• har bir foydalanuvchiga atalgan va autentifikatsiya serverida
hamda foydalanuvchining apparat kalitida saqlanuvchi noyob 64-
bitli sondan iborat maxfiy kalit;
• joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringa-
nida, undan shaxsiy identifikatsiya nomeri PINni kiritish taklif
etiladi. PIN to‘rtta o ‘nli raqamdan va apparat kaliti displeyida aks-
lanuvchi tasodifiy sonning oltita raqamidan iborat. Server foyda
lanuvchi tomonidan kiritilgan PIN-koddan foydalanib, ma’lumotlar
bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati
asosida tasodifiy sonni generatsiyalash algoritmifii bajaradi. So‘ngra
server generatsiyalangan son bilan foydalanuvchi
kiritgan sonni
taqqoslaydi. Agar bu sonlar mos kelsa, server foydalanuvchiga ti-
zimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat ka
lit va serveming qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki
apparat kalit bir necha yil ishlashi, server ichki soati bilan apparat
kalitining muvofiqligi asta-sekin buzilishi mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi
quyidagi ikki usuldan foydalanadi:
• apparat kaliti ishlab chiqilayotganida
uning taymer chas-
totasining me’yoridan chetlashishi aniq o ‘lchanadi. Chetlashishning
bu qiymati server algoritmi parametri sifatida hisobga olinadi;
• server muayyan apparat kalit generatsiyalagan kodlami kuza-
tadi va zaruriyat tug'ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘-
liq. Apparat kalit generatsiyalagan tasodifiy son katta bo‘lmagan
vaqt oralig'i mobaynida haqiqiy parol hisoblanadi. Shu sababli,
qisqa muddatli vaziyat sodir boiishi mumkinki, xaker PIN-kodni
ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin.
Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya
sxemasining
eng zaifjoyi hisoblanadi.
Bir martali paroldan foydalanib autentifikatsiyalashni amalga
oshiruvchi yana bir variant - «so‘rov-javob» sxemasi bo‘yicha au-
tentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga urin-
ganida server unga tasodifiy son ko‘rinishidagi so‘rovni uzatadi.
140
Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan, DES
algoritmi va foydalanuvchining apparat kaliti xotirasida hamda
serveming m a’lumotlar bazasida saqlanuvchi maxfiy kaliti yorda-
mida rasshiffovka qiladi. Tasodifiy son - so‘rov shifflangan ko‘-
rinishda serverga qaytariladi. Server ham o ‘z navbatida o‘sha DES
algoritmi va serveming maTumotlar bazasidan olingan foydala
nuvchining maxfiy kaliti yordamida o ‘zi generatsiyalagan tasodifiy
sonni shifrlaydi. So‘ngra server shifrlash natijasini
apparat kalitidan
kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida foyda-
lanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta’kidlash lozimki,
«so'rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxro-
nizatsiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda
murakkabroq.
Foydalanuvchini autentifikatsiyalash uchun bir martali parol-
dan foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi
uchun umumiy bo‘lgan tasodifiy parollar ro'yxatidan va ulaming
ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. Bir
martali parollaming bo‘linuvchi ro‘yxati
maxfiy parollar ketma-
ketligi yoki nabori bo Tib, har bir parol faqat bir marta ishlatiladi.
Ushbu ro‘yxat autentifikatsion almashinuv taraflar o‘rtasida oldin-
dan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘-
rov-javob jadvali ishlatiladi. Bu jadvalda autentifikatsiyalash uchun
taraflar tomonidan ishlatiluvchi so‘rovlar va javoblar mavjud boTib,
har bir juft faqat bir marta ishlatilishi shart.
Foydalanuvchini autentifikatsiyalash uchun bir martali parol-
dan foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi
uchun umumiy boTgan bir xil dastlabki qiymatli psevdotasodifiy
sonlar generatoridan foydalanishga asoslangan.
Bu usulni amalga
oshirishning quyidagi variantlari mavjud:
• o ‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya
uchun oldingi sessiya parolidan olingan maxfiy kalitda shifrlangan
parolni yaratadi va uzatadi;
• bir tomonlama funksiyaga asoslangan parollar ketma-ketligi.
Ushbu usulning mohiyatini bir tomonlama funksiyaning ketma-ket
ishlatilishi (Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik
141
nuqtayi nazaridan bu usul ketma-ket o ‘zgartiriluvchi parollar
usuliga nisbatan afzal hisoblanadi.
Keng tarqalgan bir martali paroldan
foydalanishga asoslangan
autentifikatsiyalash protokollaridan biri Intemetda standartlashtiril-
gan S/Key (RFC 1760) protokolidir. Ushbu protokol masofadagi
foydalanuvchilaming haqiqiyligini tekshirishni talab etuvchi ko‘p-
gina tizimlarda, xususan, Cisco kompaniyasining TACACS+ ti-
zimida amalga oshirilgan.
