A *-В\Ек(гл.гв)
Ikkinchi axborotni olishi bilan qatnashuvchi V oldingi proto- koldagi tekshirishni amalga oshiradi va qatnashuvchi A ga atalgan uchinchi xabarga kiritish uchun qo‘shimcha tasodifiy son 'mi rasshifrovka qiladi. Qatnashuvchi A uchinchi xabarni olganidan so‘ng va r laming qiymatlarini tekshirish asosida aynan qatnashuvchi V bilan ishlayotganiga ishonch hosil qiladi.
Autentifikatsiya jarayonida uchinchi tarafni jalb etish bilan foydalanuvchilarni autentifikatsiyalashni ta’minlovchi protokollar- ning mashhur namunalari sifatida Nidxem va Shredeming maxfiy kalitlarni taqsimlash protokolini va Kerberos protokolini ko‘rsatish mumkin.
Kerberos protokoli "mijoz-server" va lokal hamda global tarmoqlarda ishlovchi abonentlar orasida aloqaning himoyalangan kanalini o‘rnatishga atalgan kalit axborotini almashish tizimlarida autentifikatsiyalash uchun ishlatiladi. Bu protokolning Microsoft Windows 2000 va UNIX BSD operatsion tizimlariga autentifika- tsiyalashning asosiy protokoli sifatida o‘rnatilganligi alohida qiziqish o‘yg‘otadi.
Kerberos ishonch qozonmagan tarmoqlarda autentifikatsiyalashni ta’minlaydi, ya’ni Kerberos ishlashida niyati buzuq odamlar quyidagi harakatlarni bajarishlari mumkin:
o‘zini tarmoq ulanishining e’tirof etilgan taraflaridan biri deb ko‘rsatish;
ulanishda ishtirok etayotgan kompyuterlaming biridan foy- dalana olish;
har qanday paketni ushlab qolish, ularni modifikatsiyalash va/yoki ikkinchi marta uzatish.
Kerberos protokolida xavfsizlik ta’mmoti yuqorida keltirilgan niyati buzuq odamlarning harakatlari natijasida paydo bo‘ladigan har qanday muammolaming bartaraflanishini ta’minlaydi.
Kerberos protokoli oldingi asrning 80-yillarida yaratilgan va shu paytgacha beshta versiyada o‘z aksini topgan qator jiddiy o‘zgarishlarga duchor bo‘ldi.
Kerberos ТСРЯР tarmoqlari uchun yaratilgan bo‘lib, protokol qatnashchilarining uchinchi (ishonilgan) tarafga ishonishlari asosiga qurilgan. Tarmoqda ishlovchi Kerberos xizmati ishonilgan vositachi sifatida harakat qilib, tarmoq resurslaridan mijozning (mijoz ilova- sining) foydalinishini avtorizatsiyalash bilan tarmoqda ishonchli autentifikatsiyalashni ta’minlaydi. Kerberos xizmati alohida maxfiy kalitni tarmoqning har bir subyekti bilan bo‘lishadi va bunday maxfiy kalitni bilish tarmoq subyekti haqiqiyligining isbotiga teng kuchlidir.
Kerberos asosini Nidxem-Shredernmg uchinchi ishonilgan taraf bilan autentifikatsiyalash va kalitlarni taqsimlash protokoli tashkil etadi. Nidxem-Shreder protokolining ushbu versiyasini Ker- berosga tatbiqan ko'raylik. Kerberos protokolida (5-versiya) aloqa qiluvchi ikkita taraf va kalitlarni taqsimlash markazi KDC (Key Distribution Center) vazifasini bajaruvchi ishonilgan server KS ishtirok etadi.
Chaqiruvchi obyekt A orqali, chaqiriluvchi obyekt V orqali belgilanadi. Seans qatnashchilari, mos holda Id.\ va Ив noyob identifikatorlarga ega. A va V taraflar, har biri alohida, o‘zining maxfiy kalitini server KS bilan bo‘lishadi.
Aytaylik, A taraf V taraf bilan axborot almashish maqsadida seans kalitini olmoqchi. A taraf tarmoq orqali server KSga Ил va Ide identifikatorlarni yuborish bilan kalitlar taqsimlanishi davrini boshlab beradi:
Server KS vaqtiy belgi T, ta’sir muddati L, tasodifiy kalit К va identfikator Id,i bo‘lgan xabarni generatsiyalab, bu xabarni V taraf bilan bo‘lingan maxfiy kalit yordamida shifrlaydi.
So‘ngra server KS V tarafga tegishli vaqtiy belgi T, ta’sir muddati L, tasodifiy kalit K, identifikator ldv ni olib, uni A taraf bilan bo‘lingan maxfiy kalit yordamida shifrlaydi. Bu ikkala shifrlangan xabarlarni A tarafga jo‘natadi.
KS —> A . J‘.A (T,L.K. IdB ). Es (7\ L,KJdA)
A taraf birinchi xabarni o‘zining maxfiy kaliti bilan rasshif- rovka qiladi va ushbu xabar kalitlar taqsimotining oldingi muolajasi- ning qaytarilishi emasligiga ishonch hosil qilish maqsadida vaqt bel- gisi 7' ni tekshiradi. So'ngra A taraf o‘zining identifikatori Мл va vaqt belgisi bilan xabarni generatsiyalab, uni seans kaliti К yordamida shifrlaydi va V tarafga uzatadi. Undan tashqari, A taraf V taraf uchun KS dan V taraf kaliti yordamida shifrlangan xabarni jo‘natadi:
. 1 -># : E,(Id, .T).Ee (T.L.K.Ida)
Bu xabarni faqat V taraf rasshifrovka qilishi mumkin. V taraf vaqt belgisi T, ta’sir muddati L, seans kaliti К va identifikator IdA ni oladi. So‘ngra V taraf seans kalit К yordamida xabaming ikkinchi qismini rasshifrovka qiladi. Xabaming ikkala qismidagi T va IdA qiymatlarining mos kelishi A ning V ga nisbatan haqiqiyligini tasdiqlaydi.
Xaqiqiylikm o‘zaro tasdiqlash maqsadida V taraf vaqt belgisi T plyus 1 dan iborat xabar yaratadi, uni К kalit yordamida shifrlaydi va A tarafga jo‘natadi:
Agar bu xabar rasshifrovka qilingandan keyin A taraf kutilgan natijatii olsa, u aloqa liniyasining boshqa tarafida haqiqatan V turganligiga ishonch hosil qiladi.
Bu protokol barcha qatnashuvchilarning soatlari server KS soatlari bilan sinxronlanganida muvaffaqiyatli ishlaydi. Ta’kidlash lozimki, bu protokolda A tarafning V taraf bilan aloqa o‘rnatishga har bir xohishida seans kalitini olish uchun KS bilan almashinuv zarur bo‘ladi. Protokolning A va V obyektlami ishonchli ulashi uchun, hech bir kalit obro‘sizlanmasligi va server KS ning himoyalanishi talab etiladi.
Umuman, Kerberos tizimida (5-versiya) foydalanuvchini iden- tifikatsiyalash va autentifikatsiyalash jarayonini quyidagicha tav- siflash mumkin (6.2-rasm).
Belgilashlar:
KS -- Kerberos tizimi serveri
AS - Autentifikatsiya serveri
TGS - Mandatlami ajratish tizimi serveri
RS - Axborot resurslari serveri
C - Kerberos tizimi ntijozi
6.2-rasm. Kerberos protokolming ishlash sxemasi.
Mijoz S tarmoq resursidan foydalanish maqsadida autentifikatsiya serveri ASga so‘rov yo‘llaydi. Server AS foydalanuvchini uning ismi va paroli yordamida identifikatsiyalaydi va mijozga mandat ajratish xizmati serveri I'GSdan (Ticket Grating Sendee) foydalanishga mandat yuboradi.
Axborot resurslarining muayyan maqsadli serveri /tt'dan foydalanish uchun mijoz S TGSd&n maqsadli server RSgz murojaat qilishga mandat so‘raydi. Hamma narsa tartibda bo‘lsa, TGS kerakli
tarmoq resurslaridan foydalanishga ruxsat berib, klient S ga mos mandatm yuboradi.
Kerberos tizimi ishlashining asosiy qadamlari (6.2-rasmga qa raisin):
1 c .is . mijoz S ning TGS xizmatiga murojaat qilishga ruxsat so‘rab, server/ISdan so‘rovi.
2. .^->c . server ASning mijoz S ga TGS xizmatidan foydalanishga ruxsati (mandati).
Do'stlaringiz bilan baham: |