10.3
Parollar asosida autentifikatsiyalash
Autentifikatsiyaning
keng
tarqalgan
sxemalaridan
biri
oddiy
autentifikatsiyalash bo‗lib, u an‘anaviy ko‗p martali parollarni ishlatishiga
asoslangan. Tarmoqdagi foydalanuvchini oddiy autentifikatsiyalash muolajasini
quyidagicha
tasavvur
etish
mumkin.
Tarmoqdan
foydalanishga
uringan
foydalanuvchi kompyuter klaviaturasida o‗zining identifikatori va parolini teradi. Bu
ma‘lumotlar autentifikatsiya serveriga ishlanish uchun tushadi. Autentifikatsiya
serverida saqlanayotgan foydalanuvchi identifikatori bo‗yicha ma‘lumotlar bazasidan
mos yozuv topiladi, undan parolni topib foydalanuvchi kiritgan parol bilan
taqqoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffaqiyatli o‗tgan hisoblanadi
va foydalanuvchi legal (qonuniy) maqomini va avtorizatsiya tizimi orqali uning
maqomi uchun aniqlangan xuquqlarni va tarmoq resurslaridan foydalanishga ruxsatni
oladi.
Ravshanki,
foydalanuvchining
parolini
shifrlamasdan
uzatish
orqali
autentifikatsiyalash varianti xavfsizlikning xatto minimal darajasini kafolatlamaydi.
Parolni himoyalash uchun uni himoyalanmagan kanal orqali uzatishdan oldin
shifrlash zarur. Buning uchun sxemaga shifrlash Yek va rasshifrovka qilish Dk
vositalari kiritilgan. Bu vositalar bo‗linuvchi maxfiy kalit K orqali boshqariladi.
Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol PA bilan
autentifikatsiya serverida saqlanuvchi dastlabki qiymat
'
A
ni taqqoslashga
asoslangan. Agar PA va
esa qonuniy hisoblanadi.
'
A
qiymatlar mos kelsa, parol PA haqiqiy, foydalanuvchi A
P
P
68
Oddiy autentifikatsiyani tashkil etish sxemalari nafaqat parollarni uzatish,
balki ularni saqlash va tekshirish turlari bilan ajralib turadi. Eng keng tarqalgan usul
– foydalanuvchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir. Bunda
fayllarga o‗qish va yozishdan himoyalash atributlari o‗rnatiladi (masalan, operatsion
tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni tavsiflash
yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan
yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funksiyalar kabi
kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi – niyati buzuq
odamning tizimda ma‘mur imtiyozlaridan, shu bilan birga tizim fayllaridan,
jumladan parol fayllaridan foydalanish imkoniyatidir.
Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funksiyalardan
foydalanib uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi parolning
ochiq shakli urniga uning bir tomonlama funksiya h(.) dan foydalanib olingan
tasvirini yuborishi shart. Bu o‗zgartirish ђanim tomonidan parolni uning tasviri
orqali oshkor qila olmaganligini kafolatlaydi, chunki ђanim yechilmaydigan sonli
masalaga duch keladi.
Ko‗p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining
bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma‘noli so‗zlarning
nisbatan katta bo‗lmagan to‗plamidan jamlanadi. Ko‗p martali parollarning ta‘sir
muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni
muntazam ravishda almashtirib turish lozim. Parollarni shunday tanlash lozimki, ular
luђatda bo‗lmasin va ularni topish qiyin bo‗lsin.
Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir
so‗rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir
marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda
bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi
masofadagi foydalanuvchilarni tekshirishda qo‗llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga
oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari
tashqaridan to‗lov plastik kartochkalariga o‗xshash mikroprotsessor o‗rnatilgan
miniatyur qurilmalar ko‗rinishda amalga oshiradi. Odatda kalitlar deb ataluvchi
bunday kartalar klaviaturaga va katta bo‗lmagan displey darchasiga ega.
Foydalanuvchilarni
autentifikatsiyalash
uchun
bir
martali
parollarni
qo‗llashning quyidagi usullari ma‘lum:
1.
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2.
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‗lgan tasodifiy parollar
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3.
Foydalanuvchi va tekshiruvchi uchun umumiy bo‗lgan bir xil dastlabki qiymatli
psevdotasodifiy sonlar generatoridan foydalanish.
69
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash
texnologiyasini ko‗rsatish mumkin. Bu texnologiya Security Dynamics kompaniyasi
tomonidan ishlab chiqilgan bo‗lib, qator kompaniyalarning, xususan Cisco Systems
kompaniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy
sonlarni vaqtning ma‘lum oraliђidan so‗ng generatsiyalash algoritmiga asoslangan.
Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:
➢
har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat
maxfiy kalit;
➢
joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy
identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‗rtta o‗nli raqamdan va
apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita raqamidan iborat.
Server foydalanuvchi tomonidan kiritilgan PIN-koddan foydalanib ma‘lumotlar
bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida tasodifiy
sonni generatsiyalash algoritmini bajaradi. So‗ngra server generatsiyalangan son
bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu sonlar mos kelsa, server
foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning
qat‘iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi
va demak server ichki soati bilan apparat kalitining muvofiqligi asta-sekin buzilishi
mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki
usuldan foydalanadi:
➢
apparat kaliti ishlab chiqilayotganida uning taymer chastotasining me‘yoridan
chetlashishi aniq o‗lchanadi. Chetlashishning bu qiymati server algoritmi
parametri sifatida hisobga olinadi;
➢
server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va zaruriyat
tug‘ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo boђliq. Apparat kalit
generatsiyalagan tasodifiy son katta bo‗lmagan vaqt oraliђi mobaynida haqiqiy parol
hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir bo‗lishi mumkinki,
xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin.
Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya sxemasining eng zaif joyi
hisoblanadi.
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi
yana bir variant – «so‗rov-javob» sxemasi bo‗yicha autentifikatsiyalash.
Foydalanuvchi tarmoqdan foydalanishga uringanida server unga tasodifiy son
70
ko‗rinishidagi so‗rovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy sonni,
masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va serverning
ma‘lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida rasshifrovka qiladi.
Tasodifiy son - so‗rov shifrlangan ko‗rinishda serverga qaytariladi. Server ham o‗z
navbatida o‗sha DES algoritmi va serverning ma‘lumotlar bazasidan olingan
foydalanuvchining maxfiy kaliti yordamida o‗zi generatsiyalagan tasodifiy sonni
shifrlaydi. So‗ngra server shifrlash natijasini apparat kalitidan kelgan son bilan
taqqoslaydi. Bu sonlar mos kelganida foydalanuvchi tarmoqdan foydalanishga ruxsat
oladi. Ta‘kidlash lozimki, «so‗rov-javob» autentifikatsiyalash sxemasi ishlatishda
vaqt sinxronizatsiyasidan foydalanuvchi autentifikatsiya sxemasiga qaraganda
murakkabroq.
Foydalanuvchini
autentifikatsiyalash
uchun
bir
martali
paroldan
foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo‗lgan
tasodifiy parollar ruyxatidan va ularning ishonchli sinxronlash mexanizmidan
foydalanishga asoslangan. Bir martali parollarning bo‗linuvchi ro‗yxati maxfiy
parollar ketma-ketligi yoki nabori bo‗lib, har bir parol faqat bir marta ishlatiladi.
Ushbu ro‗yxat autentifikatsion almashinuv taraflar o‗rtasida oldindan taqsimlanishi
shart. Ushbu usulning bir variantiga binoan so‗rov-javob jadvali ishlatiladi. Bu
jadvalda autentifikatsilash uchun taraflar tomonidan ishlatiluvchi so‗rovlar va
javoblar mavjud bo‗lib, har bir juft faqat bir marta ishlatilishi shart.
Foydalanuvchini
autentifikatsiyalash
uchun
bir
martali
paroldan
foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‗lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanishga
asoslangan. Bu usulni amalga oshirishning quyidagi variantlari mavjud:
➢
o‗zgartiriluvchi
bir
martali
parollar
ketma-ketligi.
Navbatdagi
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi
sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va
uzatadi;
➢
bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu usulning
mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi (Lampartning
mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu usul ketma-ket
o‗zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.
Keng
tarqalgan
bir
martali
paroldan
foydalanishga
asoslangan
autentifikatsiyalash protokollaridan biri Internet da standartlashtirilgan S/Key
(RFC1760) protokolidir. Ushbu protokol masofadagi foydalanuvchilarning
haqiqiyligini tekshirishni talab etuvchi ko‗pgina tizimlarda, xususan, Cisco
kompaniyasining TACACS+tizimida amalga oshirilgan.
Dostları ilə paylaş: |