Parollar asosida autentifikatsiyalash

Download 3,82 Mb. Pdf ko'rish
bet	27/76
Sana	18.11.2023
Hajmi	3,82 Mb.
	#101076

1 ... 23 24 25 26 27 28 29 30 ... 76

Bog'liq
risklarni baholash

6.1-rasm Paroldan foydalangan holda oddiy autentifikatsiyalash

Parollar asosida autentifikatsiyalash. Autentifikatsiyaning keng tarqalgan
sxemalaridan biri oddiy autentifikatsiyalash bo‘lib, u an‘anaviy ko‘p martali
parollarni
ishlatishga
asoslangan.
Tarmoqdagi
foydalanuvchini
oddiy
autentifikatsiyalash muolajasini quyidagicha tasavvur etish mumkin. Tarmoqdan
foydalanishga
uringan
foydalanuvchi
kompyuter
klaviaturasida
o‘zining
identifikatori va parolini teradi. Bu ma‘lumotlar autentifikatsiya serveriga ishlanish
uchun
tushadi.
Autentifikatsiya
serverida
saqlanayotgan
foydalanuvchi
identifikatori bo‘yicha ma‘lumotlar bazasidan mos yozuv topiladi, undan parolni
topib foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa,
autentifikatsiya muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal
(qonuniy) maqomini va avtorizasiya tizimi orqali uning maqomi uchun aniqlangan
huquqlarni va tarmoq resurslaridan foydalanishga ruxsatni oladi.
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 5.1.–rasmda
keltirilgan.
Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali
autentifikatsiyalash
varianti
xavfsizlikning
hatto
minimal
darajasini
kafolatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali
uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash e
k
va
rasshifrovka qilish D
k
vositalari kiritilgan.

42
6.1-rasm Paroldan foydalangan holda oddiy autentifikatsiyalash
Bu vositalar bo‘linuvchi maxfiy kalit K orqali boshqariladi.
Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol P
A

bilan autentifikatsiya serverida saqlanuvchi dastlabki qiymat P
A
ni taqqoslashga
asoslangan. Agar P
A
va R
1
A
qiymatlar mos kelsa, parol P
A
haqiqiy,
foydalanuvchi A esa qonuniy hisoblanadi.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni
qo‘llashning quyidagi usullari ma‘lum:
1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan
foydalanish.
2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy
parollar ro‘yxatidan va ularning ishonchli sinxronlash mexanizmidan
foydalanish.
3. Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil
dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi
usulni
amalga
oshirish
misoli
sifatida
SecurID
autentifikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya Security
Dynamics
kompaniyasi
tomonidan
ishlab
chiqilgan
bo‘lib,
qator
kompaniyalarning, xususan CiscoSystems kompaniyasining serverlarida amalga
oshirilgan.

43
Vaqt sinxronizasiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy
sonlarni vaqtning ma‘lum oralig‘idan so‘ng generasiyalash algoritmiga asoslangan.
Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:

Har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat
maxfiy kalit;

Joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan
shaxsiy identifikasiya nomeri PIN ni kiritish taklif etiladi. PIN to‘rtta o‘nli
raqamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita
raqamidan iborat. Server foydalanuvchi tomonidan kiritilgan PIN-koddan
foydalanib ma‘lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt
qiymati asosida tasodifiy sonni generasiyalash algoritmini bajaradi. So‘ngra server
generasiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu
sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va
serverning qat‘iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha
yil ishlashi va server ichki soati bilan apparat kalitining muvofiqligi asta-sekin
buzilishi mumkin.
UshbumuammonihaletishdaSecurityDynamicskompaniyasiquyidagiikkiusu
ldanfoydalanadi:

Apparat kaliti ishlab chiqilayotganida uning taymer chastotasining
me‘yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server
algoritmi parametri sifatida hisobga olinadi;

Server muayyan apparat kalit generasiyalagan kodlarni kuzatadi va
zaruriyat tug‘ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘liq. Apparat
kalit generasiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida
haqiqiy parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir
bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan

44
foydalanishga ishlatishi mumkin. Bu vaqt sinxronizasiyasiga asoslangan
autentifikatsiya sxemasining eng zaif joyi hisoblanadi.
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga
oshiruvchi
yana
bir
variant
– «so‘rov-javob» sxemasi bo‘yicha
autentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga uringanida server
unga tasodifiy son ko‘rinishidagi so‘rovni uzatadi. Foydalanuvchining apparat
kaliti bu tasodifiy sonni, masalan DES algoritmi va foydalanuvchining apparat
kaliti xotirasida va serverning ma‘lumotlar bazasida saqlanuvchi maxfiy kaliti
yordamida rasshifrovka qiladi. Tasodifiy son - so‘rov shifrlangan ko‘rinishda
serverga qaytariladi. Server ham o‘z navbatida o‘sha DES algoritmi va
serverning ma‘lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti
yordamida o‘zi generasiyalagan tasodifiy sonni shifrlaydi. So‘ngra server
shifrlash natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos
kelganida foydalanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta‘kidlash
lozimki,
«so‘rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt
sinxronizasiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda
murakkabroq.
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan
foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash
mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo‘linuvchi
ro‘yxati maxfiy parollar ketma-ketligi yoki to‘plami bo‘lib, har bir parol faqat
bir marta ishlatiladi. Ushbu ro‘yxat autentifikasion almashinuv taraflar o‘rtasida
oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘rov-javob
jadvali ishlatiladi. Bu jadvalda autentifikasilash uchun taraflar tomonidan
ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har bir juft faqat bir marta
ishlatilishi shart.
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan
foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan
foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari

45
mavjud:

O‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi
sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;

Bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu
usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi
(Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul
ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.
Keng
tarqalgan
bir
martali
paroldan
foydalanishga
asoslangan
autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key
(RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilarning
haqiqiyligini tekshirishni talab etuvchi ko‘pgina tizimlarda, xususan, Cisco
kompaniyasining TACACS+tizimida amalga oshirilgan.

Download 3,82 Mb.

1 ... 23 24 25 26 27 28 29 30 ... 76

Download 3,82 Mb.

Pdf ko'rish