• Domenlararo autentifikatsiyalash xususiyatlari.
  • Axborot xavfsizligi




    Download 2,72 Mb.
    Pdf ko'rish
    bet82/191
    Sana18.11.2023
    Hajmi2,72 Mb.
    #101187
    1   ...   78   79   80   81   82   83   84   85   ...   191
    Bog'liq
    axborot xavfsizligi222

    Xizmat so‘rovi. 
    Endi mijoz o‘zining haqiqiyligini maqsad serveriga isbotlashi mumkin. 
    Maqsad serverida autentifikatsiyadan muvaffaqiyatli o‘tish uchun mijoz tarkibida 
    o‘zining ismi, tarmoq adresi, vaqt belgisi bo‘lgan va seans kaliti "mijoz-server"da 


    171 
    shifrlangan autentifikatorni yaratadi va uni TGS xizmatidan olib berilgan maqsad 
    serverining maxfiy kalitida shifrlangan mandat bilan birga jo‘natadi. 
    Maqsad serveri mijozdan ma’lumotlarni olib, autentifikatorni o‘zining 
    maxfiy kalitida rasshifrovka qiladi va undan "mijoz-server" seans kalitini chiqarib 
    oladi. Mandat ham tekshiriladi. Tekshirish muolajasi "mijoz-TGS" sessiyasida 
    o‘tkaziladigan muolajaga o‘xshash, ya’ni tarmoq adreslari va vaqt belgisining 
    mosligi tekshiriladi. Agar barchasi mos kelsa, server mijozning xaqiqiyligiga 
    ishonch hosil qiladi. 
    Agar ilova haqiqiylikning o‘zaro tekshirilishini talab etsa, server mijozga 
    tarkibida seans kalitida shifrlangan vaqt belgisi bo‘lgan xabarni yuboradi. Bu 
    serverga to‘g‘ri maxfiy kalitning ma’lum ekanligini va u mandat va guvohnomani 
    rasshifrovka qila olishini isbotlaydi. Zaruriyat tug‘ilganida mijoz va server keyingi 
    xabarlarni umumiy kalitda shifrlashlari mumkin. Chunki bu kalit faqat ularga 
    ma’lum, bu kalit bilan shifrlangan oxirgi xabar ikkinchi tarafdan yuborilganiga 
    ikkala taraf ishonch hosil qilishlari mumkin. Amalda bu barcha murakkab 
    muolajalar avtomatik tarzda bajariladi va mijozga qandaydir noqulayliklar 
    yetkazilmaydi. 
    Domenlararo autentifikatsiyalash xususiyatlari. 
    Kerberos dan domenlararo autentifikatsiyalashda ham foydalanish mumkin. 
    Mijoz boshqa domendagi serverdan foydalanish maqsadida kalitlarni taqsimlash 
    markazi KDC ga murojaat qilsa, KDC mijozga suralayotgan server joylashgan 
    domenning KDC iga murojaat etishga qayta adreslash mandatini (referalticket) 
    taqdim etadi (6.3-rasm). 
    KDC 1 
    Mijoz
    KDC 2 
    Server 
    1-domen 
    2-domen 





    6.3-rasm. Kerberos protokolida domenlararo autentifikatsiyalash sxemasi 


    172 
    Rasmda quyidagi belgilashlar qabul qilingan: 
    1. Autentifikatsiyalashga so‘rov. 
    2. KDC1 uchun TGT 
    3. KDC2 uchun TGT
    4. Serverdan foydalanish mandati. 
    5. Ma’lumotlarni autentifikatsiyalash va almashish. 
    Qayta adreslash mandati ikkita domen KDCsining juftli aloqa kalitida 
    shifrlangan TGTdir. Bunda mijozga serverdan foydalanishga mandatni 
    so‘ralayotgan server joylashgan KDC taqdim etadi. 
    Juda ko‘p domenli tarmoqda autentifikatsiyalash uchun Kerberosdan 
    foydalanish nazariy jihatdan mumkin bo‘lsada, murojaatlar sonining domenlar 
    soniga mutanosib ravishda oshishi sababli, so‘rovlarni muayyan KDClarga bir 
    ma’noda qayta adreslovchi qandaydir markaziy domen qurishga to‘g‘ri keladi. 

    Download 2,72 Mb.
    1   ...   78   79   80   81   82   83   84   85   ...   191




    Download 2,72 Mb.
    Pdf ko'rish