10-Ma’ruza Mavzu: Identifikatsiya va autentifikatsiya vositalari
Yüklə 126,37 Kb.
|
10-Ma’ruzaMavzu:Identifikatsiya va autentifikatsiya vositalariTizim resurslaridan foydalanishni boshqarish bilan bog‘liq har qanday xavfsizlik muammosi uchun foydalanishni nazoratlash tushunchasidan “soyabon” sifatida foydalanish mumkin. Bunda 3 ta asosiy tushuncha farqlanadi: identifikatsiya, autentifikatsiya va avtorizatsiya. Identifikatsiya – shaxsni kimdir deb da’vo qilish jarayoni. Masalan, siz telefonda o‘zingizni tanishtirishingizni identifikatsiyadan o‘tish deb aytish mumkin. Bunda siz o‘zingizni, masalan, “Men Bahodirman” deb tanitasiz. Bu o‘rinda “Bohodir” sizning identifikatoringiz bo‘lib xizmat qiladi. Identifikatsiya – subyekt identifikatorini tizimga yoki talab qilgan subyektga taqdim etish jarayoni. Elektron pochta tizimida pochta manzilini identifikator, manzilini taqdim etish jarayonini esa identifikatsiyalash deb ataladi. Elektron pochta tizimida pochta manzili takrorlanmas va noyob. Demak, foydalanuvchining identifikatori tizim ichida noyob va takrorlanmasdir. Autentifikatsiya – foydalanuvchining (yoki uning nomidan ish ko‘ruvchi vositaning) tizimdan foydalanish huquqiga egaligini tekshirish jarayoni. Masalan, foydalanuvchining shaxsiy kompyuterdan foydalanish jarayonini ko‘raylik. Dastlab foydalanuvchi o‘z identifikatorini (ya’ni, foydalanuvchi nomini) taqdim etib, tizimga o‘zini tanitadi (identifikatsiya jarayonidan o‘tadi). So‘ngra, tizim foydalanuvchidan, taqdim etilgan identifikatorni haqiqiyligini tekshirish uchun, parol talab qiladi. Agar identifikatorga mos parol kiritilsa (ya‘ni, autentifikatsiyadan o‘tilsa), foydalanuvchi kompyuterdan foydalanish imkoniyatiga ega bo‘ladi. Umuman olganda, autentifikatsiya foydalanuvchining yoki subyektning haqiqiyligini tekshirish jarayoni deb yuritiladi. Foydalanuvchi autentifikatsiyadan o‘tganidan so‘ng, tizim resurslaridan foydalanish imkoniyatiga ega bo‘ladi. Biroq, autentifikatsiyadan o‘tgan foydalanuvchi tizimda faqatgina ruxsat berilgan amallarni bajarishi mumkin. Masalan, autentifikatsiyadan o‘tgan imtiyozga ega foydalanuvchi uchun dasturlarni o‘rnatish imkoniyatini berilishi talab etilsin. Bunda autentifikatsiyadan o‘tgan foydalanuvchining foydalanish huquqlari qanday cheklanadi? Bu masala avtorizatsiyalash orqali yechiladi. Avtorizatsiya – identifikatsiya va autentifikatsiya jarayonlaridan muvaffaqiyatli o‘tgan foydalanuvchiga tizimda amallarni bajarish huquqini berish jarayoni. Umumiy holda, autentifikatsiya binar qaror hisoblanadi - ya’ni, ruxsat beriladi yoki yo‘q. Avtorizatsiya esa tizimning turli resurslaridan foydalanishni cheklash uchun foydalaniluvchi qoidalar to‘plami. Xavfsizlik sohasida aksariyat atamalar standart ma’nolaridan boshqa hollarda ham qo‘llaniladi. Xususan, foydalanishlarni nazoratlash ko‘p hollarda avtorizatsiyaga sinonim sifatida ishlatiladi. Biroq, mazkur o‘quv qo‘llanmada foydalanishlarni nazoratlash biroz kengroq qaralgan. Ya’ni, autentifikatsiya va avtorizasiya jarayonlari foydalanishlarni nazoratlashning alohida qismlari sifatida ko‘riladi. Yuqorida keltirilgan atamalarga berilgan ta’riflarni umumlashtirgan holda quyidagicha xulosa qilish mumkin: Identifikatsiya – siz kimsiz? Autentifikatsiya – siz haqiqatan ham sizmisiz? Avtorizatsiya – sizga buni bajarishga ruxsat bormi? Bir tomonlama va ikki tomonlama autentifikatsiya. Agar tomonlardan biri ikkinchisini autentifikatsiyadan o‘tkazsa - bir tomonlama, agar har ikkala tomon bir-birini autentifikatsiyadan o‘tkazsa, u holda ikki tomonlama autentifikatsiya deb ataladi. Masalan, elektron pochtadan foydalanishda faqat server foydalanuvchini haqiqiyligini (parol orqali) tekshirsa, uni bir tomonlama autentifikatsiyalash deb ataladi. Elektron to‘lov tizimlarida server foydalanuvchini, foydalanuvchi esa serverni autentifikatsiyadan o‘tkazadi. Shuning uchun mazkur holat ikki tomonlama autentifikatsiyalash deb yuritiladi. Ko‘p omilli autentifikatsiya. Yuqorida keltirilgan barcha autentifikatsiya senariylarida foydalanuvchilarni faqat bitta omil bo‘yicha haqiqiyligi tekshiriladi. Masalan, elektron pochtaga kirishda faqat parolni bilishning o‘zi yetarli bo‘lsa, binoga kirishda barmoq izini to‘g‘ri kiritishning o‘zi eshikning ochilishi uchun yetarli bo‘ladi. Ya’ni, server faqat foydalanuvchidan parolni yoki barmoq izi tasvirini to‘g‘ri bo‘lishini talab qiladi. Bir omilli autentifikatsiyada tekshirish faqat bitta omil bo‘yicha (masalan, parol) amalga oshirilsa, bunday autentifikatsiya bir omilli autentifikatsiya deb yuritiladi. Identifikatsiya va autentifikatsiya foydalanishni boshqarish jarayonida dastlabki chegara hisoblanadi. Tizimning turli variantlarda amalga oshirilishida ba’zi qurilmalar va mexanizmlar ham identifikatsiya, ham autentifikatsiya qismtizimi komponentlari bo‘lishi mumkin. Shu sababli, identifikatsiya va autentifikatsiya vositalarini birlashgan holda baholash lozim. Identifikatsiya va autentifikatsiya vositalarini, odatda, autentifikatsiya omillari bo‘yicha uchta turga ajratishadi. tur. Qandaydir yashirin axborotni (masalan, parolni, maxfiy PIN- kodni, klavishalar va iboralar kombinatsiyalarini) bilishga asoslangan vositalar (something you know). tur. Noyob qurilmadan, usuldan yoki ma’lumotlar naboridan (masalan, smart kartalardan, raqamli sertifikatlardan) foydalanishga asoslangan vositalar (something you have). tur. Tirik organizmning fiziologik atributlariga (something you are) masalan, ko‘z yoyi to‘rpardasiga yoki odatiy atributlarga (something you do) masalan, imzoga asoslangan biometrik vositalar. Ba’zi tasniflarda foydalanuvchi o‘rnashgan joyi (some where you are), bilan bog‘liq axborotga asoslangan yana bir vositalar turini uchratish mumkin. Bunda autentifikatsiya omili sifatida telefon nomeri (mamlakat, shahar, tuman kodi) ishtirok etganligi sababli, bunday vositalarni, ko‘pincha, 2-turga (something you have) tegishli deb hisoblashadi. Agar tizimda turli tur autentifikatsiya omillarini birgalikda ishlatuvchi vositalardan foydalanilsa, ko‘p omilli autentifikatsiya xususida gapirish mumkin. Bunday tizimlarni ko‘p sathli himoyalash (defence in depth) kategoriyasiga tegishli deb hisoblashadi. Shu sababli, bunday tizimlar faqat bitta tip qurilmalardan foydalanuvchi tizimlarga nisbatan yuqori bardoshlikka ega. Hozirda ikki omilli autentifikatsiya (two-factor authentication) keng tarqalgan. Masalan, zamonaviy operatsion tizimlarni maxfiy PIN-kod va cmart-kartadan foydalanib sozlash mumkin. Yüklə 126,37 Kb. Dostları ilə paylaş:
|