kerberos

صفحه 1:
له الرحمن الرحيم kerberos 

صفحه 2:
257 © مفاهيم اوليه 16261205 ‏#ويژگيهاي عمومي‎ Kerberos v4® Kerberos v5® 

صفحه 3:
اولي © نمونه كاربردهاي هويت شناسي #نیاز به دستيابي کاربران روي ‎ WorkStation‏ به سرويس هاي روي سرور *نياز به محدود كردن دستيابي كاربران به سرويس ها و اطلاعات #وجود خطرات در اعتماد ‎sly» bWorkStation a,‏ شناسايي کاربران خود 

صفحه 4:
#نمونه تهدیدها #دستيابي کاربر ۸ به يك ۷۷0۲6/۵08 با هویت کاربر ظ. #تغییر آدرس شبکه يك ۰۲۷۷0۲۱5۲۵1101 #حمله 116011 یا استراق سمع بین يك کاربر و سرور. 

صفحه 5:
Kerberos ‏#ویژگیها‎ #يك سرویس دهنده احراز هویت *مبتني بر الگوريتمهاي رمزنگاري متقارن ٩سرور‏ هویت شناسي مركزي براي اثبات هویت کاربران به سرور و برعکس #نسخه هاي 4 و 5 آن در حال استفاده هستند( نسخه 5 تصورت 1۳01510 در آمده است) 

صفحه 6:
سس ۱۳9 Kerberos 161706705 ‏#ملزومات‎ ‎(Secure) yol® (Reliable) yiolo® (Transparent) slaw® (Scalable) »3, yulic® 

صفحه 7:
بررسي ویژگیها و پروتکل © استفاده از 85 ‎٩‏ استفاده از ‎ly (Ticket) Lab‏ ‎٠‏ بلیط اهي است که هنگا کاربر به 5 اش ا ‎er‏ ‏يك دیالوگ هویت شناسي ساده 1 ‎ASC: E)k, [ID,|AD,|IDy)‏ .2 ‎CoV: ID, | Dk, {ID.JAD, ID)‏ .8 ‎C: client AS : authentication server‏ ‎V: server ADC : client address (ticket only valid if from C)‏ PC : client password 

صفحه 8:
ار v4 فيك دیالوگ هویت شناسي امن تر *ويزكيها : * عدم ارسال كلمه عبور يظور ساده(با معرفي 7©5) * قابليت استفاده مجدد از ‎la (ticket) Lab‏ * استفاده از بليطهاي جديد براي سرويس هاي جديد 

صفحه 9:
Ouve per wer boyu Gession 0۰ مم 1 || 10 0 :4 6 ماس نم( © .6 (لممسوعهم ی متا ن)) ‎Owe per type oP service‏ ۵0۵ مسا || 10 || و3410 0 .6 6 اج ۵۵۵ ۰ Owe per Service Orssiva 9. 0 10 || Picket, 6 ‎Meee || Mc Il‏ ]| ه.00© || ن©4اكارويركا) © > مويصات”” ([لعددتنا ‏0 ‎Ck‏ دا تا وا و اف ی فش 

صفحه 10:
۷4 #نقاط ضعف پروتکل ‎pel‏ ‏#مشکل زمان اعتبار گذرواژه ها ۴زمان کوتاه : نیاز به درخواست هاي زیاد گذرواژه ؟ زمان بلند : خطر حملات ۲6012۷ *عدم احراز هویت سرور به کاربر *؟ رسیدن درخواست ها به يك سرویس غيرواقعي 

صفحه 11:
6 بررسي الگوریتم نهايي ® تبادل پیفام 1 : بدست آوردن بلیط مربوط به 765 1. CHAS: ‏یی‌طلط1‎ ‎2, ASC: E(Ke [Ke ygslDygelTSo|Lifetime,|Ticket,,.]) Ticket,,.=E(K,,, [K,g.lID,|AD,|ID,,,[TS,|Lifetime,]) : 6 ‏نتایج اين مرحله براي کاربر‎ بدست آوردن بلیط امن از ۲65 بدست آوردن زمان انقضاي بلیط(152) * بدست آوردن کلید جلسه امن بین خودش و ‎TGS‏ 

صفحه 12:
ee ۴#بررسي الگوریتم نهايي #تبادل پیفام 2 : بدست آوردن بلیط مربوط به ‎IDviTicketigs|Authenticatore‏ :سب .3 ‎TGS—C: E(Ketgs , [Kev|IDv|TS4|Ticketv])‏ .4 Ticketv=E(Kv, [Kev|IDc|ADc|IDv|TSa|Lifetimes]) AuthenticatorC=E(Kceigs , [[Dc|ADc|TS3]) نتايج اين مرحله براي كاربر © : ‎ca nee‏ آوردر ان يك ‎(Authenticator)oilwlus‏ يكبار مصرف كه عمر 1/7 ‏آوردن كليد جلسه براي ارتناط با سرور‎ a) 

صفحه 13:
۷4 0 ۴#بررسي الگوریتم نهايي #تبادل پیغام 3 : احراز هویت براي دستيابي به سرویس ‎Ticketv|Authenticatorc=E(Ke,v, [IDc|ADc|‏ :بل ‎TSs)‏ ‎6.V>C: E(Ke,v , [TSs+ 1} (for mutual authentication)‏ ° ‏نتايج اين مرحله براي كاربر © : حراز هویت سرور با برگرداندن پیغام رمزشده * جلوگيري از بروز حمله ‎replay‏ ‏در مچموع وجود كليدهاي جلسه و ۸1601102107هاي یکبار مصرف امنیت انالا برد آند: ‎ ‎9 

صفحه 14:
v4 #قلمرو 167۳06705 از بخشهاي زیر تشکیل شده است : #سرور 16706۲05 * کاربران به همراه شناسه هاي كاربري و گذرواژه هاي ثبت شده در سرورها ۴ سرورهاي كاربردي : که دوبدو روي کلید مشتركي توافق کرده اند. هویت شناسي بین قلمرويي(۳۵۵1۳ 016۲]) : امکان اينکه کاربران بتوانند آز سرویس هاي موجود در قلمروهاي دیگر استفاده کنند. راه حل : سرور ‎Kemetos‏ کت در دو قلمرو متفاوت, يك کلید مخفي باهم به اشتراك مي نتیجه : هویت شناخته شده ‎re‏ يك قلمرو, براي سرور 167۳06705 قلمرو یگر قابل قبول است. 

صفحه 15:
ی ۸ uthentication- 

صفحه 16:
لت 0 ۳ #مشخصات #در اواسط 1990 مطرح شد. #نقص ها و کمبودهاي نسخه قبلي را برطرف کرده است. #به عنوان استاندارد اينترنتي 1510 3۳0 در نظر گرفته شده است. #ویندوز 2000 از استاندارد اینترنتی 167۳061705 نسخه 5 ‎ee‏ روش اصلی هویت شناسی کاربران استفاده می 

صفحه 17:
we v5 مشکلات 74 16۲۳06705 و نحوه رفع آنها در نسخه 5 ؟ وابستگي به يك سیستم رمزنگاري خاص(85) در نسخه 5 مي گوان از هر الگورشم متفارن انتفاده کر * وابستكي به 12 + در نسخه 5 مي توان از هر آدرس شبكه(مثلا 051 يا 12) استفاده كرد © محدود بودن زمان اعتبار بليطها + در نسخه 5 اين محدوديت وجود ندارد * امكان اعتبار يك كاربر به يك سرور دیگر وجود ندارد جر نسفه 5 اجازع دادم سی وه که عثلا اریز به سرووچاپ بلق فان را معرفي کند تا سر فرصت فایل با اعتبار آن کاربر توسط سرور چاپ, ‎rol‏ * با افزايش تعداد قلمروها, تعداد كليدها بصورت تصاعدي افزايش مي يابد + در نسخه 5 اين مشكل حل شده است. 

صفحه 18:
Kerberos v5 ‏قلمرو کاربر را نشان میدهد.‎ ۴ ۶ 095ا00:افراشتن پرچم های معینی در بلیط بازگشتی را درخواست مماید = 05 تنظیم زمانهای زیر در بلیط ,با تقاضای اطهناه» را ممکن زمان آغاز برای بلیط تقاضا شده زمان انقضا برای بلیط تقاضا شده # تمدید: زمان تمدید برای بلیط تقاضا شده ‎ibe <Smonce ©‏ تصادفی که بایستی در پیام(2) تکرار گردد تا مطمئن شويم كه باسح تازه بوده و قرم قديمى بازخوانى شده توسط دشمن نمیباشد. ‎6 

صفحه 19:
Kerberos v5 Me Exchange (a) Authentication Service Exchange: to obtain ticket-granting ticket Th) C—> AS. Options ID, | Realm, | IDig, | Times || Nonce; (2) AS > C: Realing || IDg¢ || Tickettgs || Eke [Kc.igs || Times |) Nonce} || Realmegs || [Digs] Tickets ~ Exige [Flags || Kegs || Reale || IDe | AD | Times] (by Tieket-Granting Service Eas to obtain service-granting ticket y 7 iss 3 (4) TGS ‏جه‎ ©: Realme | 1D. Tickety ۳۳۹ ‏ی ره‎ | Nonce | Realy || Dy Ticketigs Fittgs [Flags || Kegs |] Reale |) IDe|) ADe| Times] Tickety = Exy [Flags || | Reale || [De |] ADe|] Times] Authenticators = Ek js [ IDe|| Realme || TS) ] 10 Sezverod wan en ea Con RCH Eee OT icket, || Authenticator. 06105 ‏]يمير‎ TS2 || Subkey | 5۵۶ [ Tickety = Exy [Flags || Ke,y || Realmg || [De |] ADe|| Times] Authenticator; = Exgy [ LD¢ | Realm, || TS | Subkey |j Seq | ص