А -» KS : Id л, Id,
Server KS vaqtiy belgi T, ta’sir muddati L, tasodifiy kalit К va
identfikator IdA bo‘lgan xabami generatsiyalab, bu xabami V taraf
bilan bo‘lingan maxfiy kalit yordamida shifrlaydi.
So’ngra server KS V tarafga tegishli vaqtiy belgi T, ta’sir
muddati L, tasodifiy kalit K, identifikator Id у ni olib, uni A taraf
bilan bo’lingan maxfiy kalit yordamida shifrlaydi. Bu ikkala
shifrlangan xabarlami A tarafga jo ’natadi.
KS -» A : E A( T ,L ,К , Id B),EB( T , L , K ,Id л )
A taraf birinchi xabami o ’zining maxfiy kaliti bilan rasshif-
rovka qiladi va ushbu xabar kalitlar taqsimotining oldingi muolajasi-
ning qaytarilishi emasligiga ishonch hosil qilish maqsadida vaqt bel-
gisi T ni tekshiradi. So'ngra A taraf o ‘zining identifikatori IdA va
vaqt belgisi bilan xabami generatsiyalab, uni seans kaliti К yorda
mida shifrlaydi va V tarafga uzatadi. Undan tashqari, A taraf V taraf
uchun KS dan V taraf kaliti yordamida shifrlangan xabami
jo ’natadi:
A —> B \ E K ( I d ,, Г), Ев (Г, L, K, Id л )
Bu xabami faqat V taraf rasshifrovka qilishi mumkin. V taraf
vaqt belgisi T, ta’sir muddati L, seans kaliti К va identifikator IdA ni
oladi. So’ngra V taraf seans kalit К yordamida xabaming ikkinchi
qismini rasshifrovka qiladi. Xabaming ikkala qismidagi T va IdA
qiymatlarining mos kelishi A ning V ga nisbatan haqiqiyligini
tasdiqlaydi.
Xaqiqiylikni o ’zaro tasdiqlash maqsadida V taraf vaqt belgisi T
plyus 1 dan iborat xabar yaratadi, uni К kalit yordamida shifrlaydi
va A tarafga jo ’natadi:
B - + A : E K(T + \)
151
Agar bu xabar rasshifrovka qilingandan keyin A taraf kutilgan
natijani olsa, u aloqa liniyasining boshqa tarafida haqiqatan V
turganligiga ishonch hosil qiladi.
Bu protokol barcha qatnashuvchilaming soatlari server KS
soatlari bilan sinxronlanganida muvaffaqiyatli ishlaydi. Ta’kidlash
lozimki, bu protokolda A tarafning V taraf bilan aloqa o‘matishga
har bir xohishida seans kalitini olish uchun KS bilan almashinuv
zarur boiadi. Protokolning A va V obyektlami ishonchli ulashi
uchun, hech bir kalit obro‘sizlanmasligi va server KS ning
himoyalanishi talab etiladi.
Umuman, Kerberos tizimida (5-versiya) foydalanuvchini iden-
tifikatsiyalash va autentifikatsiyalash jarayonini quyidagicha tav-
siflash mumkin (6.2-rasm).
Belgilashlar:
KS - Kerberos tizimi serveri
AS - Autentifikatsiya serveri
TGS - Mandatlami ajratish tizimi serveri
RS - Axborot resurslari serveri
C - Kerberos tizimi mijozi
6.2-rasm. Kerberos protokolining ishlash sxemasi.
Mijoz S tarmoq resursidan foydalanish maqsadida autentifi
katsiya serveri ASga so‘rov yo‘llaydi. Server A S foydalanuvchini
uning ismi va paroli yordamida identifikatsiyalaydi va mijozga
mandat ajratish xizmati serveri TGSdan (Ticket Grating Service)
foydalanishga mandat yuboradi.
Axborot resurslarining muayyan maqsadli serveri RSdan foy
dalanish uchun mijoz S TGSdan maqsadli server RSga murojaat
qilishga mandat so‘raydi. Hamma narsa tartibda bo‘lsa, TGS kerakli
152
tarmoq resurslaridan foydalanishga ruxsat berib, klient S ga mos
mandatni yuboradi.
Kerberos tizimi ishlashining asosiy qadamlari (6.2-rasmga
qaralsin):
1
.
c
-+
a s
. mijoz S ning TGS xizmatiga murojaat qilishga
ruxsat so‘rab, server ASdan so'rovi.
2.
a s
->
c
. server ^Sning mijoz S ga TGS xizmatidan
foydalanishga ruxsati (mandati).
3.
c
-*
t g s
. mijoz S ning resurslar serveri RS dan
foydalanishga ruxsat (mandat) so‘rab, TGS xizmatidan so‘rovi.
4.
tg s
—
ус
. TGS xizmatining mijoz S ga resurslar serveri RS
dan foydalanishiga ruxsati (mandati).
5
. c —
> /f5 . server &Sdan axborot resursining (xizmatning)
so‘rovi.
6. ns —
>c . server RSning haqiqiyligini tasdiqlash va mijoz S ga
axborot resursini (xizmatni) taqdim etish.
Mijoz bilan server aloqasining ushbu modeli faqat uzatiladigan
boshqaruvchi axborotning konfidensialligi va yaxlitligi ta'minlan-
ganida ishlashi mumkin. Axborot xavfsizligini qat’iy ta’minla-
masdan AS, TGS va RS serverlarga mijoz S so‘rov yubora olmaydi
va tarmoq xizmatidan foydalanishga ruxsat ololmaydi.
Axborotning ushlab qolinishi va ruxsatsiz foydalanishi imko-
niyatlarini bartaraf etish maqsadida, Kerberos tarmoqda har qanday
boshqarish axboroti uzatilganida, maxfiy kalitlar kompleksini (mi-
jozning maxfiy kaliti, serveming maxfiy kaliti, mijoz-server juf-
tining maxfiy seans kalitlari) ko‘p marta shifrlashni ishlatadi.
Kerberos shifrlashning turli algoritmlaridan va xesh-funksiyalardan
foydalanishi mumkin, ammo madadlash uchun Triple DES va MD5
algoritmlari o ‘matilgan.
Kerberos tizimida ishonch hujjatlarining ikki turidan foyda-
laniladi: mandat (tricket) va autentifikator (authentificator).
Mandat serverga mandat berilgan mijozning identifikatsion
ma’lumotlarini xavfsiz uzatish uchun ishlatiladi. Uning tarkibida
axborot ham bo‘lib, undan server mandatdan foydalanayotgan
mijozning haqiqiy ekanligini tekshirishda foydalanishi mumkin.
153
Autentifikator - mandat bilan birga ko‘rsatiluvchi qo‘shimcha
atribut (alomat). Quyida Kerberos hujjatlarida ishlatiluvchi belgi-
lashlar tizimi keltirilgan:
S - mijoz;
S - server;
a - mijozning tarmoq adresi;
v - mandat ta’siri vaqtining boshlanishi va oxiri;
T - vaqt belgisi;
Kx - maxfiy kalit x;
Kxy - x va у uchun seans kaliti;
{m)Kx - subyekt x ning maxfiy kaliti Kx bilan shifrlangan
xabar nr,
Tx,y — у dan foydalanishga mandat x;
Ax, y-x va v uchun autentifikator.
|