Протокол за удостоверяване Kerberos, информационна сигурност

Протоколът Kerberos работи в клиент / сървър системи за удостоверяване и ключовите данни за обмен. Kerberos работи в мрежи TCP-IP, и осъществява въз основа на участниците доверие към третия протокол (доверен) партия. Сигурност в рамките на сесията Kerberos постига разход на прилагане на симетрични криптиращи алгоритми. Kerberos Service споделя една единствена таен ключ с всеки член на мрежата, както и познаване на този ключ е равносилно на автентичността на участника в мрежа.

Протоколът Kerberos, включващ двама потребители и доверените сървъри KS, осъзнавайки ролята на ключов разпределителен център. Членове сесия А и Б имат уникални идентификатори Ида и IDB. Страна А и Б споделят таен ключ KS към сървъра отделно. Така например, на потребителя на иска да получи seansovіy ключ за обмен на данни с потребителското Б. Потребителят задейства ключ фазата на разпределение, изпращане на сървъра KS идентификатори Ида и IDB:

KS сървъра създава пакет с клеймото T, срока на експлоатация L, случаен ключ на сесия К и идентификатор Ида. Сървърът криптира тайния ключ пакет, който разделя на потребителя Б. След това, KS сървъра отнема всички едни и същи, и криптира таен ключ се споделя с потребителското А. И двата пакета са предадени на потребителското A:

Потребител А декриптира първия пакет с ключа си и проверява времето за марка T, за да се уверите, че пакетът е валиден. След Потребител А създава пакет със своята Id идентификатор и момент от време Т, го криптира със сесията ключ К, и предава на потребителя Б. Освен това може съобщава на играча в пакет от KS, криптиран ключ страна Б.

Единствената партия в състояние да разшифровате последната 2 пакета. Краен стойности Т IDA и идентифицира потребителя за употреба Б. За да се удостовери автентичността на потребителя, той създава пакет, който съдържа маркирано време Т1 и кодира в К, след това я предава към потребител А.

Когато потребител на декриптира пакета и да получите очаквания резултат, потребителят се заверява с потребителското А. Протоколът работи успешно, когато потребителите часовник е синхронизирано с KS часовник сървър.

Kerberos система има структура тип клиент / сървър (фигура 1).

Сървър Kerberos KS включва сървър за удостоверяване AS и сървърът на TGS услуги, който издава мандати. Kerberos създава ключ за достъп, които се прехвърлят klientsu и сървъра (или двама клиенти) и никой друг. Ключът за достъп се генерира за шифроване на пакети, които се изпращат между потребителите и се отстранява след края на сесията. Операцията по Kerberos система се простира до онези части от мрежата, всички потребители, които са регистрирани по имената и паролите в сървъра на системата.

Алгоритъмът на системата Kerberos:

  • Client (C) &arr; AS - По желание на клиента към сървъра, че да позволява контакт с TGS
  • AS &arr; C - разрешение (мандат) от сървъра към клиента с AS контакт с TGS
  • C &arr; - С искане за обслужване TGS за допускане (мандат), за да RS сървърни ресурси
  • TGS &arr; C - разрешение (мандат) от услугата на клиента с TGS за достъп до ресурсите на сървъра RS на
  • C &arr; RS - RS искане на ресурсите на сървъра,
  • RS &arr; C - потвърждение удостоверяване RS сървъра и провизии на клиентите си

Този сървър взаимодействие модел с клиента може да работи само при условие, за да се постигне целостта и поверителността на транспортират управление на информацията. За да се избегне залавяне и неразрешено използване на информация, Kerberos прилага система на множествена криптиране при предаване на никакъв контрол информация. мандат и удостоверяващ: два вида удостоверенията документи, прилагани в системата Kerberos.

Мандат - е необходима за безопасно транспортиране на идентификационни данни за потребителя на сървъра, който даде мандат.

Authenticator - е допълнителен атрибут се представя заедно с мандата.

Определяне на документи Kerberos:

Мандата Kerberos е както следва: Тс, S = S, C, S> Kx. Мандатът се дава на определен потребител за достъп до сървъра строго за определен период от време. Потребителят не може да декриптира билета, но той може да го дам на сървъра в шифрован вид.

Kerberos Удостоверител има следната форма: AC, S = Kc, S. Authenticator създаден от потребителя всеки път, когато той иска да получи достъп до сървъра.

съобщение Kerberos

Kerberos има 5 версии на съобщенията:

Получаването на първоначалния мандат

Клиентът има данни, че докаже своята идентичност - парола. Kerveros система свежда до минимум възможността за разкриване на паролата, но не позволява да се идентифицира потребителя, който не знае паролата. Клиентът изпраща удостоверяване на сървъра пакет Kerberos, съдържащ името си и името на сървъра, TGS:

  • Клиент - Kerberos: С, TGS

На практика, потребителят просто влиза своето име, и заявлението изпраща заявка. Сървърът за удостоверяване търси информация за потребителя. Ако информацията е там, Kerberos генерира ключ на сесия Kc, TGS. която е необходима за комуникация между клиента и сървъра TGS. Системата шифрова сесията ключов клиент таен ключ Kc. и създава мандат клиент за разпределение на TGT (Ticket Предоставяне на билета). TGT е криптирана с таен ключ на TGS и съдържа идентификатор на сървъра и ключ потребителска сесия двойката TGS / TGT клиента и крайния час. Сървърът за удостоверяване на потребителя да изпраща тези два пакета:

Потребителят приема два пакета, декриптира първия пакет от своя таен ключ К, и ключ за достъп Kc, TGS. В таен ключ е еднопосочна хеш функция на паролата на потребителя. Нападателят не разполага с мандат, а ключа за достъп, защото той не знае паролата.

Потребителят запазва мандата на ключа за достъп и TGT, премахване на паролата и хеш стойност. Един хакер може да получи TGT и ключът на сесията е да има достъп до компютър на потребителя, но тези данни имат срок на годност.

Първи сървърни мандати

Потребителят може да получите отделен мандат за конкретна услуга. той трябва да изпратите заявка за обслужване на TGS:

В отговор на валидна заявка TGS осигурява потребителски идентификационни данни за достъп до сървъра ви трябва. TGS създава ключ на сесия за потребителя и необходимостта от сървъра, криптирана сесия ключ общи за потребителя и TGS. Тези два пакета се изпращат на потребителя:

искане за услуги

Сървър приеме пакета, проверява Удостоверител. Ако имате нужда от взаимно удостоверяване, сървърът изпраща потребителя към един пакет, съдържащ клеймото криптирана с клавиша сесия.

Към протокола Kerberos представени редица изисквания, които са подробно описани в RFC-1510. Основните от тях са:

  • Kerberos система трябва да бъде защитена от атаки, насочени към отказ на услуга
  • нужда от синхронизация на времето система на всички участници в системата
  • Kerberos не предпазва от грубите нападки сили.
  • Мандати и частни ключове трябва да бъдат защитени от неоторизиран достъп