Toshkent axborot axborot lashtirish texnologiyalari
Server mandatlarini olisft
Download 12,16 Mb.
|
2-9
- Bu sahifa navigatsiya:
- Xizmat sorovi
|
Mijoz o'ziga kerak boMgan har bir xizmat uchun alohida mandat ol-ishi mumkin. Shu maqsadda mijoz TGS xizmatiga TGT mandati va au-teptifikatordan iborat so‘rov yuborishi lozim. (Amalda so‘rovni dasturiy ta’minot avtomatik tarzda, ya’ni foydalanuvchiga bildirmasdan yubo radi.) Mijoz va TGS serveri juftining kalitida shifrlangan autentifikator tarkibida mijoz va unga kerak!i serveming identifikatori, tasodifiy seans kaliti va vaqt belgisi boMadi. TGS so'rovni olib, o‘zining maxfiy kalitida TGT ni rasshifrovka qiladi. So'ngra TGS TGT dagi seans kalitidan autentifikatorni rasshi- frovka qilishda foydalanadi. Nihoyasida autentifikatordagi axborot mandat axboroti bilan taqqoslanadi. Aniqrog‘i, chiptadagi mijozning tarmoq adresi so‘rovda ko'rsatilgan tarmoq adresi bilan hamda vaqt bel-gisi joriy vaqt bilan solishtiriladi. Agar barchasi mos kelsa, TGS so‘rovni bajarishga ruxsat beradi. Vaqt belgilarini tekshirishda barcha kompyuterlarning soatlari, boMmaganda, bir necha minut aniqligida sinxronlanganligi ko'zda tuti-ladi. Agar so‘rovda ko‘rsatilgan vaqt joriy ondan anchagina farq qilsa, TGS bunday so‘rovni oldingi so‘rovni qaytarishga urinish deb hisoblaydi. TGS xizmati autentifikator ta’siri muddatining to‘g‘riligini kuzati-shi lozim, chunki server xizmati bitta mandat, ammo turli autentifikator-lar yordamida ketma-ket bir necha marta so‘ralishi mumkin. 0 ‘sha mandat va autentifikatorning ishlatilgan vaqt belgisi bilan qilingan boshqa so'rov qaytariladi. To‘g‘ri so‘rovga javob tariqasida TGS mijozga maqsad serverdan foydalanish uchun mandat taqdim etadi. TGS mijoz va maqsad serveri uchun mijoz va TGS ga umumiy boMgan seans kalitida shifrlangan seans kalitini ham yaratadi. Bu ikkala xabar mijozga yuboriladi. Mijoz xabami rasshifrovka qiladi va seans kalitini chiqarib oladi. Xizmat so'rovi Endi mijoz o‘zining haqiqiyligini maqsad serveriga isbotlashi mumkin. Maqsad serve'rida autentifikatsiyadan muvaffaqiyatli o‘tish uchun mijoz tarkibida o‘zining ismi, tarmoq adresi, vaqt belgisi boMgan va seans kaliti «mijoz-server»da shifrlangan autentifikatomi yaratadi va uni TGS xizmatidan olib berilgan maqsad serverining maxfiy kalitida shifrlangan mandat bilan birga jo‘natadi. Maqsad serveri mijozdan maMumotlarni olib, autentifikatomi o‘zining maxfiy kalitida rasshifrovka qiladi va undan «mijoz-server» seans kalitini chiqarib oladi. Mandat ham tekshiriladi. Tekshirish muola-jasi «mijoz-TGS» sessiyasida o‘tkaziladigan muolajaga o‘xshash, ya’ni tarmoq adreslari va vaqt belgisining mosligi tekshiriladi. Agar barchasi mos kelsa, server mijozning haqiqiyligiga ishonch hosil qiladi. Agar ilova haqiqiylikning o‘zaro tekshirilishini talab etsa, server mijozga tarkibida seans kalitida shifrlangan vaqt belgisi boMgan xabami yuboradi. Bu serverga to‘g‘ri maxfiy kalitning ma’lum ekanligini va u mandat hamda guvohnomani rasshifrovka qila olishini isbotlaydi. Zaru-riyat tugMlganida mijoz va server keyingi xabarlami umumiy kalitda shifrlashlari mumkin. Chunki bu kalit faqat ularga ma’lum, bu kalit bi- Ian shifrlangan oxirgi xabar ikkinchi tarafdan yuborilganiga ikkala taraf ishonch hosil qilishlari mumkin. Amalda bu barcha murakkab muola-jalar avtomatik tarzda bajariladi va mijozga qandaydir noqulayliklar yetkazilmaydi. Domenlararo autentifikatsiyalash xususiyatlari Kerberosdan domenlararo autentifikatsiyalashda ham foydalanish mumkin. Mijoz boshqa domendagi serverdan foydalanish maqsadida kalitlarni taqsimlash markazi KDC ga murojaat qilsa, KDC mijozga so‘ralayotgan server joylashgan domenning KDC iga murojaat etishga qayta adreslash mandatini (referal ticket) taqdim etadi (5.3-rasm). 5 .3 -rasm . K e rb e ro s p ro to k o lid a d o m en la ra ro a u ten tifika tsiya la sh sxem asi. Rasmda quyidagi belgilashiar qabul qilingan: Autentifikatsiyalashga so'rov. KDC 1 uchun TGT KDC2 uchun TGT. Serverdan foydalanish mandati. Ma’lumotlami autentifikatsiyalash va almashish. Qayta adreslash mandati ikkita domen KDCsining juftli aloqa ka-litida shifrlangan TGTdir. Bunda mijozga serverdan foydalanishga man-datni so'ralayotgan server joylashgan KDC taqdim etadi. Juda ko‘p domenli tarmoqda autentifikatsiyalash uchun Kerberos dan foydalanish nazariy jihatdan mumkin bo‘lsa-da, murojaatlar soni- ning domenlar soniga mutanosib ravishda oshishi sababli, so‘rovlami muayyan KDClarga bir ma’noda qayta adreslovchi qandaydir markaziy domen qu-rishga to‘g‘ri keladi. Kerberos xavfsizligi Kerberos, kriptografik himoyalashning boshqa har qanday dasturiy vositasi kabi ishonchsiz dasturiy muhitda ishlaydi. Ushbu muhitning hujjatlashtirilmagan imkoniyatlari yoki noto‘g‘ri konfiguratsiyasi jiddiy axborotning chiqib ketishiga olib kelishi mumkin. Hatto kalitlar foy dalanuvchi ishlash seansida faqat tezkor xotirada saqlansa ham, operat sion tizimdagi buzilish kalitlarning qattiq diskda nusxalanishiga olib kelishi mumkin. Kerberos dasturiy ta’minoti o‘rnatilgan ishchi stansiyasidan ko‘pchilik foydalanuvchi rejimning ishlatilishi yoki ishchi stansiyalar-dan foydalanishning nazorati bo‘lmasligi dastur-zakladkani kiritish yoki kriptografik dasturiy ta’minotni modifikatsiyalash imkoniyatini tug‘diradi. Shu sababli, Kerberos xavfsizligi ko‘p jihatdan ushbu protokol o'rnatilgan ishchi stansiyasi himoyasining ishonchligiga bog‘liq. Kerberos protokolining o‘ziga quyidagi qator talablar qo‘yiladi: Kerberos xizmati xizmat qilishdan voz kechishga yo‘naltirilgan hujumlardan himoyalanishi shart; vaqt belgisi autentifikatsiya jarayonida qatnashishi sababli, tizim-dan foydalanuvchilarining barchasi uchun tizimli vaqtni sinxronlash zarur; Kerberos parolni saralash orqali hujum qilishdan himoyalamaydi. Muammo shundaki, KDC da saqlanuvchi foydalanuvchi kaliti uning parolini xesh-funksiya yordamida qayta ishlash natijasidir. Parolning bo'shligida uni saralab topish mumkin. Kerberos xizmati ruxsatsiz foydalanishining barcha turlaridan is-honchli himoyalanishi shart; mijoz olgan mandatlar hamda maxfiy kalitlar ruxsatsiz foydala-nishdan himoyalanishi shart. Yuqorida keltirilgan talablarning bajarilmasligi muvaffaqiyatli hu-jumga sabab boMishi mumkin. Hozirda Kerberos protokoli autentifikatsiyalashning keng tarqalgan vositasi hisoblanadi. Kerberos turli kriptografik sxemalar, xususan, ochiq kalitli shifrlash bilan birgalikda ishlatilishi mumkin. Bir tomonlama kalitli xesh-funksiyalardan foydalanishga asos langan protokollar Bir tomonlama xesh-funksiya yordamida shifrlashning o'ziga xos xususiyati shundaki, u mohiyati bo'yicha bir tomonlamadir, ya’ni teskari o'zgartirish-qabul qiluvchi tarafda rasshifrovka qilish bilan birga olib borilmaydi. Ikkala taraf (jo‘natuvchi va qabul qiluvchi) bir tomonlama shifrlash muolajasidan foydalanadi. Shifrlanayotgan ma’lumot Л/g a qoilanilgan K parametr-kalitli bir tomonlama xesh-funksiya hk(.) natijada baytlarning belgilangan katta bo'lmagani sonidan iborat xesh-qiymat (daydjest) m ni beradi (5.4-rasm). Jo'natuvchi Qabul qiluvchi 5 .4 -rasm . M a 'lum otlar y a x litlig in i teksh irish d a b ir to m o n la m a x esh - fu n k s iy a n in g ish la tilish i (I-variant'). Daydjest m qabul qiluvchiga dastlabki xabar M bilan birga uzati-ladi. Xabami qabul qiluvchi, daydjest olinishida qanday bir tomonlama xesh-funksiya ishlatilganligini bilgan holda, rasshifrovka qilingan xabar M dan foydalanib, daydjestni boshqatdan hisoblaydi. Agar olingan daydjest bilan hisoblangan daydjest mos kelsa, xabar M ning tarkibi hech qanday o‘zgarishga duchor bo'Imaganini bildiradi. Daydjestni bilish dastlabki xabami tiklashga imkon bermaydi, ammo ma’lumotlar yaxlitligini tekshirishga imkon beradi. Daydjestga dastlabki xabar uchun o'ziga xos nazorat yig'indisi sifatida qarash mumkin. Ammo daydjest va oddiy nazorat yig‘indisi orasida jiddiy farq ham mavjud. Nazorat yig‘indisidan aloqaning ishonchsiz liniyasi bo‘yicha uzatiladigan xabarlarning yaxlitligini tekshirish vositasi sifa tida foydalaniladi. Tekshirishning bu vositasi niyati buzuq odamlar bilan kurashishga moMjallanmagan. Chunki, bu holda nazorat yig‘indisining yangi qiymatini qo‘shib xabarni almashtirib qo‘yishga ularga hech kim xalaqit bermaydi. Qabul qiluvchi bunda hech narsani sezmaydi. Daydjestni hisoblashda, oddiy nazorat yigMndisidan farqli ravishda, maxfiy kalitlar ishlatiladi. Agar daydjest olinishida faqat jo ‘natuvchi va qabul qiluvchiga ma’lum boMgan parametr-kalitli bir tomonlama xesh-funksiya ishlatilsa, dastlabki xabaming har qanday modifikatsiyasi dar-hol maMum boMadi. 5.5-rasmda ma’lumotlar yaxlitligini tekshirishda bir tomonlama xesh-funksiya ishlatilishining boshqa varianti keltirilgan.
Download 12,16 Mb. Do'stlaringiz bilan baham:
|
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish