4.2 – rasm. Kerberos sohalarining bir-biri bilan o’zaro ta’siri.
Kerberos sohalari bir-birlari bilan aloqa qilishlari uchun Kerberos serverlari bir-birlarida o’zaro qayddan o’tgan bo’lishlari lozim. Buning natijasida bir sohaning ruxsat beruvchi serveri boshqa sohaning mijozi sifatida qayd qilinadi va uning autentifikasiyalash serveri ma’lumotlar bazasiga kiritilib, bu sohaning xizmatlaridan foydalanish uchun tegishli maxfiy kalitga ega bo’ladi.
O’zaro kelishuvlar o’rnatilganidan, ya’ni bir-birlarida o’zaro qayddan o’tganlaridan so’ng Kerberosning ikki sohasi mijozlari bir-birlari bilan aloqa qilishlari mumkin. Masalan, 4.2-rasmdagi birinchi KDC1 sohasining mijozi K11 ikkinchi KDC2 sohasining K21 mijozi bilan aloqa seansini o’rnatishi mumkin. Buning uchun K11 mijoz KDC2 sohasining Kerberos serveri bilan aloqa o’rnatish huquqini beruvchi biletni o’zining ruxsatnoma berish serveri TGS1 dan olishi lozim. Ushbu biletda biletning egasi qaysi Kerberos sohasida qayd qiliniganligi haqida ma’lumot bo’ladi. Bilet KDC1 va KDC2 Kerberos sohalari uchun umumiy, maxfiy kalit bilan shifrlangan bo’ladi. Shifrlangan biletni KDC2 serveri ochiq matn ko’rinishiga o’girib, bu bilet o’zlari bilan ishonchli hamkorlik qiluvchi Kerberos sohasi KDC1 ning mijoziga berilganiga ishonch hosil qiladi. Bundan keyingi bajariladigan ishlar odatdagi Kerberos protokoli kabi bo’ladi.
§4.9. Elektron raqamli imzodan foydalanuvchi protokollar.
Asimmetrik kriptosxemalardan foydalanuvchi «savol-javob» protokollarini 2 turga bo’lish mumkin:
Elektron raqamli imzo (ERI) dan foydalanuvchi protokollar;
Ochiq shifrlash sxemalaridan foydalanuvchi protokollar.
Elektron raqamli imzo va vaqt nishoniga asoslangan bir tomonlama autentifikasiyalash.
1. P →S: certA, tA, V, SA(tA, V).
Bu erda certA – foydalanuvchining ochiq kaliti sertifikati, tA - vaqt nishoni, V – server identifikatori, SA – foydalanuvchi imzosi. Imzo muvaffaqiyatli verifikasiyadan o’tsa, tizimga kirish uchun foydalanuvchi ruxsatga ega bo’ladi.
Elektron raqamli imzo va tasodifiy songa asoslangan bir tomonlama autentifikasiyalash.
P →S login/parol;
P ←S: r1;
P →S: certA, r1, V, SA(r1, r2, V).
Bu erda certA – foydalanuvchining ochiq kaliti sertifikati, r1, r2 – mos holda server va foydalanuvchi tomonidan generasiya qilingan tasodifiy sonlar, V – server identifikatori, SA – foydalanuvchi imzosi. Imzo muvaffaqiyatli verifikasiyadan o’tsa, tizimga kirish uchun foydalanuvchi ruxsatga ega bo’ladi.
Elektron raqamli imzodan foydalanib, o’zaro autentifikasiyalash.
P →S login/parol;
P ←S: r1;
P →S: certA, r1, V, SA(r2, r1,V);
P ←S: certV, P, SV(r1, r2, P).
Bu erda certA – foydalanuvchining ochiq kaliti sertifikati, certV - serverning ochiq kaliti sertifikati, r1, r2 – mos holda server va foydalanuvchi tomonidan generasiya qilingan tasodifiy sonlar, V – server identifikatori, SA – foydalanuvchi imzosi. Imzo muvaffaqiyatli P – foydalanuvchi identifikatori, tizimga kirish uchun foydalanuvchi ruxsatga ega bo’ladi.
Do'stlaringiz bilan baham: |