Axborot texnologiyalari


 Ma’ruza. Xavfsizlikni boshqarish va himoya tizimini qurish



Yüklə 1,18 Mb.
Pdf görüntüsü
səhifə44/45
tarix13.04.2022
ölçüsü1,18 Mb.
#55283
1   ...   37   38   39   40   41   42   43   44   45
axborot xavfsizligi (1)

9. Ma’ruza. Xavfsizlikni boshqarish va himoya tizimini qurish. 

 

Parolli himoya va ularning zamonaviy turlari. Parollar asosida 

autentifikatsiyalash 

Autentifikatsiyaning  keng  tarqalgan  sxemalaridan  biri  oddiy  autentifikatsiyalash 

bo’lib,  u  an’anaviy  ko’p  martali  parollarni  ishlatishi-ga  asoslangan.  Tarmoqdagi 

foydalanuvchini  oddiy  autentifikatsiyalash  muolajasini  quyidagicha  tasavvur  etish 

mumkin.  Tarmoqdan  foydalanishga  uringan  foydalanuvchi  kompyuter  klaviaturasida 

o’zining  identifikatori  va  parolini  teradi.  Bu  ma’lumotlar  autentifikatsiya  serveriga 

ishlanish  uchun  tushadi.  Autentifikatsiya  serverida  saqlanayotgan  foydalanuvchi 

identifikatori bo’yicha  ma’lumotlar  bazasidan  mos  yozuv topiladi, undan parolni  topib 

foydalanuvchi  kiritgan  parol  bilan  taqqoslanadi.  Agar  ular  mos  kelsa,  autentifikatsiya 

muvaffaqiyatli  o’tgan  hisoblanadi  va  foydalanuvchi  legal  (qonuniy)  maqomini  va 

avtorizatsiya  tizimi  orqali  uning  maqomi  uchun  aniqlangan  xuquqlarni  va  tarmoq 

resurslaridan foydalanishga ruxsatni oladi.   

Eng  keng  tarqalgan  usul  —  foydalanuvchilar  parolini  tizimli  fayllarda,  ochiq 

holda  saqlash  usulidir.  Bunda  fayllarga  o’qish  va  yozishdan  himoyalash  atributlari 

o’rnatiladi  (masalan,  operatsion  tizimdan  foydalanishni  nazoratlash  ruyxatidagi  mos 

imtiyozlarni  tavsiflash  yordamida).  Tizim  foydalanuvchi  kiritgan  parolni  parollar 

faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama 

funktsiyalar  kabi  kriptografik  mexanizmlar  ishlatilmaydi.  Ushbu  usulning  kamchiligi  - 

niyati  buzuq  odamning  tizimda  ma’mur  imtiyozlaridan,  shu  bilan  birga  tizim 

fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.   

 

 

 



Oddiy  autentifikatsiyani  tashkil  etish  sxemalari  nafaqat  parollarni  uzatish,  balki 

ularni  saqlash  va  tekshirish  turlari  bilan  ajralib  turadi.  Eng  keng  tarqalgan  usul  — 

foydalanuvchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir. Bunda fayllarga 

o’qish  va  yozishdan  himoyalash  atributlari  o’rnatiladi  (masalan,  operatsion  tizimdan 

foydalanishni  nazoratlash  ruyxatidagi  mos  imtiyozlarni  tavsiflash  yordamida).  Tizim 

foydalanuvchi  kiritgan  parolni  parollar  faylida  saqlanayotgan  yozuv  bilan  solishtiradi. 

Bu  usulda  shifrlash  yoki  bir  tomonlama  funktsiyalar  kabi  kriptografik  mexanizmlar 

ishlatilmaydi.  Ushbu  usulning  kamchiligi  -  niyati  buzuq  odamning  tizimda  ma’mur 



 

- 47 - 


imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish 

imkoniyatidir.   

Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funktsiyalardan foydalanib 

uzatish  va  saqlash  qulay  hisoblanadi.  Bu  holda  foydalanuvchi  parolning  ochiq  shakli 

urniga  uning  bir  tomonlama  funktsiya  h(.)  dan  foydalanib  olingan  tasvirini  yuborishi 

shart.  Bu  o’zgartirish  g’anim  tomonidan  parolni  uning  tasviri  orqali  oshkor  qila 

olmaganligini kafolatlaydi, chunki g’anim yechilmaydigan sonli masalaga duch keladi.  

Ko’p  martali  parollarga  asoslangan  oddiy  autentifikatsiyalash  tizi-mining 

bardoshligi  past,  chunki  ularda  autentifikatsiyalovchi  axborot  ma’noli  so’zlarning 

nisbatan  katta  bo’lmagan  to’plamidan  jamlanadi.  Ko’p  martali  parollarning  ta’sir 

muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam 

ravishda  almashtirib  turish  lozim.  Parollarni  shunday  tanlash  lozimki,  ular  lug’atda 

bo’lmasin va ularni topish qiyin bo’lsin. 

Bir  martali  parollarga  asoslangan  autentifikatsiyalashda  foydalanishga  har  bir 

so’rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta 

foydalanishga  yaroqli.  Agar,  hatto  kimdir  uni ushlab qolsa ham  parol  foyda  bermaydi. 

Odatda  bir  martali  parollarga  asoslangan  autentfikatsiyalash  tizimi  masofadagi 

foydalanuvchilarni tekshirishda qo’llaniladi.   

Bir  martali  parollarni  generatsiyalash  apparat  yoki  dasturiy  usul  oqali  amalga 

oshirilishi  mumkin.  Bir  martali  parollar  asosidagi  foydalanishning  apparat  vositalari 

tashqaridan  to’lov  plastik  kartochkalariga  o’xshash  mikroprotsessor  o’rnatilgan 

miniatyur qurilmalar ko’rinishda amalga oshiradi. Odatda kalitlar deb ataluvchi bunday 

kartalar klaviaturaga va katta bo’lmagan displey darchasiga ega. 

Foydalanuvchilarni  autentifikatsiyalash  uchun  bir  martali  parollarni  qo’llashning 

quyidagi usullari ma’lum: 

1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.  

2.  Legal foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan tasodifiy parollar 

ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.  

3.      Foydalanuvchi  va  tekshiruvchi  uchun  umumiy  bo’lgan  bir  xil  dastlabki 

qiymatli psevdotasodifiy sonlar generatoridan foydalanish. 

Birinchi  usulni  amalga  oshirish  misoli  sifatida  SecurID  autentikatsiyalash 

texnologiyasini  ko’rsatish  mumkin.  Bu  texnologiya  Security  Dynamics  kompaniyasi 

tomonidan  ishlab  chiqilgan  bo’lib,  qator  kompaniyalarning,  xususan  Cisco  Systems 

kompaniyasining serverlarida amalga oshirilgan. 

Vaqt  sinxronizatsiyasidan  foydalanib  autentifikatsiyalash  sxemasi  tasodifiy 

sonlarni  vaqtning  ma’lum  oralig’idan  so’ng  generatsiyalash  algoritmiga  asoslangan. 

Autentifikatsiya sxemasi quyidagi ikkita parametrdan  

foydalanadi: 

 

•    har  bir  foydalanuvchiga  atalgan  va  autentifikatsiya  serverida  hamda 



foydalanuvchining  apparat  kalitida  saqlanuvchi  noyob  64-bitli  sondan  iborat  maxfiy 

kalit;  


•  joriy vaqt qiymati. 

Autentifikatsiyaning  bu  sxemasi  bilan  yana  bir  muammo  bog’liq.  Apparat  kalit 

generatsiyalagan  tasodifiy  son  katta  bo’lmagan  vaqt  oralig’i  mobaynida  haqiqiy  parol 

hisoblanadi.  SHu  sababli,  umuman,  qisqa  muddatli  vaziyat  sodir  bo’lishi  mumkinki, 



 

- 48 - 


xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu 

vaqt  sinxronizatsiyasiga  asoslangan  autentifikatsiya  sxemasining  eng  zaif  joyi 

hisoblanadi.  

Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi yana 

bir  variant  -  «so’rov-javob»  sxemasi  bo’yicha  autentifikatsiyalash.  Foydalanuvchi 

tarmoqdan  foydalanishga  uringanida  server  unga  tasodifiy  son  ko’rinishidagi  so’rovni 

uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan DES algoritmi va 

foydalanuvchining  apparat  kaliti  xotirasida  va  serverning  ma’lumotlar  bazasida 

saqlanuvchi  maxfiy  kaliti  yordamida  rasshifrovka  qiladi.  Tasodifiy  son  -  so’rov 

shifrlangan  ko’rinishda  serverga  qaytariladi.  Server  ham  o’z  navbatida  o’sha  DES 

algoritmi va serverning ma’lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti 

yordamida  o’zi  generatsiyalagan  tasodifiy  sonni  shifrlaydi.  So’ngra  server  shifrlash 

natijasini  apparat  kalitidan  kelgan  son  bilan  taqqoslaydi.  Bu  sonlar  mos  kelganida 

foydalanuvchi  tarmoqdan  foydalanishga  ruxsat  oladi.  Ta’kidlash  lozimki,  «so’rov-

javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxronizatsiyasidan foydalanuvchi 

autentifikatsiya sxemasiga qaraganda murakkabroq. 

Foydalanuvchini  autentifikatsiyalash  uchun  bir  martali  paroldan  foydalanishning 

ikkinchi  usuli  foydalanuvchi  va  tekshiruvchi  uchun  umumiy  bo’lgan  tasodifiy  parollar 

ruyxatidan  va  ularning  ishonchli  sinxronlash  mexanizmidan  foydalanishga  asoslangan. 

Bir  martali  parollarning  bo’linuvchi  ro’yxati  maxfiy  parollar  ketma-ketligi  yoki 

to’plami bo’lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro’yxat autentifikatsion 

almashinuv  taraflar  o’rtasida  oldindan  taqsimlanishi  shart.  Ushbu  usulning  bir 

variantiga  binoan  so’rov-javob  jadvali  ishlatiladi.  Bu  jadvalda  autentifikatsilash  uchun 

taraflar  tomonidan  ishlatiluvchi  so’rovlar  va  javoblar  mavjud  bo’lib,  har  bir  juft  faqat 

bir marta ishlatilishi shart. 

Foydalanuvchini  autentifikatsiyalash  uchun  bir  martali  paroldan  foydalanishning 

uchinchi  usuli  foydalanuvchi  va  tekshiruvchi  uchun  umumiy  bo’lgan  bir  xil  dastlabki 

qiymatli  psevdotasodifiy  sonlar  generatoridan  foydalanishga  asoslangan.  Bu  usulni 

amalga oshirishning quyidagi variantlari mavjud: 

•    o’zgartiriluvchi  bir  martali  parollar  ketma-ketligi.  Navbatdagi 

autentifikatsiyalash  sessiyasida  foydalanuvchi  aynan  shu  sessiya  uchun oldingi  sessiya 

parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;  

•    bir  tomonlama  funktsiyaga  asoslangan  parollar  ketma-ketligi.  Ushbu 

usulning  mohiyatini  bir  tomonlama  funktsiyaning  ketma-ket  ishlatilishi  (Lampartning 

mashhur  sxemasi)  tashkil  etadi.  Xavfsizlik  nuqtai  nazaridan  bu  usul  ketma-ket 

o’zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi. 




Yüklə 1,18 Mb.

Dostları ilə paylaş:
1   ...   37   38   39   40   41   42   43   44   45



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Stomatologiya
Anesteziologiya
Cərrahlıq
Ginekologiya
Tibb

yükləyin