165
ta’sir muddati
L
, seans kaliti
K
va identifikator
Id
A
ni oladi. So‘ngra
V
taraf seans
kalit
K
yordamida xabarning ikkinchi qismini rasshifrovka qiladi. Xabarning ikkala
qismidagi
T
va
Id
A
qiymatlarining mos kelishi
A
ning
V
ga nisbatan haqiqiyligini
tasdiqlaydi.
Xaqiqiylikni o‘zaro tasdiqlash maqsadida
V
taraf vaqt belgisi
T
plyus 1 dan
iborat xabar yaratadi, uni
K
kalit yordamida shifrlaydi va
A
tarafga jo‘natadi.
)
1
(
:
T
E
A
B
K
Agar bu xabar rasshifrovka qilingandan keyin
A
taraf kutilgan natijani olsa,
u aloqa liniyasining boshqa tarafida haqiqatan
V
turganligiga ishonch hosil qiladi.
Bu protokol barcha qatnashuvchilarning soatlari server KS soatlari bilan
sinxronlanganida muvaffaqiyatli ishlaydi. Ta’kidlash lozimki,
bu protokolda
A
tarafning
V
taraf bilan aloqa o‘rnatishga har bir xohishida seans kalitini olish uchun
KS bilan almashinuv zarur bo‘ladi. Protokolning
A
va
V
ob’ektlarni ishonchli
ulashi uchun, hech bir kalit obro‘sizlanmasligi va server KS ning himoyalanishi
talab etiladi.
Umuman
Kerberos
tizimida (5 versiya) foydalanuvchini identifikasiyalash
va autentifikatsiyalash jarayonini quyidagicha tavsiflash mumkin (6.2-rasm).
AS
C
RS
TGS
KS
Belgilashlar:
KS – Kerberos tizimi serveri
AS – Autentifikatsiya serveri
TGS – Mandatlarni ajratish tizimi serveri
RS – Axborot resurslari serveri
С – Kerberos tizimi mijozi
1
2
3
4
5
6
6.2-rasm. Kerberos protokolining ishlash
sxemasi
166
Mijoz
S
, tarmoq resursidan foydalanish maqsadida autentifikatsiya serveri
AS
ga so‘rov yo‘llaydi. Server
AS
foydalanuvchini uning ismi va paroli yordamida
identifikasiyalaydi va mijozga mandat ajratish xizmati serveri
TGS
dan (
Ticket
Grating Service
) foydalanishga mandat yuboradi.
Axborot resurslarining muayyan maqsadli serveri
RS
dan foydalanish uchun
mijoz
S TGS
dan maqsadli server
RS
ga murojaat qilishga mandat so‘raydi. Hamma
narsa tartibda bo‘lsa
TGS
kerakli tarmoq resurslaridan foydalanishga ruxsat berib,
klient
S
ga mos mandatni yuboradi.
Kerberos tizimi ishlashining asosiy qadamlari (6.2.-rasmga qaralsin):
1.
AS
C
- mijoz
S
ning
TGS
xizmatiga murojaat qilishga ruxsat so‘rab
server
AS
dan so‘rovi.
2.
C
AS
- server
AS
ning mijoz
S
ga
TGS
xizmatidan foydalanishga ruxsati
(mandati).
3.
TGS
C
- mijoz
S
ning resurslar serveri
RS
dan foydalanishga ruxsat
(mandat) so‘rab,
TGS
xizmatidan so‘rovi.
4.
C
TGS
-
TGS
xizmatining mijoz
S
ga resurslar serveri
RS
dan
foydalanishiga ruxsati (mandati).
5.
RS
C
- server
RS
dan axborot resursining (xizmatning) so‘rovi.
6.
C
RS
- server
RS
ning xaqiqiyligini
tasdiqlash va mijoz
S
ga axborot
resursini (xizmatni) taqdim etish.
Mijoz bilan server aloqasining ushbu modeli faqat uzatiladigan
boshqaruvchi axborotning konfidensialligi va yaxlitligi ta’minlanganida ishlashi
mumkin. Axborot xavfsizligini qat’iy ta’minlamasdan
AS, TGS
va
RS
serverlarga
mijoz
S
so‘rov yuboraolmaydi va tarmoq xizmatidan foydalanishga ruxsat
ololmaydi.
Axborotning ushlab qolinishi va ruxsatsiz foydalanishi imkoniyatlarini
bartaraf etish maqsadida Kerberos tarmoqda harqanday
boshqarish axboroti
uzatilganida maxfiy kalitlar kompleksini (mijozning maxfiy kaliti, serverning
maxfiy kaliti, mijoz-server juftining maxfiy seans kalitlari) ko‘p marta shifrlashni
ishlatadi. Kerberos shifrlashning turli algoritmlaridan va xesh-funksiyalardan
167
foydalanishi mumkin, ammo madadlash uchun Triple DES va MD5 algoritmlari
o‘rnatilgan.
Kerberos tizimida ishonch xujjatlarining ikki turidan foydalaniladi: mandat
(tricket) va autentifikator (authentificator).
Mandat
serverga mandat berilgan mijozning identifikasion ma’lumotlarini
xavfsiz uzatish uchun ishlatiladi. Uning tarkibida axborot ham bo‘lib, undan server
mandatdan foydalanayotgan mijozning xaqiqiy ekanligini tekshirishda foydalanishi
mumkin.
Autentifikator
– mandat bilan birga ko‘rsatiluvchi qo‘shimcha
atribut(alomat). Quyida Kerberos xujjatlarida ishlatiluvchi
belgilashlar tizimi
keltirilgan:
S
– mijoz;
S
– server;
a
– mijozning tarmoq adresi;
v
– mandat ta’siri vaqtining boshlanishi va oxiri;
T
– vaqt belgisi;
K
x
– maxfiy kalit x;
K
xy
– x va y uchun seans kaliti;
{
m
}
K
x
– sub’ekt
x
ning maxfiy kaliti
K
x
bilan shifrlangan xabar
m
;
T
x,y
–
y
dan foydalanishga mandat
x
;
A
x,y
–
x
va
y
uchun autentifikator.
Do'stlaringiz bilan baham: