Axborot xavfsizligi



Yüklə 2,72 Mb.
Pdf görüntüsü
səhifə79/197
tarix26.11.2023
ölçüsü2,72 Mb.
#136178
1   ...   75   76   77   78   79   80   81   82   ...   197
61b762c5e6d666.07483815

B
A
Id
Id
KS
A
,
:

Server KS vaqtiy belgi 
T
, ta’sir muddati 
L
, tasodifiy kalit 
K
va identfikator 
Id
A
bo‘lgan xabarni generatsiyalab, bu xabarni 
V
taraf bilan bo‘lingan maxfiy kalit 
yordamida shifrlaydi. 
So‘ngra server KS 
V
tarafga tegishli vaqtiy belgi 
T
, ta’sir muddati 
L

tasodifiy kalit 
K
, identifikator 
Id
V
ni olib uni 
A
taraf bilan bo‘lingan maxfiy kalit 
yordamida shifrlaydi. Bu ikkala shifrlangan xabarlarni 
A
tarafga jo‘natadi. 
)
,
,
,
(
),
,
,
,
(
:
A
B
B
A
Id
K
L
T
E
Id
K
L
T
E
A
KS

A
taraf birinchi xabarni o‘zining maxfiy kaliti bilan rasshifrovka qiladi va 
ushbu xabar kalitlar taqsimotining oldingi muolajasining qaytarilishi emasligiga 
ishonch hosil qilish maqsadida vaqt belgisi 

ni tekshiradi. So‘ngra 
A
taraf 
o‘zining identifikatori 
Id
A
va vaqt belgisi bilan xabarni generatsiyalab, uni seans 
kaliti 
K
yordamida shifrlaydi va 
V
tarafga uzatadi. Undan tashqari, 
A
taraf 
V
taraf 
uchun KS dan 
V
taraf kaliti yordamida shifrlangan xabarni jo‘natadi: 
)
,
,
,
(
),
,
(
:
A
B
A
K
Id
K
L
T
E
T
Id
E
B
A

Bu xabarni faqat 
V
taraf rasshifrovka qilishi mumkin. 
V
taraf vaqt belgisi 
T


165 
ta’sir muddati 
L
, seans kaliti 
K
va identifikator 
Id
A
ni oladi. So‘ngra 
V
taraf seans 
kalit 
K
yordamida xabarning ikkinchi qismini rasshifrovka qiladi. Xabarning ikkala 
qismidagi 
T
va 
Id
A
qiymatlarining mos kelishi 
A
ning 
V
ga nisbatan haqiqiyligini 
tasdiqlaydi. 
Xaqiqiylikni o‘zaro tasdiqlash maqsadida 
V
taraf vaqt belgisi 
T
plyus 1 dan 
iborat xabar yaratadi, uni 
K
kalit yordamida shifrlaydi va 
A
tarafga jo‘natadi. 
)
1
(
:


T
E
A
B
K
Agar bu xabar rasshifrovka qilingandan keyin 
A
taraf kutilgan natijani olsa, 
u aloqa liniyasining boshqa tarafida haqiqatan 
V
turganligiga ishonch hosil qiladi. 
Bu protokol barcha qatnashuvchilarning soatlari server KS soatlari bilan 
sinxronlanganida muvaffaqiyatli ishlaydi. Ta’kidlash lozimki, bu protokolda 
A
tarafning 
V
taraf bilan aloqa o‘rnatishga har bir xohishida seans kalitini olish uchun 
KS bilan almashinuv zarur bo‘ladi. Protokolning 
A
va 
V
ob’ektlarni ishonchli 
ulashi uchun, hech bir kalit obro‘sizlanmasligi va server KS ning himoyalanishi 
talab etiladi. 
Umuman 
Kerberos
tizimida (5 versiya) foydalanuvchini identifikasiyalash 
va autentifikatsiyalash jarayonini quyidagicha tavsiflash mumkin (6.2-rasm). 
AS
C
RS
TGS
KS
Belgilashlar:
KS – Kerberos tizimi serveri
AS – Autentifikatsiya serveri
TGS – Mandatlarni ajratish tizimi serveri
RS – Axborot resurslari serveri
С – Kerberos tizimi mijozi
1
2
3
4
5
6
6.2-rasm. Kerberos protokolining ishlash sxemasi 

166 
Mijoz 
S
, tarmoq resursidan foydalanish maqsadida autentifikatsiya serveri 
AS
ga so‘rov yo‘llaydi. Server 
AS
foydalanuvchini uning ismi va paroli yordamida 
identifikasiyalaydi va mijozga mandat ajratish xizmati serveri 
TGS
dan (
Ticket 
Grating Service
) foydalanishga mandat yuboradi. 
Axborot resurslarining muayyan maqsadli serveri 
RS
dan foydalanish uchun 
mijoz 
S TGS
dan maqsadli server 
RS
ga murojaat qilishga mandat so‘raydi. Hamma 
narsa tartibda bo‘lsa 
TGS
kerakli tarmoq resurslaridan foydalanishga ruxsat berib, 
klient 

ga mos mandatni yuboradi. 
Kerberos tizimi ishlashining asosiy qadamlari (6.2.-rasmga qaralsin): 
1. 
AS
C

- mijoz 
S
ning 
TGS
xizmatiga murojaat qilishga ruxsat so‘rab 
server 
AS
dan so‘rovi. 
2. 
C
AS

- server 
AS
ning mijoz 
S
ga 
TGS
xizmatidan foydalanishga ruxsati 
(mandati). 
3. 
TGS
C

- mijoz 
S
ning resurslar serveri 
RS
dan foydalanishga ruxsat 
(mandat) so‘rab, 
TGS
xizmatidan so‘rovi. 
4. 
C
TGS


TGS
xizmatining mijoz 
S
ga resurslar serveri 
RS
dan 
foydalanishiga ruxsati (mandati). 
5. 
RS
C

- server 
RS
dan axborot resursining (xizmatning) so‘rovi. 
6. 
C
RS

- server 
RS
ning xaqiqiyligini tasdiqlash va mijoz 
S
ga axborot 
resursini (xizmatni) taqdim etish. 
Mijoz bilan server aloqasining ushbu modeli faqat uzatiladigan 
boshqaruvchi axborotning konfidensialligi va yaxlitligi ta’minlanganida ishlashi 
mumkin. Axborot xavfsizligini qat’iy ta’minlamasdan 
AS, TGS
va 
RS
serverlarga 
mijoz 
S
so‘rov yuboraolmaydi va tarmoq xizmatidan foydalanishga ruxsat 
ololmaydi. 
Axborotning ushlab qolinishi va ruxsatsiz foydalanishi imkoniyatlarini 
bartaraf etish maqsadida Kerberos tarmoqda harqanday boshqarish axboroti 
uzatilganida maxfiy kalitlar kompleksini (mijozning maxfiy kaliti, serverning 
maxfiy kaliti, mijoz-server juftining maxfiy seans kalitlari) ko‘p marta shifrlashni 
ishlatadi. Kerberos shifrlashning turli algoritmlaridan va xesh-funksiyalardan 

167 
foydalanishi mumkin, ammo madadlash uchun Triple DES va MD5 algoritmlari 
o‘rnatilgan. 
Kerberos tizimida ishonch xujjatlarining ikki turidan foydalaniladi: mandat 
(tricket) va autentifikator (authentificator). 
Mandat
serverga mandat berilgan mijozning identifikasion ma’lumotlarini 
xavfsiz uzatish uchun ishlatiladi. Uning tarkibida axborot ham bo‘lib, undan server 
mandatdan foydalanayotgan mijozning xaqiqiy ekanligini tekshirishda foydalanishi 
mumkin. 
Autentifikator
– mandat bilan birga ko‘rsatiluvchi qo‘shimcha 
atribut(alomat). Quyida Kerberos xujjatlarida ishlatiluvchi belgilashlar tizimi 
keltirilgan: 
S
– mijoz; 
S
– server; 
a
– mijozning tarmoq adresi; 
v
– mandat ta’siri vaqtining boshlanishi va oxiri; 
T
– vaqt belgisi; 
K
x
– maxfiy kalit x; 
K
xy
– x va y uchun seans kaliti
{
m
}
K
x
– sub’ekt 
x
ning maxfiy kaliti 
K
x
bilan shifrlangan xabar 
m

T
x,y
– 
y
dan foydalanishga mandat 
x

A
x,y
– 
x
va 
y
uchun autentifikator. 

Yüklə 2,72 Mb.

Dostları ilə paylaş:
1   ...   75   76   77   78   79   80   81   82   ...   197



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Dərs
Dərslik
Guide
Kompozisiya
Mücərrəd
Mühazirə
Qaydalar
Referat
Report
Request
Review

yükləyin