Axborot xavfsizligi
Yüklə 2,72 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Domenlararo autentifikatsiyalash xususiyatlari.
| Xizmat so‘rovi.
Endi mijoz o‘zining haqiqiyligini maqsad serveriga isbotlashi mumkin. Maqsad serverida autentifikatsiyadan muvaffaqiyatli o‘tish uchun mijoz tarkibida o‘zining ismi, tarmoq adresi, vaqt belgisi bo‘lgan va seans kaliti "mijoz-server"da 171 shifrlangan autentifikatorni yaratadi va uni TGS xizmatidan olib berilgan maqsad serverining maxfiy kalitida shifrlangan mandat bilan birga jo‘natadi. Maqsad serveri mijozdan ma’lumotlarni olib, autentifikatorni o‘zining maxfiy kalitida rasshifrovka qiladi va undan "mijoz-server" seans kalitini chiqarib oladi. Mandat ham tekshiriladi. Tekshirish muolajasi "mijoz-TGS" sessiyasida o‘tkaziladigan muolajaga o‘xshash, ya’ni tarmoq adreslari va vaqt belgisining mosligi tekshiriladi. Agar barchasi mos kelsa, server mijozning xaqiqiyligiga ishonch hosil qiladi. Agar ilova haqiqiylikning o‘zaro tekshirilishini talab etsa, server mijozga tarkibida seans kalitida shifrlangan vaqt belgisi bo‘lgan xabarni yuboradi. Bu serverga to‘g‘ri maxfiy kalitning ma’lum ekanligini va u mandat va guvohnomani rasshifrovka qila olishini isbotlaydi. Zaruriyat tug‘ilganida mijoz va server keyingi xabarlarni umumiy kalitda shifrlashlari mumkin. Chunki bu kalit faqat ularga ma’lum, bu kalit bilan shifrlangan oxirgi xabar ikkinchi tarafdan yuborilganiga ikkala taraf ishonch hosil qilishlari mumkin. Amalda bu barcha murakkab muolajalar avtomatik tarzda bajariladi va mijozga qandaydir noqulayliklar yetkazilmaydi. Domenlararo autentifikatsiyalash xususiyatlari. Kerberos dan domenlararo autentifikatsiyalashda ham foydalanish mumkin. Mijoz boshqa domendagi serverdan foydalanish maqsadida kalitlarni taqsimlash markazi KDC ga murojaat qilsa, KDC mijozga suralayotgan server joylashgan domenning KDC iga murojaat etishga qayta adreslash mandatini (referalticket) taqdim etadi (6.3-rasm). KDC 1 Mijoz KDC 2 Server 1-domen 2-domen 1 2 3 4 5 6.3-rasm. Kerberos protokolida domenlararo autentifikatsiyalash sxemasi 172 Rasmda quyidagi belgilashlar qabul qilingan: 1. Autentifikatsiyalashga so‘rov. 2. KDC 1 uchun TGT 3. KDC 2 uchun TGT . 4. Serverdan foydalanish mandati. 5. Ma’lumotlarni autentifikatsiyalash va almashish. Qayta adreslash mandati ikkita domen KDCsining juftli aloqa kalitida shifrlangan TGTdir. Bunda mijozga serverdan foydalanishga mandatni so‘ralayotgan server joylashgan KDC taqdim etadi. Juda ko‘p domenli tarmoqda autentifikatsiyalash uchun Kerberosdan foydalanish nazariy jihatdan mumkin bo‘lsada, murojaatlar sonining domenlar soniga mutanosib ravishda oshishi sababli, so‘rovlarni muayyan KDClarga bir ma’noda qayta adreslovchi qandaydir markaziy domen qurishga to‘g‘ri keladi. Yüklə 2,72 Mb. Dostları ilə paylaş:
|