O‟quv qo‟llanma


Parollar asosida autentifikatsiyalash



Yüklə 3,82 Mb.
Pdf görüntüsü
səhifə28/79
tarix04.09.2023
ölçüsü3,82 Mb.
#141468
1   ...   24   25   26   27   28   29   30   31   ...   79
Axborot xavfsizligi amaliy mashg\'ulot uchun

Parollar asosida autentifikatsiyalash. 
Autentifikatsiyaning keng tarqalgan 
sxemalaridan biri oddiy autentifikatsiyalash bo‘lib, u an‘anaviy ko‘p martali 
parollarni 
ishlatishga 
asoslangan. 
Tarmoqdagi 
foydalanuvchini 
oddiy 
autentifikatsiyalash muolajasini quyidagicha tasavvur etish mumkin. Tarmoqdan 
foydalanishga 
uringan 
foydalanuvchi 
kompyuter 
klaviaturasida 
o‘zining 
identifikatori va parolini teradi. Bu ma‘lumotlar autentifikatsiya serveriga ishlanish 
uchun 
tushadi. 
Autentifikatsiya 
serverida 
saqlanayotgan 
foydalanuvchi 
identifikatori bo‘yicha ma‘lumotlar bazasidan mos yozuv topiladi, undan parolni 
topib foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, 
autentifikatsiya muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal 
(qonuniy) maqomini va avtorizasiya tizimi orqali uning maqomi uchun aniqlangan 
huquqlarni va tarmoq resurslaridan foydalanishga ruxsatni oladi.
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 5.1.–rasmda 
keltirilgan.
Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali 
autentifikatsiyalash 
varianti 
xavfsizlikning 
hatto 
minimal 
darajasini 
kafolatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali 
uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash e
k
va 
rasshifrovka qilish D
k
vositalari kiritilgan. 


42 
6.1-rasm Paroldan foydalangan holda oddiy autentifikatsiyalash 
Bu vositalar bo‘linuvchi 
maxfiy kalit K orqali boshqariladi. 
Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol P
A
 
bilan autentifikatsiya serverida saqlanuvchi
dastlabki qiymat P
A
ni taqqoslashga 
asoslangan. Agar P
A
va R
1
A
qiymatlar mos kelsa, parol P
A
haqiqiy, 
foydalanuvchi A esa qonuniy hisoblanadi.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni 
qo‘llashning quyidagi usullari ma‘lum: 
1.
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan 
foydalanish. 
2.
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy 
parollar ro‘yxatidan va ularning ishonchli sinxronlash mexanizmidan 
foydalanish. 
3.
Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil 
dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish. 
Birinchi 
usulni 
amalga 
oshirish 
misoli 
sifatida 
SecurID 
autentifikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya Security 
Dynamics 
kompaniyasi 
tomonidan 
ishlab 
chiqilgan 
bo‘lib, 
qator 
kompaniyalarning, xususan CiscoSystems kompaniyasining serverlarida amalga 
oshirilgan. 


43 
Vaqt sinxronizasiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy 
sonlarni vaqtning ma‘lum oralig‘idan so‘ng generasiyalash algoritmiga asoslangan. 
Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi: 

Har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda 
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat 
maxfiy kalit; 

Joriy vaqt qiymati. 
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan 
shaxsiy identifikasiya nomeri PIN ni kiritish taklif etiladi. PIN to‘rtta o‘nli 
raqamdan va apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita 
raqamidan iborat. Server foydalanuvchi tomonidan kiritilgan PIN-koddan 
foydalanib ma‘lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt 
qiymati asosida tasodifiy sonni generasiyalash algoritmini bajaradi. So‘ngra server 
generasiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu 
sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi. 
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va 
serverning qat‘iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha 
yil ishlashi va server ichki soati bilan apparat kalitining muvofiqligi asta-sekin 
buzilishi mumkin. 
UshbumuammonihaletishdaSecurityDynamicskompaniyasiquyidagiikkiusu
ldanfoydalanadi: 

Apparat kaliti ishlab chiqilayotganida uning taymer chastotasining 
me‘yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server 
algoritmi parametri sifatida hisobga olinadi; 

Server muayyan apparat kalit generasiyalagan kodlarni kuzatadi va 
zaruriyat tug‘ilganida ushbu kalitga moslashadi. 
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘liq. Apparat 
kalit generasiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida 
haqiqiy parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir 
bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan 


44 
foydalanishga ishlatishi mumkin. Bu vaqt sinxronizasiyasiga asoslangan 
autentifikatsiya sxemasining eng zaif joyi hisoblanadi. 
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga 
oshiruvchi 
yana 
bir 
variant 
– «so‘rov-javob» sxemasi bo‘yicha 
autentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga uringanida server 
unga tasodifiy son ko‘rinishidagi so‘rovni uzatadi. Foydalanuvchining apparat 
kaliti bu tasodifiy sonni, masalan DES algoritmi va foydalanuvchining apparat 
kaliti xotirasida va serverning ma‘lumotlar bazasida saqlanuvchi maxfiy kaliti 
yordamida rasshifrovka qiladi. Tasodifiy son - so‘rov shifrlangan ko‘rinishda 
serverga qaytariladi. Server ham o‘z navbatida o‘sha DES algoritmi va 
serverning ma‘lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti 
yordamida o‘zi generasiyalagan tasodifiy sonni shifrlaydi. So‘ngra server 
shifrlash natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos 
kelganida foydalanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta‘kidlash 
lozimki, 
«so‘rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt 
sinxronizasiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda 
murakkabroq. 
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan 
foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy 
bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash 
mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo‘linuvchi 
ro‘yxati maxfiy parollar ketma-ketligi yoki to‘plami bo‘lib, har bir parol faqat 
bir marta ishlatiladi. Ushbu ro‘yxat autentifikasion almashinuv taraflar o‘rtasida 
oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘rov-javob 
jadvali ishlatiladi. Bu jadvalda autentifikasilash uchun taraflar tomonidan 
ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har bir juft faqat bir marta 
ishlatilishi shart. 
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan 
foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy 
bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan 
foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari 


45 
mavjud: 

O‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi 
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi 
sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi; 

Bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu 
usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi 
(Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul 
ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi. 
Keng 
tarqalgan 
bir 
martali 
paroldan 
foydalanishga 
asoslangan 
autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key 
(RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilarning 
haqiqiyligini tekshirishni talab etuvchi ko‘pgina tizimlarda, xususan, Cisco 
kompaniyasining TACACS+tizimida amalga oshirilgan.

Yüklə 3,82 Mb.

Dostları ilə paylaş:
1   ...   24   25   26   27   28   29   30   31   ...   79




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin