|
Biometrik parametrlarga asoslangan autentifikasiya
|
bet | 5/5 | Sana | 14.12.2023 | Hajmi | 364,35 Kb. | | #118690 |
Bog'liq 9-pechatgaBiometrik parametrlarga asoslangan autentifikasiya. Biometrik parametrlarga asoslangan autentifikasiya usulida biometrik parametr insonning o’zi uchun kalit sifatida xizmat qiladi. Biometrik parametrlarga asoslangan autentifikasiyalashning ko’plab usullari mavjud. Masalan, barmoq izi, yuz tasviri, ko’z qorachig’i, ovoz, harakat tarzi, quloq shakli, qo’l shakli va boshqa biometrik parametrlarga asoslangan autentifikasiya usullari amalda keng qo’llaniladi. Masalan, qo’p qavatli uylar va tashkilotlarga kirishda barmoq iziga asoslangan autentifikasiya usuli, noutbuklarda va mobil telefonlarda yuz tasviriga asoslangan yoki barmoq iziga asoslangan autentifikasiya keng qo’llaniladi (32-rasm).
Axborot xavfsizligi sohasida biometrik parametrlar parollarga qaraganda yuqori xavfsizlikni ta’minlovchi muqobil sifatida qaraladi. Biometrik parametrlarga asoslangan autentifikasiya usuli quyidagi xususiyatlarga ega:
- biometrik parametrga asoslangan usullar esda saqlash yoki birga olib yurish zaruriyatini talab etmaydi;
- biometrik parametrlarga asoslangan autentifikasiyalash parollarga asoslangan usullardan foydalanishga nisbatan qimmatroq, lekin tokenga asoslangan usullardan foydalanishga qaraganda arzonroq hisoblanadi (ba’zi, istisno holatlar mavjud);
- biometrik parmetrlarni o’zgartirish imkoniyati mavjud emas, ya’ni, agar biometrik parametr qalbakilashtirilsa, u holda autentifikasiya tizimi shu foydalanuvchi uchun to’liq buzilgan hisoblanadi;
- turli biometrik parametrlarga asoslangan autentifikasiyalash usullari insonlar tomonidan turli darajada qabul qilinadi.
Autentifikasiya sohasida foydalanish uchun ideal biometrik parametr quyidagi xususiyatlarga ega bo’lishi shart:
- universal bo’lishi – biometrik parametrlar barcha foydalanuvchilarda bo’lishi;
- farqli bo’lish – barcha insonlarning tanlangan biometrik parametri bir-biridan farq qilishi;
- o’zgarmaslik – tanlangan biometrik parametr vaqt o’tishi bilan o’zgarmay qolishi;
- to’planuvchanlik – fizik xususiyat osonlik bilan to’planuvchan bo’lishi.
Amalda fizik xususiyatni to’planuvchanligi, insonning autentifikasiya jarayonga e’tibor berishiga ham bog’liq bo’ladi.
Biometrik parametrlar nafaqat autentifikasiyalash masalasini yechishda balki, identifikasiyalashda ham keng qo’llaniladi. Ya’ni, “Siz kimsiz?” degan savolga javob bera oladi. Masalan, FBI da jinoyatchilarning barmoq izlari bazalari mavjud.
Bazada barmoq izlari (barmoq izi tasviri - foydalanuvchi nomi) shaklida saqlanadi va bu biror bir insonni jinoyatchilar ro’yxatida bor yoki yo’qligini aniqlashga imkon beradi. Buning uchun, tekshiriluvchi insonning barmoq izi tasviri FBI bazasidagi biror bir barmoq izi tasviriga mos kelsa, barmoq izi tasviriga mos foydalanuvchi nomi bilan aniqlanadi.
Bir tomonlama va ikki tomonlama autentifikasiya. Agar tomonlardan biri ikkinchisini autentifikasiyadan o’tkazsa - bir tomonlama, agar har ikkala tomon bir-birini autentifikasiyadan o’tkazsa, u holda ikki tomonlama autentifikasiya deb ataladi. Masalan, elektron pochtadan foydalanishda faqat server foydalanuvchini haqiqiyligini (parol orqali) tekshirsa, uni bir tomonlama autentifikasiyalash deb ataladi. Elektron to’lov tizimlarida server foydalanuvchini, foydalanuvchi esa serverni autentifikasiyadan o’tkazadi. Shuning uchun mazkur holat ikki tomonlama autentifikasiyalash deb yuritiladi.
Ko’p omilli autentifikasiya. Yuqorida keltirilgan barcha autentifikasiya ssenariylarida foydalanuvchilarni faqat bitta omil bo’yicha haqiqiyligi tekshiriladi. Masalan, elektron pochtaga kirishda faqat parolni bilishning o’zi yetarli bo’lgan bo’lsa, binoga kirishda barmoq izini to’g’ri kiritishning o’zi eshikni ochilishi uchun yetarli bo’ladi. Ya’ni, server faqat foydalanuvchidan parolni yoki barmoq izi tasvirini to’g’ri bo’lishini talab qiladi. Bir faktorli autentifikasiyada tekshirish faqat bitta omil bo’yicha (masalan, parol) amalga oshiriladi va o’zi bir omilli autentifikasiya deb yuritiladi. Biroq, bir omilli autentifikasiyalashda xavfsizlik darajasi past bo’ladi. Masalan, ovozga asoslangan autentifikasiya tizimida hujumchi foydalanuvchining ovozini diktafonga yozib olib, uni autentifikasiya jarayoniga taqdim etsa, osonlik bilan autentifikasiya tizimini bitta omil bo’yicha aldab o’tishi mumkin. Bunday holatni parolga asoslangan yoki tokenga asoslangan autentifikasiya jarayonida ham kuzatish mumkin.
Xavfsizlik darjasini oshirish uchun birinchi omilga qo’shimcha, yana boshqa omillardan foydalanish mumkin. Masalan, ovozga asoslangan autentifikasiyalashga qo’shimcha qilib paroldan foydalanish mumkin. Ya’ni, foydalanuvchi dastlab tizimdan o’z ovozi orqali, so’ng parol bo’yicha autentifikasiyadan o’tkaziladi. Har ikkala bosqichda ham autentifikasiyadan muvaffaqqiyatli o’tilganda, foydalanuvchi tizimdan foydalanish imkoniyatiga ega bo’ladi. Shu sababli, ushbu usulni ko’p omilli autentifikasiyalash deb aytish mumkin. Ko’p omilli autentifikasiyalash kundalik hayotimizda hozir keng qo’llanilmoqda. Masalan, plastik kartadan to’lovni amalga oshirishdagi autentifikasiya jarayoni o’zida “sizda mavjud biror narsa” va “siz bilgan biror narsa” usullarini birlashtirgan. Birinchi omil foydalanuvchida plastik kartani mavjudligi bo’lsa, ikkinchisi uni ShIR ini bilish talab etilishidir.
Ko’p omilli autentifikasiya usuli omillardan bittasi qalbakilashtirilgan taqdirda ham autentifikasiya jarayonini buzilmasligiga olib keladi. Ko’p omilli autentifikasiya sifatida aksariyat hollarda bir martali parollardan (one time password, OTP) keng foydalanilmoqda. Bunga misol qilib, turli mobil bank ilovalarida to’lovni amalga oshirishdagi foydalanuvchi mobil qurilmasiga keluvchi SMS xabardagi OTRlarni keltirish mumkin.
Autentifikasiya jarayonlariga qaratilgan hujumlar. Mavjud autentifikasiya jarayonlarini buzishda ko’plab hujum usullaridan foydalaniladi. Ushbu hujum usullarini autentifikasiya usullariga mos ravishda quyidagicha tasniflash mumkin :
1. Biror narsani bilishga asoslangan autentifikasiyalashni buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Parollar lug’atidan foydalanishga asoslangan hujum. Bunda statistika bo’yicha eng ko’p qo’llaniluvchi parollar asosida autentifikasiyadan o’tishga harakat qilinadi.
b. Parollarni barcha variantlarini ko’rib chiqish. Ushbu usulda parolning bo’lishi mumkin bo’lgan barcha variantlaridan ketma-ket foydalanib ko’riladi.
c. “Yelka orqali qarash” hujumi. Buzg’unchi foydalanuvching yonida turib parolni kiritish jarayonini kuzatish orqali bilib olishni maqsad qiladi.
d. Zararkunanda dasturlar asosida hujum. Foydalanuvchi kompyuteriga o’rnatilgan maxsus dasturiy vositalar klaviaturadan kiritilgan barcha ma’lumotlarni dasturchiga yetkazadi. Bunday zararkunanda dasturiy vositalar “keylogger” deb ataladi.
2. Sizda mavjud biror narsa asosida autentifikasiya usulini buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Fizik o’g’irlash. Mazkur hujum bu toifadagi autentifikasiya uchun eng xavfli hujum hisoblanib, buzg’unchi tokenni yoki smart kartani o’g’irlab foydalanishga asoslanadi.
b. Dasturiy tokenlarning zararkunanda dasturlarga bardoshsizligi. Dasturiy tokenlar mobil qurilmalarda ishlaydi va shu sababli zararli dastur tomonidan boshqarilishi mumkin.
3. Biometrik parametrlarga asoslangan autentifikasiya usullarini buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Qalbakilashtirish. Hujumning mazkur turi biometrik parametrlarni qalbakilashtirishga asoslanadi. Masalan,bunga Hasan o’rniga yuzlari o’xshash bo’lgan Xusan autentifikasiyadan o’tishi yoki sifati yuqori bo’lgan foydalanuvchi yuz tasvirini uning fotosurati bilan almashtirib tizimni aldashini misol qilish mumkin.
b. Ma’lumotlar bazasidagi biometrik parametrlarni almashtirish. Ushbu hujum bevosita foydalanuvchilarni biometrik parametrlari (masalan, barmoq izi tasviri, yuz tasviri va hak.) saqlanyotgan bazadagi tanlangan foydalanuvchining biometrik parametrlarini hujumchining biometrik parametrlari bilan almashtishga asoslangan.
Autentifikasiya jarayonlarini hujumlardan himoyalashning har bir usullariga xos qarshi choralari mavjud. Umumiy holda, mazkur hujumlarni oldini olish uchun quyidagi himoya usullari va xavfsizlik choralari tavsiya etiladi:
1. Murakkab parollardan foydalanish. Aynan ushbu usul parollarni barcha variantlarini ko’rib chiqish va lug’atga asoslangan hujumlarning oldini olishga imkon beradi.
2. Ko’p omilli autentifikasiyadan foydalanish. Bu usul yuqorida keltirilgan aksariyat hujumlarni oldini olishga imkon beradi.
3. Tokenlarni (smart kartalarni) xavfsiz saqlash. Bu usul biror narsaga egalik qilishga asoslangan autentifikasiya usulida token yoki smart kartalarni buzg’unchi qo’liga tushib qolishdan himoyalash darajasini oshirishga imkoni beradi.
4. Tiriklikka tekshirishdan foydalanish. Ushbu usul biometrik parametrlarga asoslangan autentifikasiyalash usullarida tasvir orqali aldab o’tish hujumini oldini olishda samarali hisoblanadi.
Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali autentifikatsiyalash varianti xavfsizlikning hatto minimal darajasini kafolatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Yek va rasshifrovka qilish Dk vositalari kiritilgan.
Bu vositalar bo’linuvchi maxfiy kalit K orqali boshqariladi. Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol PA bilan autentifikatsiya serverida saqlanuvchi dastlabki qiymat PA ni taqqoslashga asoslangan. Agar PAva R1A qiymatlar mos kelsa, parol PA haqiqiy, foydalanuvchi A esa qonuniy hisoblanadi.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo’llashning quyidagi usullari ma’lum:
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan tasodifiy parollar ro’yxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
Foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentifikatsiyalash texnologiyasini ko’rsatish mumkin. Bu texnologiya Security Dynamics kompaniyasi tomonidan ishlab chiqilgan bo’lib, qator kompaniyalarning, xususan CiscoSystems kompaniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy sonlarni vaqtning ma’lum oralig’idan so’ng generatsiyalash algoritmiga asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:
har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat maxfiy kalit;
joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to’rtta o’nli raqamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita raqamidan iborat. Server foydalanuvchi tomonidan kiritilgan PIN-koddan foydalanib ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida tasodifiy sonni generatsiyalash algoritmini bajaradi. So’ngra server generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi va server ichki soati bilan apparat kalitining muvofiqligi asta-sekin buzilishi mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki usuldan foydalanadi:
apparat kaliti ishlab chiqilayotganida uning taymer chastotasining me’yoridan chetlashishi aniq o’lchanadi. Chetlashishning bu qiymati server algoritmi parametri sifatida hisobga olinadi;
server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va zaruriyat tug’ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog’liq. Apparat kalit generatsiyalagan tasodifiy son katta bo’lmagan vaqt oralig’i mobaynida haqiqiy parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir bo’lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya sxemasining eng zaif joyi hisoblanadi.
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi yana bir variant – «so’rov-javob» sxemasi bo’yicha autentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga uringanida server unga tasodifiy son ko’rinishidagi so’rovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va serverning ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida rasshifrovka qiladi. Tasodifiy son - so’rov shifrlangan ko’rinishda serverga qaytariladi. Server ham o’z navbatida o’sha DES algoritmi va serverning ma’lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti yordamida o’zi generatsiyalagan tasodifiy sonni shifrlaydi. So’ngra server shifrlash natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida foydalanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so’rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxronizatsiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda murakkabroq.
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan tasodifiy parollar ro’yxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo’linuvchi ro’yxati maxfiy parollar ketma-ketligi yoki to’plami bo’lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro’yxat autentifikatsion almashinuv taraflar o’rtasida oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so’rov-javob jadvali ishlatiladi. Bu jadvalda autentifikatsilash uchun taraflar tomonidan ishlatiluvchi so’rovlar va javoblar mavjud bo’lib, har bir juft faqat bir marta ishlatilishi shart.
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari mavjud:
o’zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;
bir tomonlama funktsiyaga asoslangan parollar ketma-ketligi. Ushbu usulning mohiyatini bir tomonlama funktsiyaning ketma-ket ishlatilishi (Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul ketma-ket o’zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.
Nazorat savollari:
Identifikatsiya tushunchasi nima?
Autentifikatsiyaga tavsif bering.
Autentifikatsiyaning qanday turlarini bilasiz?
Autentifikatsiyaning fuktsiyalarini sanab bering.
Login va parol asosidagi xamda biometrik Autentifikatsiyalarni farqlab bering.
|
| |