Download presentation
Presentation is loading. Please wait.
1
بسم الله الرحمن الرحيم فصل چهارم kerberos
2
فهرست مطالب مفاهيم اوليه ويژگيهاي عمومي Kerberos Kerberos v4
3
مفاهيم اوليه نمونه كاربردهاي هويت شناسي
سرويس تشخيص هويت كليد خصوصي در محيط هاي توزيع شده نياز به دستيابي كاربران روي WorkStation ها به سرويس هاي روي سرور نياز به محدود كردن دستيابي كاربران به سرويس ها و اطلاعات وجود خطرات در اعتماد به WorkStationها براي شناسايي كاربران خود
4
مفاهيم اوليه نمونه تهديدها
دستيابي كاربر A به يك Workstation با هويت كاربر B. تغيير آدرس شبكه يك WorkStation. حمله Replay يا استراق سمع بين يك كاربر و سرور.
5
ويژگيهاي عمومي Kerberos
يك سرويس دهنده احراز هويت مبتني بر الگوريتمهاي رمزنگاري متقارن سرور هويت شناسي مركزي براي اثبات هويت كاربران به سرور و برعكس نسخه هاي 4 و 5 آن در حال استفاده هستند( نسخه 5 بصورت RFC1510 در آمده است)
6
ويژگيهاي عموميKerberos
امن(Secure) مطمئن(Reliable) شفاف(Transparent) مقیاس پذیر(Scalable)
7
Kerberos v4 بررسي ويژگيها و پروتكل استفاده از DES
استفاده از بليط(Ticket) ها بليط در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو Kerberos به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد. يك ديالوگ هويت شناسي ساده CAS: IDC|PC|IDV ASC: E)kv,[IDC|ADC|IDV]) CV: IDC | E)kv,[IDC|ADC|IDV]) C : client AS : authentication server V : server ADC : client address (ticket only valid if from C) PC : client password
8
Kerberos v4 يك ديالوگ هويت شناسي امن تر ويژگيها :
عدم ارسال كلمه عبور بطور ساده(با معرفي TGS) قابليت استفاده مجدد از بليط(ticket) ها استفاده از بليطهاي جديد براي سرويس هاي جديد
9
Once per user Logon Session
1. C IDC || IDTGS AS 2. AS E)kC,[TicketTGS]) C (KC from users password) Once per type of service 3. C IDC || IDV || TicketTGS TGS 4. TGS TicketV C Once per Service Session 5. C IDC || TicketV V TicketTGS = E(kTGS,[IDC || ADC || IDTGS || TS1 || lifetime1]) TicketV = E(KV,[IDC || ADC || IDV || TS2 || lifetime2])
10
Kerberos v4 نقاط ضعف پروتكل اخير مشكل زمان اعتبار گذرواژه ها
زمان كوتاه : نياز به درخواست هاي زياد گذرواژه زمان بلند : خطر حملات replay عدم احراز هويت سرور به كاربر رسيدن درخواست ها به يك سرويس غيرواقعي
11
Kerberos v4 بررسي الگوريتم نهايي
تبادل پيغام 1 : بدست آوردن بليط مربوط به TGS 1. CAS: IDC|IDtgs|TS1 2. ASC: E(KC,[KC,tgs|IDtgs|TS2|Lifetime2|Tickettgs]) Tickettgs=E(Ktgs,[KC,tgs|IDC|ADC|IDtgs|TS2|Lifetime2]) نتايج اين مرحله براي كاربر C : بدست آوردن بليط امن از TGS بدست آوردن زمان انقضاي بليط(TS2) بدست آوردن كليد جلسه امن بين خودش و TGS
12
Kerberos v4 3. CTGS: IDV|Tickettgs|AuthenticatorC
بررسي الگوريتم نهايي تبادل پيغام 2 : بدست آوردن بليط مربوط به سرويس 3. CTGS: IDV|Tickettgs|AuthenticatorC 4. TGSC: E(KC,tgs , [KC,V|IDV|TS4|TicketV]) TicketV=E(KV, [KC,V|IDC|ADC|IDV|TS4|Lifetime4]) AuthenticatorC=E(KC,tgs , [IDC|ADC|TS3]) نتايج اين مرحله براي كاربر C : بدست آوردن يك شناساننده(Authenticator) يكبار مصرف كه عمر كوتاهي دارد بدست آوردن كليد جلسه براي ارتباط با سرور V
13
Kerberos v4 بررسي الگوريتم نهايي
تبادل پيغام 3 : احراز هويت براي دستيابي به سرويس 5.CV: TicketV|AuthenticatorC=E(KC,V , [IDC|ADC|TS5]) 6.VC: E(KC,V , [TS5+1]) (for mutual authentication) نتايج اين مرحله براي كاربر C : احراز هويت سرور با برگرداندن پيغام رمزشده جلوگيري از بروز حمله replay در مجموع وجود كليدهاي جلسه و Authenticatorهاي يكبار مصرف امنيت را بالا برده اند.
14
Kerberos v4 قلمرو Kerberos از بخشهاي زير تشكيل شده است : سرور Kerberos
كاربران به همراه شناسه هاي كاربري و گذرواژه هاي ثبت شده در سرورها سرورهاي كاربردي : كه دوبدو روي كليد مشتركي توافق كرده اند. هويت شناسي بين قلمرويي(Inter Realm) : امكان اينكه كاربران بتوانند از سرويس هاي موجود در قلمروهاي ديگر استفاده كنند. راه حل : سرور Kerberos موجود در دو قلمرو متفاوت, يك كليد مخفي باهم به اشتراك مي گذارند. نتيجه : هويت شناخته شده در يك قلمرو, براي سرور Kerberos قلمرو ديگر قابل قبول است.
15
Inter-Realm Authentication
16
Kerberos v5 مشخصات در اواسط 1990 مطرح شد.
نقص ها و كمبودهاي نسخه قبلي را برطرف كرده است. به عنوان استاندارد اينترنتي RFC 1510 در نظر گرفته شده است. ويندوز 2000 از استاندارد اينترنتی Kerberos نسخه 5 بعنوان روش اصلی هويت شناسی کاربران استفاده می کند.
17
Kerberos v5 مشكلات Kerberos v4 و نحوه رفع آنها در نسخه 5
وابستگي به يك سيستم رمزنگاري خاص(DES) + در نسخه 5 مي توان از هر الگوريتم متقارن استفاده كرد وابستگي به IP + در نسخه 5 مي توان از هر آدرس شبكه(مثلا OSI يا IP) استفاده كرد محدود بودن زمان اعتبار بليطها + در نسخه 5 اين محدوديت وجود ندارد امكان اعتبار يك كاربر به يك سرور ديگر وجود ندارد + در نسخه 5 اجازه داده مي شود كه مثلا كاربر به سرور چاپ يك فايل را معرفي كند تا سر فرصت فايل با اعتبار آن كاربر توسط سرور چاپ, چاپ شود با افزايش تعداد قلمروها, تعداد كليدها بصورت تصاعدي افزايش مي يابد + در نسخه 5 اين مشكل حل شده است.
18
Kerberos v5 :Realm قلمرو کاربر را نشان میدهد.
options:افراشتن پرچم های معینی در بلیط بازگشتی را درخواست مینماید. times:تنظیم زمانهای زیر در بلیط ،با تقاضای client را ممکن می سازد. از: زمان آغاز برای بلیط تقاضا شده تا : زمان انقضا برای بلیط تقاضا شده تمدید: زمان تمدید برای بلیط تقاضا شده nonce:یک مقدار تصادفی که بایستی در پیام(2) تکرار گردد تا مطمئن شویم که پاسخ تازه بوده و فرم قدیمی بازخوانی شده توسط دشمن نمیباشد.
19
Kerberos v5 Message Exchange
Similar presentations
