Autentifikatsiya usullaridagi afzallik va kamchiliklar


Download 21.2 Kb.
bet1/2
Sana03.02.2023
Hajmi21.2 Kb.
#1151285
  1   2
Bog'liq
RAJABBEK


Autentifikatsiya usullaridagi afzallik va kamchiliklar

Autentifikatsiya – odatda tizim resurslaridan foydalanishga ruxsat etish xususida qaror qabul uchun foydalanuvchining, qurilmaning yoki tizimning boshqa tashkil etuvchisining identifikasiyasini tekshirish; saqlanuvchi va uzatuvchi ma’lumotlarning ruxsatsiz modifikatsiyalanganligini aniqlash uchun tekshirish.


Two- Factor Authentication: Ushbu autentifikatsiya ikki bosqichli tekshirish jarayonini talab qiladi, bu nafaqat foydalanuvchi nomi va parolni, balki faqat foydalanuvchi biladigan ma'lumotni ham talab qiladi. Foydalanuvchi nomi va parolni maxfiy ma'lumotlar bilan birgalikda ishlatish xakerlarga muhim va shaxsiy ma'lumotlarni o'g'irlashni ancha qiyinlashtiradi.
Multi- Factor Authentication (ko'p faktorli autentifikatsiya): Bu autentifikatsiyaning eng ilg'or usuli bo'lib, foydalanuvchilarga tizimga kirish huquqini berish uchun mustaqil autentifikatsiya kategoriyalaridan ikki yoki undan ko'p darajadagi xavfsizlikni talab qiladi. Autentifikatsiya qilishning ushbu shakli har qanday ma'lumotlarga ta'sir qilishni bartaraf etish uchun bir-biridan mustaqil bo'lgan omillardan foydalanadi. Moliyaviy tashkilotlar, banklar va huquqni muhofaza qilish idoralarida ko'p faktorli autentifikatsiyadan foydalanish odatiy holdir.
Authorization (Avtorizatsiya)
Avtorizatsiya sizning shaxsingiz tizim tomonidan muvaffaqiyatli tasdiqlanganidan so'ng amalga oshiriladi. Shuning uchun sizga ma'lumot, fayllar, ma'lumotlar bazalari, fondlar va boshqa manbalarga to'liq kirish huquqini beradi. Ammo avtorizatsiya sizning kirish huquqingizni aniqlagandan keyingina manbalarga kirish huquqini tasdiqlaydi. Boshqacha qilib aytganda, avtorizatsiya - bu autentifikatsiya qilingan foydalanuvchining muayyan manbalardan foydalana olishini aniqlatuvchi jarayon hisoblanadi. Autentifikatsiya orqali xodimning identifikatori va parollarini tekshirilib, tasdiqlanganidan so'ng, keyingi qadam qaysi xodimning qaysi qavatga kirish huquqiga ega ekanligi va bu avtorizatsiya orqali nimalarni amalga oshirilishini aniqlash imkonini beradi.
Tizimga kirish autentifikatsiya va avtorizatsiya bilan himoyalangan va ular ko'pincha bir-biri bilan birgalikda ishlatiladi. Garchi ikkalasi ham bundan keyin turli xil tushunchalarga ega bo'lishsa-da, ular veb-servis infratuzilmasi uchun, ayniqsa tizimga kirish huquqi haqida gap ketganda juda muhimdir. Har bir atamani tushunish juda muhim va xavfsizlikning muhim jihati hisoblanadi. Autentifikatsiya (Authentication) - ma'lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o'zi ekanligiga ishonch xosil qilishiga imkon beradi. Autentifikatsiya o'tqazishda tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi.Odatda foydalanuvchi tizimga o'z xususidagi noyob, boshqalarga ma'lum bo'lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi. Autentifikatsiya (Authentication) - ma'lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o'zi ekanligiga ishonch xosil qilishiga imkon beradi. Autentifikatsiya o'tqazishda tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi.Odatda foydalanuvchi tizimga o'z xususidagi noyob, boshqalarga ma'lum bo'lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi. Autentifikatsiya natijasida foydalanuvchilarni shaxsini aniqlash(tekshirish) va unga tarmoq xizmatlaridan foydalanishga ruxsat berish vazifalari amalga oshiriladi.O'zining haqiqiyligining tasdiqlash uchun sub'ekt tizimga turli asoslarni ko'rsatishi mumkin. Sub'ekt ko'rsatadigan asoslarga bog'liq holda autentifikatsiya jarayonlari quyidagi kategoriyalarga bo'linishi mumkin:
> biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal Identification Number) hamda "so'rov javob" xilidagi protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko'rsatish mumkin;
> biror narsaga egaligi asosida. Odatda bular magnit kartalar, smartkartalar, sertifikatlar va "touch memory" qurilmalari;

> qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o'z tarkibiga foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko'zining rangdor pardasi va to'r pardasi, barmoq izlari, kaft geometriyasi va x.) asoslangan usullarni oladi. Biometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi.


Autentifikatsiya tizimlarida eng katta muammo foydalanuvchining autentigikatsiya vositasiga begona shaxslarning egalik qilishi. Ushbu kamchilikni bartaraf etish uchun bevosita beometrik vositalarga tayanamiz. Chunki ularning aynan shaxsning o'zisiz foydalanish mumkin emas.
Foydalanuvchilarni identifikatsiya va autentifikatsiyadan o'tkazish asosan tizimdan foydalanishga ruxsat berish uchun amalga oshiriladi. Ma'lumotlarni uzatish kanallarida himoyalashda sub'ektlarning o'zaro autentifikatsiyasi, ya'ni aloqa kanallari orqali bog'lanadigan sub'ektlar xaqiqiyligining o'zaro tasdig'I bajarilishi shart. Xaqiqiylikning tasdig'i odatda seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga oshiriladi. "Ulanish" atamasi orqali tarmoqning ikkita sub'ekti o'rtasida mantiqiy bog'lanish tushuniladi. Ushbu muolajaning maqsadi - ulanish qonuniy sub'ekt bilan amalga oshirilganligiga va barcha axborot mo'ljallangan manzilga borishligiga ishonchni ta'minlashdir.
Elektron tijorat tizimida to'lovlar quyidagi qator shartlarning bajarilishi asosida amalga oshiriladi:
• konfidentsiallikning saqlanishi - Internet orqali to'lovlar amalga oshirilishida xaridor ma'lumotlarining (masalan, kredit karta nomeri) faqat qonun bilan belgilangan tashkilotlargina bilishi kafolatlanishi shart;
• axborot yaxlitligining saqlanishi-xarid xususidagi axborot hech kim tomonidan o'zgartirilishi mumkin emas;
• autentifikatsiya-xaridorlar va sotuvchilar ikkala tomon ham haqiqiy ekanligiga ishonch hosil qilishlari shart;

• to'lov vositalarining qulayligi - xaridorlarga qulay bo'lgan har qanday vositalar bilan to'lov imkoniyati;



• avtorizatsiya - jarayoni, bu jarayon kechuvida tranzaktsiya o'tkazilishi xususidagi talab to'lov tizimi tomonidan ma'qullanadi yoki rad etiladi. Bu muolaja xaridorning mablag'i borligini aniqlashga imkon beradi;
Avtorizatsiya – tizimda foydalanuvchiga, uning ijobiy autentifikatsiyasiga asosan, ma’lum foydalanish huquqlarini taqdim etish.
Identifikasiya yoki autentifikasiya jarayonlarida subyektlar inson, qurilma (kompyuter yoki jarayon) ko’rinishida bo’lishi mumkin. Ya’ni, inson insonni autentifikasiyadan o’tkazishi mumkin, mashina insonni autentifikasiyadan o’tkazishi mumkin yoki mashina mashinani autentifikasiyadan o’tkazishi mumkin. Mazkur bo’limda mashina insonni yoki mashina mashinani autentifikasiyadan o’tkazish ssenariylariga asosiy e’tibor beriladi. Mashina insonni quyidagi “narsalar” asosida autentifikasiyadan o’tkazishi mumkin [13, 23]: - siz bilgan biror narsa (something you know); 80 - sizda mavjud biror narsa (something you have); - sizning biror narsangiz (something you are). “Siz bilgan biror narsa” asosida autentifikasiyalash usuliga parol misol bo’ladi. “Sizda mavjud biror narsa” asosida autentifikasiyalash usuliga esa smartkartalar, token, mashinaning pulti yoki kaliti misol bo’ladi. “Sizning biror narsangiz” holati odatda biometrik parametrlarga sinonim sifatida qaraladi. Masalan, siz noutbuk sotib olib, undagi barmoq izi skaneri orqali autentifikasiyadan o’tishingiz mumkin. Parol – tizimda autentifikasiya jarayonidan o’tishni ta’minlovchi faqat foydalanuvchiga ma’lum bo’lgan biror axborot. Parol amalda autentifikasiya jarayonida keng qo’llaniluvchi parametr hisoblanadi. Masalan, o’z shaxsiy kompyuterlarimizdan foydalanish huquqini olishda parolni kiritish talab etiladi. Mazkur jarayonni mobil telefonlar uchun ham ishlatish mumkin. Parolga asoslangan autentifikasiyalash jarayonining umumiy ko’rinishi keltirilgan. Фойдаланувчи Сервер Фойдаланувчи идентификатори, парол ОК/ Хатолик. Parolga asoslangan mashina-insonni autentifikasiyalash jarayoni Parolga asoslangan autentifikasiya quyidagi xususiyatlarga ega: - parolga asoslangan autentifikasiyalash qulay (sarf xarajati kam, almashtirish oson); - foydalanuvchi paroli odatda unga aloqador ma’lumot bo’ladi (masalan, uning yaxshi ko’rgan futbol komandasining nomi, telefon raqami va h.) (123456, 12345, qwerty) va shuning uchun “hujumchilar” tomonidan aniqlab olinishi oson; - murakkab parollarni xotirlab qolish qiyin (masalan, jfIej(43jEmmL+y); - parolga asoslangan autentifikasiyalash usuli amalda keng qo’llaniladi. 81 Smartkartalar yoki qurilma ko’rinishidagi tokenlar autentifikasiyalash uchun qo’llaniladi. Smartkarta kredit karta o’lchamidagi qurilma bo’lib, kichik hajmdagi xotira va hisoblash imkoniyatiga ega. Smartkarta odatda o’zida biror maxfiy kattalik, kalit yoki parolni saqlaydi va hattoki qandaydir hisoblashni ham amalga oshiradi. 31-rasmda maxsus maqsadli smartkarta va uni o’quvchi qurilma (smartkarta o’quvchi qurilma) aks ettirilgan. Smartkarta va smartkarta o’quvchi (ACR39U [1]) qurilma Biror narsa asosida autentifikasiyalash usullarini turlicha amalga oshirish mumkin. Masalan, tokenga asoslangan autentifikasiyalashni ko’rib chiqaylik. Bunda parollar generatori qurilmasidan foydalanib, u tizimga kirishda qo’llaniladi. Faraz qilaylik, Alisa parol generatoridan foydalanib Bobdan autentifikasiyadan o’tmoqchi. Buning uchun Bob biror tasodifiy son 𝑅𝑅 ni (“savolni”) Alisaga yuboradi. Alisa qabul qilingan 𝑅𝑅 sonini va parol generatoridan foydalanish ShIR (Shaxsiy identifikasiya raqami)ini parol generatoriga kiritadi. Alisa parol generatori javobini Bobga uzatadi. Agar javob to’g’ri bo’lsa, Alisa autentifikasiyadan o’tadi, aks holda o’ta olmaydi. Mazkur “savol-javob” ssenariysining umumiy ko’rinishi 32-rasmda keltirilgan. Alisa Bob, K Parol generatori, K 1. Men Alisa 2. R 3. SHIR, R 4. h(R,K) 5. h(R,K) Tokenga asoslangan autentifikasiya jarayoni 82 Bu yerda, Bob va parol generatorida taqsimlangan kalit 𝐾𝐾 bo’lishi shart. Savol sifatida Bob Alisaga 𝑅𝑅 sonini uzatadi va unga mos bo’lgan javob - ℎ(𝑅𝑅,𝐾𝐾) ni qabul qiladi. Qabul qilgan ma’lumotni tekshirish orqali Bob Alisani haqiqiyligini tekshiradi. Smartakarta yoki “sizda mavjud biror narsa” asosida autentifikasiya usullari quyidagi xususiyatlarga ega: - autentifikasiyalashda biror narasani esda saqlash talab etilmaydi; - amalga oshirish va qurilma narxi yuqori (xususan, token yo’qolgan taqdirda uni almashtirish qimmatga tushadi); - token yoki smartkartani yo’qotib qo’yish muammosi; - token xavfsizligi ta’minlanganida yuqori xavfsizlik darajasini ta’minlaydi. Biometrik parametrlarga asoslangan autentifikasiya. Biometrik parametrlarga asoslangan autentifikasiya usulida biometrik parametr insonning o’zi uchun kalit sifatida xizmat qiladi. Biometrik parametrlarga asoslangan autentifikasiyalashning ko’plab usullari mavjud. Masalan, barmoq izi, yuz tasviri, ko’z qorachig’i, ovoz, harakat tarzi, quloq shakli, qo’l shakli va boshqa biometrik parametrlarga asoslangan autentifikasiya usullari amalda keng qo’llaniladi. Masalan, qo’p qavatli uylar va tashkilotlarga kirishda barmoq iziga asoslangan autentifikasiya usuli, noutbuklarda va mobil telefonlarda yuz tasviriga asoslangan yoki barmoq iziga asoslangan autentifikasiya keng qo’llaniladi Barmoq izi Yuz tasviri Ko’z qorachig’i Ovoz Biometrik na’munalarga misollar 83 Axborot xavfsizligi sohasida biometrik parametrlar parollarga qaraganda yuqori xavfsizlikni ta’minlovchi muqobil sifatida qaraladi. Biometrik parametrlarga asoslangan autentifikasiya usuli quyidagi xususiyatlarga ega: - biometrik parametrga asoslangan usullar esda saqlash yoki birga olib yurish zaruriyatini talab etmaydi; - biometrik parametrlarga asoslangan autentifikasiyalash parollarga asoslangan usullardan foydalanishga nisbatan qimmatroq, lekin tokenga asoslangan usullardan foydalanishga qaraganda arzonroq hisoblanadi (ba’zi, istisno holatlar mavjud); - biometrik parmetrlarni o’zgartirish imkoniyati mavjud emas, ya’ni, agar biometrik parametr qalbakilashtirilsa, u holda autentifikasiya tizimi shu foydalanuvchi uchun to’liq buzilgan hisoblanadi; - turli biometrik parametrlarga asoslangan autentifikasiyalash usullari insonlar tomonidan turli darajada qabul qilinadi. Autentifikasiya sohasida foydalanish uchun ideal biometrik parametr quyidagi xususiyatlarga ega bo’lishi shart [38, 39]: - universal bo’lishi – biometrik parametrlar barcha foydalanuvchilarda bo’lishi; - farqli bo’lish – barcha insonlarning tanlangan biometrik parametri birbiridan farq qilishi; - o’zgarmaslik – tanlangan biometrik parametr vaqt o’tishi bilan o’zgarmay qolishi; - to’planuvchanlik – fizik xususiyat osonlik bilan to’planuvchan bo’lishi. Amalda fizik xususiyatni to’planuvchanligi, insonning autentifikasiya jarayonga e’tibor berishiga ham bog’liq bo’ladi. Biometrik parametrlar nafaqat autentifikasiyalash masalasini yechishda balki, identifikasiyalashda ham keng qo’llaniladi. Ya’ni, “Siz kimsiz?” degan savolga javob bera oladi. Masalan, FBI da jinoyatchilarning barmoq izlari bazalari mavjud. Bazada barmoq izlari (barmoq izi tasviri - foydalanuvchi nomi) shaklida saqlanadi va bu biror bir insonni jinoyatchilar ro’yxatida bor yoki yo’qligini aniqlashga imkon 84 beradi [40]. Buning uchun, tekshiriluvchi insonning barmoq izi tasviri FBI bazasidagi biror bir barmoq izi tasviriga mos kelsa, barmoq izi tasviriga mos foydalanuvchi nomi bilan aniqlanadi. Bir tomonlama va ikki tomonlama autentifikasiya. Agar tomonlardan biri ikkinchisini autentifikasiyadan o’tkazsa - bir tomonlama, agar har ikkala tomon bir birini autentifikasiyadan o’tkazsa, u holda ikki tomonlama autentifikasiya deb ataladi. Masalan, elektron pochtadan foydalanishda faqat server foydalanuvchini haqiqiyligini (parol orqali) tekshirsa, uni bir tomonlama autentifikasiyalash deb ataladi. Elektron to’lov tizimlarida server foydalanuvchini, foydalanuvchi esa serverni autentifikasiyadan o’tkazadi. Shuning uchun mazkur holat ikki tomonlama autentifikasiyalash deb yuritiladi. Ko’p omilli autentifikasiya. Yuqorida keltirilgan barcha autentifikasiya ssenariylarida foydalanuvchilarni faqat bitta omil bo’yicha haqiqiyligi tekshiriladi. Masalan, elektron pochtaga kirishda faqat parolni bilishning o’zi yetarli bo’lgan bo’lsa, binoga kirishda barmoq izini to’g’ri kiritishning o’zi eshikni ochilishi uchun yetarli bo’ladi. Ya’ni, server faqat foydalanuvchidan parolni yoki barmoq izi tasvirini to’g’ri bo’lishini talab qiladi. Bir faktorli autentifikasiyada tekshirish faqat bitta omil bo’yicha (masalan, parol) amalga oshiriladi va o’zi bir omilli autentifikasiya deb yuritiladi. Biroq, bir omilli autentifikasiyalashda xavfsizlik darajasi past bo’ladi. Masalan, ovozga asoslangan autentifikasiya tizimida hujumchi foydalanuvchining ovozini diktafonga yozib olib, uni autentifikasiya jarayoniga taqdim etsa, osonlik bilan autentifikasiya tizimini bitta omil bo’yicha aldab o’tishi mumkin. Bunday holatni parolga asoslangan yoki tokenga asoslangan autentifikasiya jarayonida ham kuzatish mumkin. Xavfsizlik darjasini oshirish uchun birinchi omilga qo’shimcha, yana boshqa omillardan foydalanish mumkin. Masalan, ovozga asoslangan autentifikasiyalashga qo’shimcha qilib paroldan foydalanish mumkin. Ya’ni, foydalanuvchi dastlab tizimdan o’z ovozi orqali, so’ng parol bo’yicha autentifikasiyadan o’tkaziladi. Har ikkala bosqichda ham autentifikasiyadan muvaffaqqiyatli o’tilganda, foydalanuvchi 85 tizimdan foydalanish imkoniyatiga ega bo’ladi. Shu sababli, ushbu usulni ko’p omilli autentifikasiyalash deb aytish mumkin. Ko’p omilli autentifikasiyalash kundalik hayotimizda hozir keng qo’llanilmoqda. Masalan, plastik kartadan to’lovni amalga oshirishdagi autentifikasiya jarayoni o’zida “sizda mavjud biror narsa” va “siz bilgan biror narsa” usullarini birlashtirgan. Birinchi omil foydalanuvchida plastik kartani mavjudligi bo’lsa, ikkinchisi uni ShIR ini bilish talab etilishidir. Ko’p omilli autentifikasiya usuli omillardan bittasi qalbakilashtirilgan taqdirda ham autentifikasiya jarayonini buzilmasligiga olib keladi. Ko’p omilli autentifikasiya sifatida aksariyat hollarda bir martali parollardan (one time password, OTP) keng foydalanilmoqda. Bunga misol qilib, turli mobil bank ilovalarida to’lovni amalga oshirishdagi foydalanuvchi mobil qurilmasiga keluvchi SMS xabardagi OTRlarni keltirish mumkin. Autentifikasiya jarayonlariga qaratilgan hujumlar. Mavjud autentifikasiya jarayonlarini buzishda ko’plab hujum usullaridan foydalaniladi. Ushbu hujum usullarini autentifikasiya usullariga mos ravishda quyidagicha tasniflash mumkin [43]:
1. Biror narsani bilishga asoslangan autentifikasiyalashni buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Parollar lug’atidan foydalanishga asoslangan hujum. Bunda statistika bo’yicha eng ko’p qo’llaniluvchi parollar asosida autentifikasiyadan o’tishga harakat qilinadi.

Download 21.2 Kb.

Do'stlaringiz bilan baham:
  1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling