S. K. Ganiyev, M. M. Karimov, K. A. Tashev
Bir martali parollarga asoslangan autentifikatsiyalashda
Yüklə 7,8 Mb. Pdf görüntüsü
|
|
Bir martali parollarga asoslangan autentifikatsiyalashda
foy- dalanishga har bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. Odatda, bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydalanuvchilami tekshirishda qollaniladi. Bir martali parollami generatsiyalash apparat yoki dasturiy usul orqali amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari tashqaridan to‘lov plastik kar- tochkalariga o‘xshash mikroprotsessor o‘matilgan miniatyur quril- malar ko‘rinishda amalga oshiradi. Odatda, kalitlar deb ataluvchi bunday kartalar, klaviaturaga va katta bo‘lmagan displey darchasiga ega. Foydalanuvchilami autentifikatsiyalash uchun bir martali parollami qo‘llashning quyidagi usullari ma’lum: 1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish. 2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar ro‘yxatidan va ulaming ishonchli sinxronlash mexanizmidan foydalanish. 3. Foydalanuvchi va tekshimvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foyda lanish. Birinchi usulni amalga oshirish misoli sifatida SecurlD auten- tikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya Security Dynamics kompaniyasi tomonidan ishlab chiqilgan boiib, qator kompaniyalaming, xususan, CiscoSystems kompaniyasining serverlarida amalga oshirilgan. Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxe masi tasodifiy sonlami vaqtning ma’lum oralig‘idan so‘ng gene ratsiyalash algoritmiga asoslangan. Autentifikatsiya sxemasi quyi dagi ikkita parametrdan foydalanadi: 139 • har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda foydalanuvchining apparat kalitida saqlanuvchi noyob 64- bitli sondan iborat maxfiy kalit; • joriy vaqt qiymati. Masofadagi foydalanuvchi tarmoqdan foydalanishga uringa- nida, undan shaxsiy identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va apparat kaliti displeyida aks- lanuvchi tasodifiy sonning oltita raqamidan iborat. Server foyda lanuvchi tomonidan kiritilgan PIN-koddan foydalanib, ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida tasodifiy sonni generatsiyalash algoritmini bajaradi. So‘ngra server generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu sonlar mos kelsa, server foydalanuvchiga ti- zimdan foydalanishga ruxsat beradi. Autentifikatsiyaning bu sxemasidan foydalanishda apparat ka lit va serveming qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi, server ichki soati bilan apparat kalitining muvofiqligi asta-sekin buzilishi mumkin. Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki usuldan foydalanadi: • apparat kaliti ishlab chiqilayotganida uning taymer chas- totasining me’yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server algoritmi parametri sifatida hisobga olinadi; • server muayyan apparat kalit generatsiyalagan kodlami kuza- tadi va zaruriyat tug‘ilganida ushbu kalitga moslashadi. Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘- liq. Apparat kalit generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy parol hisoblanadi. Shu sababli, qisqa muddatli vaziyat sodir bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya sxemasining eng zaif joyi hisoblanadi. Bir martali paroldan foydalanib autentifikatsiyalashni amalga oshiruvchi yana bir variant - «so‘rov-javob» sxemasi bo'yicha au tentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga urin- ganida server unga tasodifiy son ko‘rinishidagi so‘rovni uzatadi. 140 Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan, DES algoritmi va foydalanuvchining apparat kaliti xotirasida hamda serveming ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yorda mida rasshifrovka qiladi. Tasodifiy son - so ‘rov shifrlangan ko‘- rinishda serverga qaytariladi. Server ham o‘z navbatida o‘sha DES algoritmi va serveming ma’lumotlar bazasidan olingan foydala nuvchining maxfiy kaliti yordamida o‘zi generatsiyalagan tasodifiy sonni shifrlaydi. So‘ngra server shifrlash natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida foyda lanuvchi tarmoqdan foydalanishga mxsat oladi. Ta’kidlash lozimki, «so‘rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxro- nizatsiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda murakkabroq. Foydalanuvchini autentifikatsiyalash uchun bir martali parol- dan foydalanishning ikkinchi usuli foydalanuvchi va tekshimvchi uchun umumiy bo‘lgan tasodifiy parollar ro‘yxatidan va ulaming ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. Bir martali parollaming bo‘linuvchi ro‘yxati maxfiy parollar ketma- ketligi yoki nabori bo‘lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro‘yxat autentifikatsion almashinuv taraflar o‘rtasida oldin- dan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘- rov-javob jadvali ishlatiladi. Bu jadvalda autentifikatsiyalash uchun taraflar tomonidan ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har bir juft faqat bir marta ishlatilishi shart. Foydalanuvchini autentifikatsiyalash uchun bir martali parol- dan foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari mavjud: • o‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi; • bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi (Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik 141 nuqtayi nazaridan bu usul ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi. Keng tarqalgan bir martali paroldan foydalanishga asoslangan autentifikatsiyalash protokollaridan biri Intemetda standartlashtiril- gan S/Key (RFC 1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilaming haqiqiyligini tekshirishni talab etuvchi ko‘p- gina tizimlarda, xususan, Cisco kompaniyasining TACACS+ ti- zimida amalga oshirilgan. Yüklə 7,8 Mb. Dostları ilə paylaş:
|