163
uchun qo‘shimcha tasodifiy son
A
r
ni rasshifrovka qiladi. Qatnashuvchi
A uchinchi
xabarni olganidan so‘ng
A
r
va
B
r
larning qiymatlarini tekshirish asosida aynan
qatnashuvchi
V bilan ishlayotganiga ishonch hosil qiladi.
Autentifikatsiya
jarayonida
uchinchi
tarafni
jalb
etish
bilan
foydalanuvchilarni autentifikatsiyalashni ta’minlovchi protokollarning mashhur
namunalari sifatida Nidxem va Shrederning maxfiy
kalitlarni taqsimlash
protokolini va Kerberos protokolini ko‘rsatish mumkin.
Kerberos protokoli "mijoz-server" va ham lokal va ham global tarmoqlarda
ishlovchi abonentlar orasida aloqaning himoyalangan kanalini o‘rnatishga atalgan
kalit axborotini almashish tizimlarida autentifikatsiyalash uchun ishlatiladi. Bu
protokolning MicrosoftWindows 2000 va UNIX BSD operasion tizimlariga
autentifikatsiyalashning asosiy protokoli sifatida o‘rnatilganligi alohida qiziqish
o‘yG‘otadi.
Kerberos
ishonch
qozonmagan
tarmoqlarda
autentifikatsiyalashni
ta’minlaydi, ya’ni Kerberos ishlashida niyati buzuq odamlar quyidagi harakatlarni
bajarishlari mumkin:
- o‘zini tarmoq ulanishining e’tirof etilgan taraflaridan biri deb ko‘rsatish;
- ulanishda ishtirok etayotgan kompyuterlarning biridan foydalana olish;
- har qanday paketni ushlab qolish, ularni modifikasiyalash va/yoki ikkinchi
marta uzatish.
Kerberos protokolida xavfsizlik ta’minoti yuqorida keltirilgan niyati buzuq
odamlarning xarakatlari natijasida paydo bo‘ladigan
har qanday muammolarning
bartaraflanishini ta’minlaydi.
Kerberos protokoli oldingi asrning 80-yillarida yaratilgan va shu paytgacha
beshta versiyada o‘z aksini topgan qator jiddiy o‘zgarishlarga duchor bo‘ldi.
Kerberos
TCP/IP
tarmoqlari
uchun
yaratilgan
bo‘lib,
protokol
qatnashchilarining uchinchi(ishonilgan) tarafga ishonishlari asosiga qurilgan.
Tarmoqda ishlovchi Kerberos xizmati ishonilgan vositachi sifatida harakat qilib,
tarmoq resurslaridan mijozning (mijoz ilovasining) foydalinishini avtorizasiyalash
bilan tarmoqda ishonchli autentifikatsiyalashni ta’minlaydi.
Kerberos xizmati
164
alohida maxfiy kalitni tarmoqning har bir sub’ekti bilan bo‘lishadi va bunday
maxfiy kalitni bilish tarmoq sub’ekti haqiqiyligining isbotiga teng kuchlidir.
Kerberos asosini Nidxem-Shrederning uchinchi ishonilgan taraf bilan
autentifikatsiyalash va kalitlarni taqsimlash protokoli tashkil etadi. Nidxem-
Shreder protokolining ushbu versiyasini Kerberosga tatbiqan ko‘raylik. Kerberos
protokolida (5-versiya) aloqa qiluvchi ikkita taraf va kalitlarni taqsimlash markazi
KDC (Key Distribution Center) vazifasini bajaruvchi ishonilgan server KS ishtirok
etadi.
Chaqiruvchi ob’ekt A orqali, chaqiriluvchi ob’ekt V orqali belgilanadi.
Seans qatnashchilari,
mos holda Id
A
va Id
B
noyob identifikatorlarga ega. A va V
taraflar, har biri alohida, o‘zining maxfiy kalitini server KS bilan bo‘lishadi.
Aytaylik, A taraf V taraf bilan axborot almashish
maqsadida seans kalitini
olmoqchi. A taraf tarmoq orqali server KSga Id
A
va Id
B
identifikatorlarni yuborish
bilan kalitlar taqsimlanishi davrini boshlab beradi: