- 46 -  9. Ma’ruza. Xavfsizlikni boshqarish va himoya tizimini qurish

- 46 - 
9. Ma’ruza. Xavfsizlikni boshqarish va himoya tizimini qurish. 
 
Parolli himoya va ularning zamonaviy turlari. Parollar asosida 
autentifikatsiyalash 
Autentifikatsiyaning keng tarqalgan sxemalaridan biri oddiy autentifikatsiyalash 
bo’lib, u an’anaviy ko’p martali parollarni ishlatishi-ga asoslangan. Tarmoqdagi 
foydalanuvchini oddiy autentifikatsiyalash muolajasini quyidagicha tasavvur etish 
mumkin. Tarmoqdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida 
o’zining identifikatori va parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga 
ishlanish uchun tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi 
identifikatori bo’yicha ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib 
foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya 
muvaffaqiyatli o’tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va 
avtorizatsiya tizimi orqali uning maqomi uchun aniqlangan xuquqlarni va tarmoq 
resurslaridan foydalanishga ruxsatni oladi.
Eng keng tarqalgan usul — foydalanuvchilar parolini tizimli fayllarda, ochiq 
holda saqlash usulidir. Bunda fayllarga o’qish va yozishdan himoyalash atributlari 
o’rnatiladi (masalan, operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos 
imtiyozlarni tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar 
faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama 
funktsiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi - 
niyati buzuq odamning tizimda ma’mur imtiyozlaridan, shu bilan birga tizim 
fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.
Oddiy autentifikatsiyani tashkil etish sxemalari nafaqat parollarni uzatish, balki 
ularni saqlash va tekshirish turlari bilan ajralib turadi. Eng keng tarqalgan usul — 
foydalanuvchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir. Bunda fayllarga 
o’qish va yozishdan himoyalash atributlari o’rnatiladi (masalan, operatsion tizimdan 
foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni tavsiflash yordamida). Tizim 
foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan yozuv bilan solishtiradi. 
Bu usulda shifrlash yoki bir tomonlama funktsiyalar kabi kriptografik mexanizmlar 
ishlatilmaydi. Ushbu usulning kamchiligi - niyati buzuq odamning tizimda ma’mur 

- 47 - 
imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish 
imkoniyatidir.
Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funktsiyalardan foydalanib 
uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi parolning ochiq shakli 
urniga uning bir tomonlama funktsiya h(.) dan foydalanib olingan tasvirini yuborishi 
shart. Bu o’zgartirish g’anim tomonidan parolni uning tasviri orqali oshkor qila 
olmaganligini kafolatlaydi, chunki g’anim yechilmaydigan sonli masalaga duch keladi.
Ko’p martali parollarga asoslangan oddiy autentifikatsiyalash tizi-mining 
bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli so’zlarning 
nisbatan katta bo’lmagan to’plamidan jamlanadi. Ko’p martali parollarning ta’sir 
muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam 
ravishda almashtirib turish lozim. Parollarni shunday tanlash lozimki, ular lug’atda 
bo’lmasin va ularni topish qiyin bo’lsin. 
Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir 
so’rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta 
foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. 
Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi 
foydalanuvchilarni tekshirishda qo’llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga 
oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari 
tashqaridan to’lov plastik kartochkalariga o’xshash mikroprotsessor o’rnatilgan 
miniatyur qurilmalar ko’rinishda amalga oshiradi. Odatda kalitlar deb ataluvchi bunday 
kartalar klaviaturaga va katta bo’lmagan displey darchasiga ega. 
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo’llashning 
quyidagi usullari ma’lum: 
1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan tasodifiy parollar 
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3. Foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan bir xil dastlabki 
qiymatli psevdotasodifiy sonlar generatoridan foydalanish. 
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash 
texnologiyasini ko’rsatish mumkin. Bu texnologiya Security Dynamics kompaniyasi 
tomonidan ishlab chiqilgan bo’lib, qator kompaniyalarning, xususan Cisco Systems 
kompaniyasining serverlarida amalga oshirilgan. 
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy 
sonlarni vaqtning ma’lum oralig’idan so’ng generatsiyalash algoritmiga asoslangan. 
Autentifikatsiya sxemasi quyidagi ikkita parametrdan
foydalanadi: 
• har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda 
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat maxfiy 
kalit;
• joriy vaqt qiymati. 
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog’liq. Apparat kalit 
generatsiyalagan tasodifiy son katta bo’lmagan vaqt oralig’i mobaynida haqiqiy parol 
hisoblanadi. SHu sababli, umuman, qisqa muddatli vaziyat sodir bo’lishi mumkinki, 

- 48 - 
xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu 
vaqt sinxronizatsiyasiga asoslangan autentifikatsiya sxemasining eng zaif joyi 
hisoblanadi.
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi yana 
bir variant - «so’rov-javob» sxemasi bo’yicha autentifikatsiyalash. Foydalanuvchi 
tarmoqdan foydalanishga uringanida server unga tasodifiy son ko’rinishidagi so’rovni 
uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy sonni, masalan DES algoritmi va 
foydalanuvchining apparat kaliti xotirasida va serverning ma’lumotlar bazasida 
saqlanuvchi maxfiy kaliti yordamida rasshifrovka qiladi. Tasodifiy son - so’rov 
shifrlangan ko’rinishda serverga qaytariladi. Server ham o’z navbatida o’sha DES 
algoritmi va serverning ma’lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti 
yordamida o’zi generatsiyalagan tasodifiy sonni shifrlaydi. So’ngra server shifrlash 
natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida 
foydalanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so’rov-
javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxronizatsiyasidan foydalanuvchi 
autentifikatsiya sxemasiga qaraganda murakkabroq. 
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning 
ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan tasodifiy parollar 
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. 
Bir martali parollarning bo’linuvchi ro’yxati maxfiy parollar ketma-ketligi yoki 
to’plami bo’lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro’yxat autentifikatsion 
almashinuv taraflar o’rtasida oldindan taqsimlanishi shart. Ushbu usulning bir 
variantiga binoan so’rov-javob jadvali ishlatiladi. Bu jadvalda autentifikatsilash uchun 
taraflar tomonidan ishlatiluvchi so’rovlar va javoblar mavjud bo’lib, har bir juft faqat 
bir marta ishlatilishi shart. 
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning 
uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo’lgan bir xil dastlabki 
qiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan. Bu usulni 
amalga oshirishning quyidagi variantlari mavjud: 
•

Yüklə 1,18 Mb.

Dostları ilə paylaş: