S. K. Ganiyev, M. M. Karimov, ica. Tashev

Download 1,64 Mb.

bet	61/267
Sana	28.09.2021
Hajmi	1,64 Mb.
	#187525

1 ... 57 58 59 60 61 62 63 64 ... 267

Bog'liq
AXBOROT Хавфсизлиги new

c —>tgs . mijoz S ning resurslar serveri RS dan foydalanishga ruxsat (mandat) so‘rab, TGS xizmatidan so‘rovi.

ros^-c . TGS xizmatining mijoz S ga resurslar serveri RS dan foydalanishiga ruxsati (mandati).

c-»ks . server АбУап axborot resursining (xizmatning) so'rovi.

6. rs^c . server .fiSning haqiqiyligini tasdiqlash va mijoz S ga axborot resursini (xizmatni) taqdim etish.

Mijoz bilan server aloqasining ushbu modeli faqat uzatiladigan boshqaruvchi axborotning konfidensialligi va yaxlitligi ta’minlan- ganida ishlashi mumkin. Axborot xavfsizligini qat’iy ta’minla- masdan AS, TGS va RS serverlarga mijoz S so‘rov yubora olmaydi va tarmoq xizmatidan foydalanishga ruxsat ololmaydi.

Axborotning ushlab qolinishi va ruxsatsiz foydalanishi imko- niyatlarini bartaraf etish maqsadida, Kerberos tarmoqda har qanday boshqarish axboroti uzatilganida, maxfiy kalitlar kompleksini (mi- jozning maxfiy kaliti, sen^erning maxfiy kaliti, mijoz-server juf- tining maxfiy seans kalitlari) ko‘p marta shifrlashni ishlatadi. Kerberos shifrlashning turli algontmlaridan va xesh-funksiyalardan foydalanishi mumkin, ammo madadlash uchun Triple DES va MD5 algoritmlari o’rnatilgan.

Kerberos tizrmida ishonch hujjatlarining ikki turidan foyda- laniladi: mandat (tricket) va autentifikator (authentificator).

Mandat serverga mandat berilgan mijozning identifikatsion ma’lumotlarini xavfsiz uzatish uchun ishlatiladi. Uning tarkibida axborot ham bo‘lib, undan server mandatdan foydalanayotgan mijozning haqiqiy ekanligini tekshirishda foydalanishi mumkin.

Autentifikator — mandat bilan birga ko'rsatiluvchi qo‘shimcha atribut (alomat). Quyida Kerberos hujjatlarida ishlatiluvchi belgi- lashlar tizimi keltirilgan: mijoz;

S - server;

a - mijozning tarmoq adresi;

v - mandat ta’siri vaqtining boshlanishi va oxiri;

T— vaqt belgisi;

K_x - maxfiy kalit x;

K_xy - x va у uchun seans kaliti;

{m}K_x - subyekt x ning maxfiy kaliti K_x bilan shifrlangan xabar m;

T_x,y-y dan foydalanishga mandat x;

A_x,у - x va у uchun autentifikator.

Kerberos mandatL

Kerberos mandati quyidagi shaklga ega: ¹-^{j =s}-^^c-^a-^v-^Kc.A^--

Mandat bitta mijozga qat’iy belgilangan serverdan foydalanish uchun qat’iy belgilangan vaqtga beriladi. Uning tarkibida mijoz ismi, uning tarmoq adresi, mijoz harakatining boshlanish va tugash vaqti va serverning maxfiy kaliti ^As shifrlangan seans kaliti ^лbo‘ladi. Mijoz mandatni rasshifrovka qilolmaydi (u serv'erning maxfiy kalitini bilmaydi), ammo u mandatni shifrlangan shaklda serverga ko‘rsatishi rnumkin. Mandat tarmoq orqali uzatilayotganda tarmoqdagi yashirincha eshitib turuvchilarning birortasi ham uni o‘qiy olmaydi va o‘zgartira olmaydi.

Kerberos autentifikatori.

Kerberos autentifikatori quyidagi shaklga ega:

A_CJ. =fC.t, катан] A _{c s}

Mijoz maqsadli serverdan foydalanislmi xohlaganida autenti- fikatomi yaratadi. Uning tarkibida mijoz ismi, vaqt belgisi, mijoz va server uchun umumiy bo‘lgan, seans kaliti '" da shifrlangan seans kaliti bo’ladi. Mandatdan farqli holda autentifikator bir marta ishlatiladi.

Autentifikatorning ishlatilishi ikkita maqsadni ko‘zlaydi. Birin- chidan, autentifikatorda seans kalitida shifrlangan qandaydir matn bo‘ladi. Bu kalitning mijozga ma’Iumligidan dalolat beradi.

Ikkinchidan, shifrlangan ochiq matnda vaqt belgisi mavjud. Bu vaqt belgisi autentifikator va mandatni ushlab qolgan niyati buzuq odamga ulardan biror vaqt o‘tganidan so‘ng autentfikatsiyalash muolajasini o‘tishda ishlatishiga imkon bermaydi.

Kerberos xabarlarL

Kerberosning 5-versiyasida xabarlarning quyidagi turlari ishlatiladi (6.2-rasmga qaralsin).

Mijoz - Kerberos: C, tgs.
Kerberos - mijoz : ^{A « —
Mijoz - ^tgs'4^a
TGS - mijoz:^|A:^[K -■ ^{17 iA}' ₇.
Mijoz - server: ^{A- *^A •^ir-*^,.

TJshbu xabarlardan foydalanishni batafsil ko‘raylik.

Download 1,64 Mb.

Do'stlaringiz bilan baham:

1 ... 57 58 59 60 61 62 63 64 ... 267