Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К


Download 3.91 Mb.
Pdf ko'rish
bet71/170
Sana13.11.2023
Hajmi3.91 Mb.
#1770208
1   ...   67   68   69   70   71   72   73   74   ...   170
Bog'liq
axborot-kommunikatsion tizimlar xav- fsizligi

Хизмат сурови.
Энди мижоз узининг хакикийлигини максад серверига исботлаши 
мумкин. Максад серверида аутентификациядан муваффакиятли утиш учун 
мижоз таркибида узининг исми, тармок, адреси, вакт белгиси булган ва се-
анс калити "мижоз-сервер"да шифрланган аутентификаторни яратади ва 
уни TGS хизматидан олиб берилган максад серверининг махфий калитида 
шифрланган мандат билан бирга жунатади.
Максад сервери мижоздан маълумотларни олиб, аутентификаторни 
узининг махфий калитида расшифровка килади ва ундан "мижоз-сервер" 
сеанс калитини чикариб олади. Мандат хам текширилади. Текшириш муо-
лажаси "мижоз-TGS" сессиясида утказиладиган муолажага ухшаш, яъни 
тармок, адреслари ва вакт белгисининг мослиги текширилади. Агар барчаси 
мое келса, сервер мижознинг хакикийлигига ишонч хреил килади.
Агар илова х,ак,ик,ийликнинг узаро текширилишини талаб этеа, сервер 
мижозга таркибида сеанс калитида шифрланган вакт белгиси булган хабар-
ни юборади. Бу серверга тугри махфий калитнинг маълум эканлигини ва у 
мандат ва гувохномани расшифровка кила олишини исботлайди. Зарурият 
тугилганида мижоз ва сервер кейинги хабарларни умумий калитда шифр-
лашлари мумкин. Чунки бу калит факат уларга маълум, бу калит билан 
шифрланган охирги хабар иккинчи тарафдан юборилганига иккала тараф 
ишонч хреил килишлари мумкин. Амалда бу барча мураккаб муолажалар


автоматик тарзда бажарилади ва мижозга кандайдир нокулайликлар етка-
зилмайди.
Доменлараро аутентификациялаш хусусиятлари.
Kerberos 
дан доменлараро аутентификациялашда хдм фойдаланиш 
мумкин. Мижоз бошка домендаги сервердан фойдаланиш максадида калит -
ларни таксимлаш маркази KDC га мурожаат килса, KDC мижозга суралаёт-
ган сервер жойлашган доменнинг KDC ига мурожаат этишга щита адрес-
лаш мандатини (referal ticket) такдим этади (6.4-расм).
1-
домен
2-
домен
KDC 1
KDC2
1
1
1
2
3
У
1
2
4
Мижоз
Сервер
5
6.4-
расм. Kerberos протоколида доменлараро аутентификациялаш схемаси
Расмда куйидаги белгилапглар кабул килинган:
1. 
Аутентификациялашга суров. 
2. KDC1 
учун TGT 
3. KDC2 
учун TGT. 
4. 
Сервердан фойдаланиш мандата. 
5. 
Маълумотларни аутентификациялаш ва алмашиш. 
Кдйта адреслаш мандата иккита домен КБСсининг жуфтли алока ка-
литида шифрланган ТСГдир. Бунда мижозга сервердан фойдаланишга ман-
датни суралаётган сервер жойлашган KDC такдим этади.
Жуда куп доменли тармокда аутентификациялаш учун KerberosflaH 
фойдаланиш назарий жихдтдан мумкин булсада, мурожаатлар сонининг до-
менлар сонига мутаносиб равишда ошиши сабабли, суровларни муайян


KDCnapra 
бир маънода кайта адресловчи кандайдир марказий домен 
куришга тугри келади.
Kerberos 
хаефсизлиги.
Kerberos, 
криптографик химоялашнинг бошка харкандай дастурий во-
ситаси каби ишончсиз дастурий мухдтда ишлайди. Ушбу мухитнинг хуж-
жатлаштирилмаган имкониятлари ёки нотугри конфигурацияси жиддий ах-
боротнинг чикиб кетишига олиб келиши мумкин. Хатто калитлар фойдала-
нувчи ишлаш сеансида факат оператив хотирада сакланса хам операцион 
тизимдаги бузилиш калитларнинг каттик, дискда нусхаланишига олиб кели-
ши мумкин.
Kerberos 
дастурий таъминоти урнатилган ишчи станциясидан 
купчилик фойдаланувчи режимнинг ишлатилиши ёки ишчи станциялардан 
фойдаланишнинг назорати булмаслиги дастур-закладкани киритиш ёки 
криптографик дастурий таъминотни модификациялаш имкониятини 
тугдиради.
Шу сабабли, Kerberos хавфсизлиги куп жихатдан ушбу протокол 
урнатилган ишчи станцияси химоясининг ишончлигига боглик,.
Kerberos 
протоколининг узига к,уйидаги к,атор талаблар к,уйилади:
- Kerberos 
хизмати хизмат килишдан воз кечишга йуналтирилган ху- 
жумлардан химояланиши шарт; 

вакт белгиси аутентификация жараёнида к,атнашиши сабабли, ти- 
зимдан фойдаланувчиларининг барчаси учун тизимли вактни синхронлаш 
зарур; 
- Kerberos 
паролни саралаш орк,али хужум к,илишдан химояламайди. 
Муаммо шундаки, KDC да сакланувчи фойдаланувчи калити унинг пароли- 
ни хэш-функция ёрдамида кайта ишлаш натижасидир. Паролнинг 
бушлигида уни саралаб топиш мумкин. 
- Kerberos
хизмати рухсатсиз фойдаланишининг барча турларидан 
ишончли химояланиши шарт;

мижоз олган мандатлар, хамда махфий калитлар рухсатсиз фойдала- 
нишдан х,имояланиши шарт.


Юкррида келтирилган талабларнинг бажарилмаслиги муваффакиятли 
хужумга сабаб булиши мумкин.
Хрзирда Kerberos протоколи аутентификациялашнинг кенг тарк,алган 
воситаси хисобланади. Kerberos турли криптографик схемалар, хусусан, 
очик, калитли шифрлаш билан биргаликда ишлатилиши мумкин.
Бир томонлама калитли хэш-функциялардан фойдаланишга 
асосланган протоколлар.
Бир томонлама хэш-функция ёрдамида шифрлашнинг узига хос хусу-
сияти шундаки, у мохияти буйича бир томонламадир, яъни тескари 
узгартириш-кабул килувчи тарафда расшифровка килиш билан бирга олиб 
борилмайди. Иккала тараф (жунатувчи ва кабул килувчи) бир томонлама 
шифрлаш муолажасидан фойдаланади.
Шифрланаётган маълумот М га кулланилган К параметр-калитли бир 
томонлама хэш-функция h
k
(.) 
натижада байтларнинг белгиланган катта 
булмагани сонидан иборат хэш-киймат (дайджест) "т" ни беради (6.4-
расм).
Жунатувчи (^
Хабар М
К,
6.4-
расм. Маълумотлар яхлитлигини текширишда бир томонлама 
хэш-функциянинг ишлатилиши (I-вариант).
Дайджест "т" кабул килувчига дастлабки хабар М билан бирга узати-
лади. Хабарни кабул килувчи, дайджест олинишида кандай бир томонлама 
хэш-функция ишлатилганлигини билган х,олда, расшифровка килинган ха-
бар М дан фойдаланиб, дайджестни бошк,атдан х,исоблайди. Агар олинган 
дайджест билан хисобланган дайджест мое келса, хабар М нинг таркиби 
хеч кандай узгаришга дучор булмаганини билдиради.
Кабул кдлувчи
дайджест m

Download 3.91 Mb.

Do'stlaringiz bilan baham:
1   ...   67   68   69   70   71   72   73   74   ...   170




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling