10-Ma’ruza Mavzu: Identifikatsiya va autentifikatsiya vositalari
Yüklə 126,37 Kb.
|
|
Elektron qurilmalar. Identifikatsiya va autentifikatsiya vositalarining 2-turiga, tarkibida subyekt xususida qandaydir noyob axborot mavjud elektron qurilmalar taalluqli. Bunday qurilmalar foydalanuvchilar bilan birga bo‘lishi lozim. 4.1-rasmda maxsus maqsadli smartkarta va uni o‘quvchi qurilma (smartkarta o‘quvchi qurilma) aks ettirilgan.
4.1-rasm. Smartkarta va smartkarta o‘quvchi (ACR39U) qurilma Elektron qurilmalarni quyidagicha tasniflash mumkin: amalga oshirilishi bo‘yicha passiv (faqat xotirali) va aktiv (mikroprosessorli) elektron qurilmalar farqlanadi; o‘qish qurilmalarining mavjudligi bo‘yicha alohida o‘qish qurilmasili (reader), kalit bilan integrallangan o‘qish qurilmasili (masalan USB- portga ulanadi) va kompyuterning kiritish qurilmasidan va asosiy xotirasidan foydalanuvchi elektron qurilmalar farqlanadi; funksional belgilanishi bo‘yicha statik, sinxron dinamik va asinxron dinamik elektron qurilmalar farqlanadi. Statik qurilmalar doimiy noyob axborotni saqlashni ta’minlaydi va subyektni autentifikatsiyalash yoki identifikatsiyalash uchun ishlatiladi. Oddiygina statik qurilmalarga disketa, xotira kartasi, magnit tasmali, qog‘oz karta, tarkibida identifikator, parol, sertifikat va h. bo‘lgan ATM- karta misol bo‘la oladi. Zamonaviy statik qurilmalarga quyidagilar taalluqli: smart kartalar – mikroprosessor o‘rnatilgan kredit karta o‘lchamidagi karta; USB kalitlar – kompyuterning USB-portiga to‘g‘ridan-to‘g‘ri ulanuvchi qurilma bo‘lib, tarkibida mikroprosessor o‘rnatilgan kalit va o‘qish qurilmasi mavjud; iButton elektron tabletkalari. Ba’zida, Touch Memory deb ham ataladi; kontaktsiz radiochastota identifikatorlari – RFID– radiometkalar. Sinxron dinamik qurilmalar vaqtning o‘zgarmas oralig‘ida parol generatsiyalaydi. Serverdagi va tokendagi tizim vaqtlari sinxronlanishi lozim. Asinxron dinamik qurilmalar qandaydir hodisa (masalan, serverdagi va tokendagi tugmalar bosilganida) sodir bo‘lganida navbatdagi parolni generatsiyalaydi. Sinxron va asinxron qurilmalar generatsiyalovchi parol identifikatsiyani, kiritiluvchi PIN-kod yoki parol esa autentifikatsiyani ta’minlashi mumkin. Undan tashqari, bunday tizimlar, foydalanuvchi ismidan foydalanib, ikki omilli autentifikatsiyani tashkil etishi mumkin. So‘rov-javobli kurilmalar autentifikatsiyaning nomdosh mexanizmini amalga oshiradi. Mijoz (kalit) so‘rovni boshlaydi, autentifikatsiya vazifasini bajaruvchi server javob sifatida qandaydir psevdotasodifiy kodni yoki iborani generatsiyalaydi va kalitga uzatadi. Olingan ma’lumotlar asosida elektron qurilma o‘rnatilgan algoritm bo‘yicha javobni hisoblaydi va serverga qayta jo‘natadi. Server kalitda amalga oshirilgan algoritmni biladi va mijozdan kelgan javobning to‘g‘riligini tekshiruvchi autentifikatsiya amalini bajaradi. Elektron qurilmalar qator kamchiliklarga ega: qurilmani bilmasdan sindirish mumkin, qurilma energiya iste’mol qilsa uning energiya ta’minoti holatini kuzatish lozim; qurilma o‘g‘irlanishi, yo‘qotilishi, olib qo‘yilishi yoki kimdir undan foydalanishi holati tug‘ilishi mumkin; oddiy qurilmalar klonlashtirilishi mumkin; USB-tokenlardan tashqari, aksariyat qurilmalar qo‘shimcha o‘qish qurilmalarining mavjudligi talab etiladi. Biletlar. Identifikatsiya va autentifikatsiyani nafaqat elektron qurilmalar, balki mustaqil noyob ma’lumotlarning kriptografik nabori yordamida tasavvur etish mumkin. Tarmoqda autentifikatsiya jarayonida ishtirokchilarga taqdim etiladigan seans biletlari yoki mandatlar keng tarqalgan. Biletlardan foydalanib autentifikatsiya mexanizmini amalga oshiruvchi tizimlarga Kerberos misol bo‘la oladi. Tarmoq autentifikatsiyasini markazlashtirilmagan (har bir stansiyada) yoki markazlashtirilgan tarzda amalga oshirish mumkin. Markazlashtirilgan tarzda amalga oshirishda autentifikatsiyaning ajratilgan serveridan foydalaniladi. Markazlashtirilgan autentifikatsiyaning mashhur serveri – Kerberos. Uning asosiy xususiyatlari quyidagilar: barqaror autentifikatsiyani amalga oshirishda seans biletlaridan foydalaniladi. Bilet tarkibida shifrlangan yashirin kalit, so‘rov xarakteristikasi, almashishning vaqtiy oralig‘i va h. mavjud; autentifikatsiya axborotini yashirish uchun simmetrik algoritmdan foydalaniladi; tarmoq komponentlari orasida aloqani o‘rnatishdan oldin ikkita stansiyaning (mijoz va server) o‘zaro autentifikatsiya mexanizmlari ishlatiladi; tizimda yagona kirish texnologiyasi amalga oshiriladi. Bunda sessiya doirasida turli tarmoq so‘rovlarini bajarishda avtorizatsiyalangan foydalanuvchining foydalanuvchi parolini qaytadan kiritishiga hojat qolmaydi; har bir stansiya Kerberos serverida saqlanuvchi uzoq muddatli maxfiy kalitga ega. Kerberos serveri ishtirokidagi mijoz va server orasidagi dastlabki autentifikatsiya algoritmi quyidagi ko‘rinishga ega: mijoz Kerberos serveriga, tarkibida mijoz identifikatori va so‘raluvchi server servisi bo‘lgan so‘rovni jo‘natadi; Kerberos, serverning maxfiy kaliti bilan shifrlangan shakllantirilgan biletni va mijozning maxfiy kaliti bilan shifrlangan biletdagi axborot qismi nusxasini mijozga qaytarib jo‘natadi; mijoz biletdagi axborotning ikkinchi qismini rasshifrovkalab, uni bilet bilan birga serverga jo‘natadi; server biletni rasshifrovkalab, uning tarkibini mijoz jo‘natgan axborot bilan taqqoslaydi. Mos kelishi mijoz va serverning o‘zaro muloqotning vakolatli abonentlari ekanligini tasdiqlaydi. Odatda biletni shifrlash DES, 3DES, AES (Kerberos v5) simmetrik algoritmlari bo‘yicha bajariladi. Kerberos tizimining asosiy kamchiligini aksariyat markazlashtirilgan tizimlar kamchiliklari bilan, xususan, kalitlarni taqsimlash markazida (Key Destribution Center, KDCda) maxfiy kalitlarning markazlashgan holda saqlanishi bilan bog‘lashadi. Ta’kidlash lozimki, autentifikatsiya protokollarida asimmetrik shifrlash va elektron raqamli imzodan ham foydalanish mumkin. Yüklə 126,37 Kb. Dostları ilə paylaş:
|