|
AS
га суров йуллайди. Сервер
AS
фойдаланувчини унинг исми ва
пароли ёрдамида идентификациялайди ва мижозга мандат ажратиш хизмати
сервери
TGS
RZH
(Ticket Grating Service)
фойдаланишга мандат юборади.
Ахборот ресурсларининг муайян максадли сервери
RS
дан фойдала-
ниш учун мижоз
С TGS
дан максадли сервер
RS
га мурожаат килишга ман-
дат сурайди. Хдмма нарса тартибда булса
TGS
керакли тармок, ресурслари-
дан фойдаланишга рухсат бериб, клиент
С
га мое мандатни юборади.
Kerberos
тизими ишлашининг асосий кадамлари (6.2.-расмга
каралсин):
1.
С ^ AS -
мижоз
С
нинг
TGS
хизматига мурожаат килишга рухсат
сураб сервер А5дан сурови.
2.
AS -
^ С -
сервер
AS
нинг мижоз
С
га
TGS
хизматидан фойдаланиш
га рухсати (мандати).
3.
C^TGS -
мижоз
С
нинг ресурслар сервери
RS
дан фойдаланишга
рухсат (мандат) сураб,
TGS
хизматидан сурови.
4.
TGS
-
» С -
TGS
хизматининг мижоз
С
га ресурслар сервери
RS
дан
фойдаланишига рухсати (мандата).
5.
С -^RS -
сервер
RS
дан ахборот ресурсининг (хизматнинг) сурови.
6.
RS
—
» С - сервер i?5 нинг хакикийлигини тасдиклаш ва мижоз С га
ахборот ресурсини (хизматни) такдим этиш.
Мижоз билан сервер алокасининг ушбу модели факдт узатиладиган
бошк,арувчи ахборотнинг конфиденциаллиги ва яхлитлиги таъминланганида
ишлаши мумкин. Ахборот хавфсизлигини кдтъий таъминламасдан
AS, TGS
ва
RS
серверларга мижоз
С
суров юбораолмайди ва тармок, хизматидан
фойдаланишга рухсат ололмайди.
Ахборотнинг ушлаб к,олиниши ва рухсатсиз фойдаланиши имконият-
ларини бартараф этиш мак,садида Kerberos тармокда х,арк,андай бошкдриш
ахбороти узатилганида махфий калитлар комплексини (мижознинг махфий
калити, сервернинг махфий калиги, мижоз-сервер жуфтининг махфий сеанс
калитлари) куп марта шифрлашни ишлатади. Kerberos шифрлашнинг турли
алгоритмларидан ва хэш-функциялардан фойдаланиши мумкин, аммо ма-
дадлаш учун Triple DES ва MD5 алгоритмлари урнатилган.
Kerberos
тизимида ишонч хужжатларининг икки туридан фойдалани-
лади: мандат (tricket) ва аутентификатор (authentifacator).
Мандат
серверга мандат берилган мижознинг идентификацион
маълумотларини хавфсиз узатиш учун ишлатилади. Унинг таркибида ахбо-
рот хам булиб, ундан сервер мандатдан фойдаланаётган мижознинг хак,ик,ий
эканлигини текширишда фойдаланиши мумкин.
Аутентификатор -
мандат билан бирга курсатилувчи кушимча атри-
бут(аломат). Куйида Kerberos хужжатларида ишлатилувчи белгилашлар ти-
зими келтирилган:
С -
мижоз;
S -
сервер;
а -
мижознинг тармок, адреси;
v -
мандат таъсири вактининг бошланиши ва охири;
Г - вакт белгиси;
К
х
-
махфий
калит х;
Кф
-
х ва у учун сеанс
калити;
{т}К
х
-
субъект
х
нинг махфий калити
К
х
билан шифрланган хабар
m;
Т - у
дан фойдаланишга мандат
х;
A
XJ
-
х
ва
у
учун аутентификатор.
Kerberos
мандаты.
Kerberos
мандати куйидаги шаклга эга:
T
cs
= S,{C,a,v,K
cS
}K
S
.
Мандат битта мижозга катъий белгиланган сервердан фойдаланиш
учун катъий белгиланган вактга берилади. Унинг таркибида мижоз исми,
унинг тармок, адреси, мижоз харакатининг бошланиш ва тугаш вакти ва
сервернинг махфий калити
K
s
шифрланган сеанс калити ^
С5
булади. Мижоз
мандатни расшифровка к,илаолмайди (у сервернинг махфий калитини
билмайди), аммо у мандатни шифрланган шаклда сервер га курсатиши мум-
кин. Мандат тармок, оркали узатилаётганда тармокдаги яширинча эшитиб
турувчиларнинг бирортаси х,ам уни укий олмайди ва узгартира олмайди.
Kerberos
аутентификатори.
Kerberos
аутентификатори куйидаги шаклга эга:
A
cs
={C,t,K.cuium}K
cs
Мижоз максадли сервердан фойдаланишни хохдаганида аутентифика-
торни яратади. Унинг таркибида мижоз исми, вакт белгиси, мижоз ва сер-
вер учун умумий булган сеанс калити
K
cs
шифрланган сеанс калити
булади. Мандатдан фаркди х,олда аутентификатор бир марта ишлатилади.
Аутентификаторнинг ишлатилиши иккита мак,садни кузлайди. Бирин-
чидан, аутентификаторда сеанс калитида шифрланган кандайдир матн
булади. Бу калитнинг мижозга маълумлигидан далолат беради. Иккинчидан,
шифрланган очик, матнда вакт белгиси мавжуд. Бу вакт белгиси аутентифи-
катор ва мандатни ушлаб колган нияти бузук, одамга улардан бирор вакт
утганидан сунг аутентфикациялаш муолжасини утишда ишлатишига имкон
бермайди.
Kerberos
хабарлари.
KerberosHHHr 5-
версиясида хабарларнинг куйидаги турлари ишлатила-
ди (6.3-расмга карал син).
1.
Мижоз - Kerberos:
C, tgs.
2.
Kerberos -
мижоз :
{K
c
,
tgs
}K
c
{T
cftgs
}K
tgs
.
3.
Мижоз-
TGS:{A
C
,
S
}K
C
,
tgs
(T
C
,
tgs
)K
tgs
,
S
.
4.
TGS -
мижоз:
{K
C
,
S
}K
C
,
tgs
{T
C
,
S
}K
S
,.
5.
Мижоз - сервер:
{A
C
,
S
}K
C
,
S
{T
C
,
S
}K
S
.
Ушбу хабарлардан фойдаланишни батафсил курайлик.
Do'stlaringiz bilan baham: |
