Termiz davlat universiteti amaliy matematika kafedrasi «Axborot xavfsizligi» fanidan

102 
 
22-MAVZU: INDENTIFIKASIYA VA AUTENTIFIKASIYA 
MA’RUZA MASHG’ULOTI REJASI: 
22.1.Asosiy tushunchalar va turkumlanishi 
22.2.Parollar asosida autentifikatsiyalash 
22.3.Foydalanuvchilarni biometrik identifikatsiyalash va autentifikatsiyalash                     
 
Tayanch  iboralar:  Identifikatsiya,  autentifikatsiya,  ma’murlash,  avtorizatsiya,  maskarad, 
takroriy, majburiy kechikish. 
 
Asosiy tushunchalar va turkumlanishi 
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori  (nomi) bo‘yicha aniqlash 
jarayoni.  Bu  foydalanuvchi  tarmoqdan  foydalanishga  uringanida  birinchi  galda  bajariladigan 
funksiyadir. Foydalanuvchi tizimga uning so‘rovi bo‘yicha o‘zining identifikatorini bildiradi, tizim 
esa o‘zining ma’lumotlar bazasida uning borligini tekshiradi.  
Autentifikatsiya (Authentication) – ma’lum qilingan foydalanuvchi, jarayon yoki qurilmaning 
haqiqiy  ekanligini  tekshirish  muolajasi.  Bu  tekshirish  foydalanuvchi  (jarayon  yoki  qurilma) 
haqiqatdan aynan o‘zi ekanligiga ishonch xosil qilishiga imkon beradi. Autentifikatsiya o‘tkazishda 
tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda 
tekshiriluvchi  taraf  ham  axborot  almashinuv  jarayonida  faol  qatnashadi.  Odatda  foydalanuvchi 
tizimga  o‘z  xususidagi  noyob,  boshqalarga  ma’lum  bo‘lmagan  axborotni  (masalan,  parol  yoki 
sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi.  
Identifikatsiya  va  autentifikatsiya  sub’ektlarning  (foydalanuvchi-larning)  haqiqiy  ekanligini 
aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning 
tizim  resurslaridan  foydalanishiga  tizimning  ruxsati  aynan  shularga  bog‘liq.  Sub’ektni 
identifikatsiyalash va autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi. 
Avtorizatsiya  (Authorization)  –  subektga  tizimda  ma’lum  vakolat  va  resurslarni  berish 
muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u foydalanadigan resurslarni belgilaydi. 
Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa bu 
tizimda axborotning konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya 
muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog‘langan.  
Ma’murlash (Accounting) – foydalanuvchining tarmoqdagi harakatini, shu  jumladan, uning 
resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtai nazaridan 
tarmoqdagi xavfsizlik xodisalarini oshkor qilish, taxlillash va ularga mos reaksiya ko‘rsatish uchun 
juda muhimdir.  
Ma’lumotlarni uzatish kanallarini himoyalashda sub’ektlarning o‘zaro autentifikatsiyasi, ya’ni 
aloqa  kanallari  orqali  bog‘lanadigan  sub’ektlar  xaqiqiyligining  o‘zaro  tasdig‘i  bajarilishi  shart. 
Xaqiqiylikning  tasdig‘i  odatda  seans  boshida,  abonentlarning  bir-biriga  ulanish  jarayonida  amalga 
oshiriladi.  “Ulash”  atamasi  orqali  tarmoqning  ikkita  sub’ekti  o‘rtasida  mantiqiy  bog‘lanish 
tushuniladi. Ushbu muolajaning maqsadi  – ulash qonuniy sub’ekt bilan amalga oshirilganligiga va 
barcha axborot mo‘ljallangan manzilga borishligiga ishonchni ta’minlashdir. 
O‘zining xaqiqiyligining tasdiqlash uchun sub’ekt tizimga turli asoslarni ko‘rsatishi mumkin. 
Sub’ekt ko‘rsatadigan asoslarga bog‘liq holda autentifikatsiya jarayonlari quyidagi kategoriyalarga 
bo‘linishi mumkin:  

103 
 
- biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal 
Identification Number) hamda “so‘rov javob” xilidagi protokollarda namoyish etiluvchi maxfiy va 
ochiq kalitlarni ko‘rsatish mumkin;  
- biror  narsaga  egaligi  asosida.  Odatda  bular  magnit  kartalar,  smart-  kartalar,  sertifikatlar  va 
touch memory qurilmalari;  
- qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o‘z tarkibiga foydalanuvchining 
biometrik xarakteristikalariga (ovozlar, ko‘zining rangdor pardasi va to‘r pardasi, barmoq izlari, kaft 
geometriyasi  va  x.)  asoslangan  usullarni  oladi.  Bu  kategoriyada  kriptografik  usullar  va  vositalar 
ishlatilmaydi.  Beometrik  xarakteristikalar  binodan  yoki  qandaydir  texnikadan  foydalanishni 
nazoratlashda ishlatiladi.  
Parol – foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa. O‘zaro 
autentifikatsiya uchun foydalanuvchi va uning sherigi o‘rtasida parol almashinishi mumkin. Plastik 
karta  va  smart-karta  egasini  autentifikatsiyasida  shaxsiy  identifikatsiya  nomeri  PIN  sinalgan  usul 
hisoblanadi. PIN – kodning mahfiy qiymati faqat karta egasiga ma’lum bo‘lishi shart.  
Dinamik  –  (bir  martalik)  parol  -  bir  marta  ishlatilganidan  so‘ng  boshqa  umuman 
ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam 
o‘zgarib turuvchi qiymat ishlatiladi.  
“So‘rov-javob”  tizimi  -  taraflarning  biri  noyob  va  oldindan  bilib  bo‘lmaydigan  “so‘rov” 
qiymatini ikkinchi tarafga jo‘natish orqali autentifikatsiyani boshlab beradi, ikkinchi taraf esa so‘rov 
va  sir  yordamida  hisoblangan  javobni  jo‘natadi.  Ikkala  tarafga  bitta  sir  ma’lum  bo‘lgani  sababli, 
birinchi taraf ikkinchi taraf javobini to‘g‘riligini tekshirishi mumkin.  
Sertifikatlar  va  raqamli  imzolar  -  agar  autentifikatsiya  uchun  sertifikatlar  ishlatilsa,  bu 
sertifikatlarda  raqamli  imzoning  ishlatilishi  talab  etiladi.  Sertifikatlar  foydalanuvchi  tashkilotining 
mas’ul  shaxsi,  sertifikatlar  serveri  yoki  tashqi  ishonchli  tashkilot  tomonidan  beriladi.  Internet 
doirasida  ochiq  kalit  sertifikatlarini  tarqatish  uchun  ochiq  kalitlarni  boshqaruvchi  qator  tijorat 
infrastrukturalari  PKI  (Public  Key  Infrastrusture)  paydo  bo‘ldi.  Foydalanuvchilar  turli  daraja 
sertifikatlarini olishlari mumkin.  
Autentifikatsiya  jaryonlarini  ta’minlanuvchi  xavfsizlik  darajasi  bo‘yicha  ham  turkumlash 
mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari quyidagi turlarga bo‘linadi: 
- parollar va  raqamli sertifikatlardan foydalanuvchi autentifi-katsiya; 
- kriptografik usullar va vositalar asosidagi qatiy autentifi-katsiya; 
- nullik  bilim  bilan  isbotlash  xususiyatiga  ega  bo‘lgan  autentifi-katsiya  jarayonlari 
(protokollari); 
- foydalanuvchilarni biometrik  autentifikatsiyasi. 
Xavfsizlik  nuqtai  nazaridan  yuqorida  keltirilganlarning  har  biri  o‘ziga  xos  masalalarni 
yechishga  imkon  beradi.  Shu  sababli  autentifikatsiya  jarayonlari  va  protokollari  amalda  faol 
ishlatiladi.  Shu  bilan  bir  qatorda  ta’kidlash  lozimki,  nullik  bilim  bilan  isbotlash  xususiyatiga  ega 
bo‘lgan  autentifikatsiyaga  qiziqish  amaliy  xarakterga  nisbatan  ko‘proq  nazariy  xarakterga  ega. 
Balkim, yaqin kelajakda ulardan axborot almashinuvini himoyalashda faol foydalanishlari mumkin.   
Autentifikatsiya protokollariga bo‘ladigan asosiy xujumlar quyidagilar: 
- maskarad  (impersonation).    Foydalanuvchi  o‘zini  boshqa  shaxs  deb  ko‘rsatishga  urinib,  u 
shaxs tarafidan xarakatlarning imkoniyatlariga va imtiyozlariga ega bo‘lishni mo‘ljallaydi; 
- autentifikatsiya almashinuvi  tarafini  almashtirib qo‘yish  (interleaving attack). Niyati buzuq 
odam  ushbu  xujum  mobaynida  ikki  taraf  orasidagi  autenfikatsion  almashinish  jarayonida  trafikni 
modifikatsiya-lash  niyatida  qatnashadi.  Almashtirib  qo‘yishning  quyidagi  xili  mavjud:  ikkita 

104 
 
foydalanuvchi  o‘rtasidagi  autentifikatsiya  muvaffaqiyatli  o‘tib,  ulanish  o‘rnatilganidan  so‘ng 
buzg‘unchi foydalanuvchilardan birini chiqarib tashlab, uning nomidan ishni davom ettiradi; 
- takroriy  uzatish  (replay  attack).  Foydalanuvchilarning  biri  tomonidan  autentifikatsiya 
ma’lumotlari takroran uzatiladi; 
- uzatishni  qaytarish  (reflection  attak).  Oldingi  xujum  variantlaridan  biri  bo‘lib,  xujum 
mobaynida  niyati  buzuq  odam  protokolning  ushbu  sessiya  doirasida  ushlab  qolingan  axborotni 
orqaga qaytaradi.  
- majburiy kechikish  (forsed delay). Niyati buzuq  odam  qandaydir ma’lumotni  ushlab qolib, 
biror vaqtdan so‘ng uzatadi.  
- matn tanlashli xujum ( chosen text attack).  Niyati buzuq odam autentifikatsiya trafigini ushlab 
qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi.  
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya protokollarini qurishda 
quyidagi usullardan foydalaniladi: 
- “so‘rov–javob”,  vaqt  belgilari,  tasodifiy  sonlar,  indentifikatorlar,  raqamli  imzolar  kabi 
mexanizmlardan foydalanish; 
- autentifikatsiya  natijasini  foydalanuvchilarning  tizim  doirasidagi  keyingi  xarakatlariga 
bog‘lash.  Bunday  misol  yondashishga  tariqasida  autentifikatsiya  jarayonida  foydalanuvchilarning 
keyinga o‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni ko‘rsatish mumkin; 
- aloqaning  o‘rnatilgan  seansi  doirasida  autentifikatsiya  muolajasini  vaqti-vaqti  bilan  bajarib 
turish va h. 
“So‘rov-javob” mexanizmi quyidagicha. Agar foydalanuvchi A foydalanuvchi V dan oladigan 
xabari  yolg‘on  emasligiga  ishonch  xosil  qilishni  istasa,  u  foydalanuvchi  V  uchun  yuboradigan 
xabarga  oldindan  bilib  bo‘lmaydigan  element  –  X  so‘rovini  (masalan,  qandaydir  tasodifiy  sonni) 
qo‘shadi. Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan, qandaydir f(X) 
funksiyani  hisoblash)  bajarishi  lozim.  Buni  oldindan  bajarib  bo‘lmaydi,  chunki  so‘rovda  qanday 
tasodifiy son X kelishi foydalanuvchi V ga ma’lum emas. Foydalanuvchi V harakati natijasini olgan 
foydalanuvchi  A  foydalanuvchi  V  ning  xaqiqiy  ekanligiga  ishonch  xosil  qilishi  mumkin.  Ushbu 
usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash mumkinligi. 

Download 2,88 Mb.

Do'stlaringiz bilan baham: