kerberos

kerberos

اسلاید 1: فصل چهارم kerberos1بسم الله الرحمن الرحيم

اسلاید 2: فهرست مطالبمفاهيم اوليهويژگيهاي عمومي KerberosKerberos v4 Kerberos v5 2

اسلاید 3: مفاهيم اوليهنمونه كاربردهاي هويت شناسينياز به دستيابي كاربران روي WorkStation ها به سرويس هاي روي سرورنياز به محدود كردن دستيابي كاربران به سرويس ها و اطلاعاتوجود خطرات در اعتماد به WorkStationها براي شناسايي كاربران خود3

اسلاید 4: مفاهيم اوليهنمونه تهديدهادستيابي كاربر A به يك Workstation با هويت كاربر B.تغيير آدرس شبكه يك WorkStation.حمله Replay يا استراق سمع بين يك كاربر و سرور.4

اسلاید 5: ويژگيهاي عمومي Kerberosويژگيهايك سرويس دهنده احراز هويتمبتني بر الگوريتمهاي رمزنگاري متقارنسرور هويت شناسي مركزي براي اثبات هويت كاربران به سرور و برعکسنسخه هاي 4 و 5 آن در حال استفاده هستند( نسخه 5 بصورت RFC1510 در آمده است)5

اسلاید 6: ويژگيهاي عمومي Kerberosملزومات Kerberosامن(Secure)مطمئن(Reliable)شفاف(Transparent)مقیاس پذیر(Scalable)6

اسلاید 7: Kerberos v4بررسي ويژگيها و پروتكلاستفاده از DESاستفاده از بليط(Ticket) ها بليط در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو Kerberos به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.يك ديالوگ هويت شناسي ساده CAS: IDC|PC|IDVASC: E)kv,[IDC|ADC|IDV])CV: IDC | E)kv,[IDC|ADC|IDV])C : client AS : authentication serverV : server ADC : client address (ticket only valid if from C)PC : client password7

اسلاید 8: Kerberos v4يك ديالوگ هويت شناسي امن ترويژگيها :عدم ارسال كلمه عبور بطور ساده(با معرفي TGS)قابليت استفاده مجدد از بليط(ticket) هااستفاده از بليطهاي جديد براي سرويس هاي جديد8

اسلاید 9: 9Once per user Logon Session 1. C IDC || IDTGS AS 2. AS E)kC,[TicketTGS]) C (KC from users password)Once per type of service 3. C IDC || IDV || TicketTGS TGS 4. TGS TicketV COnce per Service Session 5. C IDC || TicketV V TicketTGS = E(kTGS,[IDC || ADC || IDTGS || TS1 || lifetime1]) TicketV = E(KV,[IDC || ADC || IDV || TS2 || lifetime2])

اسلاید 10: Kerberos v4نقاط ضعف پروتكل اخيرمشكل زمان اعتبار گذرواژه هازمان كوتاه : نياز به درخواست هاي زياد گذرواژهزمان بلند : خطر حملات replayعدم احراز هويت سرور به كاربررسيدن درخواست ها به يك سرويس غيرواقعي10

اسلاید 11: Kerberos v4بررسي الگوريتم نهاييتبادل پيغام 1 : بدست آوردن بليط مربوط به TGS1. CAS: IDC|IDtgs|TS12. ASC: E(KC,[KC,tgs|IDtgs|TS2|Lifetime2|Tickettgs])Tickettgs=E(Ktgs,[KC,tgs|IDC|ADC|IDtgs|TS2|Lifetime2])نتايج اين مرحله براي كاربر C :بدست آوردن بليط امن از TGSبدست آوردن زمان انقضاي بليط(TS2)بدست آوردن كليد جلسه امن بين خودش و TGS11

اسلاید 12: Kerberos v4بررسي الگوريتم نهاييتبادل پيغام 2 : بدست آوردن بليط مربوط به سرويس3. CTGS: IDV|Tickettgs|AuthenticatorC4. TGSC: E(KC,tgs , [KC,V|IDV|TS4|TicketV])TicketV=E(KV, [KC,V|IDC|ADC|IDV|TS4|Lifetime4])AuthenticatorC=E(KC,tgs , [IDC|ADC|TS3])نتايج اين مرحله براي كاربر C :بدست آوردن يك شناساننده(Authenticator) يكبار مصرف كه عمر كوتاهي داردبدست آوردن كليد جلسه براي ارتباط با سرور V12

اسلاید 13: Kerberos v4بررسي الگوريتم نهاييتبادل پيغام 3 : احراز هويت براي دستيابي به سرويس5.CV:TicketV|AuthenticatorC=E(KC,V , [IDC|ADC|TS5])6.VC:E(KC,V , [TS5+1]) (for mutual authentication)نتايج اين مرحله براي كاربر C :احراز هويت سرور با برگرداندن پيغام رمزشدهجلوگيري از بروز حمله replay در مجموع وجود كليدهاي جلسه و Authenticatorهاي يكبار مصرف امنيت را بالا برده اند.13

اسلاید 14: Kerberos v4قلمرو Kerberos از بخشهاي زير تشكيل شده است :سرور Kerberosكاربران به همراه شناسه هاي كاربري و گذرواژه هاي ثبت شده در سرورهاسرورهاي كاربردي : كه دوبدو روي كليد مشتركي توافق كرده اند.هويت شناسي بين قلمرويي(Inter Realm) : امكان اينكه كاربران بتوانند از سرويس هاي موجود در قلمروهاي ديگر استفاده كنند.راه حل : سرور Kerberos موجود در دو قلمرو متفاوت, يك كليد مخفي باهم به اشتراك مي گذارند.نتيجه : هويت شناخته شده در يك قلمرو, براي سرور Kerberos قلمرو ديگر قابل قبول است.14

اسلاید 15: Inter-Realm Authentication15

اسلاید 16: Kerberos v5مشخصاتدر اواسط 1990 مطرح شد.نقص ها و كمبودهاي نسخه قبلي را برطرف كرده است.به عنوان استاندارد اينترنتي RFC 1510 در نظر گرفته شده است.ويندوز 2000 از استاندارد اينترنتی Kerberos نسخه 5 بعنوان روش اصلی هويت شناسی کاربران استفاده می کند.16

اسلاید 17: Kerberos v5مشكلات Kerberos v4 و نحوه رفع آنها در نسخه 5وابستگي به يك سيستم رمزنگاري خاص(DES)+ در نسخه 5 مي توان از هر الگوريتم متقارن استفاده كردوابستگي به IP+ در نسخه 5 مي توان از هر آدرس شبكه(مثلا OSI يا IP) استفاده كردمحدود بودن زمان اعتبار بليطها+ در نسخه 5 اين محدوديت وجود نداردامكان اعتبار يك كاربر به يك سرور ديگر وجود ندارد+ در نسخه 5 اجازه داده مي شود كه مثلا كاربر به سرور چاپ يك فايل را معرفي كند تا سر فرصت فايل با اعتبار آن كاربر توسط سرور چاپ, چاپ شودبا افزايش تعداد قلمروها, تعداد كليدها بصورت تصاعدي افزايش مي يابد+ در نسخه 5 اين مشكل حل شده است.17

اسلاید 18: 18Kerberos v5:Realm قلمرو کاربر را نشان میدهد. options:افراشتن پرچم های معینی در بلیط بازگشتی را درخواست مینماید. times:تنظیم زمانهای زیر در بلیط ،با تقاضای client را ممکن می سازد.از: زمان آغاز برای بلیط تقاضا شدهتا : زمان انقضا برای بلیط تقاضا شدهتمدید: زمان تمدید برای بلیط تقاضا شده nonce:یک مقدار تصادفی که بایستی در پیام(2) تکرار گردد تا مطمئن شویم که پاسخ تازه بوده و فرم قدیمی بازخوانی شده توسط دشمن نمیباشد.

اسلاید 19: 19 Kerberos v5 Message Exchange