Tayanch
iboralar:
Identifikatsiya,
autentifikatsiya,
ma’murlash,
avtorizatsiya, maskarad, takroriy, majburiy kechikish.
1 Asosiy tushunchalar va turkumlanishi
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori
(nomi)
bo‘yicha aniqlash jarayoni. Bu foydalanuvchi tarmoqdan
foydalanishga
uringanida
birinchi
galda bajariladigan funksiyadir.
Foydalanuvchi tizimga uning so‘rovi bo‘yicha o‘zining identifikatorini
bildiradi, tizim esa o‘zining ma’lumotlar bazasida uning borligini tekshiradi.
Autentifikatsiya (Authentication) – ma’lum qilingan foydalanuvchi, jarayon
yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish
foydalanuvchi (jarayon yoki qurilma) haqiqatdan aynan o‘zi ekanligiga ishonch
xosil qilishiga imkon beradi. Autentifikatsiya o‘tkazishda tekshiruvchi
taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir
qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi.
Odatda foydalanuvchi tizimga o‘z xususidagi noyob, boshqalarga ma’lum
bo‘lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali
identifikatsiyani tasdiqlaydi.
Identifikatsiya va autentifikatsiya sub’ektlarning (foydalanuvchi-larning)
haqiqiy ekanligini aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir.
Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga
tizimning ruxsati aynan shularga bog‘liq. Sub’ektni identifikatsiyalash va
autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi.
Avtorizatsiya (Authorization) – subektga tizimda ma’lum vakolat va resurslarni
berish muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u
foydalanadigan resurslarni belgilaydi. Agar tizim avtorizatsiyalangan shaxsni
avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa bu tizimda axborotning
konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya
muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy
bog‘langan.
Ma’murlash (Accounting) – foydalanuvchining tarmoqdagi harakatini, shu
jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot
axboroti xavfsizlik nuqtai nazaridan tarmoqdagi xavfsizlik xodisalarini oshkor
qilish, taxlillash va ularga mos reaksiya ko‘rsatish uchun juda muhimdir.
Ma’lumotlarni uzatish kanallarini himoyalashda sub’ektlarning o‘zaro
autentifikatsiyasi, ya’ni aloqa kanallari orqali bog‘lanadigan sub’ektlar
xaqiqiyligining o‘zaro tasdig‘i bajarilishi shart.
Xaqiqiylikning tasdig‘i odatda seans boshida, abonentlarning bir-biriga ulanish
jarayonida amalga oshiriladi. “Ulash” atamasi orqali tarmoqning ikkita sub’ekti
o‘rtasida mantiqiy bog‘lanish tushuniladi. Ushbu muolajaning maqsadi – ulash
qonuniy sub’ekt bilan amalga oshirilganligiga va barcha axborot mo‘ljallangan
manzilga borishligiga ishonchni ta’minlashdir.
O‘zining xaqiqiyligining tasdiqlash uchun sub’ekt tizimga turli asoslarni
ko‘rsatishi mumkin. Sub’ekt ko‘rsatadigan asoslarga bog‘liq holda
autentifikatsiya jarayonlari quyidagi kategoriyalarga bo‘linishi mumkin:
-
biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi
PIN (Personal Identification Number) hamda “so‘rov javob” xilidagi
protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko‘rsatish mumkin;
-
biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart- kartalar,
sertifikatlar va touch memory qurilmalari;
-
qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o‘z tarkibiga
foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko‘zining rangdor
pardasi va to‘r pardasi, barmoq izlari, kaft geometriyasi va x.) asoslangan
usullarni oladi. Bu kategoriyada kriptografik usullar va vositalar ishlatilmaydi.
Beometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni
nazoratlashda ishlatiladi.
Parol – foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan
narsa. O‘zaro autentifikatsiya uchun foydalanuvchi va uning sherigi o‘rtasida
parol
almashinishi
mumkin.
Plastik
karta
va
smart-karta
egasini
autentifikatsiyasida shaxsiy identifikatsiya nomeri PIN sinalgan usul
hisoblanadi. PIN – kodning mahfiy qiymati faqat karta egasiga ma’lum bo‘lishi
shart.
Dinamik – (bir martalik) parol - bir marta ishlatilganidan so‘ng boshqa umuman
ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga
asoslanuvchi muntazam o‘zgarib turuvchi qiymat ishlatiladi. “So‘rov-javob”
tizimi - taraflarning biri noyob va oldindan bilib bo‘lmaydigan “so‘rov” qiymatini
ikkinchi tarafga jo‘natish orqali autentifikatsiyani boshlab beradi, ikkinchi taraf
esa so‘rov va sir yordamida hisoblangan javobni jo‘natadi. Ikkala tarafga bitta
sir ma’lum bo‘lgani sababli, birinchi taraf ikkinchi taraf javobini to‘g‘riligini
tekshirishi mumkin.
Sertifikatlar va raqamli imzolar - agar autentifikatsiya uchun sertifikatlar
ishlatilsa, bu sertifikatlarda raqamli imzoning ishlatilishi talab etiladi.
Sertifikatlar foydalanuvchi tashkilotining mas’ul shaxsi, sertifikatlar serveri yoki
tashqi ishonchli tashkilot tomonidan beriladi. Internet doirasida ochiq kalit
sertifikatlarini tarqatish uchun ochiq kalitlarni boshqaruvchi qator tijorat
infrastrukturalari PKI (Public Key Infrastrusture) paydo bo‘ldi. Foydalanuvchilar
turli daraja sertifikatlarini olishlari mumkin.
Autentifikatsiya jaryonlarini ta’minlanuvchi xavfsizlik darajasi bo‘yicha ham
turkumlash mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari
quyidagi turlarga bo‘linadi:
-
parollar va raqamli sertifikatlardan foydalanuvchi autentifi-katsiya;
-
kriptografik usullar va vositalar asosidagi qatiy autentifi-katsiya;
-
nullik bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifi-katsiya jarayonlari
(protokollari);
-
foydalanuvchilarni biometrik autentifikatsiyasi.
Xavfsizlik nuqtai nazaridan yuqorida keltirilganlarning har biri o‘ziga xos
masalalarni yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va
protokollari amalda faol ishlatiladi. Shu bilan bir qatorda ta’kidlash lozimki, nullik
bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifikatsiyaga qiziqish amaliy
xarakterga nisbatan ko‘proq nazariy xarakterga ega.
Balkim, yaqin kelajakda ulardan axborot almashinuvini himoyalashda faol
foydalanishlari mumkin.
Autentifikatsiya protokollariga bo‘ladigan asosiy xujumlar quyidagilar:
-
maskarad (impersonation). Foydalanuvchi o‘zini boshqa shaxs deb ko‘rsatishga
urinib, u shaxs tarafidan xarakatlarning imkoniyatlariga va imtiyozlariga ega
bo‘lishni mo‘ljallaydi;
-
autentifikatsiya almashinuvi tarafini almashtirib qo‘yish (interleaving attack).
Niyati buzuq odam ushbu xujum mobaynida ikki taraf orasidagi autenfikatsion
almashinish jarayonida trafikni modifikatsiya-lash niyatida qatnashadi.
Almashtirib qo‘yishning quyidagi xili mavjud: ikkita foydalanuvchi o‘rtasidagi
autentifikatsiya muvaffaqiyatli o‘tib, ulanish o‘rnatilganidan so‘ng buzg‘unchi
foydalanuvchilardan birini chiqarib tashlab, uning nomidan ishni davom ettiradi;
-
takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan
autentifikatsiya ma’lumotlari takroran uzatiladi;
-
uzatishni qaytarish (reflection attak). Oldingi xujum variantlaridan biri bo‘lib,
xujum mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida
ushlab qolingan axborotni orqaga qaytaradi.
-
majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma’lumotni
ushlab qolib, biror vaqtdan so‘ng uzatadi.
-
matn tanlashli xujum ( chosen text attack). Niyati buzuq odam autentifikatsiya
trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni
olishga urinadi.
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya
protokollarini qurishda quyidagi usullardan foydalaniladi:
-
“so‘rov–javob”, vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli
imzolar kabi mexanizmlardan foydalanish;
-
autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi
xarakatlariga bog‘lash. Bunday misol yondashishga tariqasida autentifikatsiya
jarayonida foydalanuvchilarning keyinga o‘zaro aloqalarida ishlatiluvchi maxfiy
seans kalitlarini almashishni ko‘rsatish mumkin;
-
aloqaning o‘rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti- vaqti
bilan bajarib turish va h.
ya serveri
Parol xaqiqiy
“So‘rov-javob” mexanizmi quyidagicha. Agar foydalanuvchi A foydalanuvchi V
dan oladigan xabari yolg‘on emasligiga ishonch xosil qilishni istasa, u
foydalanuvchi V uchun yuboradigan xabarga oldindan bilib bo‘lmaydigan
element – X so‘rovini (masalan, qandaydir tasodifiy sonni) qo‘shadi.
Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan,
qandaydir f(X) funksiyani hisoblash) bajarishi lozim. Buni oldindan bajarib
bo‘lmaydi, chunki so‘rovda qanday tasodifiy son X kelishi foydalanuvchi V ga
ma’lum emas. Foydalanuvchi V harakati natijasini olgan foydalanuvchi A
foydalanuvchi V ning xaqiqiy ekanligiga ishonch xosil qilishi mumkin. Ushbu
usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash
mumkinligi.
2 Parollar asosida autentifikatsiyalash
Autentifikatsiyaning
keng
tarqalgan
sxemalaridan
biri oddiy
autentifikatsiyalash bo‘lib, u an’anaviy ko‘p martali parollarni ishlatishiga
asoslangan.
Tarmoqdagi foydalanuvchini
oddiy
autentifikatsiyalash
muolajasini quyidagicha tasavvur etish mumkin. Tarmoqdan foydalanishga
uringan foydalanuvchi kompyuter klaviaturasida o‘zining identifikatori va
parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun
tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori
bo‘yicha ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib
foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa,
autentifikatsiya muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal
(qonuniy) maqomini va avtorizatsiya tizimi orqali uning maqomi uchun
aniqlangan xuquqlarni va tarmoq resurslaridan foydalanishga ruxsatni oladi.
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 1–
rasmda keltirilgan.
Ravshanki,
foydalanuvchining
parolini
shifrlamasdan
uzatish
orqali
autentifikatsiyalash
varianti
xavfsizlikning
xatto
minimal
darajasini
kafolatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali
uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Ye
k
va
rasshifrovka qilish D
k
vositalari kiritilgan.
Foydalanuvchi
Audentifikatsi
Paroldan foydalangan holda oddiy autentifikatsiyalash
A
Bu vositalar bo‘linuvchi maxfiy kalit K orqali boshqariladi. Foydalanuvchining
haqiqiyligini tekshirish foydalanuvchi yuborgan parol P
A
bilan autentifikatsiya
serverida saqlanuvchi dastlabki qiymat
| 