بسم الله الرحمن الرحيم فصل چهارم kerberos

فهرست مطالب مفاهيم اوليه ويژگيهاي عمومي Kerberos Kerberos v4

مفاهيم اوليه نمونه كاربردهاي هويت شناسي سرويس تشخيص هويت كليد خصوصي در محيط هاي توزيع شده نياز به دستيابي كاربران روي WorkStation ها به سرويس هاي روي سرور نياز به محدود كردن دستيابي كاربران به سرويس ها و اطلاعات وجود خطرات در اعتماد به WorkStationها براي شناسايي كاربران خود

مفاهيم اوليه نمونه تهديدها دستيابي كاربر A به يك Workstation با هويت كاربر B. تغيير آدرس شبكه يك WorkStation. حمله Replay يا استراق سمع بين يك كاربر و سرور.

ويژگيهاي عمومي Kerberos يك سرويس دهنده احراز هويت مبتني بر الگوريتمهاي رمزنگاري متقارن سرور هويت شناسي مركزي براي اثبات هويت كاربران به سرور و برعكس نسخه هاي 4 و 5 آن در حال استفاده هستند( نسخه 5 بصورت RFC1510 در آمده است)

ويژگيهاي عموميKerberos امن(Secure) مطمئن(Reliable) شفاف(Transparent) مقیاس پذیر(Scalable)

Kerberos v4 بررسي ويژگيها و پروتكل استفاده از DES استفاده از بليط(Ticket) ها بليط در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو Kerberos به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد. يك ديالوگ هويت شناسي ساده CAS: IDC|PC|IDV ASC: E)kv,[IDC|ADC|IDV]) CV: IDC | E)kv,[IDC|ADC|IDV]) C : client AS : authentication server V : server ADC : client address (ticket only valid if from C) PC : client password

Kerberos v4 يك ديالوگ هويت شناسي امن تر ويژگيها : عدم ارسال كلمه عبور بطور ساده(با معرفي TGS) قابليت استفاده مجدد از بليط(ticket) ها استفاده از بليطهاي جديد براي سرويس هاي جديد

Once per user Logon Session 1. C IDC || IDTGS AS 2. AS E)kC,[TicketTGS]) C (KC from users password) Once per type of service 3. C IDC || IDV || TicketTGS TGS 4. TGS TicketV C Once per Service Session 5. C IDC || TicketV V TicketTGS = E(kTGS,[IDC || ADC || IDTGS || TS1 || lifetime1]) TicketV = E(KV,[IDC || ADC || IDV || TS2 || lifetime2])

Kerberos v4 نقاط ضعف پروتكل اخير مشكل زمان اعتبار گذرواژه ها زمان كوتاه : نياز به درخواست هاي زياد گذرواژه زمان بلند : خطر حملات replay عدم احراز هويت سرور به كاربر رسيدن درخواست ها به يك سرويس غيرواقعي

Kerberos v4 بررسي الگوريتم نهايي تبادل پيغام 1 : بدست آوردن بليط مربوط به TGS 1. CAS: IDC|IDtgs|TS1 2. ASC: E(KC,[KC,tgs|IDtgs|TS2|Lifetime2|Tickettgs]) Tickettgs=E(Ktgs,[KC,tgs|IDC|ADC|IDtgs|TS2|Lifetime2]) نتايج اين مرحله براي كاربر C : بدست آوردن بليط امن از TGS بدست آوردن زمان انقضاي بليط(TS2) بدست آوردن كليد جلسه امن بين خودش و TGS

Kerberos v4 3. CTGS: IDV|Tickettgs|AuthenticatorC بررسي الگوريتم نهايي تبادل پيغام 2 : بدست آوردن بليط مربوط به سرويس 3. CTGS: IDV|Tickettgs|AuthenticatorC 4. TGSC: E(KC,tgs , [KC,V|IDV|TS4|TicketV]) TicketV=E(KV, [KC,V|IDC|ADC|IDV|TS4|Lifetime4]) AuthenticatorC=E(KC,tgs , [IDC|ADC|TS3]) نتايج اين مرحله براي كاربر C : بدست آوردن يك شناساننده(Authenticator) يكبار مصرف كه عمر كوتاهي دارد بدست آوردن كليد جلسه براي ارتباط با سرور V

Kerberos v4 بررسي الگوريتم نهايي تبادل پيغام 3 : احراز هويت براي دستيابي به سرويس 5.CV: TicketV|AuthenticatorC=E(KC,V , [IDC|ADC|TS5]) 6.VC: E(KC,V , [TS5+1]) (for mutual authentication) نتايج اين مرحله براي كاربر C : احراز هويت سرور با برگرداندن پيغام رمزشده جلوگيري از بروز حمله replay در مجموع وجود كليدهاي جلسه و Authenticatorهاي يكبار مصرف امنيت را بالا برده اند.

Kerberos v4 قلمرو Kerberos از بخشهاي زير تشكيل شده است : سرور Kerberos كاربران به همراه شناسه هاي كاربري و گذرواژه هاي ثبت شده در سرورها سرورهاي كاربردي : كه دوبدو روي كليد مشتركي توافق كرده اند. هويت شناسي بين قلمرويي(Inter Realm) : امكان اينكه كاربران بتوانند از سرويس هاي موجود در قلمروهاي ديگر استفاده كنند. راه حل : سرور Kerberos موجود در دو قلمرو متفاوت, يك كليد مخفي باهم به اشتراك مي گذارند. نتيجه : هويت شناخته شده در يك قلمرو, براي سرور Kerberos قلمرو ديگر قابل قبول است.

Inter-Realm Authentication

Kerberos v5 مشخصات در اواسط 1990 مطرح شد. نقص ها و كمبودهاي نسخه قبلي را برطرف كرده است. به عنوان استاندارد اينترنتي RFC 1510 در نظر گرفته شده است. ويندوز 2000 از استاندارد اينترنتی Kerberos نسخه 5 بعنوان روش اصلی هويت شناسی کاربران استفاده می کند.

Kerberos v5 مشكلات Kerberos v4 و نحوه رفع آنها در نسخه 5 وابستگي به يك سيستم رمزنگاري خاص(DES) + در نسخه 5 مي توان از هر الگوريتم متقارن استفاده كرد وابستگي به IP + در نسخه 5 مي توان از هر آدرس شبكه(مثلا OSI يا IP) استفاده كرد محدود بودن زمان اعتبار بليطها + در نسخه 5 اين محدوديت وجود ندارد امكان اعتبار يك كاربر به يك سرور ديگر وجود ندارد + در نسخه 5 اجازه داده مي شود كه مثلا كاربر به سرور چاپ يك فايل را معرفي كند تا سر فرصت فايل با اعتبار آن كاربر توسط سرور چاپ, چاپ شود با افزايش تعداد قلمروها, تعداد كليدها بصورت تصاعدي افزايش مي يابد + در نسخه 5 اين مشكل حل شده است.

Kerberos v5 :Realm قلمرو کاربر را نشان میدهد. options:افراشتن پرچم های معینی در بلیط بازگشتی را درخواست مینماید. times:تنظیم زمانهای زیر در بلیط ،با تقاضای client را ممکن می سازد. از: زمان آغاز برای بلیط تقاضا شده تا : زمان انقضا برای بلیط تقاضا شده تمدید: زمان تمدید برای بلیط تقاضا شده nonce:یک مقدار تصادفی که بایستی در پیام(2) تکرار گردد تا مطمئن شویم که پاسخ تازه بوده و فرم قدیمی بازخوانی شده توسط دشمن نمیباشد.

Kerberos v5 Message Exchange