S. K. Ganiyev, M. M. Karimov, ica. Tashev



Download 1,64 Mb.
bet57/267
Sana28.09.2021
Hajmi1,64 Mb.
#187525
1   ...   53   54   55   56   57   58   59   60   ...   267
Bog'liq
AXBOROT Хавфсизлиги new

138

axborot ma’noli so'zlarning nisbatan katta bo‘lmagan to‘plamidan jamlanadi. Ko‘p martali parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam ravishda almashtirib turish lozim. Parollarni shunday tanlash lo- zimki, ular lug'atda bo’lmasin va ulami topish qiyin bo‘lsin.



Bir martali parollarga asoslangan autentifikatsiyalashda foy- dalanishga har bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. Odatda, bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi.

Bir martali parollarni generatsiyalash apparat yoki dasturiy usul orqali amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari tashqaridan to'lov plastik kar- tochkalariga o'xshash mikroprotsessor o‘rnatilgan miniatyur quril- malar ko‘rimshda amalga oshiradi. Odatda, kalitlar deb ataluvchi bunday kartalar, klaviaturaga va katta bo'lmagan displey darchasiga ega.

Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo'llashning quyidagi usullari ma’lum:


  1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalamsh.

  2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifry parollar ro’yxatidan va ulaming ishonchli sinxronlash mexanizmidan foydalanish.

  3. Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foyda­lanish.

Birinchi usulni amalga oshirish misoli sifatida SecurlD auten- tikatsiyalash texnologiyasini ko‘rsatish mumkin. Bu texnologiya Security Dynamics kompamyasi tomomdan ishlab chiqilgan bo‘lib, qator kompaniyalarning, xususan, CiscoSystems kompaniyasining serverlarida amalga oshirilgan.

Vaqt sinxronizatsiyasidan foydalamb autentifikatsiyalash sxe- masi tasodifiy sonlarni vaqtning ma’lum oralig‘idan so‘ng gene­ratsiyalash algoritmiga asoslangan. Autentifikatsiya sxemasi quyi­dagi ikkita parametrdan foydalanadi:



139

  • har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda foydalanuvchining apparat kalitida saqlanuvchi noyob 64- bitli sondan iborat maxfiy kalit;

  • joriy vaqt qiymati.

Masofadagi foydalanuvchi tarmoqdan foydalanishga uringa- nida, undan shaxsiy identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va apparat kaliti displeyida aks- lanuvchi tasodifiy sonning oltita raqamidan iborat. Server foyda­lanuvchi tomonidan kiritilgan PIN-koddan foydalanib, ma’lumotlar bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida tasodifiy sonni generatsiyalash algoritmini bajaradi. So‘ngra server generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu sonlar mos kelsa: server foydalanuvchiga ti- zimdan foydalanishga ruxsat beradi.

Autentifikatsiyaning bu sxemasidan foydalanishda apparat ka­lit va serverning qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil ishlashi, serv er ichki soati bilan apparat kalitining muvofiqligi asta-sekin buzilishi mumkin.

Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki usuldan foydalanadi:


  • apparat kaliti ishlab chiqilayotganida uning taymer chas- totasining me’yoridan chetlashishi aniq oichanadi. Chetlashishning bu qiymati server algoritmi parametri sifatida hisobga olinadi;

  • server muayyan apparat kalit generatsiyalagan kodlarni kuza- tadi va zaruriyat tug'ilganida ushbu kalitga moslashadi.

Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘- liq. Apparat kalit generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy parol hisoblanadi. Shu sababli, qisqa muddatli vaziyat sodir bo‘lishi mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya sxemasining eng zaif joyi hisoblanadi.

Bir martali paroldan foydalanib autentifikatsiyalashni amalga oshiruvchi yana bir variant - «so‘rov-javob» sxemasi bo‘ykha au- tentifikatsiyalash. Foydalanuvchi tarmoqdan foydalanishga urin- ganida server unga tasodifiy son ko‘rinishidagi so‘rovni uzatadi.

Foydalanuvchming apparat kaliti bu tasodifiy sonni, masalan, DES algoritmi va foydalanuvchining apparat kaliti xotirasida hamda serveming ma'lumotlar bazasida saqlanuvchi maxfiy kaliti yorda- mida rasshifrovka qiladi. Tasodifiy son - so‘rov shifrlangan ko‘- rinishda serverga qaytariladi. Server ham o‘z navbatida o‘sha DES algoritmi va serveming ma’lumotlar bazasidan olingan foydala­nuvchining maxfiy kaliti yordamida o‘zi generatsiyalagan tasodifiy sonni shifrlaydi. So’ngra server shifrlash natijasini apparat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida foyda- lanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so‘rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxro- nizatsiyasidan foydaianuvchi autentifikatsiya sxemasiga qaraganda murakkabroq.

Foydalanuvchini autentifikatsiyalash uchun bir martali parol- dan foydalanishning ikkinchi usuli foydaianuvchi va tekshiruvchi uchun umumiy boTgan tasodifiy parollar ro‘yxatidan va ulaming ishonchli sinxronlash mexanizmidan foydalanishga asoslangan. Bir martali parollaming boTinuvchi ro‘yxati maxfiy parollar ketma- ketligi yoki nabori bo‘lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro‘yxat autentifikatsion almashinuv taraflar o‘rtasida oldin- dan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘- rov-javob jadvali ishlatiladi. Bu jadvalda autentifikatsiyalash uchim taraflar tomonidan ishlatiluvchi so‘rovlar va javoblar mavjud boTib, har bir juft faqat bir marta ishlatilishi shart.

Foydalanuvchini autentifikatsiyalash uchun bir martali parol- dan foydalanishning uchinchi usuli foydaianuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari mavjud:


  • o‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi autentifikatsiyalash sessiyasida foydaianuvchi aynan shu sessiya uchun oldingi sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;

  • bir tomonlama funksiyaga asoslangan parollar ketma-ketligi. Ushbu usulning mohiyatini bir tomonlama funksiyaning ketma-ket ishlatilishi (Lampartning mashhur sxemasi) tashkil etadi. Xavfsizlik

nuqtayi nazaridan bu usul ketma-ket o‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.

Keng tarqalgan bir martali paroldan foydalanishga asoslangan autentifikatsiyalash protokollaridan biri Internetda standartlashtiril- gan S/Key (RFC 1760) protokolidir. Ushbu protokol masofadagi foydalanuvchiiaming haqiqiyligini tekshirishni talab etuvchi ko‘p- gina tizimlarda, xususan, Cisco kompaniyasining TACACS+ ti- zimida amalga oshirilgan.

Nazorat savollari:


  1. Ko‘p martali parollarga asoslangan autentifikatsiya texno- logiyasi.

  2. Bir martali parollarga asoslangan autentifikatsiya texnolo- giyasi.

‘ 3. Bir martali parollarni hosil qilishda psevdotasodifiy sonlar

geheratoridan foydalamsh.



  1. Sertifikatlar asosida autentifikatsiyalash

Tarmoqdan foydalanuvchilar soni millionlab o‘lchanganida parollarning tayinlanishi va saqlanishi bilan bog‘liq foydalanuv- chilami dastlabki ro‘yxatga olish muolajasi juda katta va amalga oshirilishi qiyin bo'ladi. Bunday sharoitda raqamli sertifikatlar aso- sidagi autentifikatsiyalash parollar qo‘llanishiga ratsional alternativa hisoblanadi.

Raqamli sertifikatlar ishlatilganida kompyuter tarmog‘i foyda­lanuvchilar xususidagi hech qanday axborotni saqlamaydi. Bunday axborotni foydalanuvchiiaming o‘zi so‘rov-sertifikatlarida taqdim etadilar. Bunda maxfiy axborotni, xususan, maxfiy kalitlami saqlash vazifasi foydalanuvchiiaming o‘ziga yiiklanadi.

’ Foydalanuvchi shaxsini tasdiqlovchi raqamli sertifikatlar foydalanuvchilar so‘rovi bo‘yicha maxsus vakolatli tashkilot- sertifikatsiya markazi CA (Certificate Authority) tomonidan ma’lum shartlar bajarilganida beriladi. Ta’kidlash lozimki, sertifikat olish muolajasining o‘zi ham foydalanuvchining haqiqiyligini tekshirish (ya’ni, autentifikatsiyalash) bosqichini o‘z ichiga oladi. Bunda

142

tekshiruvchi taraf sertifikatsiyalovchi tashkilot (sertifikatsiya markazi SA) bo'ladi.

Sertifikat olish uchun mijoz sertifikatsiya markaziga shaxsini tasdiqlovchi ma’lumotni va ochiq kalitini taqdim etishi lozim. Zaruriy ma’lumotlar ro’yxati olinadigan sertifikat tnriga bog‘liq. Sertifikatsiyalovchi tashkilot foydalanuvchining haqiqiyligi tasdig’i- ni tekshirganidan so‘ng o’zining raqamli imzosini ochiq kaiit va foydalanuvchi xususidagi ma’lumot bo’lgan faylga joylashtiradi hamda ushbu ochiq kalitning muayyan shaxsga tegishli ekanligini tasdiqlagan holda foydalanuvchiga sertifikat beradi.

Sertifikat elektron shakl bo‘lib, tarkibida quyidagi axborot bo‘ladi:



  • ushbu sertifikat egasining ochiq kaliti;

  • sertifikat egasi xususidagi ma’lumot, masalan, ismi, elektron pochta adresi, ishlaydigan tashkilot nomi va h.;

  • ushbu sertifikatni bergan tashkilot nomi;

  • sertifikatsiyalovchi tashkilotning elektron imzosi - ushbu tashkilotmng maxfiy kaliti yordamida shifrlangan sertifikatsiyadagi ma’lumotlar.

Sertifikat, foydalanuvchini tarmoq resurslariga murojaat etga- nida, autentifikatsiyalovchi vosita hisoblanadi. Bunda tekshiruvchi taraf vazifasini korporativ tarmoqning autentifikatsiya serveri baja- radi. Sertifikatlar nafaqat autentifikatsiyalashda, balki foydalanish- ning ma’lum huquqlarini taqdim etishda ishlatilishi mumkin. Bu- ning uchun sertifikatga qo’shimcha hoshiyalar kiritilib, ularda sertifikatsiya egasining foydalanuvchilaming u yoki bu katego- riyasiga mansubligi ko'rsatiladi.

Ochiq kalitlaming sertifikatlar bilan uzviy bog‘liql igini alohida ta’kidlash lozim. Sertifikat nafaqat shaxsni, balki ochiq kaiit mansubligini tasdiqlovchi hujjatdir. Raqamli sertifikat ochiq kaiit va umng egasi o‘rtasidagi moslikni o’rnatadi va kafoTatlaydf. Bu ochiq kalitni almashtirish xavfini bartaraf etadi.

Agar abonent axborot almashinuvi bo’yicha sherigidan serti­fikat tarkibidagi ochiq kalitni olsa, u bu sertifikatdagi sertifikatsiya markazining raqamli imzosini ushbu sertifikatsiya markazining ochiq kaliti yordamida tekshirish va ochiq kaiit adresi hamda bosh- qa ma’lumotlari sertifikatda ko‘rsatilgan foydalanuvchiga tegishli

143

ekanligiga ishonch hosil qilishi mumkin. Sertifikatlardan foydala- nilganda foydalanuvchilar ro‘yxatini ulaming parollari bilan kor- poratsiya serverlarida saqlash zaruriyati yo'qoladi. Serverda sertifi- katsiyalovchi tashkilotlaming nomlari va ochiq kalitlarining bo‘lishi yetarli.

Sertiftkatlaming ishlatilishi sertifikatsiyalovchi tashkilotlaming nisbatan kamligiga va ulaming ochiq kalitlaridan qiziqqan barcha shaxslar va tashkilotlar foydalana olishi (masalan, jumallardagi nashrlar yordamida) taxminiga asoslangan.

Sertifikatlar asosida autentifikatsiyalash jarayonini amalga oshirishda sertifikatsiyalovchi tashkilot vazifasini kim bajarishi xu- susidagi masalani yechish muhim hisoblanadi. Xodimlami sertifikat bilan ta'minlash masalasini korxonaning o‘zi yechishi juda tabiiy hisoblanadi. Korxona o'zining xodimlarini yaxshi biladi va ular shaxsini tasdiqlash vazifasini o*ziga olishi mumkin. Bu sertifikat berilishidagi dastlabki autentifikatsiyalash muolajasini osonlashti- radi. Korxonalar sertifikatlami generatsiyalash, berish va ularga xiz- mat ko‘rsatish jarayonlarini avtomatlashtirishni ta’minlovchi mav- jud dasturiy mahsulotlardan foydalanishlari mumkin. Masalan, Netscape Communications kompaniyasi serverlarini korxonalarga shaxsiy sertifikatlarini chiqarish uchun taklif etadi.

Sertifikatsiyalovchi tashkilot vazifasini bajarishda tijorat asosida sertifikat berish bo'yicha mustaqil markazlar ham jalb eti- lishi mumkin. Bunday xizmatlami, xususan, Verisign kompaniya- sining sertifikatsiyalovchi markazi taklif etadi. Bu kompaniyaning sertifikatlari xalqaro s tan dart X.509 talablariga javob beradi. Bu sertifikatlar ma'lumotlar himoyasining qator mahsulotlarida, jum- ladan, bimoyalangan kanal SSL protokolida ishlatiladi.


Download 1,64 Mb.

Do'stlaringiz bilan baham:
1   ...   53   54   55   56   57   58   59   60   ...   267




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish