Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К
Download 3.91 Mb. Pdf ko'rish
|
axborot-kommunikatsion tizimlar xav- fsizligi
|
Хизмат сурови.
Энди мижоз узининг хакикийлигини максад серверига исботлаши мумкин. Максад серверида аутентификациядан муваффакиятли утиш учун мижоз таркибида узининг исми, тармок, адреси, вакт белгиси булган ва се- анс калити "мижоз-сервер"да шифрланган аутентификаторни яратади ва уни TGS хизматидан олиб берилган максад серверининг махфий калитида шифрланган мандат билан бирга жунатади. Максад сервери мижоздан маълумотларни олиб, аутентификаторни узининг махфий калитида расшифровка килади ва ундан "мижоз-сервер" сеанс калитини чикариб олади. Мандат хам текширилади. Текшириш муо- лажаси "мижоз-TGS" сессиясида утказиладиган муолажага ухшаш, яъни тармок, адреслари ва вакт белгисининг мослиги текширилади. Агар барчаси мое келса, сервер мижознинг хакикийлигига ишонч хреил килади. Агар илова х,ак,ик,ийликнинг узаро текширилишини талаб этеа, сервер мижозга таркибида сеанс калитида шифрланган вакт белгиси булган хабар- ни юборади. Бу серверга тугри махфий калитнинг маълум эканлигини ва у мандат ва гувохномани расшифровка кила олишини исботлайди. Зарурият тугилганида мижоз ва сервер кейинги хабарларни умумий калитда шифр- лашлари мумкин. Чунки бу калит факат уларга маълум, бу калит билан шифрланган охирги хабар иккинчи тарафдан юборилганига иккала тараф ишонч хреил килишлари мумкин. Амалда бу барча мураккаб муолажалар автоматик тарзда бажарилади ва мижозга кандайдир нокулайликлар етка- зилмайди. Доменлараро аутентификациялаш хусусиятлари. Kerberos дан доменлараро аутентификациялашда хдм фойдаланиш мумкин. Мижоз бошка домендаги сервердан фойдаланиш максадида калит - ларни таксимлаш маркази KDC га мурожаат килса, KDC мижозга суралаёт- ган сервер жойлашган доменнинг KDC ига мурожаат этишга щита адрес- лаш мандатини (referal ticket) такдим этади (6.4-расм). 1- домен 2- домен KDC 1 KDC2 1 1 1 2 3 У 1 2 4 Мижоз Сервер 5 6.4- расм. Kerberos протоколида доменлараро аутентификациялаш схемаси Расмда куйидаги белгилапглар кабул килинган: 1. Аутентификациялашга суров. 2. KDC1 учун TGT 3. KDC2 учун TGT. 4. Сервердан фойдаланиш мандата. 5. Маълумотларни аутентификациялаш ва алмашиш. Кдйта адреслаш мандата иккита домен КБСсининг жуфтли алока ка- литида шифрланган ТСГдир. Бунда мижозга сервердан фойдаланишга ман- датни суралаётган сервер жойлашган KDC такдим этади. Жуда куп доменли тармокда аутентификациялаш учун KerberosflaH фойдаланиш назарий жихдтдан мумкин булсада, мурожаатлар сонининг до- менлар сонига мутаносиб равишда ошиши сабабли, суровларни муайян KDCnapra бир маънода кайта адресловчи кандайдир марказий домен куришга тугри келади. Kerberos хаефсизлиги. Kerberos, криптографик химоялашнинг бошка харкандай дастурий во- ситаси каби ишончсиз дастурий мухдтда ишлайди. Ушбу мухитнинг хуж- жатлаштирилмаган имкониятлари ёки нотугри конфигурацияси жиддий ах- боротнинг чикиб кетишига олиб келиши мумкин. Хатто калитлар фойдала- нувчи ишлаш сеансида факат оператив хотирада сакланса хам операцион тизимдаги бузилиш калитларнинг каттик, дискда нусхаланишига олиб кели- ши мумкин. Kerberos дастурий таъминоти урнатилган ишчи станциясидан купчилик фойдаланувчи режимнинг ишлатилиши ёки ишчи станциялардан фойдаланишнинг назорати булмаслиги дастур-закладкани киритиш ёки криптографик дастурий таъминотни модификациялаш имкониятини тугдиради. Шу сабабли, Kerberos хавфсизлиги куп жихатдан ушбу протокол урнатилган ишчи станцияси химоясининг ишончлигига боглик,. Kerberos протоколининг узига к,уйидаги к,атор талаблар к,уйилади: - Kerberos хизмати хизмат килишдан воз кечишга йуналтирилган ху- жумлардан химояланиши шарт; - вакт белгиси аутентификация жараёнида к,атнашиши сабабли, ти- зимдан фойдаланувчиларининг барчаси учун тизимли вактни синхронлаш зарур; - Kerberos паролни саралаш орк,али хужум к,илишдан химояламайди. Муаммо шундаки, KDC да сакланувчи фойдаланувчи калити унинг пароли- ни хэш-функция ёрдамида кайта ишлаш натижасидир. Паролнинг бушлигида уни саралаб топиш мумкин. - Kerberos хизмати рухсатсиз фойдаланишининг барча турларидан ишончли химояланиши шарт; - мижоз олган мандатлар, хамда махфий калитлар рухсатсиз фойдала- нишдан х,имояланиши шарт. Юкррида келтирилган талабларнинг бажарилмаслиги муваффакиятли хужумга сабаб булиши мумкин. Хрзирда Kerberos протоколи аутентификациялашнинг кенг тарк,алган воситаси хисобланади. Kerberos турли криптографик схемалар, хусусан, очик, калитли шифрлаш билан биргаликда ишлатилиши мумкин. Бир томонлама калитли хэш-функциялардан фойдаланишга асосланган протоколлар. Бир томонлама хэш-функция ёрдамида шифрлашнинг узига хос хусу- сияти шундаки, у мохияти буйича бир томонламадир, яъни тескари узгартириш-кабул килувчи тарафда расшифровка килиш билан бирга олиб борилмайди. Иккала тараф (жунатувчи ва кабул килувчи) бир томонлама шифрлаш муолажасидан фойдаланади. Шифрланаётган маълумот М га кулланилган К параметр-калитли бир томонлама хэш-функция h k (.) натижада байтларнинг белгиланган катта булмагани сонидан иборат хэш-киймат (дайджест) "т" ни беради (6.4- расм). Жунатувчи (^ Хабар М К, 6.4- расм. Маълумотлар яхлитлигини текширишда бир томонлама хэш-функциянинг ишлатилиши (I-вариант). Дайджест "т" кабул килувчига дастлабки хабар М билан бирга узати- лади. Хабарни кабул килувчи, дайджест олинишида кандай бир томонлама хэш-функция ишлатилганлигини билган х,олда, расшифровка килинган ха- бар М дан фойдаланиб, дайджестни бошк,атдан х,исоблайди. Агар олинган дайджест билан хисобланган дайджест мое келса, хабар М нинг таркиби хеч кандай узгаришга дучор булмаганини билдиради. Кабул кдлувчи дайджест m Download 3.91 Mb. Do'stlaringiz bilan baham: 
|