|
O‘zbekiston respublikasiaxborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali
|
| bet | 56/109 | | Sana | 07.01.2024 | | Hajmi | 0,96 Mb. | | #131703 |
Bog'liq Ibragimov mustaqil ishiTopshiriq 3 Avtorizatsiya imkoniyatlari
Authorization (Avtorizatsiya)
Avtorizatsiya sizning shaxsingiz tizim tomonidan muvaffaqiyatli tasdiqlanganidan so'ng amalga oshiriladi. Shuning uchun sizga ma'lumot, fayllar, ma'lumotlar bazalari, fondlar va boshqa manbalarga to'liq kirish huquqini beradi. Ammo avtorizatsiya sizning kirish huquqingizni aniqlagandan keyingina manbalarga kirish huquqini tasdiqlaydi. Boshqacha qilib aytganda, avtorizatsiya - bu autentifikatsiya qilingan foydalanuvchining muayyan manbalardan foydalana olishini aniqlatuvchi jarayon hisoblanadi. Autentifikatsiya orqali xodimning identifikatori va parollarini tekshirilib, tasdiqlanganidan so'ng, keyingi qadam qaysi xodimning qaysi qavatga kirish huquqiga ega ekanligi va bu avtorizatsiya orqali nimalarni amalga oshirilishini aniqlash imkonini beradi.
Tizimga kirish autentifikatsiya va avtorizatsiya bilan himoyalangan va ular ko'pincha bir-biri bilan birgalikda ishlatiladi. Garchi ikkalasi ham bundan keyin turli xil tushunchalarga ega bo'lishsa-da, ular veb-servis infratuzilmasi uchun, ayniqsa tizimga kirish huquqi haqida gap ketganda juda muhimdir. Har bir atamani tushunish juda muhim va xavfsizlikning muhim jihati hisoblanadi. Avtorizatsiya - identifikatsiya, autentifikatsiya jarayonlaridan o‗tgan foydalanuvchi uchun tizimda bajarishi mumkin bo‗lgan amallarga ruxsat berish jarayonidir. Xavfsizlik soxasida terminlar standartlashtirilgan ma‘nolaridan ayri qo‗llaniladi. Xususan, ruxsatlarni nazoratlash ko‗p xollarda avtorizatsiyaga sinonim sifatida ishlatiladi. Birok, mazkur kursda ruxsatlarni nazoratlash kengroq qaraladi. Ya‘ni, avtorizatsiya va autentifikatsiya jarayonlari ruxsatlarni nazoratlashning qismlari sifatida qaraladi. Yuqorida keltirilgan atamalarga berilgan ta‘riflarni umumlashtirgan xolda quyidagicha xulosa qilish mumkin: Identifikatsiya - siz kimsiz? Autentifikatsiya - siz xakikatdan ham sizmisiz? Avtorizatsiya - sizga buni bajarishga ruxsat bormi? Autentifikatsiya Autentifikatsiyada yoki identifikatsiya jarayonlarida subyektlar inson ko‗rinishida yoki qurilma (kompyuter) ko‗rinishida bo‗lishi mumkin. Ya‘ni, inson insonni autentifikatsiyadan o‗tkazishi mumkin, mashina insonni autentifikatsiyadan o‗tkazishi mumkin yoki mashina mashinani autentifikatsiyadan o‗tkazishi mumkin. Mazkur ma‘ruzada mashina insonni yoki mashina mashinani autentifikatsiyadan o‗tkazish ssenariylariga asosiy e‘tibor qaraladi. Mashina insonni quyidagi ―narsalar‖ asosida autentifikatsiyadan o‗tkazishi mumkin: 80 - siz bilgan biror narsa (something you know); - sizda mavjud biror narsa (something you have); - sizning biror narsangiz (something you are). ―Siz bilgan biror narsa‖ xolatiga parol misol bo‗la oladi. ―Sizda mavjud biror narsa‖ xolatiga esa smartkartalar, token, mashinaning pulti yoki kaliti misol bo‗la oladi. ―Sizning biror narsangiz‖ xolati odatda biometrik parametrlarga sinonim sifatida qaraladi. Masalan, xozirda siz noutbuk sotib olib, undagi barmoq izi skaneri orqali autentifikatsiyadan o‗tishingiz mumkin. Parol - faqat foydalanuvchiga ma‘lum va biror tizimda autentifikatsiya jarayonidan o‗tishni ta‘minlovchi biror axborot. Parol amalda autentifikatsiya jarayonida keng qo‗llaniluvchi parametr hisoblanadi. Masalan, biz o‗z shaxsiy kompyuterlarimizdan foydalanish xukukini olish uchun talab etilgan parolni kiritishimiz talab etiladi. Mazkur xolatni mobil telefonlar uchun ham ishlatish mumkin. Parolga asoslangan xolatdagi autentifikatsiyalash jarayonining umumiy ko‗rinishi 3.1-rasmda keltirilgan. 3.1-rasm. Parolga asoslangan mashina-insonni autentifikatsiyalash jarayoni Parolga asoslangan autentifikatsiyalash quyidagi xususiyatlarga ega: - parolga asoslangan autentifikatsiyani amalga oshirish qo‗lay (sarf xarajati kam, almashtirish oson); - foydalanuvchi paroli odatda unga alokador ma‘lumot bo‗ladi (masalan, uning yaxshi ko‗rgan futbol komandasi, telefon rakami va xak.) (123456, 12345, dm>yeg(u) va shuning uchun "hujumchilar‖ tomonidan aniklanishi oson; - murakkab parollarni esda saklash murakkab (masalan, }De}(43}YettЬ+u); - parolga asoslangan autentifikatsiya usuli amalda keng qo‗llaniluvchi usul. Smartkarta yoki token 81 Smartkartalar yoki qurilma ko‗rinishidagi tokenlar aut entifikatsiyalash uchun qo‗llaniladi. Smartkarta - kredit karta o‗lchamidagi qurilma bo‗lib, kichik xajmdagi xotira va hisoblash imkoniyatiga ega. Smartkarta odatda o‗zida biror maxfiy kattalikni, kalit yoki parolni, sakdaydi va xattoki biror hisoblashni amalga oshiradi. 3.2-rasmda maxsus maqsadli smartkarta va uni o‗quvchi qurilma (smartkarta o‗quvchi kurilma) aks ettirilgan. 3.2-rasm. Smartkarta va smartkarta o‗quvchi Biror narsa asosida autentifikatsiyalash usullarini turli ko‗rinishlarda amalga oshirish mumkin. Masalan, parollar generatorini misol qilib olaylik. Parollar generatori kichik qurilma bo‗lib, tizimda kirishda qo‗llaniladi. Faraz qilaylik Alisada parol generatori mavjud va undan foydalanib Bobdan autentifikatsiyadan o‗tmokchi. Buning uchun Bob biror tasodifiy son K ni (―savolni‖) Alisaga yuboradi. Alisa qabul qilingan K sonini va parol generatoridan foydalanish uchun talab qilingan PIN ni parol generatoriga kiritadi. Parol generatori esa Alisaga javobni taqdim etadi va u Bobga uzatiladi. Agar javob to‗g‗ri bo‗lsa, Alisa autentifikatsiyadan o‗tadi, aks xolda o‗ta olmaydi. Mazkur senariyning umumiy ko‗rinishi 3.3-rasmda keltirilgan. 3.3-rasm. Tokenga asoslangan autentifikatsiya jarayoni Keltirilgan sxemaga ko‗ra, Bob va parol generatorida taqsimlangan kalit K bo‗lishi shart. Ushbu sxemada ―savol-javob‖ mexanizmi ishlatilgan. Ya‘ni, savol sifatida Alisaga R sonini uzatadi va unga mos bo‗lgan javob - h(R, K) ni qabul qiladi. Qabul qilgan ma‘lumotni tekshirish orqali Bob Alisani xaqiqiyligini tekshiradi. Smartakarta yoki ―sizda mavjud biror narsa‖ asosida autentifikatsiya usullari quyidagi xususiyatlarga ega: - smartkartaga asoslangan autentifikatsiyada biror narasani esda sakdashni talab etilmaydi; - amalga oshirish va qurilma narxi yuqori (xususan, token yo‗qolgan takdirda uni almashtirish qimmatga tushadi); - token yoki smartkartani yo‗qotib ko‗yish muammosi mavjud; - token xavfsiz olib yurilsa yuqori xavfsizlik darajasini ta‘min laydi. Biometrik parametrlarga asoslangan autentifikatsiya Biometrik parametrga asoslangan autentifikatsiya usulida biometrik parametr insonning uzi uchun kalit sifatida xizmat qiladi. Juda ham ko‗plab biometrik parametrlar mavjud, masalan, barmoq izi, yuz tasviri, ko‗z qorachigi, ovoz, xarakat tarzi, qulok shakli, qo‗l shakli va xak. Biometrik parametrlarga asoslangan autentifikatsiya usuli amalda keng qo‗llaniladi. Masalan, ko‗p qavatli uylarni kirish eshiklarida yoki tashkilotlarga kirishda barmoq iziga asoslangan autentifikatsiya usuli, noutbuklarda va mobil telefonlarda yuz tasviriga asoslangan yoki barmoq iziga asoslangan autentifikatsiyadan keng qo‗llaniladi (3.4-rasm). Barmoq izi Yuz tasviri Kuz korachigi Ovoz 3.4-rasm. Biometrik na‟munalarga misollar Axborot xavfsizligi soxasida biometrik parametrlar parollarga karaganda yuqori xavfsizlikni ta‘minlovchi alternativ sifatida qaraladi. Biometrik parametrlarga asoslangan autentifikatsiya usuli quyidagi xususiyatlarga ega: - biometrik parametrga asoslangan usul o‗zida esda sakdash va birga olib yurish zaruriyatini talab etmaydi; - biometrik parametrga asoslangan autentifikatsiyani amalga oshirish parolga 83 asoslangan usuldan qimmat va tokenga asoslangan usuldan arzon hisoblanadi (ba‘zi, istisno xolatlar mavjud); - biometrik parmetrni almashtirish imkoniyati mavjud emas, Ya‘ni, agar biometrik parametr qalbakilashtirilsa, U xolda autentifikatsiya tizimi shu foydalanuvchi uchun to‗liq buzilgan hisoblanadi; - turli biometrik parametrlarga asoslangan autentifikatsiya usullari insonlar tomonidan turli darajada qabul qilinadi. Autentifikatsiya soxasida foydalanish uchun ideal biometrik parametr quyidagilarni qanoatlantirishi shart: - universal bo‗lishi - biometrik parametr barcha foydalanuvchilarda bo‗lishi shart; - farqli bo‗lish - tanlangan biometrik parametr barcha insonlar uchun farq qilishi shart; - o‗zglik - tanlangan biometrik parametr vaqt o‗tishi bilan o‗zgarmayarmas qolishi shart; - to‗planuvchanlik - fizik xususiyat osonlik bilan to‗planuvchi bo‗lishi shart. Amalda fizik xususiyatni to‗planuvchanligi, insonning jarayonga e‘tibor berishiga ham bog‗lik bo‗ladi. Biometrik parametr nafaqat autentifikatsiya masalasini yechishda balki, identifikatsiyalashda ham keng qo‗llaniladi. Ya‘ni, ―Siz kimsiz?‖ degan savolga javob bera oladi. Masalan, BI da jinoyatchilarga tegishli barmoq izlari bazalari mavjud. Ushbu bazada barmoq izlari (barmoq izi tasviri, foydalanuvchi nomi)shaklida sakdanadi va bu orqali biror insonni jinoyatchilar ro‗yxatida bor yo‗qligini tekshira oladi. Buning uchun, tekshiriluvchi insondan barmoq izi tasviri olinadi va u RV1 bazasida mavjud bo‗lsa, u xolda tekshiriluvchi insonning nomi barmoq izi tasviriga mosfoydalanuvchi nomi bilan bir xil bo‗ladi. Bir tomonlama va ikki tomonlama autentifikatsiya Agar tomonlardan biri ikkinchisini autentifikatsiyadan o‗tkazsa, bir tomonlama autentifikatsiya deb ataladi. Agar xar ikkala tomon bir-birini autentifikatsiyadan o‗tkazsa, u xolda ikki tomonlama autentifikatsiya deb ataladi. Masalan, elektron pochtadan foydalanish davomida faqat server foydalanuvchini xaqiqiyligini tekshiradi (parol orqali) va shu sababli uni bir tomonlama autentifikatsiyalash deb atash mumkin. Elektron to‗lovlarni amalga oshirishda esa ham server foydalanuvchini autentifikatsiyadan o‗tkazadi ham foydalanuvchi serverni autentifikatsiyadan o‗tkazadi. Shuning uchun mazkur xolatni ikki tomonlama autentifikatsiyalash deb aytish mumkin. Ko„p faktorli autentifikatsiya 84 Yuqorida keltirilgan barcha autentifikatsiya ssenariylarida faqat bitta omil uchun xaqiqiylikni tekshirish amalga oshirildi. Masalan, pochtada kirishda faqat parolni bilsangiz siz autentifikatsiyadan o‗ta olasiz yoki kirishda barmoq izini to‗g‗ri kiritsangiz, eshik ochiladi. Ya‘ni, server faqat foydalanuvchidan parolni yoki barmoq izini to‗g‗ri bo‗lishini istayapti. Mazkur ko‗rinishdagi autentifikatsiya - bir faktorli autentifikatsiya deb ataladi. Bir faktorli autentifikatsiyada tekshirish faqat bitta faktor bo‗yicha (masalan, parol) amalga oshiriladi. Birok, bir faktorli autentifikatsiyalashni amalda joriy qilish natijasida yuqori xavfsizlikni ta‘minlash mumkin emas. Masalan, ovozga asoslangan autentifikatsiya tizimini olaylik. Agar hujumchi foydalanuvchini ovozini diktafonga yozib olib, uni autentifikatsiyadash o‗tish jarayonida taqdim etsa, osonlik bilan autentifikatsiya tizimini aldab o‗tishi mumkin. Sababi, faqat bitta faktor (ovoz) bo‗yicha tekshirish amalga oshirilmokda. Shunga o‗xshash xolatni parolga asoslangan yoki tokenga asoslangan autentifikatsiya jarayonida xam kuzatish mumkin. Mazkur muammoni bartaraf etish uchun, birinchi faktorga ko‗shimcha qilib, yana boshka faktorlardan foydalanish mumkin. Masalan, ovozga asoslangan autentifikatsiyalashda ko‗shimcha qilib paroldan foydalanish mumkin. Ya‘ni, foydalanuvchi dastlab tizimga o‗z ovozi orqali autentifikatsiyadan o‗tadi va udan so‗ng parol bo‗yicha autentifikatsiyadan o‗tkaziladi. Xar ikkala bosqichda ham autentifikatsiyadan muvaffaqiyatli o‗tilganda, foydalanuvchi tizimdan foydalanish imkoniyatiga ega bo‗ladi. Ko‗p faktorli autentifikatsiyalashdan foydalanishda xayotimizda xam ko‗plab misollar keltirish mumkin. Masalan, plastik kartadan to‗lovni amalga oshirishda. Plastik kartadan to‗lovni amalga oshirishdagi autentifikatsiya jarayoni o‗zida ―sizda mavjud biror narsa‖ va ―siz bilgan biror narsa‖ usullarini birlashtirgan. Ya‘ni, dastlab foydalanuvchida plastik kartani o‗zini bor bo‗lishini talab etadi va ikkinchidan uni PIN kodini bilishni talab etadi. Shu sababli, ushbu usulni ko‗p faktorli autentifikatsiyalash deb aytish mumkin. Ko‗p faktorli autentifikatsiya usuli faktorlardan bittasi qalbakilashtirilgan takdirda xam autentifikatsiya jarayonini buzilmasligiga olib keladi. Autentifikatsiya usullariga qaratilgan hujumlar Mavjud autentifikatsiya usullarini buzishda ko‗plab hujum usullaridan foydalaniladi. Ushbu hujum usullarini autentifikatsiya usullariga mosravishda quyidagicha tavsiflash mumkin: 1. Siz bilgan biror narsa. Autentifikatsiyalashning mazkur usulini buzish uchun quyidagi hujum usullaridan foydalaniladi: a. Parollar lug‗atidan foydalanishga asoslangan hujum. Bunga ko‗ra statistika bo‗yicha eng ko‗p qo‗llaniluvchi parollar yordamida autentifikatsiyadan o‗tishga xarakat qilinadi. 85 b. Parollarni barcha variantlarini ko‗rib chikish. Ushbu usulda parolning bo‗lishi mumkin bo‗lgan barcha variantlari generatsiya qilinadi va ular tekshirib ko‗riladi. s. ―Elka orqali karash‖ hujumi. Ushbu hujum foydalanuvchi parolni kiritish jarayonida yonida turib qarab turish orqali bilib olishni maqsad qiladi. d. Zararli dasturlar asosida hujum. Shunday maxsus dasturiy vositalar mavjudki ular foydalanuvchi kompyuterida o‗rnatilib, klaviatura orqali kiritilgan barcha ma‘lumotlarni serveriga uzatadi. 2. Sizda mavjud biror narsa. Autentifikatsiyaning mazkur usulini buzish uchun quyidagi hujum usullaridan foydalaniladi: a. Fizik o‗g‗irlash. Hujumning mazkur turi tokenni yoki smart kartani o‗g‗irlashni maqsad qiladi. Mazkur hujum bu toifdagi autentifikatsiya uchun eng xavfli hujum hisoblanadi. b. Dasturiy ko‗rinishdagi tokenlarning zararli dasturlarga bardoshsizligi. Ba‘zi tokenlar dasturiy ko‗rinishda bo‗lib, mobil qurilmalarda ishlaydi va shu sababli zararli dastur tomonidan boshqarilishi mumkin. 3. Sizning biror narsangiz. Autentifikatsiyaning mazkur usulini buzish uchun quyidagi hujum usullaridan foydalaniladi: a. Qalbakilashtirish. Hujumning mazkur turi biometrik parametrni qalbakilashtirishni maqsad qiladi. Masalan, yuzlari o‗xshash bo‗lgan Xasan o‗rniga Xusan autentifikatsiyadan o‗tishi yoki sifati yuqori bo‗lgan foydalanuvchi yuz tasviri mavjud rasm bilan tizimni aldashni misol qilish mumkin. b. Ma‘lumotlar bazasidagi biometrik parametrlarni almashtirish. Ushbu hujum bevosita foydalanuvchilarni biometrik parametrlari (masalan, barmoq izi tasviri, yuz tasviri va xak) sakdangan bazaga qarshi amalga oshiriladi. Ya‘ni, tanlangan foydalanuvchini biometrik parametrlari hujumchini biometrik parametrlari bilan almashtiriladi. Autentifikatsiya usullariga qaratilgan hujumlarii oldini olish uchun xar bitta usulda o‗ziga xos qarshi choralari mavjud. Umumiy xolda mazkur hujumlarni oldini olish uchun quyidagi ximoya usullari va xavfsizlik choralari tavsiya etiladi: 1. Murakkab parollardan foydalanish. Aynan ushbu usul parolni barcha variantlarini tekshirib ko‗rish va lug‗atga asoslangan hujumlarni oldini olishga katta yordam beradi. 2. Ko‗p faktorli autentifikatsiyadan foydalanish. Mazkur usul yukorida keltirilgan barcha muammolarni bartaraf etishda katta amaliy yordam beradi. 3. Tokenlarni xavfsiz saqlash. Ushbu tavsiya biror narsaga egalik qilishga asoslangan autentifikatsiya usulidagi mavjud muammolarni oldini olish uchun samarali hisoblanadi. 4. Tiriklikka tekshirishdan foydalanish. Ushbu usul biometrik parametrlarga asoslangan autentifikatsiyalash usullarida tasvir orqali aldab o‗tish hujumini oldini olish uchun samarali hisoblanadi.
|
|
Bosh sahifa
Aloqalar
Bosh sahifa
O‘zbekiston respublikasiaxborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali
|
