9-Ma’ruza: Mobil operatsion tizimlar xavfsizligi
Download 37.4 Kb.
|
9-Ma’ruza Mobil operatsion tizimlar xavfsizligi
Identifikatsiya va autentifikatsiyani dasturiy ta‘minot va apparat xavfsizligi vositalarining asosi deb hisoblash mumkin, chunki qolgan xizmatlar nomli subyektlarga xizmat kо‘rsatish uchun mо‘ljallangan. Identifikatsiya va autentifikatsiya - bu birinchi himoya chizig‘i, tashkilotning axborot maydoniga kirish eshigi.
Identifikatsiya subyektga (foydalanuvchiga, ma‘lum bir foydalanuvchi nomidan ishlaydigan jarayonga yoki boshqa apparat va dasturiy ta‘minot komponentiga) о‘zini aniqlashga imkon beradi (unga nomini aytadi). Autentifikatsiya orqali ikkinchi tomon subyekt haqiqatan ham u da‘vo qilgan shaxs yekanligiga ishonch hosil qiladi. «Autentifikatsiya» sо‘zining sinonimi sifatida «autentifikatsiya» iborasi ba‘zan ishlatiladi. Autentifikatsiya bir tomonlama (odatda mijoz serverga haqiqiyligini isbotlaydi) va ikki tomonlama (о‘zaro) bо‘lishi mumkin. Bir tomonlama autentifikatsiyaga misol sifatida foydalanuvchining tizimga kirish protsedurasini keltirish mumkin. Tarmoq muhitida, identifikatsiyalash/autentifikatsiya qilish tomonlari hududiy ravishda tarqoq bо‘lsa, ushbu xizmat ikki asosiy jihatga ega: autentifikator vazifasini bajaruvchi narsa (ya‘ni obyektning haqiqiyligini tasdiqlash uchun ishlatiladi); identifikatsiya/autentifikatsiya ma‘lumotlari almashinuvi qanday tashkil yetilganligi (va himoyalanganligi). Subyekt quyidagi ma‘lumotlardan kamida bittasini taqdim etish orqali haqiqiyligini tasdiqlashi mumkin: u biladigan biror narsa (parol, shaxsiy identifikatsiya raqami, krIPtografik kalit va boshqalar); u egalik qiladigan narsa (shaxsiy karta yoki shunga о‘xshash maqsaddagi boshqa qurilma); uning bir qismi bо‘lgan narsa (ovoz, barmoq izlari va boshqalar, ya‘ni biometrik xususiyatlar). Identifikatsiyalash/autentifikatsiya qilish tomonlari о‘rtasida ochiq tarmoq muhitida ishonchli yо‘nalish yо‘q; bu shuni anglatadiki, umuman olganda, subyekt tomonidan berilgan ma‘lumotlar autentifikatsiya qilish uchun olingan va ishlatilgan ma‘lumotlarga mos kelmasligi mumkin. Tarmoqni passiv va faol tinglashdan, ya‘ni ma‘lumotlarni qо‘lga qiritishdan, о‘zgartirishdan va/yoki ijro etishdan(qayta ishlashdan) himoya qilish kerak. Parollarning ochiq kо‘rinishda uzatilishi shubhasiz qoniqarsiz; parolni shifrlash ham vaziyatni saqlab qolmaydi, chunki u ijro etishdan himoya qilmaydi. Yanada murakkab autentifikatsiya protokollari zarur. Ishonchli identifikatsiya qilish va autentifikatsiya qilish nafaqat tarmoq tahdidlari tufayli, balki boshka bir qator sabablarga kо‘ra ham qiyin. Birinchidan, deyarli barcha autentifikatsiya subyektlarini topish, о‘g‘irlash yoki soxtalashtirish mumkin. Ikkinchidan, bir tomondan autentifikatsiyaning ishonchliligi va boshqa tomondan foydalanuvchi va tizim administratori qulayligi о‘rtasida ziddiyat mavjud. Uchinchidan, himoya vositalari qanchalik ishonchli bо‘lsa, u shunchalik qimmat turadi. Zamonaviy identifikatsiya/autentifikatsiya vositalari tarmoqqa yagona kirish konsepsiyasini qо‘llab-quvvatlashi kerak. Tarmoqqa yagona kirish, birinchi navbatda, foydalanuvchilar uchun qulaylik talabidir. Agar korporativ tarmoqda mustaqil ravishda foydalanish mumkin bо‘lgan kо‘plab axborot xizmatlari mavjud bо‘lsa, unda bir necha martta identifikatsiya/autentifikatsiya qilish juda og‘ir bо‘ladi. Afsuski, tarmoqga yagona kirish normaga aylanib deb aytish mumkin emas, dominant yechimlar hali shakllanmagan. Parolli autentifikatsiyalash – oddiy va uzoq vaqtdan beri operatsion tizimlar va boshqa xizmatlarga о‘rnatilgan. Tо‘g‘ri foydalanilganda, parollar kо‘plab tashkilotlar uchun maqbul bо‘lgan xavfsizlik darajasini ta‘minlashi mumkin. Biroq, ularning xususiyatlarining umumiyligi nuqtai nazaridan, ular autentifikatsiyaning eng zaif vositasi sifatida tan olinishi kerak. Parolni yesda qolarli qilish uchun u kо‘pincha soddalashtiriladi (dо‘stingizning(sevgilingizning) ismi, sport jamoasining nomi va boshqalar). Ba‘zan parollar boshidanoq sir tutilmaydi, chunki ular hujjatlarda kо‘rsatilgan standart qiymatlarga ega va tizim о‘rnatilgandan sо‘ng ular har doim ham о‘zgartirilmaydi. Parolni kiritishni kо‘rib olish mumkin. Ba‘zida hatto optik asboblar ham kо‘rib olish uchun ishlatiladi. Parollar kо‘pincha hamkasblarga beriladi(aytiladi), ular, masalan, bir muddat parol egasini (о‘rniga) о‘zgartirish uchun. Parolni, aytaylik, lug‘at yordamida «qо‘pol kuch bilan» taxmin qilish mumkin. Agar parol fayli shifrlangan, lekin о‘qilishi mumkin bо‘lsa, uni kompyuteringizga yuklab olishingiz va qо‘pol qidiruvni dasturlash orqali parolni taxmin qilishga harakat qilishingiz mumkin (shifrlash algoritmi ma‘lum bо‘lsa). Shunga qaramay, quyidagi chora-tadbirlar parolni himoya qilishning ishonchliligini sezilarli darajada oshiradi: texnik cheklovlar qо‘yish (parol juda qisqa bо‘lmasligi, unda harflar, raqamlar, tinish belgilari va boshqalar bо‘lishi kerak); parolning amal qilish muddatini boshqarish, ularni davriy о‘zgartirish; parol fayliga kirishni cheklash; kirishga muvaffaqiyatsiz urinishlar sonini cheklash (bu «qо‘pol kuch usuli»dan foydalanishni qiyinlashtiradi); foydalanuvchilarni о‘rgatish; dasturiy ta‘minot parol generatorlaridan foydalanish (dastur murakkab bо‘lmagan qoidalarga asoslangan holda ijobiy va shu sabali esda qolarli parollar yaryaatadi). Yuqorida muhokama qilingan parollarni kо‘p marttalik deb atash mumkin; ularni oshkor qilish buzg‘unchiga qonuniy foydalanuvchi nomidan harakat qilish imkonini beradi. Bir martalik parollar tarmoqni passiv tingalshga chidamli ancha kuchli vositadir. Eng mashhur bir martalik parol ishlab chiqaruvchi dastur Bellcore kompaniyasining S/KEY tizimidir. Ushbu tizimning g‘oyasi quyidagicha. Bir tomonlama f funksiya bо‘lsin (ya‘ni, oqilona(yetarli) vaqt ichida teskari funksiyani hisoblashning imkoni yuk). Bu funksiya foydalanuvchiga ham, autentifikatsiya serveriga ham ma‘lum. Bundan tashqari, faqat foydalanuvchiga ma‘lum bо‘lgan K maxfiy kaliti mavjud. Foydalanuvchini boshqarishning dastlabki bosqichida f funksiyasi K n martta kalitga qо‘llaniladi, shundan sо‘ng natija serverda saqlanadi. Shundan sо‘ng, foydalanuvchi autentifikatsiya qilish jarayoni quyidagicha kо‘rinadi: server foydalanuvchi tizimiga raqam ((n – 1) yuboradi; foydalanuvchi f funksiyasini K (n – 1) maxfiy kalitga qо‘llaydi va natijani tarmoq orqali autentifikatsiya serveriga yuboradi; server foydalanuvchidan olingan qiymatga f funksiyasini qо‘llaydi va natijani avval saqlangan qiymat bilan taqqoslaydi. Agar mos kelsa, foydalanuvchi identifikatori aniqlangan deb hisoblanadi, server yangi qiymatni (foydalanuvchi tomonidan yuborilgan) yeslab qoladi va hisoblagichni (n) bittaga kamaytiradi. f funksiyasi qaytarilmas bо‘lganligi sababli, parolni ushlab turish, shuningdek, autentifikatsiya serveriga kirish imkoniyati K maxfiy kalitini bilishga va keyingi bir martalik parolni taxmin qilishga imkon bermaydi. S/KEY tizimi Internet standarti maqomiga ega (RFC 1938). Ishonchli autentifikatsiya qilishning yana bir yondashuvi qisqa vaqtdan keyin (masalan, har 60 soniyada) yangi parolni yaratishdir, buning uchun dasturlar yoki maxsus smart-kartalardan foydalanish mumkin. Autentifikatsiya serveri parolni yaratish algoritmini va unga tegishli parametrlarni bilishi kerak; Bundan tashqari, mijoz va serverning soatlari sinxronlashtirilishi kerak. Download 37.4 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling