Andijon davlar universiteti fizika- matematika fakulteti axborot texnologiyalari kafedrasi


II.2. Bir martalik parolni autentifikatsiya qilish



Yüklə 102,67 Kb.
səhifə9/16
tarix02.01.2022
ölçüsü102,67 Kb.
#43008
1   ...   5   6   7   8   9   10   11   12   ...   16
Andijon davlar universiteti fizika- matematika fakulteti axborot

II.2. Bir martalik parolni autentifikatsiya qilish.

Autentifikatsiyaning keng tarqalgan sxemalaridan biri oddiy autentifikatsiyalash bo‘lib, u an’anaviy ko‘p martali parollarni ishlatishga asoslangan. Tarmoqdagi foydalanuvchini oddiy autentifikatsiyalash muolajasini quyidagicha tasavvur etish mumkin. Tarmoqdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida o‘zining identifikatori va parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori bo‘yicha ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va avtorizatsiya tizimi orqali uning maqomi uchun aniqlangan huquqlarni va tarmoq resurslaridan foydalanishga ruxsatni oladi.

Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi II.2.1.–rasmda keltirilgan.

Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali autentifikatsiyalash varianti xavfsizlikning hatto minimal darajasini kafolatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Yek va rasshifrovka qilish Dk vositalari kiritilgan.

Bu vositalar bo‘linuvchi maxfiy kalit K orqali boshqariladi. Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol PA bilan autentifikatsiya serverida saqlanuvchi dastlabki qiymat PA ni taqqoslashga asoslangan. Agar PAva R1A qiymatlar mos kelsa, parol PA haqiqiy, foydalanuvchi A esa qonuniy hisoblanadi.

Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo‘llashning quyidagi usullari ma’lum:

Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.

Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.

Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish.

Birinchi usulni amalga oshirish misoli sifatida SecurID autentifikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya SecurityDynamics kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning, xususan CiscoSystems kompaniyasining serverlarida amalga oshirilgan.


Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy sonlarni vaqtning ma’lum oralig‘idan so‘ng generatsiyalash algoritmiga asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:

har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat maxfiy kalit;

joriy vaqt qiymati.

Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita raqamidan iborat. Server foydalanuvchi tomonidan kiritilgan PIN-koddan foydalanib ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida tasodifiy sonni generatsiyalash algoritmini bajaradi. So‘ngra server generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.

Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi va server ichki soati bilan apparat kalitining muvofiqligi asta-sekin buzilishi mumkin.

Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki usuldan foydalanadi:

apparat kaliti ishlab chiqilayotganida uning taymer chastotasining me’yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server algoritmi parametri sifatida hisobga olinadi;

server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va zaruriyat tug‘ilganida ushbu kalitga moslashadi.

Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘liq. Apparat kalit generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya sxemasining eng zaif joyi hisoblanadi.

Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi yana bir variant – «so‘rov-javob» sxemasi bo‘yicha autentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga uringanida server unga tasodifiy son ko‘rinishidagi so‘rovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va serverning ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida rasshifrovka qiladi. Tasodifiy son - so‘rov shifrlangan ko‘rinishda serverga qaytariladi. Server ham o‘z navbatida o‘sha DES algoritmi va serverning ma’lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti yordamida o‘zi generatsiyalagan tasodifiy sonni shifrlaydi. So‘ngra server shifrlash natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida foydalanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so‘rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxronizatsiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda murakkabroq.

Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo‘linuvchi ro‘yxati maxfiy parollar ketma-ketligi yoki to‘plami bo‘lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro‘yxat autentifikatsion almashinuv taraflar o‘rtasida oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘rov-javob jadvali ishlatiladi. Bu jadvalda autentifikatsilash uchun taraflar tomonidan ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har bir juft faqat bir marta ishlatilishi shart.

Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari mavjud:

o‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;

bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi (Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.

Keng tarqalgan bir martali paroldan foydalanishga asoslangan autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key (RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilarning haqiqiyligini tekshirishni talab etuvchi ko‘pgina tizimlarda, xususan, Cisco kompaniyasining TACACS+tizimida amalga oshirilgan.

Parollar allaqachon operatsion tizimlar va boshqa xizmatlarga kiritilgan. To'g'ri ishlatilganda parollar ko'plab tashkilotlar uchun xavfsizlikning maqbul darajasini ta'minlaydi. Biroq, xarakteristikalar kombinatsiyasi nuqtai nazaridan ular autentifikatsiyaning eng zaif vositasi sifatida tan olinishi kerak.  

Parolni unutilmas qilish uchun, bu juda oddiy (qiz do'stining ismi, sport jamoasining nomi va boshqalar). Biroq, oddiy parolni topish oson, ayniqsa agar siz ushbu foydalanuvchining afzalliklarini bilsangiz. Sovet razvedkachisi Richard Sorge haqidagi klassik hikoya ma'lum, diqqat ob'ekti "karamba" so'zi bilan aytilgan; Albatta, eng yuqori maxfiy seyf xuddi shu so'z bilan ochilgan.

Ba'zida parollar boshidanoq sir saqlanmaydi, chunki ular hujjatlarda ko'rsatilgan standart qiymatlarga ega va tizim o'rnatilgandan so'ng ular har doim o'zgarib turadi.

Parolni kiritishda josuslik qilish mumkin. Ba'zan peeping uchun hatto optik asboblar ham qo'llaniladi.

Ko'pincha hamkasblarga parollar, masalan, parol egasini vaqtincha o'zgartirishi uchun xabar beriladi. Nazariy jihatdan, bunday hollarda erkin foydalanishni boshqarish vositalaridan foydalanish to'g'riroq, ammo amalda hech kim buni qilmaydi; va ikkalasi biladigan sir endi sir emas.

Parolni, masalan, lug'atdan foydalanib, "shafqatsiz kuch usuli" yordamida taxmin qilish mumkin. Agar parol fayli shifrlangan, ammo o'qilishi mumkin bo'lsa, uni kompyuteringizga yuklab olishingiz va to'liq ro'yxatni dasturlashtirish orqali parolni topishga harakat qilishingiz mumkin (shifrlash algoritmi ma'lum deb taxmin qilinadi).

Shu bilan birga, quyidagi choralar parolni himoya qilishning ishonchliligini sezilarli darajada oshirishi mumkin:


  • texnik cheklovlarni kiritish (parol juda qisqa bo'lmasligi kerak, unda harflar, raqamlar, tinish belgilari va boshqalar bo'lishi kerak); 

  • parolning amal qilish muddatini boshqarish , ularni davriy o'zgartirish;

  • parol fayliga kirishni cheklash;

  • tizimga kirish uchun urinishlar sonini cheklash (bu "shafqatsiz kuch usuli" dan foydalanishni qiyinlashtiradi);

  • foydalanuvchilarni o'qitish;

  • dasturiy ta'minot parolini ishlab chiqaruvchilardan foydalanish (oddiy qoidalarga asoslangan bunday dastur faqat uyg'un va shuning uchun esda qoladigan parollarni yaratishi mumkin).  

  • Parollar bilan bir qatorda autentifikatsiya qilishning boshqa usullari ishlatilgan bo'lsa ham, yuqoridagi choralarni doimo qo'llash tavsiya etiladi.


Yüklə 102,67 Kb.

Dostları ilə paylaş:
1   ...   5   6   7   8   9   10   11   12   ...   16




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin