92
maqsadli smartkarta va uni o‘quvchi qurilma (smartkarta o‘quvchi
qurilma) aks ettirilgan.
4.1-rasm. Smartkarta va smartkarta o‘quvchi (ACR39U) qurilma
Elektron qurilmalarni quyidagicha tasniflash mumkin:
-
amalga oshirilishi bo‘yicha passiv (faqat xotirali) va aktiv
(mikroprosessorli) elektron qurilmalar farqlanadi;
-
o‘qish qurilmalarining mavjudligi bo‘yicha alohida o‘qish
qurilmasili (reader), kalit bilan integrallangan o‘qish qurilmasili
(masalan USB- portga ulanadi) va kompyuterning kiritish qurilmasidan
va asosiy xotirasidan foydalanuvchi elektron qurilmalar farqlanadi;
-
funksional belgilanishi bo‘yicha statik, sinxron dinamik va
asinxron dinamik elektron qurilmalar farqlanadi.
Statik qurilmalar doimiy noyob axborotni saqlashni ta’minlaydi va
subyektni autentifikatsiyalash yoki identifikatsiyalash uchun ishlatiladi.
Oddiygina
statik qurilmalarga disketa, xotira kartasi, magnit tasmali,
qog‘oz karta, tarkibida identifikator, parol, sertifikat va h. bo‘lgan ATM-
karta misol bo‘la oladi.
Zamonaviy statik qurilmalarga quyidagilar taalluqli:
– smart kartalar – mikroprosessor o‘rnatilgan kredit karta
o‘lchamidagi karta;
– USB kalitlar – kompyuterning USB-portiga to‘g‘ridan-to‘g‘ri
ulanuvchi qurilma bo‘lib, tarkibida mikroprosessor o‘rnatilgan kalit va
o‘qish qurilmasi mavjud;
– iButton elektron tabletkalari. Ba’zida, Touch Memory deb ham
ataladi;
– kontaktsiz radiochastota identifikatorlari – RFID–radiometkalar.
93
Sinxron dinamik qurilmalar vaqtning o‘zgarmas oralig‘ida parol
generatsiyalaydi. Serverdagi va tokendagi tizim vaqtlari sinxronlanishi
lozim.
Asinxron dinamik qurilmalar qandaydir hodisa (masalan,
serverdagi va tokendagi tugmalar bosilganida) sodir bo‘lganida
navbatdagi parolni generatsiyalaydi. Sinxron va asinxron qurilmalar
generatsiyalovchi parol identifikatsiyani, kiritiluvchi PIN-kod yoki parol
esa autentifikatsiyani ta’minlashi mumkin. Undan tashqari, bunday
tizimlar, foydalanuvchi ismidan foydalanib, ikki omilli autentifikatsiyani
tashkil etishi mumkin.
So‘rov-javobli kurilmalar
autentifikatsiyaning nomdosh
mexanizmini amalga oshiradi. Mijoz (kalit) so‘rovni boshlaydi,
autentifikatsiya vazifasini bajaruvchi server javob sifatida qandaydir
psevdotasodifiy kodni yoki iborani generatsiyalaydi va kalitga uzatadi.
Olingan ma’lumotlar asosida elektron qurilma o‘rnatilgan algoritm
bo‘yicha javobni hisoblaydi va serverga qayta jo‘natadi. Server kalitda
amalga oshirilgan algoritmni biladi va mijozdan kelgan javobning
to‘g‘riligini tekshiruvchi autentifikatsiya amalini bajaradi.
Elektron qurilmalar qator kamchiliklarga ega:
- qurilmani bilmasdan sindirish mumkin, qurilma energiya
iste’mol qilsa uning energiya ta’minoti holatini kuzatish lozim;
- qurilma o‘g‘irlanishi, yo‘qotilishi, olib qo‘yilishi
yoki kimdir
undan foydalanishi holati tug‘ilishi mumkin;
- oddiy qurilmalar klonlashtirilishi mumkin;
- USB-tokenlardan tashqari, aksariyat qurilmalar qo‘shimcha
o‘qish qurilmalarining mavjudligi talab etiladi.
Biletlar. Identifikatsiya va autentifikatsiyani nafaqat elektron
qurilmalar, balki mustaqil noyob ma’lumotlarning kriptografik nabori
yordamida tasavvur etish mumkin. Tarmoqda autentifikatsiya jarayonida
ishtirokchilarga taqdim etiladigan seans biletlari
yoki mandatlar keng
tarqalgan. Biletlardan foydalanib autentifikatsiya mexanizmini amalga
oshiruvchi tizimlarga Kerberos misol bo‘la oladi.
Tarmoq autentifikatsiyasini markazlashtirilmagan (har bir
stansiyada) yoki markazlashtirilgan tarzda amalga oshirish mumkin.
Markazlashtirilgan tarzda amalga oshirishda autentifikatsiyaning
ajratilgan serveridan foydalaniladi. Markazlashtirilgan
autentifikatsiyaning mashhur serveri – Kerberos. Uning asosiy
xususiyatlari quyidagilar:
94
- barqaror autentifikatsiyani amalga oshirishda seans biletlaridan
foydalaniladi. Bilet tarkibida shifrlangan yashirin kalit, so‘rov
xarakteristikasi, almashishning vaqtiy oralig‘i va h. mavjud;
- autentifikatsiya axborotini yashirish uchun simmetrik
algoritmdan foydalaniladi;
- tarmoq komponentlari orasida aloqani o‘rnatishdan oldin ikkita
stansiyaning (mijoz va server) o‘zaro autentifikatsiya
mexanizmlari
ishlatiladi;
- tizimda yagona kirish texnologiyasi amalga oshiriladi. Bunda
sessiya doirasida turli tarmoq so‘rovlarini bajarishda avtorizatsiyalangan
foydalanuvchining foydalanuvchi parolini qaytadan kiritishiga hojat
qolmaydi;
- har bir stansiya Kerberos serverida saqlanuvchi uzoq muddatli
maxfiy kalitga ega.
Kerberos serveri ishtirokidagi mijoz va server orasidagi dastlabki
autentifikatsiya algoritmi quyidagi ko‘rinishga ega:
-
mijoz Kerberos serveriga, tarkibida mijoz
identifikatori va
so‘raluvchi server servisi bo‘lgan so‘rovni jo‘natadi;
-
Kerberos, serverning maxfiy kaliti bilan shifrlangan
shakllantirilgan biletni va mijozning maxfiy kaliti bilan shifrlangan
biletdagi axborot qismi nusxasini mijozga qaytarib jo‘natadi;
-
mijoz biletdagi axborotning ikkinchi qismini rasshifrovkalab,
uni bilet bilan birga serverga jo‘natadi;
-
server biletni rasshifrovkalab, uning tarkibini mijoz jo‘natgan
axborot bilan taqqoslaydi. Mos kelishi mijoz va serverning o‘zaro
muloqotning vakolatli abonentlari ekanligini tasdiqlaydi.
Odatda biletni shifrlash DES, 3DES, AES (Kerberos v5) simmetrik
algoritmlari bo‘yicha bajariladi.
Kerberos tizimining asosiy kamchiligini
aksariyat
markazlashtirilgan tizimlar kamchiliklari bilan, xususan, kalitlarni
taqsimlash markazida (Key Destribution Center, KDCda) maxfiy
kalitlarning markazlashgan holda saqlanishi bilan bog‘lashadi.
Ta’kidlash lozimki, autentifikatsiya protokollarida asimmetrik
shifrlash va elektron raqamli imzodan ham foydalanish mumkin.