|
S. K. Ganiyev, M. M. Karimov, K. A. Tashev Pdf ko'rish
|
bet | 70/183 | Sana | 25.01.2024 | Hajmi | 10,28 Mb. | | #145814 |
Bog'liq Axborot xavfsizligiX izm a t s o ‘rovL
Endi mijoz o ‘zining haqiqiyligini maqsad serveriga isbotlashi
mumkin. Maqsad serverida autentifikatsiyadan muvaffaqiyatli o ‘tish
uchun mijoz tarkibida o'zining ismi, tarmoq adresi, vaqt belgisi
bo‘lgan va seans kaliti "mijoz-server"da shifrlangan autentifikatomi
yaratadi va uni TGS xizmatidan olib berilgan maqsad serverining
maxfiy kalitida shifrlangan mandat bilan birga j o ‘natadi.
Maqsad serveri mijozdan maTumotlami olib, autentifikatomi
o ‘zining maxfiy kalitida rasshifrovka qiladi va undan "mijoz-server"
seans kalitini chiqarib oladi. Mandat ham tekshiriladi. Tekshirish
muolajasi "mijoz-TGS" sessiyasida o‘tkaziladigan muolajaga o ‘x-
shash, ya’ni tarmoq adreslari va vaqt belgisining mosligi tekshi
riladi. Agar barchasi mos kelsa, server mijozning haqiqiyligiga
ishonch hosil qiladi.
Agar ilova haqiqiylikning o ‘zaro tekshirilishini talab etsa, ser
ver mijozga tarkibida seans kalitida shifrlangan vaqt belgisi boTgan
xabami yuboradi. Bu serverga to‘g‘ri maxfiy kalitning ma’lum
ekanligini va u mandat hamda guvohnomani rasshifrovka qila
olishini isbotlaydi. Zaruriyat tug‘ilganida mijoz va server keyingi
xabarlami umumiy kalitda shifrlashlari mumkin. Chunki bu kalit
faqat ularga ma’lum, bu kalit bilan shifrlangan oxirgi xabar ikkinchi
tarafdan yuborilganiga, ikkala taraf ishonch hosil qilishlari mumkin.
Amalda bu barcha murakkab muolajalar avtomatik tarzda bajariladi
va mijozga qandaydir noqulayliklar yetkazilmaydi.
157
D om en lararo au tentifikatsiyalash xususiyatlarL
Kerberosdan domenlararo autentifikatsiyalashda ham foyda-
lanish mumkin. Mijoz boshqa domendagi serverdan foydalanish
maqsadida kalitlami taqsimlash markazi KDC ga murojaat qilsa,
KDC mijozga so‘ralayotgan server joylashgan domenning KDC iga
murojaat etishga qayta adreslash mandatini (referalticket) taqdim
etadi (6.3-rasm).
6.3-rasm. Kerberos protokolida domenlararo autentifikatsiyalash
sxemasi.
Rasmda quyidagi belgilashlar qabul qilingan:
1. Autentifikatsiyalashga so‘rov.
2. KDC\ uchun TGT.
3. KDC2 uchun TGT.
4. Serverdan foydalanish mandati.
5. Ma’lumotlami autentifikatsiyalash va almashish.
Qayta adreslash mandati ikkita domen KDCsining juftli aloqa
kalitida shifrlangan TGTdir. Bunda mijozga serverdan foydala-
nishga mandatni so‘ralayotgan server joylashgan KDC taqdim etadi.
Juda ko‘p domenli tarmoqda autentifikatsiyalash uchun
Kerberosdan foydalanish nazariy jihatdan mumkin boisa-da, muro-
jaatlar sonining domenlar soniga mutanosib ravishda oshishi sabab-
li, so‘rovlami muayyan KDClarga bir m a’noda qayta adreslovchi
qandaydir markaziy domen qurishga to‘g‘ri keladi.
158
|
| |