uzatishni qaytarish (reflection attak). Oldingi hujum variantlaridan biri bo'lib, hujum mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida ushlab qolingan axborotni orqaga qaytaradi;
majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma’lumotni ushlab qolib, biror vaqtdan so'ng uzatadi.
matn tanlashli hujum (chosen text attack). Niyati buzuq odam autentifikatsiya trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan hujumlami bartaraf qilish uchun auten tifikatsiya protokollarini qurishda quyidagi usullardan foydalaniladi:
«so‘rov-javob», vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli imzolar kabi mexanizmlardan foydalanish;
autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi harakatlariga bogMash. Bunday yondashish misol tariqasida autentifikatsiya jarayonida foydalanuvchilarning keyingi o‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni ko'rsatish mumkin;
aloqaning 0 ‘matilgan seansi doirasida autentifikatsiya muolajasini vaqti-vaqti bilan bajarib turish va h.
«So'rov-javob» mexanizmi quyidagicha. Agar foydalanuvchi A foydalanuvchi V dan oladigan xabari yolg‘on emasligiga ishonch hosil qilishni istasa, u foydalanuvchi V uchun yuboradigan xabarga oldindan bilib boMmaydigan element —X so‘rovini (masalan, qandaydir tasodifiy sonni) qo‘shadi. Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan, qandaydir f(X) funksiyani hisoblash) bajarishi lozim. Buni oldindan bajarib boMmaydi, chunki so'rovda qanday tasodifiy son X kelishi foydalanuvchi V ga ma’lum emas. Foydalanuvchi V harakati natijasini olgan foydalanuvchi A foydalanuvchi V ning haqiqiy ekanligiga ishonch hosil qilishi mumkin. Ushbu usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash mumkinligi.
Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni qaydlashni ko‘zda tutadi. Bunda tarmoqning har bir foydalanuvchisi kelgan xabarning qanchalik eskirganini aniqlashi va uni qabul qilmaslik qaroriga kelishi mumkin, chunki u yolg‘on boMishi mumkin. Vaqtni belgilashdan foydalanishda seansning haqiqiy ekanligini tasdiqlash uchun kechikishning joiz vaqt oralig'i muammosi paydo boMadi.
Chunki, «vaqt tamg‘asi»li xabar, umuman, bir lahzada uzatilishi mumkin emas. Undan tashqari, qabul qiluvchi va jo‘natuvchining soatlari mutlaqo sinxronlangan boMishi mumkin emas.
Autentifikatsiya protokollarini taqqoslashda va tanlashda quyidagi xarakteristikalarni hisobga olish zarur:
- o 'zaro autentifikatsiyaning mavjudligi. Ushbu xususiyat autentifi-katsion almashinuv taraflari o‘rtasida ikkiyoqlama autentifikatsiyaning zarurligini aks ettiradi;
hisoblash samaradorligi. Protokolni bajarishda zarur boMgan amallarsoni;
kommunikatsion samaradorlik. Ushbu xususiyat autentifikatsiyani bajarish uchun zarur boMgan xabar soni va uzunligini aks ettiradi;
uchinchi tarafning mavjudligi. Uchinchi tarafga misol tariqasida simmetrik kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni taqsimlash uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko‘rsatish mumkin;
xavfsizlik kafolati asosi. Misol sifatida nollik bilim bilan isbotlash xususiyatiga ega boMgan protokollarni ko‘rsatish mumkin;
sirn i saqlash. Jiddiy kalitli axborotni saqlash usuli ko‘zda tutiladi.
5.2. Parollar asosida autentifikatsiyalash
Autentifikatsiyaning keng tarqalgan sxemalaridan biri oddiy autentifikatsiyalash bo‘lib, u an’anaviy ko‘p martali parollarni ishlatishiga asoslangan. Tarmoqdagi foydalanuvchini oddiy autentifi-katsiyalash muolajasini quyidagicha tasawur etish mumkin. Tarmoqdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida o'zining identifikatori va parolini teradi. Bu ma’iumotlar autentifikatsiya serveriga ishlanish uchun tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori bo‘yicha ma'lumotlar bazasidan mos yozuv topiladi, undan parolni topib foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffaqiyatli o‘tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va avtorizatsiya tizimi orqali uning maqomi uchun aniqlangan huquqlami va tarmoq resurslaridan foydalanishga ruxsatni oladi.
Paroldan foydalangan holda oddiy autentifikatsiyalash sxemasi 5.1 -rasmda keltirilgan.
Ravshanki, foydalanuvchining parolini shifrlamasdan uzatish orqali autentifikatsiyalash varianti xavfsizlikning hatto minimal darajasini ka-folatlamaydi. Parolni himoyalash uchun uni himoyalanmagan kanal orqali uzatishdan oldin shifrlash zarur. Buning uchun sxemaga shifrlash Ek va rasshifrovka qilish Dk vositalari kiritilgan. Bu vositalar boMinuvchi maxfiy kalit K orqali boshqariladi. Foydalanuvchining haqiqiyligini tekshirish foydalanuvchi yuborgan parol PA bilan autentifi
katsiya serverida saqlanuvchi dastlabki qiymat PA ni taqqoslashga
asoslangan. Agar PA va PA qiymatlar mos kelsa, parol PA haqiqiy, foy dalanuvchi A esa qonuniy hisoblanadi.
F o y d alan u v ch i A A u ten tifik atsiy a serveri
Do'stlaringiz bilan baham: |