Mavzu: Axborot xavfsizligada autentifikatsiyani amalga oshirishda shifrlash algoritimlari mundarija kirish
Yüklə 0,8 Mb.
|
|
Dinamik - (bir martalik) parol - bir marta ishlatilganidan sung boshka umuman ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam uzgarib turuvchi kiymat ishlatidadi.
“Surov-javob” tizimi - taraflarning biri noyob va oldindan bilib bulmaydigan “surov” kiymatini ikkinchi tarafga junatish orkali autentifikatsiyani boshlab beradi, ikkinchi taraf esa surov va sir yordamida xisoblangan javobni junatadi. Ikkala tarafga bitta sir ma’lum bulgani sababli, birinchi taraf ikkinchi taraf javobini tugridigini tekshirishi mumkin. Sertifikatlar va ratsamli imzolar - agar autentifikatsiya uchun sertifikatlar ishlatilsa, bu sertifikatlarda rakamli imzoning ishlatilishi talab etiladi. Sertifikatlar foydalanuvchi tashkilotining mas’ul shaxsi, sertifikatlar serveri yoki tashki ishonchli tashkilot tomonidan beriladi. Internet doirasida ochik kalit sertifikatlarini tarkatish uchun ochik kalitlarni boshkaruvchi kator tijorat infratuzidmalari PKI (Public Key 1p1ga8^isShge) paydo buldi. Foydalanuvchilar turli daraja sertifikatlarini olishlari mumkin. Autentifikatsiya jaryonlarini ta’minlanuvchi xavfsizlik darajasi buyicha xam turkumlash mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari kuyidagi turlarga bulinadi: parollar va rakamli sertifikatlardan foydalanuvchi autentifikatsiya; kriptografik usullar va vositalar asosidagi katiy autentifikatsiya; nullik bilim bilan isbotlash xususiyatiga ega bulgan autentifikatsiya jarayonlari (protokollari); foydalanuvchilarni biometrik autentifikatsiyasi. Xavfsizlik nuktai nazaridan yukorida keltirilganlarning xar biri uziga xos masalalarni yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va protokollari amalda faol ishlatiladi. Shu bilan bir katorda ta’kidlash lozimki, nullik bilim bilan isbotlash xususiyatiga ega bulgan autentifikatsiyaga kizikish amaliy xarakterga nisbatan kuprok nazariy xarakterga ega. Balkim, yakin kelajakda ulardan axborot almashinuvini ximoyalashda faol foydalanishlari mumkin. Autentifikatsiya protokollariga buladigan asosiy xujumlar kuyidagilar: maskarad (impersonation). Foydalanuvchi uzini boshka shaxs deb kursatishga urinib, u shaxs tarafidan xarakatlarning imkoniyatlariga va imtiyozlariga ega bulishni muljallaydi; autentifikatsiya almashinuvi tarafini almashtirib suyish (interleaving attack). Niyati buzuk odam ushbu xujum mobaynida ikki taraf orasidagi autenfikatsion almashinish jarayonida trafikni modifikatsiya- lash niyatida katnashadi. Almashtirib kuyishning kuyidagi xili mavjud: ikkita foydalanuvchi urtasidagi autentifikatsiya muvaffakiyatli utib, ulanish urnatilganidan sung buzgunchi foydalanuvchilardan birini chikarib tashlab, uning nomidan ishni davom ettiradi; takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan autentifikatsiya ma’lumotlari takroran uzatiladi; uzatishni saytarish (reflection attak). Oldingi xujum variantlaridan biri bulib, xujum mobaynida niyati buzuk odam protokolning ushbu sessiya doirasida ushlab kolingan axborotni orkaga kaytaradi. majburiy kechikish (forced delay). Niyati buzuk odam kandaydir ma’lumotni ushlab kolib, biror vaktdan sung uzatadi. matn tanlashli xujum ( chosen text attack). Niyati buzuk odam autentifikatsiya trafigini ushlab kolib, uzok muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi. Yukorida keltirilgan xujumlarni bartaraf kilish uchun autentifikatsiya protokollarini kurishda kuyidagi usullardan foydalaniladi: “surov-javob”, vakt belgilari, tasodifiy sonlar, indentifikatorlar, rakamli imzolar kabi mexanizmlardan foydalanish; autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi xarakatlariga boglash. Bunday misol yondashishga tarikasida autentifikatsiya jarayonida foydalanuvchilarning keyinga uzaro alokalarida ishlatiluvchi maxfiy seans kalitlarini almashishni kursatish mumkin; alokaning urnatilgan seansi doirasida autentifikatsiya muolajasini vakti-vakti bilan bajarib turish va x. “Surov-javob” mexanizmi kuyidagicha. Agar foydalanuvchi A foydalanuvchi V dan oladigan xabari yolgon emasligiga ishonch xosil kilitttni istasa, u foydalanuvchi V uchun yuboradigan xabarga oldindan bilib bulmaydigan element - X surovini (masalan, kandaydir tasodifiy sonni) kushadi. Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan, kandaydir f(X) funksiyani xisoblash) bajarishi lozim. Buni oldindan bajarib bulmaydi, chunki surovda kanday tasodifiy son X kelishi foydalanuvchi V ga ma’lum emas. Foydalanuvchi V xarakati natijasini olgan foydalanuvchi A foydalanuvchi V ning xakikiy ekanligiga ishonch xosil kilishi mumkin. Ushbu usulning kamchiligi - surov va javob urtasidagi konuniyatni anikdash mumkinligi. Vaktni belgilash mexanizmi xar bir xabar uchun vaktni kaydlashni kuzda tutadi. Bunda tarmokning xar bir foydalanuvchisi kelgan xabarning kanchalik eskirganini anikdashi va uni kabul kidmaslik karoriga kelishi mumkin, chunki u yolgon bulishi mumkin. Vaktni belgilashdan foydalanishda seansning xakikiy ekandigini tasdiklash uchun kechikishning joiz vatst oraligi muammosi paydo buladi. Chunki, “vakt tamgasi”li xabar, umuman, bir laxzada uzatilishi mumkin emas. Undan tashkari, kabul kiluvchi va junatuvchining soatlari mutlako sinxrondangan bulishi mumkin emas. Autentifikatsiya protokollarini takkoslashda va tandashda kuyidagi xarakteristikalarni xisobga olish zarur: uzaro autentifikatsiyaning mavjudligi. Ushbu xususiyat autentifikatsion almashinuv taraflari urtasida ikkiyoklama autentifikatsiyaning zarurligini aks ettiradi; uisoblash samaradorligi. Protokolni bajarishda zarur bulgan amallar soni; kommunikatsion samaradorlik. Ushbu xususiyat autentifikatsiyani bajarish uchun zarur bulgan xabar soni va uzunligini aks ettiradi; uchinchi tarafning mavjudligi. Uchinchi tarafga misol tarikasida simmetrik kalitlarni taksimlovchi ishonchli serverni yoki ochik kalitlarni taksimdash uchun sertifikatlar daraxtini amalga oshiruvchi serverni kursatish mumkin; xavfsizlik kafolati asosi. Misol sifatida nullik bidim bilan isbotlash xususiyatiga ega bulgan protokoldarni kursatish mumkin; sirni satslash. Jiddiy kalitli axborotni saklash usuli kuzda tutiladi. 6.2. Parollar asosida autentifikatsiyalash Autentifikatsiyaning keng tarkalgan sxemalaridan biri oddiy autentifikatsiyalash bulib, u an’anaviy kup martali parollarni itttlatittti- ga asoslangan. Tarmokdagi foydalanuvchini oddiy autentifikatsiyalash muo- lajasini kuyidagicha tasavvur etish mumkin. Tarmokdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida uzining identifikatori va parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun tushadi. Autentifikatsiya serverida saklanayotgan foydalanuvchi identifikatori buyicha ma’lumotlar bazasidan mos yozuv topiladi, undan paro- lni topib foydalanuvchi kiritgan parol bilan takkoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffakiyatli utgan xisoblanadi va foydalanuvchi legal (konuniy) makomini va avtorizatsiya tizimi orkali uning makomi uchun aniklangan xukuklarni va tarmok resurslaridan foydalanishga ruxsatni oladi. Paroldan foydalangan xolda oddiy autentifikatsiyalash sxemasi rasmda keltirilgan. Foydalanuvchi A Autentifikatsiya serveri Parol xakikiy 6.1-rasm. Paroldan foydalangan uolda oddiy autentifikatsiyalash. Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orkali autentifikatsiyalash varianti xavfsizlikning xatto minimal darajasini kafolatlamaydi. Parolni ximoyalash uchun uni ximoyalanmagan kanal orkali uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Yek va rasshifrovka kilish Bk vositalari kiritilgan. Bu vositalar bulinuvchi maxfiy kalit K orkali boshkariladi. Foydalanuvchining xakikiyligini tekshirish foydalanuvchi yuborgan parol RA bilan autentifikatsiya serverida saklanuvchi dastlabki kiymat PA ni takkoslashga asoslangan. Agar RA va PA kiymatlar mos kelsa, parol RA xakikiy, foydalanuvchi A esa konuniy xisoblanadi. Oddiy autentifikatsiyani tashkil etish sxemalari nafakat parollar- ni uzatish, balki ularni sakdash va tekshirish turlari bilan ajralib tu- radi. Eng keng tarkalgan usul - foydalanuvchilar parolini tizimli fayl- larda, ochik xolda sakdash usulidir. Bunda fayllarga ukish va yozishdan ximoyalash atributlari urnatiladi (masalan, operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylsda sakdanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funksiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi niyati buzuk odamning tizimda ma’mur imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyati- dir. Xavfsizlik nuktai nazaridan parollarni bir tomonlama funksiya- lardan foydalanib uzatish va sakdash kulay xisoblanadi. Bu xolda foydalanuvchi parolning ochik shakli urniga uning bir tomonlama funksiya h(.) dan foydalanib olingan tasvirini yuborishi shart. Bu uzgartirish ganim tomonidan parolni uning tasviri orkali oshkor kila olmaganligini ka- folatlaydi, chunki ganim yechilmaydigan sonli masalaga duch keladi. Kup martali parollarga asoslangan oddiy autentifikatsiyalash tizimining bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli suzlarning nisbatan katta bulmagan tuplamidan jamlanadi. Kup martali parollarning ta’sir muddati tashkilotning xavfsizligi siyosati- da belgilanishi va bunday parollarni muntazam ravishda almashtirib tu- rish lozim. Parollarni shunday tanlash lozimki, ular lugatda bulmasin va ularni topittt kiyin bulsin. Bir martali parollarga asoslangan autentifikatsiyalashda foyda- lanishga xar bir surov uchun turli parollar ishlatiladi. Bir martali dinamik parol fakat tizimdan bir marta foydalanishga yarokdi. Agar, xatto kimdir uni ushlab kolsa xam parol foyda bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydalanuv- chilarni tekshirishda kullaniladi. Bir martali parollarni generatsiyalash apparat yoki dasturiy usul okali amalga oshirilishi mumkin. Bir martali parollar asosidagi foyda- lanishning apparat vositalari tashkaridan tulov plastik kartochkalariga uxshash mikroprotsessor urnatilgan miniatyur kuridmalar kurinishda amalga oshiradi. Odatda kalitlar deb ataluvchi bunday kartalar klaviatu- raga va katta bulmagan displey darchasiga ega. Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni kullashning kuyidagi usullari ma’lum: Yagona vakt tizimiga asoslangan vakt belgidari mexanizmidan foydalanish. Legal foydalanuvchi va tekshiruvchi uchun umumiy bulgan tasodifiy parollar ruyxatidan va ularning ishonchli sinxronlash mexaniz- midan foydalanish. Foydalanuvchi va tekshiruvchi uchun umumiy bulgan bir xil dastlabki kiymatli psevdotasodifiy sonlar generatoridan foydalanish. Birinchi usulni amalga oshirish misoli sifatida SecurID autenti- katsiyalash texnologiyasini kursatish mumkin. Bu texnologiya Security Dynamics kompaniyasi tomonidan ishlab chikilgan bulib, kator kompaniyalar- ning, xususan Cisco Systems kompaniyasining serverlarida amalga oshirid- gan. Vakt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy sonlarni vaktning ma’lum oraligidan sung generatsiyalash algo- ritmiga asoslangan. Autentifikatsiya sxemasi kuyidagi ikkita parametrdan foydalanadi: xar bir foydalanuvchiga atalgan va autentifikatsiya serverida xamda foydalanuvchining apparat kalitida saklanuvchi noyob 64-bitli sondan iborat maxfiy kalit; joriy vakt kiymati. Masofadagi foydalanuvchi tarmokdan foydalanishga uringanida undan shaxsiy identifikatsiya nomeri PINni kiritish taklif etidadi. PIN turtta unli rakamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita rakamidan iborat. Server foydalanuvchi tomonidan kiri- tnlgan PIN-koddan foydalanib ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vakt kiymati asosida tasodifiy sonni genera- siyalash algoritmini bajaradi. Sungra server generatsiyalangan son bilan foydalanuvchi kiritgan sonni takkoslaydi. Agar bu sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi. Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning kat’iy vaktiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi va demak server ichki soati bilan apparat ka- litining muvofikligi asta-sekin buzilishi mumkin. Ushbu muammoni xal etishda Security Dynamics kompaniyasi kuyidagi ikki usuldan foydalanadi: apparat kaliti ishlab chikilayotganida uning taymer chastotasi- ning meyoridan chetlashishi anik ulchanadi. Chetlashishning bu kiymati server algoritmi parametri sifatida xisobga olinadi; server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va zaruriyat tugilganida ushbu kalitga moslashadi. Autentifikatsiyaning bu sxemasi bilan yana bir muammo boglik. Apparat kalit generatsiyalagan tasodifiy son katta bulmagan vakt oraligi mobaynida xakikiy parol xisoblanadi. Shu sababli, umuman, kiska mud- datli vaziyat sodir bulishi mumkinki, xaker PIN-kodni ushlab kolishi va uni tarmokdan foydalanishga ishlatishi mumkin. Bu vakt sinxronizatsiya- siga asoslangan autentifikatsiya sxemasining eng zaif joyi xisoblanadi. Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi yana bir variant - «surov-javob» sxemasi buyicha autentifikatsiyalash. Foydalanuvchi tarmokdan foydalanishga uringanida server unga tasodifiy son kurinishidagi surovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va serverning ma’lumotlar bazasida saklanuvchi maxfiy kaliti yordamida rasshifrovka kiladi. Tasodifiy son - surov shifrlangan kurinishda serverga kaytariladi. Server xam uz navbatida usha DES algoritmi va serverning ma’lumotlar bazasidan olingan foyda- lanuvchining maxfiy kaliti yordamida uzi generatsiyalagan tasodifiy sonni shifrlaydi. Sungra server shifrlash natijasini apparat kalitidan kelgan son bilan takkoslaydi. Bu sonlar mos kelganida foydalanuvchi tarmokdan foydalanishga ruxsat oladi. Ta’kidlash lozimki, «surov-javob» autentifikatsiyalash sxemasi ishlatishda vakt sinxronizatsiyasidan foydalanuvchi autentifikatsiya sxemasiga karaganda murakkabrok. Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bulgan tasodifiy parollar ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. Bir martali parollarning bulinuvchi ruyxati maxfiy parollar ketma-ketligi yoki tuplami bulib, xar bir parol fakat bir marta ishlatiladi. Ushbu ruyxat autentifikatsi- on almashinuv taraflar urtasida oldindan taksimlanishi shart. Ushbu usulning bir variantiga binoan surov-javob jadvali ishlatiladi. Bu jad- valda autentifikatsilash uchun taraflar tomonidan ishlatiluvchi surovlar va javoblar mavjud bulib, xar bir juft fakat bir marta itttlatilittti shart. Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bulgan bir xil dastlabki kiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan. Bu usulni amalga oshirishning kuyidagi vari- antlari mavjud: uzgartiriluvchi bir martali parollar ketma-ketligi. Navbat- dagi autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi; bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu usulning moxiyatini bir tomonlama funksiyaning ketma- ket ishlatilishi (Lampartning mashxur sxemasi) tashkil etadi. Xavfsizlik nuktai nazaridan bu usul ketma-ket uzgartiriluvchi parollar usuliga nisbatan afzal xisoblanadi. Keng tarkalgan bir martali paroldan foydalanishga asoslangan autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key (RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchi- larning xakikiyligini tekshirishni talab etuvchi kupgina tizimdarda, xususan, Cisco kompaniyasining TACACS+tizimnda amalga oshirilgan. Sertifikatlar asosida autentifikatsiyalash Tarmokdan foydalanuvchidar soni millionlab ulchanganida foydala- nuBchndar paroldarining tayinlanishi va saklanishi bilan boglik foyda- lanuvchndarni dastlabki ruyxatga olish muolajasi juda katta va amalga oshirilishi kiyin buladi. Bunday sharoitda rakamli sertifikatlar aso- sidagi autentifikatsiyalash parollar kullanishiga ratsional alternativa xisoblanadi. Rakamli sertifikatlar ishlatilganida kompyuter tarmogi foydala- nuvchilari xususidagi xech kanday axborotni saklamaydi. Bunday axborotni foydalanuBchndarning uzi surov-sertifikatlarida takdim etadilar. Bunda maxfiy axborotni, xususan maxfiy kalitlarni saklash vazifasi foydala- nuBchndarning uziga yuklanadi. Foydalanuvchi shaxsini tasdiklovchi rakamli sertifikatlar foyda- lanuvchilar surovi buyicha maxsus vakolatli tashkilot-sertifikatsiya mar- kazi CA (Certificate Authority) tomonidan, ma’lum shartlar bajarilganida beriladi. Ta’kiddash lozimki, sertifikat olish muolajasining uzi xam foydalanuvchining xakikiyligini tekshirish (ya’ni, autentifikatsiyalash) boskichini uz ichiga oladi. Bunda tekshiruvchi taraf sertifikatsiyalovchi tashkilot (sertifikatsiya markazi SA) buladi. Sertifikat olish uchun mijoz sertifikatsiya markaziga shaxsini tasdiklovchi ma’lumotni va ochik kalitini takdim etishi lozim. Zaruriy ma’lumotlar ruyxati olinadigan sertifikat turiga boglik. Sertifikatsiyalovchi tashkilot foydalanuvchining xakikiyligi tasdigini tekshirgani- dan sung uzining rakamli imzosini ochik kalit va foydalanuvchi xususida- gi ma’lumot bulgan faylga joydashtiradi xamda ushbu ochik kalitning mu- ayyan shaxsga tegishli ekanligini tasdiklagan xolda foydalanuvchiga sertifikat beradi. Sertifikat elektron shakl bulib, tarkibida kuyidagi axborot buladi: ushbu sertifikat egasining ochik kaliti; sertifikat egasi xususidagi ma’lumot, masalan, ismi, elektron pochta adresi, ishlaydigan tashkilot nomi va x.; ushbu sertifikatni bergan tashkilot nomi; sertifikatsiyalovchi tashkilotning elektron imzosi - ushbu tashki- lotning maxfiy kaliti yordamida shifrlangan sertifikatsiyadagi ma’lumotlar. Sertifikat foydalanuvchini tarmok resurslariga murojaat etganida autentifikatsiyalovchi vosita xisoblanadi. Bunda tekshiruvchi taraf vazi- fasini korporativ tarmokning autentifikatsiya serveri bajaradi. Serti- fikatlar nafakat autentifikatsiyalashda, balki foydalanishning ma’lum xukuklarini takdim etishda ishlatilishi mumkin. Buning uchun sertifi- katga kushimcha xoshiyalar kiritilib ularda sertifikatsiya egasining foy- dalanuvchilarning u yoki bu kategoriyasiga mansubligi kursatiladi. Ochik kalitlarning sertifikatlar bilan uzviy boglikligini aloxida ta’kidlash lozim. Sertifikat nafakat shaxsni, balki ochik kalit mansubligini tasdiklovchi xujjatdir. Rakamli sertifikat ochik kalit va uning egasi urtasidagi moslikni urnatadi va kafolatlaydi. Bu ochik kalitni almashtirish xavfini bartaraf etadi. Agar abonent axborot almashinuvi buyicha sherigidan sertifikat tarkibidagi ochik kalitni olsa, u bu sertifikatdagi sertifikatsiya marka- zining rakamli imzosini ushbu sertifikatsiya markazining ochik kaliti yordamida tekshirish va ochik kalit adresi va boshka ma’lumotlari serti- fikatda kursatilgan foydalanuvchiga tegishli ekanligiga ishonch xosil kilittti mumkin. Sertifikatlardan foydalanilganda foydalanuvchilar ruyxatini ularning parollari bilan korporatsiya serverlarida saklash za- ruriyati yukoladi. Serverda sertifikatsiyalovchi tashkilotlarning nomlari va ochik kalitlarining bulishi yetarli. Sertifikatlarning ishlatilishi sertifikatsiyalovchi tashkilotlar- ning nisbatan kamligiga va ularning ochik kalitlaridan kizikkan barcha shaxslar va tashkilotlar foydalana olishi (masalan, jurnallardagi na- shrlar yordamida) taxminiga asoslangan. Sertifikatlar asosida autentifikatsiyalash jarayonini amalga oshi- rishda sertifikatsiyalovchi tashkilot vazifasini kim bajarishi xususidagi masalani yechish muxim xisoblanadi. Xodimlarni sertifikat bilan ta’minlash masalasini korxonaning uzi yechishi juda tabiiy xisoblanadi. Korxona uzining xodimlarini yaxshi biladi va ular shaxsini tasdikdash vazifasini uziga olishi mumkin. Bu sertifikat berilishidagi dastlabki autentifikatsiyalash muolajasini osonlashtiradi. Korxonalar sertifikat- larni generatsiyalash, berish va ularga xizmat kursatish jarayonlarini av- tomatlashtirishni ta’minlovchi mavjud dasturiy maxsulotlardan foydala- nishlari mumkin. Masalan, Netscape Communications kompaniyasi serverla- rini korxonalarga shaxsiy sertifikatlarini chikarish uchun taklif etadi. Sertifikatsiyalovchi tashkilot vazifasini bajarishda tijorat asosida sertifikat berish buyicha mustakil markazlar xam jalb etilishi mumkin. Bunday xizmatlarni, xususan, Verisign kompaniyasining sertifikatsiyalovchi markazi taklif etadi. Bu kompaniyaning sertifikatlari xalkaro standart X.509 talablariga javob beradi. Bu sertifikatlar ma’lumotlar ximoyasining kator maxsulotlarida, jumladan ximoyalangan kanal SSL protokolida ishlatiladi. K,at’iy autentifikatsiyalash Kriptografik protokollarida amalga oshiriluvchi kat’iy autentifikatsiyalash goyasi kuyidagicha. Tekshiriluvchi (isbotlovchi) taraf kandaydir sirni bilishini namoyish etgan xolda tekshiruvchiga uzining xakikiy ekanligini isbotlaydi. Masalan, bu sir autentifikatsion almashish taraflari urtasida oldindan xavfsiz usul bilan taksimlangan bulishi mumkin. Sirni bilishlik isboti kriptografik usul va vositalardan foydalanilgan xolda surov va javob ketma-ketligi yordamida amalga oshiriladi. Eng muximi, isbotlovchi taraf fakat sirni bilishligini namoyish etadi, sirni uzi esa autentifikatsion almashish mobaynida ochilmaydi. Bu tekshiruvchi tarafning turli surovlariga isbotlovchi tarafning javoblari yordami bilan ta’minlanadi. Bunda yakuniy surov fakat foydalanuvchi siriga va protokol boshlanishida ixtiyoriy tanlangan katta sondan iborat boshlangich surovga boglik buladi. Aksariyat xoldarda kat’iy autentifikatsiyalashga binoan xar bir foydalanuvchi uzining maxfiy kalitiga egaligi alomati buyicha autentifikatsiyalanadi. Boshkacha aytganda foydalanuvchi uning aloka buyicha sherigining tegishli maxfiy kalitga egaligini va u bu kalitni axborot almashinuvi buyicha xakikiy sherik ekanligini isbotlashga ishlata olishi mumkindigini aniklash imkoniyatiga ega. X.509 standarti tavsiyalariga binoan kat’iy autentifikatsiyalashning kuyidagi muolajalari farkdanadi: bir tomondama autentifikatsiya; ikki tomondama autentifikatsiya; uch tomondama autentifikatsiY. Bir tomonlama autentifikatsiyalash bir tomonga yunaltirilgan axborot almashinuvini kuzda tutadi. Autentifikatsiyaning bu turi kuyidagilarga imkon yaratadi: axborot almashinuvchining fakat bir tarafini xakikiydigini tasdiklash; uzatidayotgan axborot yaxlitligining buzilishini aniklash; "uzatishning takrori" tipidagi xujumni aniklash; uzatilayotgan autentifikatsion ma’lumotlardan fakat tekshiruvchi taraf foydalanishini kafolatlash. Ikki tomonlama autentifikatsilashda bir tomonliligiga nisba- tan isbotlovchi tarafga tekshiruvchi tarafning kushimcha javobi buladi. Bu javob tekshiruvchi tomonni alokaning aynan autentifikatsiya ma’lumot- lari muljaldangan taraf bilan urnatilayotganiga ishontirish lozim. Uch tomonlama autentifikatsiyalash tarkibida isbotlovchi taraf- dan tekshiruvchi tarafga kushimcha ma’lumotlar uzatish mavjud. Bunday yon- dashish autentifikatsiya utkazishda vakt belgnlarndan foydalanishdan voz kechishga imkon beradi. Ta’kidlash lozimki, ushbu turkumlash shartlidir. Amalda ishlatiluv- chi usul va vositalar tuplami autentifikatsiya jarayonini amalga otttirittt- dagi muayyan shart-sharoitlarga boglik. Kat’iy autentifikatsiyaning utkazilishi ishlatiladigan kriptografik algoritmlar va kator kushimcha parametrlarni taraflar tomonidan suzsiz muvofiklashtirishni talab eta- di. Kat’iy autentifikatsiyalashning muayyan variantlarini kurishdan ol- din bir martali parametrlarning vazifalari va imkoniyatlariga tuxtash lozim. Bir martali parametrlar ba’zida "nonces" - bir maksadga bir mar- tadan ortik ishlatnlmaydigan kattalik deb ataladi. Xozirda ishlatiladigan bir martali parametrlardan tasodifiy sonlar, vakt belgilari va ketma-ketliklarning nomerlarini kursatish mumkin. Bir martali parametrlar uzatishning takrorlanishini, autentifika- sion almashinuv taraflarini almashtirib kuyishni va ochik matnni tan- lash bilan xujum kilitttni oldini olishga imkon beradi. Bir martali parametrlar yordamida uzatiladigan xabarlarning noyobligini, bir ma’noli- ligini va vaktiy kafolatlarini ta’minlash mumkin. Bir martali parametrlarning turli xillari aloxida ishlatilishi, yoki bir-birini tuldirishi mumkin. Bir martali parametrlarning kuyidagi ishlatilish misollarini kursatish mumkin: "surov-javob" prinsipida kurilgan protokollarda uz vaktidaligi- ni tekshirish. Bunday tekshirishda tasodifiy sonlar, soatlarni sinxron- lash bilan vakt belgilari yoki muayyan juft (tekshiruvchi, isbotlovchi) uchun ketma-ketliklarning nomerlaridan foydalanish mumkin; uz vaktidaligini yoki noyoblik kafolatini ta’minlash. Protokol- ning bir martali parametrlarini bevosita (tasodifiy sonni tanlash yuli bilan) yoki bilvosita (bulinuvchi sirdagi axborotni taxlillash yordamida) nazoratlash orkali amalga oshiriladi; xabarni yoki xabarlar ketma-ketligini bir ma’noli identifika- siyalash. Bir oxangda usuvchi ketma-ketlikning bir martali kiymatini (masalan, seriya nomerlari yoki vakt belgilari ketma-ketligi) yoki mos uzun- likdagi tasodifiy sonlarni tuzish orkali amalga oshiriladi. Ta’kidlash lozimki, bir martali parametrlar kriptografik proto- kollarning boshka variantlarida xam (masalan, kalit axborotini taksimlash protokollarida) keng kullaniladi. Kat’iy autentifikatsiyalash protokollarini kullaniladigan kriptografik algoritmlariga boglik xolda kuyidagi guruxlarga ajratish mumkin: shifrlashning simmetrik algoritmlari asosidagi kat’iy autentifikatsiyalash protokollari; bir tomonlama kalitli xesh-funksiyalar asosidagi kat’iy autentifikatsiyalash protokollari; shifrlashning asimmetrik algoritmlari asosidagi kat’iy autentifikatsiyalash algoritmlari; elektron rakamli imzo asosidagi kat’iy autentifikatsiyalash algoritmlari. Simmetrik algoritmlarga asoslangan kat’iy autentifikatsiyalash. Kerberos protokoli. Simmetrik algoritmlar asosida kurilgan autentifikatsiyalashning ishlashi uchun tekshiruvchi va isbotlovchi ayni boshidan bitta maxfiy ka- litga ega bulishlari zarur. Foydalanuvchilari kup bulmagan yopik tizimlar uchun foydalanuvchilarning xar bir jufti maxfiy kalitni uzaro bulib olishlari mumkin. Simmetrik shifrlash texnologiyasini kullovchi katta taksimlangan tizimlarda ishonchli server katnashuvidagi autentifikatsiyalash protokollaridan foydalaniladi. Bu server bilan xar bir taraf kalitni bilitttligini urtokdashishadi. Ushbu yondashish sodda bulib tuyulsada, aslida bunday autentifikatsiyalash protokolini ishlab chikish murakkab va xavfsizlik nuktai nazari- dan shubxasiz emas. Kuyida shifrlashning simmetrik algoritmlariga asoslangan, ISO/IEC9798-2da spetsifikatsiyalangan autentifikatsiyalash protokollari- ning uchta misoli keltirilgan. Bu protokollar bulinuvchi maxfiy kalitlarni oldindan taksimlanishini kuzda tutadi. Autentfikatsiyalashning kuyidagi variantlarini kurib chikamiz. vakt belgilaridan foydalanuvchi bir tomondama autentifikatsiyalash. tasodifiy sonlardan foydalanuvchi bir tomondama autentifikatsiyalash. ikki tomondama autentifikatsiyalash. Bu variantlarning xar birida foydalanuvchi maxfiy kalitni bili- shini namoyish kidgan xolda, uzining xakikiyligini isbotlaydi, chunki ushbu maxfiy kalit yordamida surovlarni rasshifrovka kiladi. Autentifikatsiyalash jarayonida simmetrik shifrlashni kullashda uzatidadigan ma’lumotlarning yaxlitligini ta’mindash mexanizmini rasm bulib kolgan usullar asosida amalga oshirish xam zarur. Kuyidagi belgidashlarni kiritamiz: gA- katnashuvchi A generatsiyalagan tasodifiy son; gV- katnashuvchi V generatsiyalagan tasodifiy son; ^- katnashuvchi A generatsiyalagan vakt belgisi; EK- kalit Kda simmetrik shifrlash (kalit K oldindan A va V urtasida taksimlanishi shart). Vatst belgilariga asoslangan bir tomonlama autentifikatsiyalash: A^V^ (tA, B) (1) Ushbu xabarni olib rasshifrovka kilganidan sung katnashuvchi V vakt metkasi tA xakikiy ekanligiga va xabarda kursatilgan identifikator uziniki bilan mos kelishiga ishonch xosid kiladi. Ushbu xabarni kaytadan uzatishni oldini olish kalitni bidmasdan turib vakt metkasi tA ni va in- dentifikator Vni uzgartirish mumkin emasligiga asoslanadi. Tasodifiy sonlardan foydalanishga asoslangan bir tomonlama au- tentfikatsiyalash: l ^ v : rB (1) L ^ B : Yek (Gv,V) (2) Katnashuvchi V katnashuvchi A ga tasodifiy son rB ni junatadi. Katnashuvchi A olingan son rB va identifikator V dan iborat xabarni shifrlaydi va shifrlangan xabarni katnashuvchi V ga junatadi. Katnashuvchi V olingan xabarni rasshifrovka kiladi va xabardagi tasodifiy sonni katnashuvchi Aga yuborgani bilan takkoslaydi. Kushimcha u xabardagi ismni tekshiradi. Tasodifiy siymatlardan foydalanuvchi ikki tomonlama autentifikatsiyalash: (1) (2) (3) A ^ B : гв A ^ B : Ек (rа , гв ,В) А ^ B : Ек (га , гв ) Ikkinchi axborotni olishi bilan katnashuvchi V oldingi protokolda- gi tekshirishni amalga oshiradi va katnashuvchi A ga atalgan uchunchi xabarga kiritish uchun kushimcha tasodifiy son rA ni rasshifrovka kiladi. Katnashuvchi A uchinchi xabarni olganidan sung rA va rB larning kiymatlarini tekshirish asosida aynan katnashuvchi V bilan ishlayotganiga ishonch xosil kiladi. Autentifikatsiya jarayonida uchinchi tarafni jalb etish bilan foyda- lanuvchilarni autentifikatsiyalashni ta’minlovchi protokollarning mashxur namunalari sifatida Nidxem va Shrederning maxfiy kalitlarni taksimlash protokolini va Kerberos protokolini kursatish mumkin. Kerberos protokoli "mijoz-server" va xam lokal va xam global tarmoklarda ishlovchi abonentlar orasida alokaning ximoyalangan kanalini urnatishga atalgan kalit axborotini almashish tizimlarida autentifikatsiyalash uchun ishlatiladi. Bu protokolning Microsoft Windows 2000 va UNIX BSD operatsion tizimlar iga autentifikatsiyalashning asosiy protokoli sifatida urnatilganligi aloxida kizikitp uygotadi. Kerberos ishonch kozonmagan tarmoklarda autentifikatsiyalashni ta’minlaydi, ya’ni Kerberos ishlashida niyati buzuk odamlar kuyidagi xarakatlarni bajarishlari mumkin: uzini tarmok ulanishining e’tirof etilgan taraflaridan biri deb kursatish; ulanishda ishtirok etayotgan kompyuterlarning biridan foydalana olish; xar kanday paketni ushlab kolish, ularni modifikatsiyalash va/yoki ikkinchi marta uzatish. Kerberos protokolida xavfsizlik ta’minoti yukorida keltirilgan niyati buzuk odamlarning xarakatlari natijasida paydo buladigan xar kanday muammolarning bartaraflanishini ta’minlaydi. Kerberos protokoli oldingi asrning 80-yillarsda yaratilgan va shu paytgacha beshta versiyada uz aksini topgan kator jiddiy uzgarishlarga du- chor buldi. Kerberos TCP/IP tarmokdari uchun yaratilgan bulib, protokol katnashchilarining uchinchi(ishonnlgan) tarafga ishonishlari asosiga kurilgan. Tarmokda ishlovchi Kerberos xizmati itttonilgan vositachi sifa- tida xarakat kilib, tarmok resurslaridan mijozning (mijoz ilovasining) foydalinishini avtorizatsiyalash bilan tarmokda ishonchli autentifika- siyalashni ta’minlaydi. Kerberos xizmati aloxida maxfiy kalitni tarmokning xar bir subyekti bilan bulishadi va bunday maxfiy kalitni bilish tarmok subyekti xakikiyligining isbotiga teng kuchlidir. Kerberos asosini Nidxem-Shrederning uchinchi itttonilgan taraf bilan autentifikatsiyalash va kalitlarni taksimlash protokoli tashkil etadi. Nidxem-Shreder protokolining ushbu versiyasini Kerberosra tatbikan kuraylik. Kerberos protokolida (5-versiya) aloka kiluvchi ikkita taraf va kalitlarni taksimlash markazi KDC(Key Distribution Center) vazifasini bajaruvchi ishonilgan server KS ishtirok etadi. Chakiruvchi obyekt A orkali, chakiriluvchi obyekt V orkali belgila- nadi. Seans katnashchilari, mos xolda IdA va IdB noyob identifikatorlarga ega. A va V taraflar, xar biri aloxida, uzining maxfiy kalitini server KS bilan bulishadi. Aytaylik, A taraf V taraf bilan axborot almashish maksadida seans kalitini olmokchi. A taraf tarmok orkali server KSra IdA va IdB identi- fikatorlarni yuborish bilan kalitlar taksimlanishi davrini boshlab be- radi: L ^ KS : IdA, IdB Server KS vaktiy belgi T, ta’sir muddati L, tasodifiy kalit K va identfikator IdA bulgan xabarni generatsiyalab, bu xabarni V taraf bilan bulingan maxfiy kalit yordamida shifrlaydi. Sungra server KS V tarafga tegishli vaktiy belgi T, ta’sir muddati L, tasodifiy kalit K, identifikator MV ni olib uni A taraf bilan bulingan maxfiy kalit yordamida shifrlaydi. Bu ikkala shifrlangan xabarlarni A tarafga junatadi. KS ^ A : Yel (T, L, K, IdB), Yev (T, L, K, IdA) A taraf birinchi xabarni uzining maxfiy kaliti bilan rasshifrovka kiladi va ushbu xabar kalitlar taksimotining oldingi muolajasining kaytarilishi emasligiga ishonch xosil kilish maksadida vakt belgisi T ni tekshiradi. Sungra A taraf uzining identifikatori IdA va vakt belgisi bilan xabarni generatsiyalab, uni seans kaliti K yordamida shifrlaydi va V tarafga uzatadi. Undan tashkari, A taraf V taraf uchun KS dan V taraf kaliti yordamida shifrlangan xabarni junatadi: A ^ B : EK (IdA, T), Yev (T, L, K, IdA) Bu xabarni fakat V taraf rasshifrovaka k.ilittti mumkin. V taraf vakt belgisi T, ta’sir muddati L, seans kaliti K va identifikator IdA ni oladi. Sungra V taraf seans kalit K yordamida xabarning ikkinchi kismini rasshifrovka kiladi. Xabarning ikkala kismidagi T va IdA kiymatlarining mos kelishi A ning V ga nisbatan xakikiyligini tasdiklaydi. Xakikiylikni uzaro tasdiklash maksadida V taraf vakt belgisi T plyus 1 dan iborat xabar yaratadi, uni K kalit yordamida shifrlaydi va A tarafga junatadi. B ^ A : EK (T +1) Agar bu xabar (4) rasshifrovka kilingandan keyin A taraf kutilgan natijani olsa, u aloka liniyasining boshka tarafida xakikatan V turgan- ligiga ishonch xosil kiladi. Bu protokol barcha katnashuvchilarning soatlari server KS soatlari bilan sinxronlanganida muvaffakiyatli ishlaydi. Ta’kidlash lozimki, bu protokolda A tarafning V taraf bilan aloka urnatishga xar bir xoxishida seans kalitini olish uchun KS bilan almashinuv zarur buladi. Protokolning A va V obyektlarni ishonchli ulashi uchun, xech bir kalit obrusizlanmasligi va server KS ning ximoyalanishi talab etiladi. Umuman Kerberos tizimida (5 versiya) foydalanuvchini identifika- siyalash va autentifikatsiyalash jarayonini kuyidagicha tavsiflash mumkin (6.2-rasm). G KS Belgilashlar: KS - Kerberos tizimi serveri AS - autentifikatsiya serveri TGS - mandatlarni ajratish xizmati serveri RS - axborot resurslari serveri C - Kerberos tizimining mijozi 6.2-rasm. Kerberos protokolining ishlash sxemasi Mijoz S, tarmok resursidan foydalanish maksadida autentifikatsiya serveri AS ga surov yullaydi. Server AS foydalanuvchini uning ismi va paroli yordamida identifikatsiyalaydi va mijozga mandat ajratish xizmati serveri TGSdan (Ticket Grating Service) foydalanishga mandat yuboradi. Axborot resurslarining muayyan maksadli serveri RS dan foydalanish uchun mijoz S TGS dan maksadli server RS ga murojaat kilishga mandat suraydi. Xamma narsa tartibda bulsa TGS kerakli tarmok resurslari- dan foydalanishga ruxsat berib, kliyent S ga mos mandatni yuboradi. Kerberos tizimi ishlashining asosiy kadamlari (6.2.-rasmga karalsin): C ^ AS - mijoz S ning TGS xizmatiga murojaat kilishga ruxsat surab server ASdan surovi. AS ^ C - server AS ning mijoz S ga TGS xizmatidan foydalanishga ruxsati (mandati). C ^ TGS - mijoz S ning resurslar serveri RS dan foydalanishga ruxsat (mandat) surab, TGS xizmatidan surovi. TGS ^ C - TGS xizmatining mijoz S ga resurslar serveri RS dan foydalanishiga ruxsati (mandati). C ^ RS - server RS dan axborot resursining (xizmatning) surovi. RS ^ C - server RS ning xakikiyligini tasdikdash va mijoz S ga axborot resursini (xizmatni) takdim etish. Mijoz bilan server alokasining ushbu modeli fakat uzatiladigan boshkaruvchi axborotning konfidensialligi va yaxlitligi ta’minlanganida ishlashi mumkin. Axborot xavfsizligini kat’iy ta’minlamasdan AS, TGS va RS serverlarga mijoz S surov yuboraolmaydi va tarmok xizmatidan foydalanishga ruxsat ololmaydi. Axborotning ushlab kolinishi va ruxsatsiz foydalanishi imkoniyat- larini bartaraf etish maksadida Kerberos tarmokda xarkanday boshkarish axboroti uzatilganida maxfiy kalitlar kompleksini (mijozning maxfiy kaliti, serverning maxfiy kaliti, mijoz-server juftining maxfiy seans kalitlari) kup marta shifrlashni ishlatadi. Kerberos shifrlashning turli algoritmlaridan va xesh-funksiyalardan foydalanishi mumkin, ammo ma- dadlash uchun Triple DES va MD5 algoritmlari urnatilgan. Kerberos tizimida ishonch xujjatlarining ikki turidan foydalaniladi: mandat (tricket) va autentifikator (authentifacator). Mandat serverga mandat berilgan mijozning identifikatsion ma’lumotlarini xavfsiz uzatish uchun ishlatiladi. Uning tarkibida axborot xam bulib, undan server mandatdan foydalanayotgan mijozning xakikiy ekanligini tekshirishda foydalanishi mumkin. Autentifikator - mandat bilan birga kursatiluvchi kushimcha atri- but(alomat). Kuyida Kerberos xujjatlarida ishlatiluvchi belgilashlar tizimi keltirilgan: S - mijoz; S - server; a - mijozning tarmok adresi; v - mandat ta’siri vaktining boshlanishi va oxiri; T - vakt belgisi; Kx - maxfiy kalit x; Kxy - x va u uchun seans kaliti; {m}Kx - subyekt x ning maxfiy kaliti Kx bilan shifrlangan xabar m; T - u dan foydalanishga mandat x; Ax,u - x va u uchun autentifikator. Kerberos mandati. Kerberos mandati kuyidagi shaklga ega: Tcs = S ,{C, a, v, Kcs }Ks. Mandat bitta mijozga kat’iy belgilangan serverdan foydalanish uchun kat’iy belgilangan vaktga beriladi. Uning tarkibida mijoz ismi, uning tarmok adresi, mijoz xarakatining boshlanish va tugash vakti va serverning maxfiy kaliti KS shifrlangan seans kaliti KCS buladi. Mijoz mandatni rasshifrovka kilaolmaydi (u serverning maxfiy kalitini bilmaydi), ammo u mandatni shifrlangan shaklda serverga kursatishi mumkin. Mandat tarmok orkali uzatilayotganda tarmokdagi yashirincha eshitib turuvchilarning birortasi xam uni ukiy olmaydi va uzgartira olmaydi. Kerberos autentifikatori. Kerberos autentifikatori kuyidagi shaklga ega: AC S = {C, t, kalit}KC S Mijoz maksadli serverdan foydalanishni xoxdaganida autentifika- torni yaratadi. Uning tarkibida mijoz ismi, vakt belgisi, mijoz va server uchun umumiy bulgan seans kaliti KC S shifrlangan seans kaliti buladi. Mandatdan farkli xolda autentifikator bir marta ishlatiladi. Autentifikatorning ishlatilishi ikkita maksadni kuzlaydi. Birin- chidan, autentifikatorda seans kalitida shifrlangan kandaydir matn buladi. Bu kalitning mijozga ma’lumligidan dalolat beradi. Ikkinchidan, shifrlangan ochik matnda vakt belgisi mavjud. Bu vakt belgisi autentifikator va mandatni ushlab kolgan niyati buzuk odamga ulardan biror vakt utganidan sung autentfikatsiyalash muoljasini utishda ishlatishiga imkon bermaydi. Kerberos xabarlari. Kerberosm^ 5-versiyasida xabarlarning kuyidagi turlari itttlatila- di (6.3-rasmga karalsin). Mijoz - Kerberos: C, tgs. Kerberos - miJOz : {Kcg, }Kc {Tf„ }Kgs . Mijoz - TGS :{Ac,S }KCg(TCg)K,S,,S. TGS - mijoz: {K„ }Kc.,s, {T„ }Ks ,. Mijoz - server: {A„ }K0.{T„ }Ks . Ushbu xabarlardan foydalanishni batafsid kuraylik. Dastlabki mandatni olish. Mijozdan shaxsini isbotlovchi axborotning kismi - uning paroli mavjud. Mijozni parolini tarmok orkali junatishiga majbur kidib bulmaydi. Kerberos protokoli parolni obrusizlantirish extimolini mi- nimallashtiradi, ammo agar foydalanuvchi parolni bilmasa unga uzini tugri identifikatsiyalashga imkon bermaydi. Mijoz Kerberosning autentifikatsiya serveriga uzining ismi, serve- ri TGS ning (bir nechta server TGS bulishi mumkin) bulgan xabarni junatadi. Amalda foydalanuvchi kupincha ismini uzini kiritadi, tizimga kirittt dasturi esa surov yuboradi. Kerberosning autentifikatsiyalash serveri uzining ma’lumotlar bazasida mijoz xususidagi ma’lumotlarni kidiradi. Agar mijoz xususidagi axborot ma’lumotlar bazasida bulsa, Kerberos mijoz va TGS orasida ma’lumot almashish uchun ishlatidadigan seans kalitini generatsiyalaydi. Kerberos bu seans kalitini mijozning maxfiy kaliti bidan shifrlaydi. Sungra u TGS xizmatiga mijozning xakikiyligini isbotlovchi TGT (Ticket Granting Ticket) mandatining ajratilishi uchun mijozga mandat yaratadi. TGS ning maxfiy kalitida TGT shifrlanadi va uning tarkibida mijoz va server identifikatori, TGS - mijoz juftining seans kaliti, xamda TGT ta’sirining boshlanish va oxirgi vaktlari buladi. Autentifikatsiyalash serveri bu ikkita shifrlangan xabarni mijozga yuboradi. Endi mijoz bu xabarlarni kabul kiladi, birinchi xabarni uzining maxfiy kaliti Ks bilan rasshifrovka kilib, seans kaliti KG,tgs ni xosil kiladi. Maxfiy kalit mijoz parolining bir tomondama xesh-funksiyasi bulganligi sababli konuniy foydalanuvchida xech kanday muammo tugilmaydi. Niyati buzuk odam tugri parolni bilmaydi va, demak, autentifikatsiyalash serverining javobini rasshifrovka kila olmaydi. Shu sababli niyati buzuk odam mandatni yoki seans kalitini ola olmaydi. Mijoz TGT mandatini va seans kalitini sakdab, parol va xesh-kiymatni, ular- ning obrusizlanish extimolliklarini pasaytirish maksadida, uchiradi. Agar niyati buzuk odam mijoz xotirasi tarkibining nusxasini olishga urinsa, u fakat TGT va seans kalitini oladi. Bu ma’lumotlar fakat TGT ta’siri vaktidagina muxim xisoblanadi. TGT ta’sir muddati tugagunidan sung bu ma’lumotlar ma’noga ega bulmaydi. Endi mijoz TGT dan olingan mandat yordamida unda kursatilgan TGT ta’sirining butun muddati mobay- nida server TGS da autentifikatsiyalashdan utish imkoniyatiga ega. Server mandatlarini olish. Mijoz uziga kerak bulgan xar bir xizmat uchun aloxida mandat olishi mumkin. Shu maksadda mijoz TGS xizmatiga TGT mandati va autenti- fikatordan iborat surov yuborishi lozim. (Amalda surovni dasturiy ta’minot avtomatik tarzda, ya’ni foydalanuvchiga bildirmasdan yuboradi.) Mijoz va TGS serveri juftining kalitida shifrlangan autentifikator tarkibida mijoz va unga kerakli serverning identifikatori, tasodifiy seans kaliti va vakt belgisi buladi. TGS surovni olib, uzining maxfiy kalitida TGT ni rasshifrovka kiladi. Sungra TGS TGT dagi seans kalitidan autentifikatorni rasshifrovka kilishda foydalanadi. Nixoyasida autentifikatordagi axborotni mandat axboroti bilan takkoslanadi. Anikrogi, biletdagi mijozning tarmok adresi surovda kursatilgan tarmok adresi bilan, xamda vakt belgisi joriy vakt bilan solishtiriladi. Agar barchasi mos kelsa, TGS surovni bajarishga ruxsat beradi. Vakt belgilarini tekshirishda barcha kompyuterlar ning soatlari, bulmaganda, bir necha minut anikdigida sinxronlanganligi kuzda tutiladi. Agar surovda kursatilgan vakt joriy ondan anchagina fark kilsa, TGS bunday surovni oldingi surovni kaytarishga urinish deb xisoblaydi. TGS xizmati autentifikator ta’siri muddatining tugriligini kuza- tilishi lozim, chunki server xizmati bitta mandat, ammo turli autentifi- katorlar yordamida ketma-ket bir necha marta suralishi mumkin. Usha mandat va autentifikatorning ishlatilgan vakt belgisi bilan kilingan surov kaytariladi. Tugri surovga javob tarikasida TGS mijozga maksad serverdan foydalanish uchun mandat takdim etadi. TGS mijoz va maksad serveri uchun mijoz va TGS ga umumiy bulgan seans kalitida shifrlangan seans kalitini xam yaratadi. Bu ikkala xabar mijozga yuboriladi. Mijoz xabarni rasshifrovka kiladi va seans kalitini chikarib oladi. Xizmat surovi. Endi mijoz uzining xakikiyligini maksad serveriga isbotlashi mumkin. Maksad serverida autentifikatsiyadan muvaffakiyatli utish uchun mijoz tarkibida uzining ismi, tarmok adresi, vakt belgisi bulgan va seans kaliti "mijoz-server"da shifrlangan autentifikator ni yaratadi va uni TGS xizmatidan olib berilgan maksad serverining maxfiy kalitida shifrlangan mandat bilan birga junatadi. Maksad serveri mijozdan ma’lumotlarni olib, autentifikatorni uzining maxfiy kalitida rasshifrovka kiladi va undan "mijoz-server" seans kalitini chikarib oladi. Mandat xam tekshiriladi. Tekshirish muolajasi "mijoz-TGS" sessiyasida utkaziladigan muolajaga uxshash, ya’ni tarmok adreslari va vakt belgisining mosligi tekshiriladi. Agar barchasi mos kelsa, server mijozning xakikiyligiga ishonch xosil kiladi. Agar ilova xakikiylikning uzaro tekshirilishini talab etsa, server mijozga tarkibida seans kalitida shifrlangan vakt belgisi bulgan xabarni yuboradi. Bu serverga tugri maxfiy kalitning ma’lum ekanligini va u mandat va guvoxnomani rasshifrovka kila olishini isbotlaydi. Zaruriyat tugilganida mijoz va server keyingi xabarlarni umumiy kalitda shifr- lashlari mumkin. Chunki bu kalit fakat ularga ma’lum, bu kalit bilan shifrlangan oxirgi xabar ikkinchi tarafdan yuborilganiga ikkala taraf ishonch xosil kilishlari mumkin. Amalda bu barcha murakkab muolajalar avtomatik tarzda bajariladi va mijozga kandaydir nokulayliklar yetka- zilmaydi. Domenlararo autentifikatsiyalash xususiyatlari. Kerberos dan domenlararo autentifikatsiyalashda xam foydalanish mumkin. Mijoz boshka domendagi serverdan foydalanish maksadida kalitlarni taksimlash markazi KDC ga murojaat kilsa, KDC mijozga suralayot- gan server joylashgan domenning KDC iga murojaat etishga sayta adres- lash mandatini (referal ticket) takdim etadi (6.4-rasm). 6.4-rasm. Kerberos protokolida domenlararo autentifikatsiyalash sxemasi Rasmda kuyidagi belgilashlar kabul kilingan: Autentifikatsiyalashga surov. KDC1 uchun TGT KDC2 uchun TGT. Serverdan foydalanish mandati. Ma’lumotlarni autentifikatsiyalash va almashish. Kayta adreslash mandati ikkita domen KBSsining juftli aloka ka- litida shifrlangan TvTdir. Bunda mijozga serverdan foydalanishga man- datni suralayotgan server joylashgan KDC takdim etadi. Juda kup domenli tarmokda autentifikatsiyalash uchun Kerberosdan foydalanish nazariy jixatdan mumkin bulsada, murojaatlar sonining do- menlar soniga mutanosib ravishda oshishi sababli, surovlarni muayyan KDClarga bir ma’noda kayta adreslovchi kandaydir markaziy domen kurishga tugri keladi. Kerberos xavfsizligi. Kerberos, kriptografik ximoyalashning boshka xarkanday dasturiy vo- sitasi kabi ishonchsiz dasturiy muxitda ishlaydi. Ushbu muxitning xuj- jatlashtirilmagan imkoniyatlari yoki notugri konfiguratsiyasi jiddiy axborotning chikib ketishiga olib kelishi mumkin. Xatto kalitlar foydalanuvchi itttlattt seansida fakat operativ xotirada sakdansa xam operatsion tizimdagi buzilish kalitlarning kattik diskda nusxalanishiga olib kelishi mumkin. Kerberos dasturiy ta’minoti urnatilgan ishchi stansiyasidan kupchilik foydalanuvchi rejimning ishlatilishi yoki ishchi stansiyalardan foydalanishning nazorati bulmasligi dastur-zakladkani kiritish yoki kriptografik dasturiy ta’minotni modifikatsiyalash imkoniyatini tugdiradi. Shu sababli, Kerberos xavfsizligi kup jixatdan ushbu protokol urnatilgan ishchi stansiyasi ximoyasining ishonchligiga boglik. Kerberos protokolining uziga kuyidagi kator talablar kuyiladi: Kerberos xizmati xizmat kilitdan voz kechishga yunaltirilgan xu- jumlardan ximoyalanishi shart; vakt belgisi autentifikatsiya jarayonida katnashishi sababli, tizimdan foydalanuvchilarining barchasi uchun tizimli vaktni sinxronlash zarur; Kerberos parolni saralash orkali xujum kilishdan ximoyalamaydi. Muammo shundaki, KDC da sakdanuvchi foydalanuvchi kaliti uning paroli- ni xesh-funksiya yordamida kayta ishlash natijasidir. Parolning bushligida uni saralab topit mumkin. Kerberos xizmati ruxsatsiz foydalanishining barcha turlaridan ishonchli ximoyalanishi shart; mijoz olgan mandatlar, xamda maxfiy kalitlar ruxsatsiz foydalanishdan ximoyalanishi shart. Yukorida keltirilgan talablarning bajarilmasligi muvaffakiyatli xujumga sabab bulishi mumkin. X,ozirda Kerberos protokoli autentifikatsiyalashning keng tarkalgan vositasi xisoblanadi. Kerberos turli kriptografik sxemalar, xususan, ochik kalitli shifrlash bilan birgalikda ishlatilishi mumkin. Bir tomonlama kalitli xesh-funksiyalardan foydalanishga asoslangan protokollar. Bir tomonlama xesh-funksiya yordamida shifrlashning uziga xos xusu- siyati shundaki, u moxdyati buyicha bir tomonlamadir, ya’ni teskari uzgartirish-kabul kiluvchi tarafda rasshifrovka kilish bilan birga olib borilmaydi. Ikkala taraf (junatuvchi va kabul kiluvchi) bir tomonlama shifrlash muolajasidan foydalanadi. Shifrlanayotgan ma’lumot M ga kullanilgan K parametr-kalitli bir tomonlama xesh-funksiya hk(.) natijada baytlarning belgilangan katta bulmagani sonidan iborat xesh-kiymat (daydjest) "sh" ni beradi (6.4- rasm). Junatuvchi Kdbul kiluvchi 6.4-rasm. Ma’lumotlar yaxlitligini tekshirishda bir tomonlama xesh-funksiyaning ishlatilishi (I-variant). Daydjest "m" kabul kiluvchiga dastlabki xabar M bilan birga uzati- ladi. Xabarni kabul kiluvchi, daydjest olinishida kanday bir tomonlama xesh-funksiya ishlatilganligini bilgan xolda, rasshifrovka kilingan xabar M dan foydalanib, daydjestni boshkatdan xisoblaydi. Agar olingan daydjest bilan xisoblangan daydjest mos kelsa, xabar M ning tarkibi xech kanday uzgarishga duchor bulmaganini bildiradi. Daydjestni bilish dastlabki xabarni tiklashga imkon bermaydi, ammo ma’lumotlar yaxlitligini tekshirishga imkon beradi. Daydjestga dastlabki xabar uchun uziga xos nazorat yigindisi sifatida karash mumkin. Ammo, daydjest va oddiy nazorat yigindisi orasida jiddiy fark xam mavjud. Nazorat yigindisidan alokaning ishonchsiz liniyasi buyicha uzati- ladigan xabarlarning axlitligini tekshirish vositasi sifatida foydalaniladi. Tekshirishning bu vositasi niyati buzuk odamlar bilan kurashishga muljallanmagan. Chunki, bu xolda nazorat yigindisining yangi kiymatini kushib xabarni almashtirib kuyishga ularga xech kim xalakit bermaydi. Kabul kiluvchi bunda xech narsani sezmaydi. Daydjestni xisoblashda, oddiy nazorat yigindisidan farkdi ravish- da, maxfiy kalitlar ishlatiladi. Agar daydjest olinishida fakat junatuvchi va kabul kiluvchiga ma’lum bulgan parametr-kalitli bir tomonlama xesh-funksiya ishlatilsa, dastlabki xabarning xar kanday modifika- siyasi darxol ma’lum buladi. 6.5-rasmda ma’lumotlar yaxlitligini tekshirishda bir tomonlama xesh-funksiya ishlatilishining boshka varianti keltirilgan. Жунатувчи Kabul kiluvchi Дайджест m 31 Kalit K
h(M,K) Kalit K 6.5-rasm. Ma’lumotlar yaxlitligini tekshirishda bir tomonlama xesh-funksiyaning ishlatishi (II-variant). Bu xolda bir tomonlama xesh-funksiya h(.) parametr-kalitga ega emas, ammo u maxfiy kalit bilan tuldirilgan xabarga kullaniladi, ya’ni junatuvchi daydjest m=h(M, K)ni xisoblaydi. Kabul kiluvchi dastlabki xabarni chikarib olib, uni usha ma’lum maxfiy kalit bilan tuldiradi. Sungra olingan ma’lumotlar ga bir tomonlama xesh-funksiya ^.)ni kullaydi. Xisoblash natijasi - daydjest "m" tarmok orkali olingan daydjest "m" bilan takkoslanadi. Asimmetrik algoritmlarga asoslangan sat’iy autentifikatsiyalash. Kat’iy autentifikatsiyalash protokollarida ochik kalitli asimmetrik algoritmlardan foydalanish mumkin. Bu xolda isbotlovchi maxfiy kalitni bilishligini kuyidagi usullarning biri yordamida namoyish etishi mumkin: ochik kalitda shifrlangan surovni rasshifrovka kilish; surov suzining rakamli imzosini kuyittt. Autentifikatsiyaga zarur bulgan kalitlarning jufti, xavfsizlik muloxazasiga kura, boshka maksadlarga (masalan, shifrlashda) ishlatilmas- ligi shart. Ochik kalitli tanlangan tizim shifrlangan matnni tanlash bilan xujumlarga, xatto buzgunchi uzini tekshiruvchi deb kursatib va uning nomidan xarakat kilganda xam, bardosh berishi lozimligiga foydalanuvchi- larni ogoxlantirish kerak. Shifrlashning asimmetrik algoritmlaridan foydalanib autentifikatsiyalash. Shifrlashning asimmetrik algoritmlaridan foydalanishga asoslangan protokolga misol tarikasida autentifikatsiyalashning kuyidagi proto- kolini keltirish mumkin: A ^ B : h(r), B, PA (r, B), A ^ B : r. Katnashuvchi V tasodifiy xolda r ni tanlaydi va x=h(r) kiymatini xisoblaydi (x kiymati r ning kiymatini ochmasdan turib r ni bilishligini namoyish etadi), sungra u e = PA (r,B) kiymatni xisoblaydi. PA orkali asimmetrik shifrlash algoritmi faraz kilinsa, h(.) orkali xesh-funksiya faraz kilinadi. Katnashuvchi V axborot xabarni katnashuvchi A ga junatadi. Katnashuvchi A e = PA(r,B) ni rasshifrovka kiladi va r' va B' kiymatlarni oladi, xamda X = h(r')ni xisoblaydi. Unday keyin x=x' ekan- ligini va B' identifikator xakikatan katnashuvchi Vga kursatayotganini tasdikdovchi kator takkoslashlar bajariladi. Takkoslash muvaffakiyatli utsa katnashuvchi A "g" katnashuvchini V ga uzatadi. Katnashuvchi B "g"ni ol- ganidan sung uni birinchi xabarda junatgan kiymati ekanligini tekshira- di. Keyingi misol sifatida asimmetrik shifrlashga asoslangan Nidxem va Shrederning modifikatsiyalangan protokolini keltiramiz. Fakat auten- tifikatsiyalashda ishlatiluvchi Nidxem va Shreder protokoli variantini kurishda PB orkali katnashuvchi V ning ochik kaliti yordamida shifrlash algoritmi faraz kilinadi. Protokol kuyidagi tuzilmaga ega: A ^ B : PB (r„ A) A ^ B : pA(g2,gg) A ^ B : r2 Ratsamli imzodan foydalanish asosidagi autentifikatsiyalash X.509 standartining tavsiyalarida rakamli imzo, vakt belgisi va tasodifiy sonlardan foydalanish asosidagi autentifikatsiyalash sxemasi spetsifikatsiyalangan. Ushbu sxemani tavsiflash uchun kuyidagi belgilash- larni kiritamiz: tA, gA va gV - mos xolda vakt belgisi va tasodifiy sonlar; SA - katnashuvchi A generatsiyalagan imzo; certA - katnashuvchi A ochik kalitining sertifikati; certB - katnashuvchi V ochik kalitining sertifikati; Misol tarikasida autentifikatsiyalashning kuyidagi protokollarini keltiramiz: Vakt belgisidan foydalanib bir tomonlama autentfikatsiyalash: A ^ B : certA ,tA,B , SA (tA, B) Katnashuvchi B ushbu xabarni olganidan sung vakt belgisi tA ning tugriligini, olingan identifikator V ni va sertifikat certA dagi ochik kalitdan foydalanib rakamli imzo SA(tA,B) ning korrektligini tekshira- di. Tasodifiy sonlardan foydalanib bir tomonlama autentifikatsiyalash: A ^ B : rB A ^ B : certA , rA , B, SA (rA , rB , B) Katnashuvchi V katnashuvchi A dan xabarni olib aynan u xabarning adresata ekanligiga ishonch xosil kiladi; sertifikat certA dan olingan katnashuvchi A ochik kalitidan foydalanib ochik kurinishda olingan rA soni, birinchi xabarda junatilgan rB soni va uzining identifikatori V os- tidagi imzo SA (rA, rB, V) ning korrektligini tekshiradi. Imzo chekilgan tasodifiy son rA ochik matnni tanlash bilan xujumni oldini olish uchun ishlatiladi. Tasodifiy sonlardan foydalanib ikki tomonlama autentifikatsiyalash: A ^ B : rB A ^ B : CertA , rA , V, SA (rA , rB , V) A ^ B : certB, A, SB (rA, rB, A) Ushbu protokoldagi xabarlarni itttlattt oldingi protokoldagidek ba- jariladi. Foydalanuvchilarni biometrik ideitifikatsiyalash va autentifikatsiyalash Oxirgi vaktda insonning fiziologik parametrlari va xarakteristi- kalarini, xulkining xususiyatlarini ulchash orkali foydalanuvchini ishonchli autentifikatsiyalashga imkon beruvchi biometrik autentifikatsiyalash keng tarkalmokda. Biometrik autentifikatsiyalash usullari an’anaviy usullarga nisba- tan kuyidagi afzalliklarga ega: biometrik alomatlarning noyobligi tufayli autentifikatsiyalash- ning ishonchlilik darajasi yukori; biometrik alomatlarning sotom shaxsdan ajratib bulmasligi; biometrik alomatlarni soxtalashtirishning kiyinligi. Foydalanuvchini autentifikatsiyalashda faol ishlatiladigan biometrik algoritmlar kuyidagilar: barmok izlari; kul panjasining geometrik shakli; yuzning shakli va ulchamlari; ovoz xususiyatlari; kuz yoyi va tur pardasining nakshi . Autentifikatsiyaning biometrik kism tizimi ishlashining namunaviy sxemasi kuyidagicha. Tizimda ruyxatga olinishida foydalanuvchidan uzining xarakterli alomatlarini bir yoki bir necha marta namoyish knlinishi talab etnladi. Bu alomatlar (xakikiy sifatida ma’lum) tizim tomonidan konuniy foydalanuvchining kiyofasi sifatida ruyxatga Olinadi. Foydalanuvchining bu kiyofasi tizimda elektron shaklda sakdanadi va uzini konuniy foydalanuvchi deb da’vo kilgan xar bir odamni tekshirishda ishlatiladi. Takdim etilgan alomatlar majmuasi bilan ruyxatga olin- ganlarining mosligi yoki mos kelmasligiga karab karor kabul kilinadi. Iste’molchi nuktai nazaridan biometrik autenfikatsiyalash tizimi kuyidagi ikkita parametr orkali xarakterlanadi: xatolik inkorlar koeffitsiyenti FRR (false-reject rate); xatolik tasdikdar koeffitsiyenti FAR (false-alarm rate). Xatolik inkor tizim konuniy foydalanuvchi shaxsini tasdikdamaganda paydo buladi (odatda FRR kiymati taxminan 100 dan birni tashkil etadi). Xatolik tasdits tizim nokonuniy foydalanuvchi shaxsini tasdiklaganida paydo buladi (odatda FAP kiymati taxminan 10000 dan birni tashkil etadi). Bu ikkala koeffitsiyent bir biri bilan boglik: xatolik inkor koeffitsiyentining xar biriga ma’lum xatolik tasdik koeffitsiyenti mos keladi. Mukammal biometrik tizimda ikkala xatolikning ikkala parametri nulga teng bulishi shart. Afsuski, biometrik tizim ideal emas, shu sababli nimanidur kurbon kilishga tugri keladi. Odatda tizimli parametrlar shunday sozlanadiki, mos xatolik inkorlar koeffitsiyentini aniklovchi xatolik tasdikdarning istalgan koeffitsiyentiga erishiladi. Biometrik auteitifikatsiyalashiing daktiloskoiik tizimi. Biometrik tizimlarning aksariyati identifikatsiyalash parametri sifatida barmok izlaridan foydalanadi (autentifikatsiyaning daktilo- skopik tizimi). Bunday tizimlar sodda va kulay, autentifikatsiyalashning yukori ishonchliligiga ega. Bunday tizimlarning keng tarkalishiga asosiy sabab barmok izlari buyicha katta ma’lumotlar ba’zasining mavjudligi- dir. Bunday tizimlardan dunyoda asosan politsiya, turli davlat va ba’zi bank tashkilotlari foydalanadi. Autentifikatsiyaning daktiloskopik tizimi kuyidagicha ishlaydi. Avval foydalanuvchi ruyxatga olinadi. Odatda, skanerda barmokning turli xolatlarida skanerlashning bir necha varianti amalga oshiriladi. Tabiiy- ki, namunalar bir-biridan biroz farkdanadi va kandaydir umumlashtiril- gan namuna, «pasport» shakllantirilishi talab etiladi. Natijalar autentifikatsiyaning ma’lumotlar bazasida xotirlanadi. Autentifikatsiyalashda skanerlangan barmok izi ma’lumotlar bazasidagi «pasportlar» bilan takkoslanadi. Barmots izlarining skanerlari. Barmok izlarini skanerlovchi an’- anaviy kurilmalarda asosiy element sifatida barmokning xarakterli rasmini yozuvchi kichkina optik kamera ishlatiladi. Ammo, daktiloskopik kurilmalarni ishlab chikaruvchilarning kupchiligi integral sxema asosidagi sensorli kurilmalarga e’tibor bermokdalar. Bunday tendensiya barmok izlariga asoslangan autentifikatsiyalashni kullashning yangi soxalarini ochadi. Bunday texnologiyalarni ishlab chikuvchi kompaniyalar barmok izlarini olishda turli, xususan elektrik, elektromagnit va boshka usullarni amalga oshiruvchi vositalardan foydalanadilar. Skanerlardan biri barmok izi tasvirini shakllantirish maksadida teri kismlarining sigim karshiligini ulchaydi. Masalan, Veridicom kom- paniyasining daktiloskopik kurilmasi yarim-utkazgichli datchik yordamida sigim karshiligini aniklash orkali axborotni yigadi. Sensor ishlashi- ning prinsipi kuyidagicha: ushbu asbobga kuyilgan barmok kondensator plastinalarining biri vazifasini utaydi (6.6-rasm). Sensor sirtida joylashgan ikkinchi plastina kondensatorning 90000 sezgir plastinkali kremniy mikrosxemasidan iborat. Sezgir sigim datchiklari barmok sirti dungliklari va pastliklari orasidagi elektrik maydon kuchining Paslikkacha Dunglikkacha masofa masofa узгаришини улчайди. Натижада дунгликлар ва пастликларгача булган ма- софа аникланиб, бармок изи тасвири олинади. Integral sxema asosidagi sensorli tekshirishda AuthenTec kompa- niyasnda ishlatnluvchi usul aniklikni yana xam oshirishga imkon beradi. Kator ishlab chikaruvchilar biometrik tizimlarni smart-kartalar va karta-kalitlar bilan kombinatsiyalaydilar. Integral sxemalar asosidagi barmok izlari datchiklarining kichik ulchamlari va yukori bulmagan narxi ularni ximoya tizimi uchun ideal in- terfeysga aylantiradi. Ularni kalitlar uchun breloklarga urnatish mumkin. Natijada foydalanuvchi kompyuterdan boshlab to kirish yuli, avto- mobillar va bankomatlar eshiklaridan ximoyali foydalanishni ta’minlay- digan universal kalitga ega buladi. Kul panjasining geometrik shakli buyicha autentifikatsiyalash tizimlari. Kul panjasi shaklini ukuvchi kurilmalar barmoklar uzunli- gini, kul panja kalinligi va yuzasini ulchash orkali kul panjasining xajmiy tasvirini yaratadi. Masalan, Recognition Systems kompaniyasining maxsulotlari 90 dan ortik ulchamlarni amalga oshiradi. Natijada keyingi takkoslash uchun 9-xonali namuna shakllantiriladi. Bu natija kul panjasini individual skanerida yoki markazlashtirilgan ma’lumotlar bazasida saklanishi mumkin. Kul panjasini skanerlovchi kurilmalar narxining yukoriligi va ulchamlarining kattaligi sababli tarmok muxitida kamdan-kam ishlatilsada, ular kat’iy xavfsizlik rejimiga va shiddatli trafikka ega bulgan xisoblash muxiti (server xonalari xam bunga kiradi) uchun kulay xisoblanadi. Ularning anikligi yukori va inkor koeffitsiyenti ya’ni inkor etilgan konuniy foydalanuvchilar foizi kichik. Yuzning tuzilishi va ovoz buyicha autentifikatsiyalovchi tizimlar. Bu tizimlar arzonligi tufayli eng foydalanuvchan xisoblanadilar, chunki aksariyat zamonaviy kompyuterlar video va audeo vositalariga ega. Bu sinf tizimlari telekommunikatsiya tarmokdarida masofadagi foydalanuvchi subyektni identifikatsiyalash uchun ishlatiladi. Yuz tuzilishini skanerlash texnologilsi boshka biometrik texnologiyalar yaroksiz bulgan ilovalar uchun tugri keladi. Bu xolda shaxsni identifikatsiyalash va verifikatsiyalash uchun kuz, burun va lab xususiyatlari ishlatiladi. Yuz tuzilishini anikdovchi kurilmalarni ishlab chikaruvchilar foydalanuvchini identifikatsiyalashda xususiy matematik algoritmlardan foydalanadilar. Ma’lum bulishicha, kupgina tashkilotlarning xodimlari yuz tuzilishini skanerlovchi kurilmalarga ishonmaydilar. Ularning fikricha kamera ularni rasmga oladi, sungra suratni monitor ekraniga chikaradi. Kameraning sifati esa past bulishi mumkin. Undan tashkari yuz tuzilishini skanerlash - biometrik autentifikatsiyalash usullari ichida yagona, tekshirishga ruxsatni talab kilmaydigan (yashiringan kamera yordamida amalga oshirilishi mumkin) usul xisoblanali. Ta’kidlash lozimki, yuz tuzilishini aniklash texnologiyasi yanada takomillashtirilishni talab etadi. Yuz tuzilishini anikdovchi aksariyat algoritmlar kuyosh yorugligi jadalligining kun buyicha tebranishi natijasidagi yoruglik uzgarishiga ta’sirchan buladilar. Yuz xolatining uzgarishi xam aniklash natijasiga ta’sir etadi. Yuz xolatining 450 ga uzgarishi aniklashni samarasiz bulishiga olib keladi. Ovoz buyicha autentifikatsiyalash tizimlari. Bu tizimlar arzonligi tufayli foydalanuvchan xisoblanadilar. Xususan ularni kupgina shaxsiy kompyuterlar standart komplektidagi uskuna (masalan mikrofonlar) bilan birga urnatish mumkin. Ovoz buyicha autentifikatsiyalash tizimlari xar bir odamga noyob bulgan balandligi, modulyatsiyasi va tovush chastotasi kabi ovoz xususiyatlariga asoslanadi. Ovozni aniklash nutkni aniklashdan farklanadi. Chunki nutkni aniklovchi texnologiya abonent suzini izoxlasa, ovozni aniklash texnologiyasi suzlovchining shaxsini tasdiklaydi. Suzlovchi shaxsini tasdiklash ba’zi chegaralanishlarga ega. Turli odamlar uxshash ovozlar bilan gapirishi mumkin, xar kanday odamning ovozi vakt mobaynida kayfiyati, xissiyotlik xolati va yoshiga boglik xolda uzgarishi mumkin. Uning ustiga telefon apparatlarning turli-tumanligi va telefon orkali boglanishlarining sifati suzlovchi shaxsini aniklashni kiyinlashtiradi. Shu sababli ovoz buyicha aniklashni yuz tuzilishini yoki barmok izlarini aniklash kabi boshka biometriklar bilan birgalikda amalga oshirish maksadga muvofik xisoblanadi. Kuz yoyi tur pardasining shakli buyicha autentifikatsiyalash tizimi. Bu tizimlarni ikkita sinfga ajratish mumkin: kuz yoyi rasmidan foydalanish; kuz tur pardasi kon tomirlari rasmidan foydalanish. Odam kuz pardasi autentifikatsiya uchun noyob obyekt xisoblanadi. Kuz tubi kon tomirlarining rasmi xatto egizaklarda xam farklanadi. Identifikatsiyalashning bu vositalaridan xavfsizlikning yukori darajasi talab etilganida (masalan xarbiy va mudofaa obyektlarining rejimli zonalarida) foydalaniladi. Biometrik yondashish “kim bu kim” ekanligini aniklash jarayonini soddalashtirishga imkon beradi. Daktiloskopik skanerlar va ovozni aniklovchi kurilmalardan foydalanish xodimlarni tarmokka kirishlarida murakkab parollarni eslab kolishdan xalos etadi. Kator kompaniyalar korxona masshtabidagi bir martali autentifikatsiya SSO (Single Sign-On) ga biometrik imkoniyatlarni integratsiyalaydilar. Bunday biriktirish tarmok ma’murlariga parollarni bir martali autentifikatsiyalash xizmatini biometrik texnologiyalar bilan almashtirishga imkon beradi. Shaxsni biometrik autentifikatsiyalashning birinchilar katorida keng tarkalgan soxalaridan biri mobil tizimlari buldi. Muammo fakat kompyuter ugirlanishidagi yukotishlarda emas, balki axborot tizimining buzilishi katta zararga olib kelishi mumkin. Undan tashkari, noutbuklar dasturiy boglanish (mobil kompyuterlarda saklanuvchi parollar yordamida) orkali korporativ tarmokdan foydalanishni tez-tez amalga oshiradi. Bu muammolarni kichik, arzon va katta energiya talab etmaydigan barmok izlari datchiklari yechishga imkon beradi. Bu kurilmalar mos dasturiy ta’minot yordamida axborotdan foydalanishning mobil kompyuterda saklanayotgan turtta satxi - ruyxatga olish, ekranni saklash rejimidan chikish, yuklash va fayllarni deshifratsiyalash uchun autentifikatsiyani bajarishga imkon beradi. Foydalanuvchini biometrik autentifikatsiyalash maxfiy kalitdan foydalanishni modul kurinishida shifrlashda jiddiy axamiyatga ega bulishi mumkin. Bu modul axborotdan fakat xakikiy xususiy kalit egasining foydalanishiga imkon beradi. Sungra kalit egasi uzining maxfiy kalitini ishlatib xususiy tarmoklar yoki Internet orkali uzatilayotgan axborotni shifrlashi mumkin. Yüklə 0,8 Mb. Dostları ilə paylaş:
| ||||||||||||||