102
22-MAVZU: INDENTIFIKASIYA VA AUTENTIFIKASIYA
MA’RUZA MASHG’ULOTI REJASI:
22.1.Asosiy tushunchalar va turkumlanishi
22.2.Parollar asosida autentifikatsiyalash
22.3.Foydalanuvchilarni biometrik identifikatsiyalash va autentifikatsiyalash
Tayanch iboralar:
Identifikatsiya, autentifikatsiya, ma’murlash, avtorizatsiya, maskarad,
takroriy, majburiy kechikish.
Asosiy tushunchalar va turkumlanishi
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori (nomi) bo‘yicha aniqlash
jarayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda bajariladigan
funksiyadir. Foydalanuvchi tizimga uning so‘rovi bo‘yicha o‘zining identifikatorini bildiradi, tizim
esa o‘zining ma’lumotlar bazasida uning borligini tekshiradi.
Autentifikatsiya (Authentication) – ma’lum qilingan foydalanuvchi, jarayon yoki qurilmaning
haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma)
haqiqatdan aynan o‘zi ekanligiga ishonch xosil qilishiga imkon beradi. Autentifikatsiya o‘tkazishda
tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda
tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi. Odatda foydalanuvchi
tizimga o‘z xususidagi noyob, boshqalarga ma’lum bo‘lmagan axborotni (masalan, parol yoki
sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi.
Identifikatsiya va autentifikatsiya sub’ektlarning (foydalanuvchi-larning) haqiqiy ekanligini
aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning
tizim resurslaridan foydalanishiga tizimning ruxsati aynan shularga bog‘liq. Sub’ektni
identifikatsiyalash va autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi.
Avtorizatsiya (Authorization) – subektga tizimda ma’lum vakolat va resurslarni berish
muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u foydalanadigan resurslarni belgilaydi.
Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa bu
tizimda axborotning konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya
muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog‘langan.
Ma’murlash (Accounting) – foydalanuvchining tarmoqdagi harakatini, shu jumladan, uning
resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtai nazaridan
tarmoqdagi xavfsizlik xodisalarini oshkor qilish, taxlillash va ularga mos reaksiya ko‘rsatish uchun
juda muhimdir.
Ma’lumotlarni uzatish kanallarini himoyalashda sub’ektlarning o‘zaro autentifikatsiyasi, ya’ni
aloqa kanallari orqali bog‘lanadigan sub’ektlar xaqiqiyligining o‘zaro tasdig‘i bajarilishi shart.
Xaqiqiylikning tasdig‘i odatda seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga
oshiriladi. “Ulash” atamasi orqali tarmoqning ikkita sub’ekti o‘rtasida mantiqiy bog‘lanish
tushuniladi. Ushbu muolajaning maqsadi – ulash qonuniy sub’ekt bilan amalga oshirilganligiga va
barcha axborot mo‘ljallangan manzilga borishligiga ishonchni ta’minlashdir.
O‘zining xaqiqiyligining tasdiqlash uchun sub’ekt tizimga turli asoslarni ko‘rsatishi mumkin.
Sub’ekt ko‘rsatadigan asoslarga bog‘liq holda autentifikatsiya jarayonlari quyidagi kategoriyalarga
bo‘linishi mumkin:
103
-
biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal
Identification Number) hamda “so‘rov javob” xilidagi protokollarda namoyish etiluvchi maxfiy va
ochiq kalitlarni ko‘rsatish mumkin;
-
biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart- kartalar, sertifikatlar va
touch
memory qurilmalari;
-
qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o‘z tarkibiga foydalanuvchining
biometrik xarakteristikalariga (ovozlar, ko‘zining rangdor pardasi va to‘r pardasi, barmoq izlari, kaft
geometriyasi va x.) asoslangan usullarni oladi. Bu kategoriyada kriptografik usullar va vositalar
ishlatilmaydi. Beometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni
nazoratlashda ishlatiladi.
Parol – foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa. O‘zaro
autentifikatsiya uchun foydalanuvchi va uning sherigi o‘rtasida parol almashinishi mumkin. Plastik
karta va smart-karta egasini autentifikatsiyasida shaxsiy identifikatsiya nomeri PIN sinalgan usul
hisoblanadi. PIN – kodning mahfiy qiymati faqat karta egasiga ma’lum bo‘lishi shart.
Dinamik – (bir martalik) parol - bir marta ishlatilganidan so‘ng boshqa umuman
ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam
o‘zgarib turuvchi qiymat ishlatiladi.
“So‘rov-javob” tizimi - taraflarning biri noyob va oldindan bilib bo‘lmaydigan “so‘rov”
qiymatini ikkinchi tarafga jo‘natish orqali autentifikatsiyani
boshlab beradi, ikkinchi taraf esa so‘rov
va sir yordamida hisoblangan javobni jo‘natadi. Ikkala tarafga bitta sir ma’lum bo‘lgani sababli,
birinchi taraf ikkinchi taraf javobini to‘g‘riligini tekshirishi mumkin.
Sertifikatlar va raqamli imzolar - agar autentifikatsiya uchun sertifikatlar ishlatilsa, bu
sertifikatlarda raqamli imzoning ishlatilishi talab etiladi. Sertifikatlar foydalanuvchi tashkilotining
mas’ul shaxsi, sertifikatlar serveri yoki tashqi ishonchli tashkilot tomonidan beriladi. Internet
doirasida ochiq kalit sertifikatlarini tarqatish uchun ochiq kalitlarni boshqaruvchi qator tijorat
infrastrukturalari PKI (Public Key Infrastrusture) paydo bo‘ldi. Foydalanuvchilar turli daraja
sertifikatlarini olishlari mumkin.
Autentifikatsiya jaryonlarini ta’minlanuvchi xavfsizlik darajasi bo‘yicha ham turkumlash
mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari quyidagi turlarga bo‘linadi:
-
parollar va raqamli sertifikatlardan foydalanuvchi autentifi-katsiya;
-
kriptografik usullar va vositalar asosidagi qatiy autentifi-katsiya;
-
nullik bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifi-katsiya jarayonlari
(protokollari);
-
foydalanuvchilarni biometrik autentifikatsiyasi.
Xavfsizlik nuqtai nazaridan yuqorida keltirilganlarning har biri o‘ziga xos masalalarni
yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va protokollari amalda faol
ishlatiladi. Shu bilan bir qatorda ta’kidlash lozimki, nullik bilim bilan isbotlash xususiyatiga ega
bo‘lgan autentifikatsiyaga qiziqish amaliy xarakterga nisbatan ko‘proq nazariy xarakterga ega.
Balkim, yaqin kelajakda ulardan axborot almashinuvini himoyalashda faol foydalanishlari mumkin.
Autentifikatsiya protokollariga bo‘ladigan asosiy xujumlar quyidagilar:
-
maskarad (impersonation). Foydalanuvchi o‘zini boshqa shaxs deb ko‘rsatishga urinib, u
shaxs tarafidan xarakatlarning imkoniyatlariga va imtiyozlariga ega bo‘lishni mo‘ljallaydi;
-
autentifikatsiya almashinuvi tarafini almashtirib qo‘yish (interleaving attack). Niyati buzuq
odam ushbu xujum mobaynida ikki taraf orasidagi autenfikatsion almashinish jarayonida trafikni
modifikatsiya-lash niyatida qatnashadi. Almashtirib qo‘yishning quyidagi xili mavjud: ikkita
104
foydalanuvchi o‘rtasidagi autentifikatsiya muvaffaqiyatli o‘tib, ulanish o‘rnatilganidan so‘ng
buzg‘unchi foydalanuvchilardan
birini chiqarib tashlab, uning nomidan ishni davom ettiradi;
-
takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan autentifikatsiya
ma’lumotlari
takroran uzatiladi;
-
uzatishni qaytarish (reflection attak). Oldingi xujum variantlaridan biri bo‘lib, xujum
mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida ushlab qolingan axborotni
orqaga qaytaradi.
-
majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma’lumotni ushlab qolib,
biror vaqtdan so‘ng uzatadi.
-
matn tanlashli xujum ( chosen text attack). Niyati buzuq odam autentifikatsiya trafigini ushlab
qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya protokollarini qurishda
quyidagi usullardan foydalaniladi:
-
“so‘rov–javob”, vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli imzolar kabi
mexanizmlardan foydalanish;
-
autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi xarakatlariga
bog‘lash. Bunday misol yondashishga tariqasida autentifikatsiya jarayonida foydalanuvchilarning
keyinga o‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni ko‘rsatish mumkin;
-
aloqaning o‘rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti-vaqti bilan bajarib
turish va h.
“So‘rov-javob” mexanizmi quyidagicha. Agar foydalanuvchi A foydalanuvchi
V dan oladigan
xabari yolg‘on emasligiga ishonch xosil qilishni istasa, u foydalanuvchi V uchun yuboradigan
xabarga oldindan bilib bo‘lmaydigan element – X so‘rovini (masalan, qandaydir tasodifiy sonni)
qo‘shadi. Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan, qandaydir f(X)
funksiyani hisoblash) bajarishi lozim. Buni oldindan bajarib bo‘lmaydi, chunki so‘rovda qanday
tasodifiy son X kelishi foydalanuvchi V ga ma’lum emas. Foydalanuvchi V harakati natijasini olgan
foydalanuvchi A foydalanuvchi V ning xaqiqiy ekanligiga ishonch xosil qilishi mumkin. Ushbu
usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash mumkinligi.
Do'stlaringiz bilan baham: