Tarmoq xavfsizligi


Tarmoq identifikatsiyasi va autentifikatsiyasi protokollari



Yüklə 273,85 Kb.
səhifə30/35
tarix07.01.2024
ölçüsü273,85 Kb.
#209617
1   ...   27   28   29   30   31   32   33   34   35
Asrorxonova Dilnavozxon KI 14-20 S 3 -mustaqil ish

Tarmoq identifikatsiyasi va autentifikatsiyasi protokollari.
Kompyuter tizimida ro'yxatga olingan har bir subyekt (foydalanuvchi yoki foydalanuvchi nomidan harakatlanuvchi jarayon) bilan uni bir ma’noda indentifikatsiyalovchi axborot bog'liq. Bu ushbu subyektga nom beruvchi son yoki simvollar satri bo'lishi mumkin. Bu axborot subyekt identifikatori deb yuritiladi. Agar foydalanuvchi tarmoqda ro'yxatga olingan identifikatorga ega bo'lsa, u legal (qonuniy), aks holda legal bo'lmagan (noqonuniy) foydalanuvchi hisoblanadi. Kompyuter resurslaridan foydalanishdan avval foydalanuvchi kompyuter tizimining identifikatsiya va autentifikatsiya jarayonidan o'tishi lozim. Identifikatsiya (Identification) - foydalanuvchini uning identifikatori (nomi) bo'yicha aniqlash jarayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda bajariladigan funksiyadir. Foydalanuvchi tizimga uning so'rovi bo'yicha o'zining idenlifikatorini bildiradi, tizim esa o'zining ma'lumotlar bazasida uning borligini tekshiradi. Autentifik atsiya (Authentication) - ma’lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o'zi ekanligiga ishonch hosil qilishga imkon beradi. Autentifikatsiya o'tqazishda tekshiruvchi taraf tekshiriluvchi tarafning haqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi. Odatda, foydalanuvchi tizimga o'zi xususidagi noyob, boshqalarga ma’lum bo'lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi. Identifikatsiya va autentifikatsiya subyektlarning (foydalanuvchilarning) haqiqiy ekanligini aniqlash va tekshirishning o'zaro bog'langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga tizimning ruxsati aynan shularga bog'liq.
Subyektni identifikatsiyalash va autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi. Avtorizatsiya (Authorization) - subyektga tizimda ma’lum vakolat va resurslami berish muolajasi, ya’ni avtorizatsiya subyekt harakati doirasini va u foydalanadigan resurslami belgilaydi. Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa, bu tizimda axborotning konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog‘langan. Ma’murlash (Accounting) - foydalanuvchining tarmoqdagi harakatini, shu jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtai nazaridan tarmoqdagi xavfsizlik hodisalarini oshkor qilish, tahlillash va ularga mos reaksiya ko'rsatish uchun juda muhimdir.
Ma’lumotlami uzatish kanallarini himoyalashda subyektlarning o'zaro autentifika tsiyasi, ya’ni aloqa kanallari orqali bog'lanadigan subyektlar haqiqiyligining o'zaro tasdig'i bajarilishi shart. Haqiqiylikning tasdig'i odatda seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga oshiriladi. «Ulash» atamasi orqali tarmoqning ikkita subyekti o'rtasida mantiqiy bog'lanish tushuniladi. Ushbu muolajaning maqsadi - ulash qonuniy subyekt bilan amalga oshirilganligiga va barcha axborot mo'ljallangan manzilga borishligiga ishonchni ta’minlashdir.
O'zining haqiqiyligining tasdiqlash uchun subyekt tizimga turli asoslarni ko'rsatishi mumkin. Subyekt ko'rsatadigan asoslarga bog'liq holda autentifikatsiya jarayonlari quyidagi kategoriyalarga bo'linishi mumkin:
- biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal Identification Number) hamda «so'rov javob» xilidagi protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko'rsatish mumkin;
- biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart-kartalar, sertifikatlar va touch memoriy qurilmalari;
- qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o'z tarkibiga foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko'zining rangdor pardasi va to'r pardasi, barmoq izlari, kafit geometriyasi va h.k.) asoslangan usullami oladi. Bu kategoriyada kriptografik usullar va vositalar ishlatilmaydi. Buometrik xarak- teristikalar binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi. Parol - foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa. 0 ‘zaro autentifikatsiya uchun foydalanuvchi va uning sherigi o'rtasida parol almashinishi mumkin. Plastik karta va smart-karta egasini autentifikatsiyasida shaxsiy identifikatsiya nomeri PIN sinalgan usul hisoblanadi. PIN - kodning maxfiy qiymati faqat karta egasiga ma’lum bo'lishi shart.
Dinamik - (bir martalik) parol - bir marta ishlatilganidan so'ng boshqa umuman ishlatilmaydigan parol. Amalda, odatda, doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam o'zgarib turuvchi qiymat ishlatiladi.
«So'rov-javob » tizimi - taraflarning biri noyob va oldindan bilib bo'lmaydigan «so'rov» qiymatini ikkinchi tarafga jo'natish orqali autentifikatsiyani boshlab beradi, ikkinchi taraf esa so'rov va sir yordamida hisoblangan javobni jo'natadi. Ikkala tarafga bitta sir ma’lum bo'lgani sababli, birinchi taraf ikkinchi taraf javobini to'g'riligini tekshirishi mumkin.
Sertifikatlar va raqamli imzolar - agar autentifikatsiya uchun sertifikatlar ishlatilsa, bu sertifikatlarda raqamli imzoning ishlatilishi talab etiladi. Sertifikatlar foydalanuvchi tashkilotining mas’ul shaxsi, sertifikatlar serveri yoki tashqi ishonchli tashkilot tomonidan beriladi. Internet doirasida ochiq kalit sertifikatlarini tarqatish uchun ochiq kalitlarni boshqaruvchi qator- tijorat infratuzilmalari PKI (Public Key Infrastrusture) paydo bo'ldi. Foydalanuvchilar turli daraja sertifikatlarini olishlari mumkin.
Autentifikatsiya jarayonlarini ta’minlanuvchi xavfsizlik darajasi bo'yicha ham turkumlash mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari quyidagi turlarga bo'linadi:
  • parollar va raqamli sertifikatlardan foydalanuvchi autentifikatsiya;


  • kriptografik usullar va vositalar asosidagi qatiy autentifikatsiya;


  • nollik bilim bilan isbotlash xususiyatiga ega bo'lgan autentifikatsiya jarayonlari (protokollari);


  • foydalanuvchilarni biometrik autentifikatsiyasi.


Xavfsizlik nuqtai nazaridan yuqorida keltirilganlaming har biri o'ziga xos masalalami yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va protokollari amalda faol ishlatiladi. Shu bilan bir qatorda ta’kidlash lozimki, nollik bilim bilan isbotlash xususiyatiga ega boMgan autentifikatsiyaga qiziqish amaliy xarakterga nisbatan ko'proq nazariy xarakterga ega. Balkim, yaqin kelajakda ulardan axborot almashinuvini himoyalashda faol foydalanishlari mumkin.


Autentifikatsiya protokollariga bo'ladigan asosiy hujumlar quyidagilar:
- maskarad (impersonation). Foydalanuvchi o'zini boshqa shaxs deb ko'rsatishga urinib, u shaxs tarafidan harakatlaming imkoniyatlariga va imtiyozlariga ega bo'lishni mo'ljallaydi;
- autentifikatsiya almashinuvi tarafini almashtirib qo'yish (interleaving attack). Niyati buzuq odam ushbu hujum mobaynida ikki taraf orasidagi autentifikatsion almashinish jarayonida trafikni modifikatsiyalash niyatida qatnashadi. Almashtirib qo'yishning quyidagi xili mavjud: ikkita foydalanuvchi o'rtasidagi autentifikatsiya muvaffaqiyatli o'tib, ulanish o'rnatilganidan so'ng buzg'unchi foydalanuvchilardan birini chiqarib tashlab, uning nomidan ishni davom ettiradi;
- takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan autentifikatsiya ma’lumotlari takroran uzatiladi;
- uzatishni qaytarish (reflection attak). Oldingi hujum variantlaridan biri bo'lib, hujum mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida ushlab qolingan axborotni orqaga qaytaradi;
- majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma’lumotni ushlab qolib, biror vaqtdan so'ng uzatadi.
- matn tanlashli hujum (chosen text attack). Niyati buzuq odam autentifikatsiya trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi. Yuqorida keltirilgan hujumlami bartaraf qilish uchun autentifikatsiya protokollarini qurishda quyidagi usullardan foydalaniladi:
- «so'rov-javob», vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli imzolar kabi mexanizmlardan foydalanish;
- autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi harakatlariga bog'lash. Bunday yondashish misol tariqasida autentifikatsiya jarayonida foydalanuvchilarning keyingi o'zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni ko'rsatish mumkin;
- aloqaning o'rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti-vaqti bilan bajarib turish va h.
«So'rov-javob» mexanizmi quyidagicha. Agar foydalanuvchi A foydalanuvchi V dan oladigan xabari yolg'on emasligiga ishonch hosil qilishni istasa, u foydalanuvchi V uchun yuboradigan xabarga oldindan bilib bo'lmaydigan element - X so'rovini (masalan, qandaydir tasodifiy sonni) qo'shadi. Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan, qandaydir f(X ) funksiyani hisoblash) bajarishi lozim. Buni oldindan bajarib bo'lmaydi, chunki so'rovda qanday tasodifiy son X kelishi foydalanuvchi V ga ma’lum emas. Foydalanuvchi V harakati natijasini olgan foydalanuvchi A foydalanuvchi V ning haqiqiy ekanligiga ishonch hosil qilishi mumkin. Ushbu usulning kamchiligi — so'rov va javob o'rtasidagi qonuniyatni aniqlash mumkinligi. Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni qaydlashni ko'zda tutadi. Bunda tarmoqning har bir foydalanuvchisi kelgan xabarning qanchalik eskirganini aniqlashi va uni qabul qilmaslik qaroriga kelishi mumkin, chunki u yolg'on bo'lishi mumkin. Vaqtni belgilashdan foydalanishda seansning haqiqiy ekanligini tasdiqlash uchun kechikishning joiz vaqt oralig'i muammosi paydo bo'ladi. Chunki, «vaqt tamg'asi»Ii xabar, umuman, bir lahzada uzatilishi mumkin emas. Undan tashqari, qabul qiluvchi va jo'natuvchining soatlari mutlaqo sinxrontangan bo'lishi mumkin emas.
Autentifikatsiya protokollarini taqqoslashda va tanlashda quyidagi xarakteristikalarni hisobga olish zarur:
- о'zaro autentifikatsiyaning mavjudligi. Ushbu xususiyat autentifikatsion almashinuv taraflari o'rtasida ikkiyoqlama autentifikatsiyaning zarurligini aks ettiradi;
- hisoblash samaradorligi. Protokolni bajarishda zarur bo'lgan amallar soni;
- kommunikatsion samaradorlik. Ushbu xususiyat autentifikatsiyani bajarish uchun zarur bo'lgan xabar soni va uzunligini aks ettiradi;
- uchinchi tarafning mavjudligi. Uchinchi tarafga misol tariqasida simmetrik kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni taqsimlash uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko'rsatish mumkin;
- xavfsizlik kafolati asosi. Misol sifatida nollik bilim bilan isbotlash xususiyatiga ega bo'lgan protokollarni ko'rsatish mumkin;
- sirni saqlash. Jiddiy kalitli axborotni saqlash usuli ko'zda tutiladi.

Yüklə 273,85 Kb.

Dostları ilə paylaş:
1   ...   27   28   29   30   31   32   33   34   35




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin