153
dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikasiyalash
texnologiyasini ko‘rsatish mumkin. Bu texnologiya SecurityDynamics
kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning, xususan
CiscoSystems kompaniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizasiyasidan foydalanib autentifikatsiyalash
sxemasi tasodifiy
sonlarni vaqtning ma’lum oralig‘idan so‘ng generatsiyalash algoritmiga
asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:
har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat
maxfiy kalit;
joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan
shaxsiy identifikasiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli
raqamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita
raqamidan iborat. Server foydalanuvchi tomonidan
kiritilgan PIN-koddan
foydalanib ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt
qiymati asosida tasodifiy sonni generatsiyalash algoritmini bajaradi. So‘ngra server
generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu
sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va
serverning qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha
yil ishlashi va demak server ichki soati bilan apparat
kalitining muvofiqligi asta-
sekin buzilishi mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki
usuldan foydalanadi:
apparat kaliti ishlab chiqilayotganida uning taymer chastotasining
me’yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server
algoritmi parametri sifatida hisobga olinadi;
server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va
154
zaruriyat tug‘ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘liq. Apparat
kalit generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida
haqiqiy parol hisoblanadi.
Shu sababli, umuman, qisqa muddatli vaziyat sodir
bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan
foydalanishga ishlatishi mumkin. Bu vaqt sinxronizasiyasiga asoslangan
autentifikatsiya sxemasining eng zaif joyi hisoblanadi.
Bir martali paroldan foydalanib autentifikatsiyalashni amalga oshiruvchi
yana bir variant – «so‘rov-javob» sxemasi bo‘yicha autentifikatsiyalash.
Foydalanuvchi tarmoqdan foydalanishga uringanida
server unga tasodifiy son
ko‘rinishidagi so‘rovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy
sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va
serverning ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida rasshifrovka
qiladi. Tasodifiy son - so‘rov shifrlangan ko‘rinishda serverga qaytariladi. Server
ham o‘z navbatida o‘sha DES algoritmi va serverning ma’lumotlar bazasidan
olingan foydalanuvchining maxfiy kaliti yordamida o‘zi generatsiyalagan tasodifiy
sonni shifrlaydi. So‘ngra server shifrlash natijasini apparat kalitidan kelgan son
bilan taqqoslaydi. Bu sonlar mos kelganida
foydalanuvchi tarmoqdan
foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so‘rov-javob» autentifikatsiyalash
sxemasi ishlatishda vaqt sinxronizasiyasidan foydalanuvchi autentifikatsiya
sxemasiga qaraganda murakkabroq.
Foydalanuvchini
autentifikatsiyalash
uchun
bir
martali
paroldan
foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash
mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo‘linuvchi
ro‘yxati maxfiy parollar ketma-ketligi yoki nabori bo‘lib, har bir parol faqat bir
marta ishlatiladi. Ushbu ro‘yxat autentifikasion almashinuv taraflar o‘rtasida
oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘rov-javob
jadvali ishlatiladi. Bu jadvalda autentifikasilash uchun taraflar tomonidan
ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har
bir juft faqat bir marta
155
ishlatilishi shart.
Foydalanuvchini
autentifikatsiyalash
uchun
bir
martali
paroldan
foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan
foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari
mavjud:
o‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi
sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;
bir tomonlama funksiyaga asoslangan parollar ketma-ketligi.
Ushbu
usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi
(Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul
ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.
Keng
tarqalgan
bir
martali
paroldan
foydalanishga
asoslangan
autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key
(RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilarning
haqiqiyligini tekshirishni talab etuvchi ko‘pgina tizimlarda, xususan, Cisco
kompaniyasining TACACS+tizimida amalga oshirilgan.