-расм. Kerberos протоколида доменлараро аутентификациялаш схемаси

Microsoft Word ax kitob янги doc


-расм. Kerberos протоколида доменлараро аутентификациялаш схемаси


Download 5.8 Mb.
bet52/147
Sana11.09.2023
Hajmi5.8 Mb.
#1675958
1   ...   48   49   50   51   52   53   54   55   ...   147
Bog'liq
Ахборот хавфсизлиги (word)

6.4-расм. Kerberos протоколида доменлараро аутентификациялаш схемаси


Расмда қуйидаги белгилашлар қабул қилинган:

  1. Аутентификациялашга сўров.

  2. KDC1 учун TGT

  3. KDC2 учун TGT.

  4. Сервердан фойдаланиш мандати.

  5. Маълумотларни аутентификациялаш ва алмашиш.

Қайта адреслаш мандати иккита домен КБСсининг жуфтли алоқа ка- литида шифрланган ТвТдир. Бунда мижозга сервердан фойдаланишга ман- датни сўралаётган сервер жойлашган KDC тақдим этади.
Жуда кўп доменли тармоқда аутентификациялаш учун Kerberosдан фойдаланиш назарий жиҳатдан мумкин бўлсада, мурожаатлар сонининг до- менлар сонига мутаносиб равишда ошиши сабабли, сўровларни муайян




КБСларга бир маънода қайта адресловчи қандайдир марказий домен қуришга тўғри келади.
Kerberos хаефсизлиги.
Kerberos, криптографик ҳимоялашнинг бошқа ҳарқандай дастурий во- ситаси каби ишончсиз дастурий муҳитда ишлайди. Ушбу муҳитнинг хуж- жатлаштирилмаган имкониятлари ёки нотўғри конфигурацияси жиддий ах- боротнинг чиқиб кетишига олиб келиши мумкин. Хатто калитлар фойдала- нувчи ишлаш сеансида фақат оператив хотирада сақланса ҳам операцион тизимдаги бузилиш калитларнинг қаттиқ дискда нусхаланишига олиб кели­ши мумкин.
Kerberos дастурий таъминоти ўрнатилган ишчи станциясидан кўпчилик фойдаланувчи режимнинг ишлатилиши ёки ишчи станциялардан фойдаланишнинг назорати бўлмаслиги дастур-закладкани киритиш ёки криптографик дастурий таъминотни модификациялаш имкониятини туғдиради.
Шу сабабли, Kerberos хавфсизлиги кўп жиҳатдан ушбу протокол ўрнатилган ишчи станцияси ҳимоясининг ишончлигига боғлиқ.
Kerberos протоколининг ўзига қуйидаги қатор талаблар қуйилади:

  • Kerberos хизмати хизмат қилишдан воз кечишга йўналтирилган ху- жумлардан ҳимояланиши шарт;

  • вақт белгиси аутентификация жараёнида қатнашиши сабабли, ти- зимдан фойдаланувчиларининг барчаси учун тизимли вақтни синхронлаш зарур;

  • Kerberos паролни саралаш орқали хужум қилишдан ҳимояламайди. Муаммо шундаки, KDC да сақланувчи фойдаланувчи калити унинг пароли­ни хэш-функция ёрдамида қайта ишлаш натижасидир. Паролнинг бўшлигида уни саралаб топиш мумкин.

  • Kerberos хизмати рухсатсиз фойдаланишининг барча турларидан ишончли ҳимояланиши шарт;

  • мижоз олган мандатлар, ҳамда махфий калитлар рухсатсиз фойдала- нишдан ҳимояланиши шарт.




Юқорида келтирилган талабларнинг бажарилмаслиги муваффақиятли хужумга сабаб бўлиши мумкин.
Ҳозирда Kerberos протоколи аутентификациялашнинг кенг тарқалган воситаси ҳисобланади. Kerberos турли криптографик схемалар, хусусан, очиқ калитли шифрлаш билан биргаликда ишлатилиши мумкин.
Бир томонлама калитли хэш-функциялардан фойдаланишга асосланган протоколлар.
Бир томонлама хэш-функция ёрдамида шифрлашнинг ўзига хос хусу- сияти шундаки, у моҳияти бўйича бир томонламадир, яъни тескари ўзгартириш-қабул қилувчи тарафда расшифровка қилиттт билан бирга олиб борилмайди. Иккала тараф (жўнатувчи ва қабул қилувчи) бир томонлама шифрлаш муолажасидан фойдаланади.
Шифрланаётган маълумот M га қўлланилган K параметр-калитли бир томонлама хэш-функция hk(.) натижада байтларнинг белгиланган катта бўлмагани сонидан иборат хэш-қиймат (дайджест) "m" ни беради (6.4- расм).


Жўнатувчи Кабул қилуэти






Download 5.8 Mb.

Do'stlaringiz bilan baham:
1   ...   48   49   50   51   52   53   54   55   ...   147



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling