherigi
o‘rtasida parol almashinishi mumkin. Plastik karta va smart-karta egasini
autentifikatsiyasida shaxsiy identifikatsiya nomeri PIN sinalgan usul hisoblanadi.
PIN – kodning mahfiy qiymati faqat karta egasiga ma’lum bo‘lishi shart.
Dinamik – (bir martalik) parol - bir marta ishlatilganidan so‘ng boshqa
umuman ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch
iboroga asoslanuvchi muntazam o‘zgarib turuvchi qiymat ishlatiladi. “So‘rov-
javob” tizimi - taraflarning biri noyob va oldindan bilib bo‘lmaydigan“so‘rov”
qiymatini ikkinchi tarafga jo‘natish orqali autentifikatsiyani boshlab beradi,
ikkinchi taraf esa so‘rov va sir yordamida hisoblangan javobni jo‘natadi. Ikkala
tarafga bitta sir ma’lum bo‘lgani sababli, birinchi taraf ikkinchi taraf javobini
to’g’riligini tekshirishi mumkin.
Sertifikatlar va raqamli imzolar - agar autentifikatsiya uchun sertifikatlar
ishlatilsa, bu sertifikatlarda raqamli imzoning ishlatilishi talab etiladi. Sertifikatlar
foydalanuvchi tashkilotining mas’ul shaxsi, sertifikatlar serveri yoki tashqi
ishonchli tashkilot tomonidan beriladi. Internet doirasida ochiq kalit
sertifikatlarini tarqatish uchun ochiq kalitlarni boshqaruvchi qator tijorat
infrastrukturalari PKI (Public Key Infrastrusture) paydo bo‘ldi.Foydalanuvchilar
turli daraja sertifikatlarini olishlari mumkin.
Autentifikatsiya jaryonlarini ta’minlanuvchi xavfsizlik darajasi bo’yicha
ham turkumlash mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari
quyidagi turlarga bo‘linadi:
- parollar va raqamli sertifikatlardan foydalanuvchi autentifi-katsiya;
- kriptografik usullar va vositalar asosidagi qatiy autentifi-katsiya;
- nullik bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifi-katsiya
jarayoni (protokollari);
- foydalanuvchilarni biometrik autentifikatsiyasi.
Xavfsizlik nuqtai nazaridan yuqorida keltirilganlarning har biri o‘ziga xos
masalalarni yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va
protokollari amalda faol ishlatiladi. Shu bilan bir qatorda ta’kidlash lozimki,nullik
bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifikatsiyaga qiziqish amaliy
xarakterga nisbatan ko‘proq nazariy xarakterga ega.
Balkim, yaqin kelajakda ulardan axborot almashinuvini himoyalashda faol
foydalanishlari mumkin.
Autentifikatsiya protokollariga bo’ladigan asosiy xujumlar quyidagilar:
- maskarad (impersonation). Foydalanuvchi o‘zini boshqa shaxs deb
ko‘rsatishga urinib, u shaxs tarafidan xarakatlarning imkoniyatlariga va
imtiyozlariga ega bo‘lishni mo‘ljallaydi;
- autentifikatsiya almashinuvi tarafini almashtirib qo‘yish (interleaving
attack). Niyati buzuq odam ushbu xujum mobaynida ikki taraf orasidagi
autenfikatsion almashinish jarayonida trafikni modifikatsiya-lash niyatida
qatnashadi. Almashtirib qo‘yishning quyidagi xili mavjud: ikkita foydalanuvchi
o‘rtasidagi autentifikatsiya muvaffaqiyatli o‘tib, ulanish o‘rnatilganidan so‘ng
buzg‘unchi foydalanuvchilardan birini chiqarib tashlab,uning nomidan ishni
davom ettiradi;
- takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan
autentifikatsiya ma’lumotlari takroran uzatiladi;
- uzatishni qaytarish (reflection attak). Oldingi xujum variantlaridan biri
bo‘lib, xujum mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida
ushlab qolingan axborotni orqaga qaytaradi.
- majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir
ma’lumotni ushlab qolib, biror vaqtdan so‘ng uzatadi.
- matn tanlashli xujum ( chosen text attack). Niyati buzuq
odamautentifikatsiya trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar
xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya
protokollarini qurishda quyidagi usullardan foydalaniladi:
- “so‘rov–javob”, vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli
imzolar kabi mexanizmlardan foydalanish;
- autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi
xarakatlariga bog‘lash. Bunday misol yondashishga tariqasida autentifikatsiya
jarayonida foydalanuvchilarning keyinga o‘zaro aloqalarida ishlatiluvchi maxfiy
seans kalitlarini almashishni ko‘rsatish mumkin;
- aloqaning o‘rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti-
vaqti bilan bajarib turish va h.
“So‘rov-javob” mexanizmi quyidagicha. Agar foydalanuvchi A
foydalanuvchiV dan oladigan xabari yolg‘on emasligiga ishonch xosil qilishni
istasa, u foydalanuvchi V uchun yuboradigan xabarga oldindan bilib
bo‘lmaydigan element – X so‘rovini (masalan, qandaydir tasodifiy sonni)
qo‘shadi. Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni
(masalan, qandaydir f(X) funksiyani hisoblash) bajarishi lozim. Buni oldindan
bajarib bo‘lmaydi, chunki so‘rovda qanday tasodifiy son X kelishi foydalanuvchi
V ga ma’lum emas. Foydalanuvchi V harakati natijasini olgan foydalanuvchi A
foydalanuvchi V ning xaqiqiy ekanligiga ishonch xosil qilishi mumkin. Ushbu
usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash
mumkinligi.
2.
Parollar asosida autentifikatsiyalash
Autentifikatsiyaning
keng
tarqalgan
sxemalaridan
biri
oddiy
autentifikatsiyalash bo‘lib, u an’anaviy ko‘p martali parollarni ishlatishiga
asoslangan.
Tarmoqdagi
foydalanuvchini oddiy
autentifikatsiyalash
muolajasini quyidagicha tasavvur etish mumkin. Tarmoqdan foydalanishga
uringan foydalanuvchi kompyuter klaviaturasida o‘zining identifikatori va
parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun tushadi.
Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori bo’yicha
ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib foydalanuvchi
kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya
muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va
avtorizatsiya tizimi orqali uning maqomi uchun aniqlangan xuquqlarni va tarmoq
resurslaridan foydalanishga ruxsatni oladi.
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 1– rasmda
keltirilgan.
Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali
autentifikatsiyalash
varianti
xavfsizlikning
xatto
minimal
darajasini
kafolatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali
uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Ye
k
va
rasshifrovka qilish D
k
vositalari kiritilgan.
Foydalanuvchi
Audentifikatsi
ya serveri
Parol xaqiqiy
Paroldan foydalangan holda oddiy autentifikatsiyalash
Bu vositalar bo‘linuvchi maxfiy kalit K orqali boshqariladi.
Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol P
A
bilan autentifikatsiya serverida saqlanuvchi dastlabki qiymat
|
