|
Autentifikatsiya usullari va texnologiyalari tahlili
|
bet | 8/8 | Sana | 09.01.2024 | Hajmi | 88,88 Kb. | | #133271 | Turi | Referat |
Bog'liq ReferatAutentifikatsiya usullari va texnologiyalari tahlili
Kompyuter tizimida ro‘yxatga olingan har bir subyekt (foydalanuvchi yoki foydalanuvchi nomidan harakatlanuvchi jarayon) bilan uni bir ma’noda indentifikatsiyalovchi axborot bog‘liq.
Bu ushbu subyektga nom beruvchi son yoki simvollar satri bo‘lishi mumkin. Bu axborot subyekt indentifikatori deb yuritiladi. Agar foydalanuvchi tarmoqda ro‘yxatga olingan indentifikatorga ega bo‘lsa, u legal (qonuniy), aks holda, legal bo‘lmagan (noqonuniy) foydalanuvchi hisoblanadi. Kompyuter resurslaridan foydalanishdan awal foydalanuvchi kompyuter tizimining identifikatsiya va autentifikatsiya jarayonidan o‘tishi lozim.
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori (nomi) bo‘yicha aniqlash jarayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda bajariladigan funksiyadir. Foydalanuvchi tizimga uning so‘rovi bo‘yicha o‘zining identifikatorini bildiradi, tizim esa o‘zining ma’lumotlar bazasida uning borligini tekshiradi.
Autentifikatsiya (Authentication) - ma’lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o‘zi ekanligiga ishonch hosil qilishiga imkon beradi. Autentifikatsiya o‘tqazishda tekshiruvchi taraf tekshiriluvchi tarafning haqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayoni da faol qatnashadi. Odatda foydalanuvchi tizimga o‘z xususidagi noyob, boshqalarga ma’lum bo‘lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi.
Identifikatsiya va autentifikatsiya subyektlarning (foydalanuvchilaming) haqiqiy ekanligini aniqlash va tekshirishning о’zaro bog‘langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga tizimning ruxsati aynan shularga bog‘liq. Subyektni identifikatsiyalash va autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi.
Avtorizatsiya (Authorization) - subektga tizimda ma’lum vakolat va resurslami berish muolajasi, ya’ni avtorizatsiya subyekt harakati doirasini va u foydalanadigan resurslami belgilaydi. Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa, bu tizimda axborotning konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog‘langan.
Ma’murlash (Accounting) - foydalanuvchining tarmoqdagi harakatini, shu jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtayi nazaridan tarmoqdagi xavfsizlik hodisalarini oshkor qilish, tahlillash va ularga mos reaksiya ko‘rsatish uchun juda muhimdir [1].
O‘zining haqiqiyligini tasdiqlash uchun subyekt tizimga turli axborotni taqdim etadi. Bunday axborot turi “Autentifikatsiya faktori” deb yuritiladi. Autentifikatsiyalashning quyidagi uchta faktori farqlanadi:
- biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal Identification Number) hamda “so‘rov javob” xilidagi protokollarda namoyish etiluvchi maxfiy va ochiq kalitlami ko‘rsatish mumkin;
- biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart- kartalar, sertifikatlar va touch memory qurilmalari;
- qandaydir daxlsiz xarakteristikalar asosida. Ushbu faktor o‘z tarkibiga foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko‘zining rangdor pardasi va to‘r pardasi, barmoq izlari, 132kafit geometriyasi va h.) asoslangan usullarni oladi. Bu faktorda kriptografik usullar va vositalar ishlatilmaydi. Biometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi.
Subyektning haqiqiyligini tasdiqlash autentifikatsiyaning uchta faktoridan biri yordamida amalga oshirilishi mumkin. Masalan, foydalanuvchini autentifikatsiyalash jarayonida undan parol yoki barmoq izlari so‘ralishi mumkin. Autentifikatsiya jarayonida faqat bitta faktor ishlatilsa, bunday autentifikatsiya bir faktorli deb yuritiladi.
Autentifikatsiya jarayonida bir necha faktor ishlatilsa, bunday autentifikatsiya kо’p faktorli deb yuritiladi. Masalan, autentifikatsiya jarayonida foydalanuvchi smart-kartadan va qo‘shimcha paroldan (yoki PIN-koddan) foydalanishi lozim. Ikki faktorli va uch faktorli autentifikatsiya tushunchalari ham ishlatiladi.
NCSC-TG-017 hujjatda ko‘p faktorli autentifikatsiya turlari uchun 1,2 xilli, 2,3 xilli va 1,2,3 xilli autentifikatsiya atamalari kiritilgan. 1,2 xilli autentifikatsiya (bir ikki xilli autentifikatsiya deb yuritiladi), masalan, autentifikatsiyaning ikki faktorini ishlatadi: birinchi (bir narsani bilish asosida) va ikkinchi (bir narsaga egaligi asosida).
1,2,3 xilli autentifikatsiya (bir ikki uch xilli autentifikatsiya deb yuritiladi), autentifikatsiyaning uchta faktorining kombinasiyasini ishlatadi (bir narsa bilish asosida, bir narsaga egaligi asosida va qandaydir daxlsiz xarakteristikalar asosida).
Agar autentifikatsiyalashda bir omilli autentifikatsiya ishlatilsa bunday autentifikatsiya zaif hisoblanadi. Shu sababli, xavfsizlikning yuqori darajasini ta’minlash uchun ko‘p faktorli autentifikatsiyadan foydalanish maqsadga muvofiq hisoblanadi.
Parollar asosida autentifikatsiyalash. Autentifikatsiyaning keng tarqalgan sxemalaridan biri oddiy autentifikatsiyalash bo‘lib, u an’anaviy ko‘p martali parollami ishlatishiga asoslangan. Tarmoqdagi foydalanuvchini oddiy autentifikatsiyalash muolajasini quyidagicha tasavvur etish mumkin.
Tarmoqdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida o‘zining identifikatori va parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori bo‘yicha ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib, foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va avtorizatsiya tizimi orqali uning maqomi uchun aniqlangan huquqlami va tarmoq resurslaridan foydalanishga ruxsatni oladi [1].
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 1.2-rasmda keltirilgan. Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali autentifikatsiyalash varianti xavfsizlikning hatto minimal darajasini kafolatlamaydi. Parolni himoyalash uchun uni himoyaianmagan kanal orqali uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Ek va rasshifrovka qilish Dk vositalari kiritilgan.
Bu vositalar bo‘linuvchi maxfiy kalit К orqali boshqariladi. Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol P a bilan autentifikatsiya, serverida saqlanuvchi dastlabki qiymat p-ni taqqoslashga asoslangan. Agar P a va p* qiymatlar mos kelsa, parol P a haqiqiy, foydalanuvchi A esa qonuniy hisoblanadi.
Ushbu usul tizimni muvaffaqiyatli aniqlash va tasdiqlash uchun foydalanuvchi nomi va parolni taqdim etishda foydalanuvchiga ishonadi. Foydalanuvchi nomi parol juftligi foydalanuvchi tomonidan tizimda ro‘yxatdan o‘tishi paytida o‘rnatiladi, foydalanuvchi nomi esa foydalanuvchining elektron pochta manzili bo‘lishi mumkin.
Veb-dasturlarga qo‘llanilganda, parolni tasdiqlash uchun bir nechta standart protokollar mavjud:
Sertifikatlar asosida autentifikatsiyalash. Tarmoqdan foydalanuvchilar soni millionlab o‘lchanganida foydalanuvchilar parollarining tayinlanishi va saqlanishi bilan bog‘liq foydalanuvchilarni dastlabki ro‘yxatga olish muolajasi juda katta va amalga oshirilishi qiyin bo‘ladi. Bunday sharoitda raqamli sertifikatlar asosidagi autentifikatsiyalash parollar qo‘llanishiga ratsional alternative hisoblanadi.
Raqamli sertifikatlar ishlatilganida kompyuter tarmog‘i foydalanuvchilari xususidagi hech qanday axborotni saqlamaydi. Bunday axborotni foydalanuvchilarning o‘zi so‘rov-sertifikatlarida taqdim etadilar. Bunda maxfiy axborotni, xususan maxfiy kalitlarni saqlash vazifasi foydalanuvchilarning o‘ziga yuklanadi. Foydalanuvchi shaxsini tasdiqlovchi raqamli sertifikatlar foydalanuvchilar so‘rovi bo‘yicha maxsus vakolatli tashkilot-sertifikatsiya markazi CA (Certificate Authority) tomonidan, ma’lum shartlar bajarilganida beriladi. Ta’kidlash lozimki, sertifikat olish muolajasining o‘zi ham foydalanuvchining haqiqiyligini tekshirish (ya’ni, autentifikatsiyalash) bosqichini o‘z ichiga oladi.Bunda tekshiruvchi taraf sertifikatsiyalovchi tashkilot (sertifikatsiya markazi CA) bo‘ladi.
Sertifikat olish uchun mijoz sertifikatsiya markaziga shaxsini tasdiqlovchi ma’lumotni va ochiq kalitini taqdim etishi lozim. Zaruriy ma’lumotlar ro‘yxati olinadigan sertifikat turiga bog‘liq. Sertifikatsiyalovchi tashkilot foydalanuvchining haqiqiyligi tasdig‘ini tekshirganidan so‘ng o‘zining raqamli imzosini ochiq kalit va foydalanuvchi xususidagi ma’lumot bo‘lgan faylga joylashtiradi hamda ushbu ochiq kalitning muayyan shaxsga tegishli ekanligini tasdiqlagan holda foydalanuvchiga sertifikat beradi.
Sertifikat elektron shaklda bo‘lib, tarkibida qo‘yidagi axborot bo‘ladi:
ushbu sertifikat egasining ochiq kaliti;
sertifikat egasi xususidagi ma’lumot, masalan, ismi, elektron pochta
manzili, ishlaydigan tashkilot nomi va h.k;
ushbu sertifikatni bergan tashkilot nomi;
sertifikatsiyalovchi tashkilotning elektron imzosi – ushbu tashkilotning maxfiy kaliti yordamida shifrlangan sertifikatsiyadagi ma’lumotlar.
Foydalanuvchilarni biometrik identifikatsiyalash va autentifikatsiyalash. Oxirgi vaqtda insonning fiziologik parametrlari va xarakteristikalarini, xulqining xususiyatlarini o‘lchash orqali foydalanuvchini ishonchli autentifikatsiyalashga imkon beruvchi biometric autentifikatsiyalash keng tarqalmoqda.
XULOSA
Axborot xavfsizligini biometrik usullar yordamida ta`minlar ekanmiz bizga
qo`yiladigan birinchi savol qaysi biometrik usulni, qancha narxga va nechta shaxsga
mo`ljallab uni korxona, tashkilot yoki muassasaga o`rnatishimiz mumkinligi haqida aniq bir xulosaga kelishimiz lozim. Undan tashqari korxonaning xavfsizlik va iqtisodiy tomonlama qay darajada bo`lishi lozimligi ham biometrik usullarni tanlashga ko`mak beradi. O`z vaqtida shuni aytib o`tish joizki xar bitta korxona, tashkilot yoki muassasa o`z xavfsizlik tizimini tubdan o`ylab chiqishi va hamma tomonlama ushbu xavfsizlik tizimi uni qanoatlantirishi lozim.
Foydalanilgan adabiyotlar.
1. A.B.J.Teoh, A.Goh, and D.C.L. Ngo, "Random Multispace Quantizion as an
Analytic Mechanism for BioHashing of Biometric and Random Identity Inputs”,
Pattern Analysis and Machine Intelligence, IEEE Transactions on, vol. 28, pp. 1892—
1901, 2006.
2. Magnuson, S (January 2009), "Defense department under pressure to share
biometric data", National Defense Magazine.org.
3. Magnuson, S (January 2009), "Defense department under pressure to share
biometric data", National Defense Magazine.org.
|
| |