Agar bu xabar rasshifrovka
qilingandan keyin A taraf kutilgan
natijani olsa, u aloqa liniyasining boshqa tarafida haqiqatan
V
turganligiga ishonch hosil qiladi.
Bu protokol barcha qatnashuvchilaming soatlari server KS
soatlari bilan sinxronlanganida muvaffaqiyatli ishlaydi. Ta’kidlash
lozimki, bu protokolda
A tarafning
V taraf bilan aloqa o‘matishga
har bir xohishida seans kalitini olish uchun KS bilan almashinuv
zarur boiadi. Protokolning
A va
V obyektlami ishonchli ulashi
uchun, hech bir kalit obro‘sizlanmasligi va server KS ning
himoyalanishi talab etiladi.
Umuman,
Kerberos tizimida (5-versiya) foydalanuvchini iden-
tifikatsiyalash va autentifikatsiyalash jarayonini quyidagicha tav-
siflash mumkin (6.2-rasm).
Belgilashlar:
KS - Kerberos tizimi serveri
AS - Autentifikatsiya serveri
TGS - Mandatlami ajratish tizimi serveri
RS - Axborot resurslari serveri
C - Kerberos tizimi mijozi
6.2-rasm. Kerberos protokolining ishlash sxemasi.
Mijoz
S tarmoq resursidan foydalanish maqsadida autentifi
katsiya
serveri ASga so‘rov yo‘llaydi. Server
A S foydalanuvchini
uning ismi va paroli yordamida identifikatsiyalaydi va mijozga
mandat ajratish xizmati serveri
TGSdan (Ticket Grating Service)
foydalanishga mandat yuboradi.
Axborot resurslarining muayyan maqsadli serveri
RSdan foy
dalanish uchun mijoz
S TGSdan maqsadli server
RSga murojaat
qilishga mandat so‘raydi. Hamma narsa tartibda bo‘lsa,
TGS kerakli
152
tarmoq resurslaridan
foydalanishga ruxsat berib, klient
S ga mos
mandatni yuboradi.
Kerberos tizimi ishlashining asosiy qadamlari (6.2-rasmga
qaralsin):
1
.
c
-+
a s
. mijoz
S ning
TGS xizmatiga murojaat qilishga
ruxsat so‘rab, server
ASdan so'rovi.
2.
a s
->
c
. server ^Sning mijoz
S ga
TGS xizmatidan
foydalanishga ruxsati (mandati).
3.
c
-*
t g s
. mijoz
S ning resurslar serveri
RS dan
foydalanishga ruxsat (mandat) so‘rab,
TGS xizmatidan so‘rovi.
4.
tg s
—
ус
. TGS xizmatining mijoz
S ga resurslar serveri
RS
dan foydalanishiga ruxsati (mandati).
5
. c —
> /f5 . server &Sdan axborot resursining (xizmatning)
so‘rovi.
6.
ns —
>c . server
RSning haqiqiyligini tasdiqlash va mijoz
S ga
axborot resursini (xizmatni) taqdim etish.
Mijoz bilan server aloqasining ushbu modeli faqat uzatiladigan
boshqaruvchi axborotning konfidensialligi va yaxlitligi ta'minlan-
ganida ishlashi mumkin. Axborot xavfsizligini qat’iy ta’minla-
masdan
AS, TGS va
RS serverlarga mijoz S so‘rov yubora olmaydi
va tarmoq xizmatidan foydalanishga ruxsat ololmaydi.
Axborotning ushlab qolinishi va ruxsatsiz foydalanishi imko-
niyatlarini bartaraf etish maqsadida, Kerberos tarmoqda har qanday
boshqarish axboroti uzatilganida, maxfiy kalitlar kompleksini (mi-
jozning maxfiy kaliti, serveming maxfiy kaliti,
mijoz-server juf-
tining maxfiy seans kalitlari) ko‘p marta shifrlashni ishlatadi.
Kerberos shifrlashning turli algoritmlaridan va xesh-funksiyalardan
foydalanishi mumkin, ammo madadlash uchun Triple DES va MD5
algoritmlari o ‘matilgan.
Kerberos tizimida ishonch hujjatlarining ikki turidan foyda-
laniladi: mandat (tricket) va autentifikator (authentificator).
Mandat serverga mandat berilgan mijozning identifikatsion
ma’lumotlarini xavfsiz uzatish uchun ishlatiladi. Uning tarkibida
axborot ham bo‘lib, undan server mandatdan foydalanayotgan
mijozning haqiqiy ekanligini tekshirishda foydalanishi mumkin.
153
Autentifikator - mandat bilan birga ko‘rsatiluvchi qo‘shimcha
atribut (alomat). Quyida Kerberos hujjatlarida ishlatiluvchi belgi-
lashlar tizimi keltirilgan:
S - mijoz;
S - server;
a - mijozning tarmoq adresi;
v - mandat ta’siri vaqtining boshlanishi va oxiri;
T - vaqt belgisi;
Kx - maxfiy kalit x;
Kxy -
x va у uchun seans kaliti;
{m)Kx - subyekt
x ning maxfiy kaliti
Kx bilan shifrlangan
xabar
nr,
Tx,y — у dan foydalanishga mandat
x;
Ax, y-x va v uchun autentifikator.
