III-bosqich.
Yakuniy
bosqich.
(10 daqiqa)
Mashg’ulot yakuni:
1.Faol
ishtirok
etgan
o’quvchilrni
javoblarini
izohlab
baholanadi
va
rag’batlantiriladi.
Uyga vazifa berilishi:
2.Kelgusi mashg’ulotga tayyorgarlik
ko’rish uchun topshiriqlar va
foydalaniladigan adabiyotlar ro’yxati
beriladi.
Baholar bilan
tanishtiriladi.
Eshitadilar va
topshiriqni yozib
oladilar.
22-mavzu: Autentifikatsiya, avtorizatsiya, foydalanuvchi identifikatsiyasi va tarmoq
resurslari.
Reja:
1.Asosiy tushunchalar va turkumlanishi
2.Parollar asosida autentifikatsiyalash
3.Foydalanuvchilarni biometrik identifikatsiyalash va autentifikatsiyalash
Tayanch iboralar: Identifikatsiya, autentifikatsiya, ma’murlash, avtorizatsiya,
maskarad, takroriy, majburiy kechikish.
Asosiy tushunchalar va turkumlanishi
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori (nomi) bo‘yicha
aniqlash jarayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda
bajariladigan funksiyadir. Foydalanuvchi tizimga uning so‘rovi bo‘yicha o‘zining
identifikatorini bildiradi, tizim esa o‘zining ma’lumotlar bazasida uning borligini
tekshiradi.
Autentifikatsiya (Authentication) – ma’lum qilingan foydalanuvchi, jarayon yoki
qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi
(jarayon yoki qurilma) haqiqatdan aynan o‘zi ekanligiga ishonch xosil qilishiga imkon
beradi. Autentifikatsiya o‘tkazishda tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy
ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot
almashinuv jarayonida faol qatnashadi. Odatda foydalanuvchi tizimga o‘z xususidagi
noyob, boshqalarga ma’lum bo‘lmagan axborotni (masalan, parol yoki sertifikat) kiritishi
orqali identifikatsiyani tasdiqlaydi.
Identifikatsiya va autentifikatsiya sub’ektlarning (foydalanuvchi-larning) haqiqiy
ekanligini aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir. Muayyan
foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga tizimning ruxsati
aynan shularga bog‘liq. Sub’ektni identifikatsiyalash va autentifikatsiyalashdan so‘ng uni
avtorizatsiyalash boshlanadi.
Avtorizatsiya (Authorization) – subektga tizimda ma’lum vakolat va resurslarni berish
muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u foydalanadigan resurslarni
belgilaydi. Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan
ishonchli ajrata olmasa bu tizimda axborotning konfidensialligi va yaxlitligi buzilishi
mumkin. Autentifikatsiya va avtorizatsiya muolajalari bilan foydalanuvchi harakatini
ma’murlash muolajasi uzviy bog‘langan.
Ma’murlash (Accounting) – foydalanuvchining tarmoqdagi harakatini, shu jumladan,
uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik
nuqtai nazaridan tarmoqdagi xavfsizlik xodisalarini oshkor qilish, taxlillash va ularga
mos reaksiya ko‘rsatish uchun juda muhimdir.
Ma’lumotlarni uzatish kanallarini himoyalashda sub’ektlarning o‘zaro autentifikatsiyasi,
ya’ni aloqa kanallari orqali bog‘lanadigan sub’ektlar xaqiqiyligining o‘zaro tasdig‘i
bajarilishi shart. Xaqiqiylikning tasdig‘i odatda seans boshida, abonentlarning bir-biriga
ulanish jarayonida amalga oshiriladi. “Ulash” atamasi orqali tarmoqning ikkita sub’ekti
o‘rtasida mantiqiy bog‘lanish tushuniladi. Ushbu muolajaning maqsadi – ulash qonuniy
sub’ekt bilan amalga oshirilganligiga va barcha axborot mo‘ljallangan manzilga
borishligiga ishonchni ta’minlashdir.
O‘zining xaqiqiyligining tasdiqlash uchun sub’ekt tizimga turli asoslarni ko‘rsatishi
mumkin. Sub’ekt ko‘rsatadigan asoslarga bog‘liq holda autentifikatsiya jarayonlari
quyidagi kategoriyalarga bo‘linishi mumkin:
-
biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN
(Personal
Identification Number) hamda “so‘rov javob” xilidagi protokollarda namoyish etiluvchi
maxfiy va ochiq kalitlarni ko‘rsatish mumkin;
-
biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart- kartalar, sertifikatlar
va touch memory qurilmalari;
-
qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o‘z tarkibiga
foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko‘zining rangdor pardasi va
to‘r pardasi, barmoq izlari, kaft geometriyasi va x.) asoslangan usullarni oladi. Bu
kategoriyada kriptografik usullar va vositalar ishlatilmaydi. Beometrik xarakteristikalar
binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi.
Parol – foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa.
O‘zaro autentifikatsiya uchun foydalanuvchi va uning sherigi o‘rtasida parol almashinishi
mumkin. Plastik karta va smart-karta egasini autentifikatsiyasida shaxsiy identifikatsiya
nomeri PIN sinalgan usul hisoblanadi. PIN – kodning mahfiy qiymati faqat karta egasiga
ma’lum bo‘lishi shart.
Dinamik – (bir martalik) parol - bir marta ishlatilganidan so‘ng boshqa umuman
ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga
asoslanuvchi muntazam o‘zgarib turuvchi qiymat ishlatiladi.
“So‘rov-javob” tizimi - taraflarning biri noyob va oldindan bilib bo‘lmaydigan “so‘rov”
qiymatini ikkinchi tarafga jo‘natish orqali autentifikatsiyani boshlab beradi, ikkinchi taraf
esa so‘rov va sir yordamida hisoblangan javobni jo‘natadi. Ikkala tarafga bitta sir ma’lum
bo‘lgani sababli, birinchi taraf ikkinchi taraf javobini to‘g‘riligini tekshirishi mumkin.
Sertifikatlar va raqamli imzolar - agar autentifikatsiya uchun sertifikatlar ishlatilsa, bu
sertifikatlarda raqamli imzoning ishlatilishi talab etiladi. Sertifikatlar foydalanuvchi
tashkilotining mas’ul shaxsi, sertifikatlar serveri yoki tashqi ishonchli tashkilot
tomonidan beriladi. Internet doirasida ochiq kalit sertifikatlarini tarqatish uchun ochiq
kalitlarni boshqaruvchi qator tijorat infrastrukturalari PKI (Public Key Infrastrusture)
paydo bo‘ldi. Foydalanuvchilar turli daraja sertifikatlarini olishlari mumkin.
Autentifikatsiya jaryonlarini ta’minlanuvchi xavfsizlik darajasi bo‘yicha ham turkumlash
mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari quyidagi turlarga
bo‘linadi:
-
parollar va raqamli sertifikatlardan foydalanuvchi autentifi-katsiya;
-
kriptografik usullar va vositalar asosidagi qatiy autentifi-katsiya;
-
nullik bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifi-katsiya jarayonlari
(protokollari);
-
foydalanuvchilarni biometrik autentifikatsiyasi.
Xavfsizlik nuqtai nazaridan yuqorida keltirilganlarning har biri o‘ziga xos masalalarni
yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va protokollari amalda
faol ishlatiladi. Shu bilan bir qatorda ta’kidlash lozimki, nullik bilim bilan isbotlash
xususiyatiga ega bo‘lgan autentifikatsiyaga qiziqish amaliy xarakterga nisbatan ko‘proq
nazariy xarakterga ega.
Balkim, yaqin kelajakda ulardan axborot almashinuvini himoyalashda faol
foydalanishlari mumkin.
Autentifikatsiya protokollariga bo‘ladigan asosiy xujumlar quyidagilar:
-
maskarad (impersonation). Foydalanuvchi o‘zini boshqa shaxs deb ko‘rsatishga urinib, u
shaxs tarafidan xarakatlarning imkoniyatlariga va imtiyozlariga ega bo‘lishni
mo‘ljallaydi;
-
autentifikatsiya almashinuvi tarafini almashtirib qo‘yish (interleaving attack). Niyati
buzuq odam ushbu xujum mobaynida ikki taraf orasidagi autenfikatsion almashinish
jarayonida trafikni modifikatsiya-lash niyatida qatnashadi. Almashtirib qo‘yishning
quyidagi xili mavjud: ikkita foydalanuvchi o‘rtasidagi autentifikatsiya muvaffaqiyatli
o‘tib, ulanish o‘rnatilganidan so‘ng buzg‘unchi foydalanuvchilardan birini chiqarib
tashlab, uning nomidan ishni davom ettiradi;
-
takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan autentifikatsiya
ma’lumotlari takroran uzatiladi;
-
uzatishni qaytarish (reflection attak). Oldingi xujum variantlaridan biri bo‘lib, xujum
mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida ushlab qolingan
axborotni orqaga qaytaradi.
-
majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma’lumotni ushlab
qolib, biror vaqtdan so‘ng uzatadi.
-
matn tanlashli xujum ( chosen text attack). Niyati buzuq odam autentifikatsiya trafigini
ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya protokollarini
qurishda quyidagi usullardan foydalaniladi:
-
“so‘rov–javob”, vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli imzolar kabi
mexanizmlardan foydalanish;
-
autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi xarakatlariga
bog‘lash. Bunday misol yondashishga tariqasida autentifikatsiya jarayonida
foydalanuvchilarning keyinga o‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini
almashishni ko‘rsatish mumkin;
-
aloqaning o‘rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti-vaqti bilan
bajarib turish va h.
“So‘rov-javob” mexanizmi quyidagicha. Agar foydalanuvchi A foydalanuvchi V dan
oladigan xabari yolg‘on emasligiga ishonch xosil qilishni istasa, u foydalanuvchi V
uchun yuboradigan xabarga oldindan bilib bo‘lmaydigan element – X so‘rovini (masalan,
qandaydir tasodifiy sonni) qo‘shadi. Foydalanuvchi V javob berishda bu amal ustida
ma’lum amalni (masalan, qandaydir f(X) funksiyani hisoblash) bajarishi lozim. Buni
oldindan bajarib bo‘lmaydi, chunki so‘rovda qanday tasodifiy son X kelishi
foydalanuvchi V ga ma’lum emas. Foydalanuvchi V harakati natijasini olgan
foydalanuvchi A foydalanuvchi V ning xaqiqiy ekanligiga ishonch xosil qilishi mumkin.
Ushbu usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash
mumkinligi.
|
