87
4-BOB. FOYDALANISHNI NAZORATLASH
4.1. Identifikatsiya va autentifikatsiya vositalari
Tizim resurslaridan foydalanishni boshqarish bilan bog‘liq har
qanday xavfsizlik muammosi uchun foydalanishni nazoratlash
tushunchasidan “soyabon” sifatida foydalanish mumkin. Bunda 3 ta
asosiy tushuncha farqlanadi: identifikatsiya, autentifikatsiya va
avtorizatsiya.
Identifikatsiya – shaxsni kimdir deb da’vo qilish jarayoni. Masalan,
siz telefonda o‘zingizni tanishtirishingizni identifikatsiyadan o‘tish deb
aytish mumkin. Bunda siz o‘zingizni, masalan, “Men Bahodirman” deb
tanitasiz. Bu o‘rinda “Bohodir” sizning identifikatoringiz bo‘lib xizmat
qiladi. Identifikatsiya – subyekt identifikatorini tizimga yoki talab qilgan
subyektga taqdim etish jarayoni. Elektron pochta tizimida pochta
manzilini identifikator, manzilini taqdim etish jarayonini esa
identifikatsiyalash deb ataladi. Elektron pochta tizimida pochta manzili
takrorlanmas va noyob. Demak, foydalanuvchining identifikatori tizim
ichida noyob va takrorlanmasdir.
Autentifikatsiya – foydalanuvchining (yoki uning nomidan ish
ko‘ruvchi vositaning) tizimdan foydalanish huquqiga egaligini tekshirish
jarayoni. Masalan, foydalanuvchining shaxsiy kompyuterdan
foydalanish jarayonini ko‘raylik. Dastlab foydalanuvchi o‘z
identifikatorini (ya’ni, foydalanuvchi nomini) taqdim etib, tizimga o‘zini
tanitadi (identifikatsiya jarayonidan o‘tadi). So‘ngra, tizim
foydalanuvchidan, taqdim etilgan identifikatorni haqiqiyligini tekshirish
uchun, parol talab qiladi. Agar identifikatorga mos parol kiritilsa (ya‘ni,
autentifikatsiyadan o‘tilsa), foydalanuvchi kompyuterdan foydalanish
imkoniyatiga ega bo‘ladi. Umuman olganda, autentifikatsiya
foydalanuvchining yoki subyektning haqiqiyligini tekshirish jarayoni
deb yuritiladi.
Foydalanuvchi autentifikatsiyadan o‘tganidan so‘ng, tizim
resurslaridan foydalanish imkoniyatiga ega bo‘ladi. Biroq,
autentifikatsiyadan o‘tgan foydalanuvchi tizimda faqatgina ruxsat
berilgan amallarni bajarishi mumkin. Masalan, autentifikatsiyadan
o‘tgan – imtiyozga ega foydalanuvchi uchun dasturlarni o‘rnatish
imkoniyatini berilishi talab etilsin. Bunda autentifikatsiyadan o‘tgan
foydalanuvchining foydalanish huquqlari qanday cheklanadi? Bu masala
avtorizatsiyalash orqali yechiladi.
88
Avtorizatsiya – identifikatsiya va autentifikatsiya jarayonlaridan
muvaffaqiyatli o‘tgan foydalanuvchiga tizimda amallarni bajarish
huquqini berish jarayoni. Umumiy holda, autentifikatsiya binar qaror
hisoblanadi - ya’ni, ruxsat beriladi yoki yo‘q. Avtorizatsiya esa
tizimning turli resurslaridan foydalanishni cheklash uchun
foydalaniluvchi qoidalar to‘plami.
Xavfsizlik sohasida aksariyat atamalar standart ma’nolaridan
boshqa hollarda ham qo‘llaniladi. Xususan, foydalanishlarni nazoratlash
ko‘p hollarda avtorizatsiyaga sinonim sifatida ishlatiladi. Biroq, mazkur
o‘quv qo‘llanmada foydalanishlarni nazoratlash biroz kengroq qaralgan.
Ya’ni, autentifikatsiya va avtorizasiya jarayonlari foydalanishlarni
nazoratlashning alohida qismlari sifatida ko‘riladi.
Yuqorida keltirilgan atamalarga berilgan ta’riflarni
umumlashtirgan holda quyidagicha xulosa qilish mumkin:
Identifikatsiya – siz kimsiz?
Autentifikatsiya – siz haqiqatan ham sizmisiz?
Avtorizatsiya – sizga buni bajarishga ruxsat bormi?
Bir tomonlama va ikki tomonlama autentifikatsiya. Agar
tomonlardan biri ikkinchisini autentifikatsiyadan o‘tkazsa - bir
tomonlama, agar har ikkala tomon bir-birini autentifikatsiyadan
o‘tkazsa, u holda ikki tomonlama autentifikatsiya deb ataladi. Masalan,
elektron pochtadan foydalanishda faqat server foydalanuvchini
haqiqiyligini (parol orqali) tekshirsa, uni bir tomonlama
autentifikatsiyalash deb ataladi. Elektron to‘lov tizimlarida server
foydalanuvchini, foydalanuvchi esa serverni autentifikatsiyadan
o‘tkazadi. Shuning uchun mazkur holat ikki tomonlama
autentifikatsiyalash deb yuritiladi.
Ko‘p omilli autentifikatsiya.
Yuqorida keltirilgan barcha
autentifikatsiya senariylarida foydalanuvchilarni faqat bitta omil
bo‘yicha haqiqiyligi tekshiriladi. Masalan, elektron pochtaga kirishda
faqat parolni bilishning o‘zi yetarli bo‘lsa, binoga kirishda barmoq izini
to‘g‘ri kiritishning o‘zi eshikning ochilishi uchun yetarli bo‘ladi. Ya’ni,
server faqat foydalanuvchidan parolni yoki barmoq izi tasvirini to‘g‘ri
bo‘lishini talab qiladi. Bir omilli autentifikatsiyada tekshirish faqat bitta
omil bo‘yicha (masalan, parol) amalga oshirilsa, bunday autentifikatsiya
bir omilli autentifikatsiya deb yuritiladi.
Identifikatsiya va autentifikatsiya foydalanishni boshqarish
jarayonida dastlabki chegara hisoblanadi. Tizimning turli variantlarda
amalga oshirilishida ba’zi qurilmalar va mexanizmlar ham
89
identifikatsiya, ham autentifikatsiya qismtizimi komponentlari bo‘lishi
mumkin. Shu sababli, identifikatsiya va autentifikatsiya vositalarini
birlashgan holda baholash lozim.
Identifikatsiya va autentifikatsiya vositalarini, odatda,
autentifikatsiya omillari bo‘yicha uchta turga ajratishadi.
1-tur. Qandaydir yashirin axborotni (masalan, parolni, maxfiy PIN-
kodni, klavishalar va iboralar kombinatsiyalarini) bilishga asoslangan
vositalar (something you know).
2-tur. Noyob qurilmadan, usuldan yoki ma’lumotlar naboridan
(masalan, smart kartalardan, raqamli sertifikatlardan) foydalanishga
asoslangan vositalar (something you have).
3-tur. Tirik organizmning fiziologik atributlariga (something you
are) masalan, ko‘z yoyi to‘rpardasiga yoki odatiy atributlarga
(something you do) masalan, imzoga asoslangan biometrik vositalar.
Ba’zi tasniflarda foydalanuvchi o‘rnashgan joyi (some where you
are), bilan bog‘liq axborotga asoslangan yana bir vositalar turini
uchratish mumkin. Bunda autentifikatsiya omili sifatida telefon nomeri
(mamlakat, shahar, tuman kodi) ishtirok etganligi sababli, bunday
vositalarni, ko‘pincha, 2-turga (something you have) tegishli deb
hisoblashadi.
Agar tizimda turli tur autentifikatsiya omillarini birgalikda
ishlatuvchi vositalardan foydalanilsa, ko‘p omilli autentifikatsiya
xususida gapirish mumkin. Bunday tizimlarni ko‘p sathli himoyalash
(defence in depth) kategoriyasiga tegishli deb hisoblashadi. Shu sababli,
bunday tizimlar faqat bitta tip qurilmalardan foydalanuvchi tizimlarga
nisbatan yuqori bardoshlikka ega. Hozirda ikki omilli autentifikatsiya
(two-factor authentication) keng tarqalgan. Masalan, zamonaviy
operatsion tizimlarni maxfiy PIN-kod va cmart-kartadan foydalanib
sozlash mumkin.
|