P
A
'
ni taqqoslashga asoslangan. Agar P
A
va
P
'
qiymatlar mos kelsa, parol P
A
haqiqiy, foydalanuvchi A esa qonuniy
hisoblanadi.
Oddiy autentifikatsiyani tashkil etish sxemalari nafaqat parollarni uzatish, balki
ularni saqlash va tekshirish turlari bilan ajralib turadi. Eng keng tarqalgan usul –
foydalanuvchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir. Bunda
fayllarga o‘qish va yozishdan himoyalash atributlari o‘rnatiladi (masalan,
operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni
tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylida
saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama
funksiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning
kamchiligi – niyati buzuq odamning tizimda ma’mur imtiyozlaridan, shu bilan
birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.
Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining
bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli
so‘zlarning nisbatan katta bo‘lmagan to‘plamidan jamlanadi. Ko‘p martali
parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida belgilanishi va
bunday parollarni muntazam ravishda almashtirib turish lozim. Parollarni
shunday tanlash lozimki, ular lug‘atda bo‘lmasin va ularni topish qiyin bo‘lsin. Bir
martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir so‘rov
uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta
foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda
bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi
masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga
oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat
vositalari tashqaridan to‘lov plastik kartochkalariga o‘xshash mikroprotsessor
o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi. Odatda kalitlar deb
ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan displey darchasiga
ega.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo‘llashning
quyidagi usullari ma’lum:
1.
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2.
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3.
Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli
psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash
texnologiyasini ko‘rsatish mumkin. Bu texnologiya Security Dynamics
kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning,
xususan Cisco Systems kompaniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy
sonlarni vaqtning ma’lum oralig‘idan so‘ng generatsiyalash algoritmiga
asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:
•
har bir foydalanuvchiga atalgan va autentifikatsiya serverida
hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat
maxfiy kalit;
•
joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy
identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va
apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita raqamidan iborat.
Server foydalanuvchi tomonidan kiritilgan PIN-koddan foydalanib ma’lumotlar
bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida
tasodifiy
sonni
generatsiyalash
algoritmini
bajaradi.
So‘ngra server
generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu
sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning
qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil
ishlashi va demak server ichki soati bilan apparat kalitining muvofiqligi asta-
sekin buzilishi mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki
usuldan foydalanadi:
•
apparat kaliti ishlab chiqilayotganida uning taymer chastotasining
me’yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server
algoritmi parametri sifatida hisobga olinadi;
•
server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va
zaruriyat tug‘ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan bir muammo bog‘liq. Apparat kalit
generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy
parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir bo‘lishi
mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga
ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya
sxemasining eng zaif joyi hisoblanadi.
3 Foydalanuvchilarni biometrik identifikatsiyalash va autentifikatsiyalash Oxirgi
vaqtda insonning fiziologik parametrlari va xarakteristikalarini,
xulqining
xususiyatlarini
o‘lchash orqali foydalanuvchini
ishonchli
autentifikatsiyalashga imkon beruvchi biometrik autentifikatsiyalash keng
tarqalmoqda.
Biometrik autentifikatsiyalash usullari an’anaviy usullarga nisbatan
quyidagi afzalliklarga ega:
-biometrik alomatlarning noyobligi tufayli autentifikatsiyalashning ishonchlilik
darajasi yuqori;
- biometrik alomatlarning sog‘lom shaxsdan
ajratib bo‘lmasligi; - biometrik alomatlarni
soxtalashtirishning qiyinligi.
Foydalanuvchini autentifikatsiyalashda faol ishlatiladigan biometrik
algoritmlar quyidagilar:
barmoq izlari;
qo‘l panjasining geometrik shakli;
yuzning shakli va o‘lchamlari;
ovoz xususiyatlari;
ko‘z yoyi va to‘r pardasining naqshi.
Iste’molchi nuqtai nazaridan biometrik autenfikatsiyalash tizimi quyidagi ikkita
parametr orqali xarakterlanadi:
xatolik inkorlar koeffitsiyenti FRR (false-reject
rate);
xatolik tasdiqlar koeffitsiyenti FAR (false-
alarm rate).
Xatolik inkor tizim qonuniy foydalanuvchi shaxsini tasdiqlamaganda paydo
bo‘ladi (odatda FRR qiymati taxminan 100 dan birni tashkil etadi). Xatolik
tasdiq tizim noqonuniy foydalanuvchi shaxsini tasdiqlaganida paydo bo‘ladi
(odatda FAP qiymati taxminan 10000 dan birni tashkil etadi).
Bu ikkala koeffitsiyent bir biri bilan bog‘liq: xatolik inkor koeffitsiyentining har
biriga ma’lum xatolik tasdiq koeffitsiyenti mos keladi. Mukammal biometrik
tizimda ikkala xatolikning ikkala parametri nulga teng bo‘lishi shart. Afsuski,
biometrik tizim ideal emas, shu sababli nimanidur qurbon qilishga to‘g‘ri keladi.
Odatda tizimli parametrlar shunday sozlanadiki, mos xatolik inkorlar
koeffitsiyentini aniqlovchi xatolik tasdiqlarning istalgan koeffitsiyentiga
erishiladi.
Biometrik autentifikatsiyalashning daktiloskonik tizimi
Biometrik tizimlarning aksariyati identifikatsiyalash parametri sifatida barmoq
izlaridan foydalanadi (autentifikatsiyaning daktiloskopik tizimi). Bunday
tizimlar sodda va qulay, autentifikatsiyalashning yuqori ishonchliligiga ega.
Bunday tizimlarning keng tarqalishiga asosiy sabab barmoq izlari bo‘yicha katta
ma’lumotlar ba’zasining mavjudligidir. Bunday tizimlardan dunyoda asosan
politsiya, turli davlat va ba’zi bank tashkilotlari foydalanadi.
Autentifikatsiyaning daktiloskopik tizimi quyidagicha ishlaydi. Avval
foydalanuvchi ro‘yxatga olinadi. Odatda, skanerda barmoqning turli xolatlarida
skanerlashning bir necha varianti amalga oshiriladi. Tabiiyki, namunalar bir–
biridan biroz farqlanadi va qandaydir umumlashtirilgan namuna,
«pasport» shakllantirilishi talab etiladi. Natijalar autentifikatsiyaning
ma’lumotlar bazasida xotirlanadi. Autentifikatsiyalashda skanerlangan barmoq
izi ma’lumotlar bazasidagi «pasportlar» bilan taqqoslanadi.
Barmoq izlarining skanerlari. Barmoq izlarini skanerlovchi an’anaviy
qurilmalarda asosiy element sifatida barmoqning xarakterli rasmini yozuvchi
kichkina optik kamera ishlatiladi. Ammo, daktiloskopik qurilmalarni ishlab
chiqaruvchilarning ko‘pchiligi integral sxema asosidagi sensorli qurilmalarga
e’tibor bermoqdalar. Bunday tendensiya barmoq izlariga asoslangan
autentifikatsiyalashni qo‘llashning yangi sohalarini ochadi.
Bunday texnologiyalarni ishlab chiquvchi kompaniyalar barmoq izlarini olishda
turli, xususan elektrik, elektromagnit va boshqa usullarni amalga oshiruvchi
vositalardan foydalanadilar.
Skanerlardan biri barmoq izi tasvirini shakllantirish maqsadida teri qismlarining
sig‘im qarshiligini o‘lchaydi. Masalan, Veridicom kompaniyasining
daktiloskopik qurilmasi yarimo‘tkazgichli datchik yordamida sig‘im qarshiligini
aniqlash orqali axborotni yig‘adi. Sensor ishlashining prinsipi quyidagicha:
ushbu asbobga quyilgan barmoq kondensator plastinalarining biri vazifasini
o‘taydi (2-rasm). Sensor sirtida joylashgan ikkinchi plastina kondensatorning
90000 sezgir plastinkali kremniy mikrosxemasidan iborat. Sezgir sig‘im
datchiklari barmoq sirti do‘ngliklari va pastliklari orasidagi elektrik maydon
kuchining o‘zgarishini o‘lchaydi. Natijada do‘ngliklar va pastliklargacha
bo‘lgan masofa aniqlanib, barmoq izi tasviri olinadi.
Pastlikkacha
masofa
Sensor ishlashining prinsipi
Teri
Do’nglikkacha
masofa
D
at
chi
k
m
ikros
xe
m
a
K
onde
ns
at
or
pl
as
ti
na
la
r
Integral sxema asosidagi sensorli tekshirishda AuthenTec kompaniyasida
ishlatiluvchi usul aniqlikni yana ham oshirishga imkon beradi.
Mustahkamlash uchun topshiriqlar
1.
Identifikatsiya nima?
2.
Autentifikatsiya bu-…
3.
Ma’murlash nima?
4.
Parol nima?
Uyga vazifa
Biometrik autentifikatsiyalashning daktiloskonik tizimi
Foydalanilgan adabiyotlar
Axborot texnologiyasi.
Axborotlarni kriptografik
muxofazasi.
Ma’lumotlarni shifrlash algoritmi” O‘zbekiston Davlat standarti. O‘zDSt
1105:2006
Vizual-didaktik resurslar
| 