Axborot xavfsizligi




Download 2,72 Mb.
Pdf ko'rish
bet78/191
Sana18.11.2023
Hajmi2,72 Mb.
#101187
1   ...   74   75   76   77   78   79   80   81   ...   191
Bog'liq
axborot xavfsizligi222

B
A
Id
Id
KS
A
,
:

Server KS vaqtiy belgi T, ta’sir muddati L, tasodifiy kalit K va identfikator 
Id
A
bo‘lgan xabarni generatsiyalab, bu xabarni V taraf bilan bo‘lingan maxfiy kalit 
yordamida shifrlaydi. 
So‘ngra server KS V tarafga tegishli vaqtiy belgi T, ta’sir muddati L
tasodifiy kalit K, identifikator Id
V
ni olib uni A taraf bilan bo‘lingan maxfiy kalit 
yordamida shifrlaydi. Bu ikkala shifrlangan xabarlarni A tarafga jo‘natadi. 
)
,
,
,
(
),
,
,
,
(
:
A
B
B
A
Id
K
L
T
E
Id
K
L
T
E
A
KS

A taraf birinchi xabarni o‘zining maxfiy kaliti bilan rasshifrovka qiladi va 
ushbu xabar kalitlar taqsimotining oldingi muolajasining qaytarilishi emasligiga 
ishonch hosil qilish maqsadida vaqt belgisi T ni tekshiradi. So‘ngra A taraf 
o‘zining identifikatori Id
A
va vaqt belgisi bilan xabarni generatsiyalab, uni seans 
kaliti K yordamida shifrlaydi va V tarafga uzatadi. Undan tashqari, A taraf V taraf 
uchun KS dan V taraf kaliti yordamida shifrlangan xabarni jo‘natadi: 
)
,
,
,
(
),
,
(
:
A
B
A
K
Id
K
L
T
E
T
Id
E
B
A

Bu xabarni faqat V taraf rasshifrovka qilishi mumkin. V taraf vaqt belgisi T


165 
ta’sir muddati L, seans kaliti K va identifikator Id
A
ni oladi. So‘ngra V taraf seans 
kalit K yordamida xabarning ikkinchi qismini rasshifrovka qiladi. Xabarning ikkala 
qismidagi T va Id
A
qiymatlarining mos kelishi A ning V ga nisbatan haqiqiyligini 
tasdiqlaydi. 
Xaqiqiylikni o‘zaro tasdiqlash maqsadida V taraf vaqt belgisi T plyus 1 dan 
iborat xabar yaratadi, uni K kalit yordamida shifrlaydi va A tarafga jo‘natadi. 
)
1
(
:


T
E
A
B
K
Agar bu xabar rasshifrovka qilingandan keyin A taraf kutilgan natijani olsa, 
u aloqa liniyasining boshqa tarafida haqiqatan V turganligiga ishonch hosil qiladi. 
Bu protokol barcha qatnashuvchilarning soatlari server KS soatlari bilan 
sinxronlanganida muvaffaqiyatli ishlaydi. Ta’kidlash lozimki, bu protokolda A 
tarafning V taraf bilan aloqa o‘rnatishga har bir xohishida seans kalitini olish uchun 
KS bilan almashinuv zarur bo‘ladi. Protokolning A va V ob’ektlarni ishonchli 
ulashi uchun, hech bir kalit obro‘sizlanmasligi va server KS ning himoyalanishi 
talab etiladi. 
Umuman Kerberos tizimida (5 versiya) foydalanuvchini identifikasiyalash 
va autentifikatsiyalash jarayonini quyidagicha tavsiflash mumkin (6.2-rasm). 
AS
C
RS
TGS
KS
Belgilashlar:
KS – Kerberos tizimi serveri
AS – Autentifikatsiya serveri
TGS – Mandatlarni ajratish tizimi serveri
RS – Axborot resurslari serveri
С – Kerberos tizimi mijozi
1
2
3
4
5
6
6.2-rasm. Kerberos protokolining ishlash sxemasi 


166 
Mijoz S, tarmoq resursidan foydalanish maqsadida autentifikatsiya serveri 
ASga so‘rov yo‘llaydi. Server AS foydalanuvchini uning ismi va paroli yordamida 
identifikasiyalaydi va mijozga mandat ajratish xizmati serveri TGSdan (Ticket 
Grating Service) foydalanishga mandat yuboradi. 
Axborot resurslarining muayyan maqsadli serveri RSdan foydalanish uchun 
mijoz S TGSdan maqsadli server RSga murojaat qilishga mandat so‘raydi. Hamma 
narsa tartibda bo‘lsa TGS kerakli tarmoq resurslaridan foydalanishga ruxsat berib, 
klient ga mos mandatni yuboradi. 
Kerberos tizimi ishlashining asosiy qadamlari (6.2.-rasmga qaralsin): 
1. 
AS
C

- mijoz S ning TGS xizmatiga murojaat qilishga ruxsat so‘rab 
server ASdan so‘rovi. 
2. 
C
AS

- server ASning mijoz S ga TGS xizmatidan foydalanishga ruxsati 
(mandati). 
3. 
TGS
C

- mijoz S ning resurslar serveri RS dan foydalanishga ruxsat 
(mandat) so‘rab, TGS xizmatidan so‘rovi. 
4. 
C
TGS

- TGS xizmatining mijoz S ga resurslar serveri RS dan 
foydalanishiga ruxsati (mandati). 
5. 
RS
C

- server RSdan axborot resursining (xizmatning) so‘rovi. 
6. 
C
RS

- server RSning xaqiqiyligini tasdiqlash va mijoz S ga axborot 
resursini (xizmatni) taqdim etish. 
Mijoz bilan server aloqasining ushbu modeli faqat uzatiladigan 
boshqaruvchi axborotning konfidensialligi va yaxlitligi ta’minlanganida ishlashi 
mumkin. Axborot xavfsizligini qat’iy ta’minlamasdan AS, TGS va RS serverlarga 
mijoz S so‘rov yuboraolmaydi va tarmoq xizmatidan foydalanishga ruxsat 
ololmaydi. 
Axborotning ushlab qolinishi va ruxsatsiz foydalanishi imkoniyatlarini 
bartaraf etish maqsadida Kerberos tarmoqda harqanday boshqarish axboroti 
uzatilganida maxfiy kalitlar kompleksini (mijozning maxfiy kaliti, serverning 
maxfiy kaliti, mijoz-server juftining maxfiy seans kalitlari) ko‘p marta shifrlashni 
ishlatadi. Kerberos shifrlashning turli algoritmlaridan va xesh-funksiyalardan 


167 
foydalanishi mumkin, ammo madadlash uchun Triple DES va MD5 algoritmlari 
o‘rnatilgan. 
Kerberos tizimida ishonch xujjatlarining ikki turidan foydalaniladi: mandat 
(tricket) va autentifikator (authentificator). 
Mandat serverga mandat berilgan mijozning identifikasion ma’lumotlarini 
xavfsiz uzatish uchun ishlatiladi. Uning tarkibida axborot ham bo‘lib, undan server 
mandatdan foydalanayotgan mijozning xaqiqiy ekanligini tekshirishda foydalanishi 
mumkin. 
Autentifikator 
– mandat bilan birga ko‘rsatiluvchi qo‘shimcha 
atribut(alomat). Quyida Kerberos xujjatlarida ishlatiluvchi belgilashlar tizimi 
keltirilgan: 
S – mijoz; 
S – server; 
a – mijozning tarmoq adresi; 
v – mandat ta’siri vaqtining boshlanishi va oxiri; 
T – vaqt belgisi; 
K
x
– maxfiy kalit x; 
K
xy
– x va y uchun seans kaliti; 
{m}K
x
– sub’ekt x ning maxfiy kaliti K
x
bilan shifrlangan xabar m
T
x,y
– y dan foydalanishga mandat x
A
x,y
– x va y uchun autentifikator. 

Download 2,72 Mb.
1   ...   74   75   76   77   78   79   80   81   ...   191




Download 2,72 Mb.
Pdf ko'rish