Toshkent axborot texnologiyalari universiteti ganiev salim karimovich karimov madjit malikovich tashev komil axmatovich axborot xavfsizligi

171 
shifrlangan autentifikatorni yaratadi va uni TGS xizmatidan olib berilgan maqsad 
serverining maxfiy kalitida shifrlangan mandat bilan birga jo‘natadi. 
Maqsad serveri mijozdan ma’lumotlarni olib, autentifikatorni o‘zining 
maxfiy kalitida rasshifrovka qiladi va undan "mijoz-server" seans kalitini chiqarib 
oladi. Mandat ham tekshiriladi. Tekshirish muolajasi "mijoz-TGS" sessiyasida 
o‘tkaziladigan muolajaga o‘xshash, ya’ni tarmoq adreslari va vaqt belgisining 
mosligi tekshiriladi. Agar barchasi mos kelsa, server mijozning xaqiqiyligiga 
ishonch hosil qiladi. 
Agar ilova haqiqiylikning o‘zaro tekshirilishini talab etsa, server mijozga 
tarkibida seans kalitida shifrlangan vaqt belgisi bo‘lgan xabarni yuboradi. Bu 
serverga to‘g‘ri maxfiy kalitning ma’lum ekanligini va u mandat va guvohnomani 
rasshifrovka qila olishini isbotlaydi. Zaruriyat tug‘ilganida mijoz va server keyingi 
xabarlarni umumiy kalitda shifrlashlari mumkin. Chunki bu kalit faqat ularga 
ma’lum, bu kalit bilan shifrlangan oxirgi xabar ikkinchi tarafdan yuborilganiga 
ikkala taraf ishonch hosil qilishlari mumkin. Amalda bu barcha murakkab 
muolajalar avtomatik tarzda bajariladi va mijozga qandaydir noqulayliklar 
yetkazilmaydi. 
Domenlararo autentifikatsiyalash xususiyatlari. 
Kerberos dan domenlararo autentifikatsiyalashda ham foydalanish mumkin. 
Mijoz boshqa domendagi serverdan foydalanish maqsadida kalitlarni taqsimlash 
markazi 
KDC
ga murojaat qilsa, 
KDC
mijozga suralayotgan server joylashgan 
domenning 
KDC
iga murojaat etishga 
qayta adreslash mandatini
(referalticket) 
taqdim etadi (6.3-rasm). 
KDC 1 
Mijoz
KDC 2 
Server 
1-domen 
2-domen 
1 
2 
3 
4 
5 
6.3-rasm. Kerberos protokolida domenlararo autentifikatsiyalash sxemasi 

172 
Rasmda quyidagi belgilashlar qabul qilingan: 
1.
Autentifikatsiyalashga so‘rov. 
2.
KDC
1 uchun 
TGT
3.
KDC
2 uchun 
TGT
. 
4.
Serverdan foydalanish mandati. 
5.
Ma’lumotlarni autentifikatsiyalash va almashish. 
Qayta adreslash mandati ikkita domen KDCsining juftli aloqa kalitida 
shifrlangan TGTdir. Bunda mijozga serverdan foydalanishga mandatni 
so‘ralayotgan server joylashgan KDC taqdim etadi. 
Juda ko‘p domenli tarmoqda autentifikatsiyalash uchun Kerberosdan 
foydalanish nazariy jihatdan mumkin bo‘lsada, murojaatlar sonining domenlar 
soniga mutanosib ravishda oshishi sababli, so‘rovlarni muayyan KDClarga bir 
ma’noda qayta adreslovchi qandaydir markaziy domen qurishga to‘g‘ri keladi. 

Download 2,7 Mb.

Do'stlaringiz bilan baham: