4.1-rasm. Kerberos protokolining ishlash sxemasi. Faraz qilaylik, C mijoz tarmoq mijozlariga xizmatlar ko’rsatuvchi SS server xizmatidan foydalanishni istaydi. Bu holda Kerberos protokolidan foydalanish quyida keltirilgan qadamlar ketma-ketligini amalga oshirishdan iborat bo’ladi.
.
Mijoz C autentifikasiyalash serveri AS ga o’zining identifikatorini ochiq holda jo’natmoqda.
.
Bu yerda quyidagi belgilashlardan foydalanilgan:
mijozning maxfiy simmetrik shifrlash kaliti;
ruxsatnoma berish serveri TGS bilan aloqa o’rnatish uchun mijozga berligan kalit;
autentifikasiyalash va ruxsatnoma berish serverlari uchun umumiy bo’lgan, maxfiy kalit;
(inglizcha «Ticket Granting Ticket») ruxsatnoma berish serveri TGS bilan aloqa o’rnatish huquqini beruvchi bilet. Uning mazmuni dan iborat;
TGS serverining identifikatori;
vaqt nishoni;
biletning amal qilish muddati.
figurali qavs ichidagi ma’lumot KX kalit bilan shifrlanganini anglatadi.
Bu qadamda autentifikasiyalash serveri AS mijoz o’zining ma’lumotlar bazasida qayd etilganligini tekshirib, ishonch hosil qilgandan so’ng, unga ruxsatnoma berish serveri TGS bilan aloqa o’rnatish huquqini beruvchi bilet va server bilan aloqada foydalanish uchun kalitni jo’natdi. Bu jo’natma mijozning maxfiy kaliti bilan shifrlangan. Biroq, jo’natmani qabul qilgan haqiqiy C mijoz biletni mazmuni bilan tanishish imkoniyatiga ega emas. Chunki bilet autentifikasiyalash va ruxsatnoma berish serverlari uchun umumiy bo’lgan, maxfiy kalit bilan shifrlangan. Shuni ham qayd etish lozimki, birinchi qadamda c identifikatorni C mijoz emas, balki qandaydir buzg’unchi jo’natgan bo’lsa, AS serverdan olingan jo’natmani ushbu buzg’unchi ochiq matn ko’rinishiga o’gira olmaydi.
.
Bu yerda quyidagi belgilashlar ishlatilgan:
mazmuni bo’lgan autentifikasiyalash bloki;
vaqt nishoni;
so’ralayotgan xizmat turining identifikatori (xususan, SS serverning identifikatori ham bo’lishi mumkin).
Ushbu qadamda mijoz AS serverdan qabul qilgan biletni shifrlangan holida hamda mijoz identifikatori va jo’natma shakllantirilgan vaqtni anglatuvchi vaqt nishonidan iborat bo’lgan autentifikasiyalash bloki ni ruxsatnoma berish serveri TGS ga jo’natadi.
TGS ruxsatnoma berish serveri biletni ochiq matn ko’rinishiga o’giradi va undan bilet kimga, qachon, qanday muddatga berilgani hamda AS server tomonidan mijoz bilan maxfiy aloqa o’rnatish uchun berilgan kalit haqida axborotga ega bo’ladi. kalitdan foydalanib, autentifikasiyalash blokini ochiq matn ko’rinishiga o’giradi. Autentifikasiyalash blokidagi vaqt nishoni biletdagi vaqt nishoni bilan ustma-ust tushsa, jo’natmani haqiqatan ham C mijoz jo’natganiga ishonch hosil qiladi. Chunki, faqat C mijoz kalitni biladi va Shu sababli faqat u o’zining identifikatorini to’g’ri shifrlashi mumkin. Undan so’ng biletni amal qilish muddati va 3-qadamdagi jo’natmani jo’natish vaqti tekshiriladi. Agar biletni amal qilish muddati tugamagan bo’lsa, u holda 4-qadam bajariladi.
.
Bu yerda quyidagi belgilashlardan foydalanilgan:
TGS va SS serverlarining umumiy maxfiy kaliti;
mijoz va SS serverining umumiy maxfiy kaliti;
SS serveri bilan aloqa o’rnatish huquqini beruvchi bilet. Uning mazmuni dan iborat;
SS serverining identifikatori.
Ushbu qadamda C mijoz SS serveri bilan aloqa o’rnatish uchun shifrlash kaliti va biletni ruxsatnoma berish serveri jo’natmoqda. biletni mazmuni 2-qadamdagi biletini mazmuni bilan bir xil.
.
Bu yerda C mijoz SS serveri bilan himoyalangan aloqa o’rnatish uchun biletni shifrlangan holicha va autentifikasiyalash blokini SS serverga jo’natmoqda. SS server maxfiy kalitdan foydalanib, biletni ochiq matn ko’rinishiga keltiradi va bu matndagi kalitdan foydalanib, xabarni jo’natuvchisini haqiqiyligini tekshirib ko’radi.
.
Ushbu qadamda SS server o’zini haqiqiyligini mijozga isbotlashi lozim. U bu ishni 5-qadamdagi xabarni ochiq matn ko’rinishiga to’g’ri o’girganligini ko’rsatish bilan bajarishi mumkin. Shu maqsadda u mijozning autentifikasiyalash blokidan vaqt nishonini oldindan belgilangan qoida bo’yicha o’zgartiradi (unung qiymatini bir birlikga oshiradi). Hosil bo’lgan natijani mijoz bilan umumiy bo’lgan, maxfiy kalit bilan shifrlab, mijozga jo’natadi.
Agar bu yerda keltirilgan barcha qadamlar to’g’ri bajarilgan va barcha tekshiruvlar ijobiy yakunlangan bo’lsa, u holda C va SS ishtirokchilar bir-birlarining haqiqiyligiga ishonch hosil qildilar hamda himoyalangan aloqa seansi o’rnatish uchun maxfiy kalitga ega bo’ldilar.
Shuni ham ta’kidlash lozimki, aloqa seansi ish jarayonida AS autentifikator tomonidan faqat bir marta mijozning haqiqiyligi tekshiriladi, ya’ni protokolning 1-,2-qadamlari bir marta bajariladi. Agar mijoz boshqa server (masalan, SS1) xizmatidan foydalanishni xohlasa, u holda mijoz o’zidagi bilet bilan ruxsatnoma berish TGS serveriga murajaat qiladi. Bu vaziyatda protokol 3-qadamdan boshlab amalga oshiriladi.
Kerberos protokolidan foydalanishda kompyuter tarmog’i mantiqan Kerberos serveri ta’siri ostidagi cohalarga bo’linadi (4.2-rasm).
Foydalanuvchi va serverlari qandaydir bitta Kerberos serveri ma’lumotlar bazasida qayd qilingan tarmoq qismi yoki hududi Kerberos sohasi deyiladi. Bitta Kerberos sohasi bir necha bir-biri bilan bog’langan lokal tarmoqlarni birlashtirishi mumkin.