105
22.1-rasm. Paroldan foydalangan holda oddiy autentifikatsiyalash
Bu vositalar bo‘linuvchi maxfiy kalit K orqali boshqariladi. Foydalanuvchining haqiqiyligini
tekshirish foydalanuvchi yuborgan
parol P
A
bilan autentifikatsiya serverida saqlanuvchi dastlabki
qiymat
'
A
P
ni taqqoslashga asoslangan. Agar P
A
va
'
A
P
qiymatlar mos kelsa, parol P
A
haqiqiy,
foydalanuvchi A esa qonuniy hisoblanadi.
Oddiy autentifikatsiyani tashkil etish sxemalari nafaqat parollarni uzatish, balki ularni saqlash
va tekshirish turlari bilan ajralib turadi. Eng keng tarqalgan usul – foydalanuvchilar parolini tizimli
fayllarda, ochiq holda saqlash usulidir. Bunda fayllarga o‘qish va yozishdan himoyalash atributlari
o‘rnatiladi (masalan, operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni
tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan yozuv
bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funksiyalar kabi kriptografik mexanizmlar
ishlatilmaydi. Ushbu usulning kamchiligi – niyati buzuq odamning tizimda ma’mur imtiyozlaridan,
shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.
Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining bardoshligi past,
chunki ularda autentifikatsiyalovchi axborot ma’noli so‘zlarning nisbatan katta bo‘lmagan
to‘plamidan jamlanadi. Ko‘p martali parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida
belgilanishi va bunday parollarni muntazam ravishda almashtirib turish lozim.
Parollarni shunday
tanlash lozimki, ular lug‘atda bo‘lmasin va ularni topish qiyin bo‘lsin.
Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir so‘rov uchun
turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta foydalanishga yaroqli.
Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. Odatda bir martali parollarga
asoslangan autentfikatsiyalash tizimi masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga oshirilishi
mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari tashqaridan to‘lov plastik
kartochkalariga o‘xshash mikroprotsessor o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga
oshiradi. Odatda kalitlar deb ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan
displey
darchasiga ega.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo‘llashning quyidagi
usullari ma’lum:
1.
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2.
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
106
3.
Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli
psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash texnologiyasini
ko‘rsatish mumkin. Bu texnologiya Security Dynamics kompaniyasi
tomonidan ishlab chiqilgan
bo‘lib, qator kompaniyalarning, xususan Cisco Systems kompaniyasining serverlarida amalga
oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy sonlarni vaqtning
ma’lum oralig‘idan so‘ng generatsiyalash algoritmiga asoslangan. Autentifikatsiya sxemasi quyidagi
ikkita parametrdan foydalanadi:
har
bir
foydalanuvchiga
atalgan
va
autentifikatsiya
serverida
hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat maxfiy kalit;
joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy identifikatsiya
nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va apparat kaliti displeyida akslanuvchi
tasodifiy sonning oltita raqamidan iborat. Server foydalanuvchi tomonidan kiritilgan PIN-koddan
foydalanib ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va
joriy vaqt qiymati asosida
tasodifiy sonni generatsiyalash algoritmini bajaradi. So‘ngra server generatsiyalangan son bilan
foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu sonlar mos kelsa, server foydalanuvchiga tizimdan
foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning qat’iy vaqtiy
sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi va demak server ichki soati
bilan apparat kalitining muvofiqligi asta-sekin buzilishi mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki usuldan
foydalanadi:
apparat kaliti ishlab chiqilayotganida uning taymer chastotasining me’yoridan
chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server algoritmi parametri sifatida hisobga
olinadi;
server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va zaruriyat
tug‘ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan bir muammo bog‘liq. Apparat
kalit generatsiyalagan
tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy parol hisoblanadi. Shu sababli,
umuman, qisqa muddatli vaziyat sodir bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni
tarmoqdan foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya
sxemasining eng zaif joyi hisoblanadi.
Dostları ilə paylaş: