Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 184

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 178 179 180 181 182 183 < 184 > 185 186 187 188 189 190 .. 311 >> Следующая

464
Часть IV. Аутентификация
( TGS )
__ 3. TGS_REQ '
( J\ZTGT 5-AP REQ [ с I
1.AS_REQ^\l С Jy^ 6.AP_REP

Рис. 12.4. Обмены в рамках протокола Kerberos
• С: клиент (процесс), предоставляюший пользователю сетевые услуги. Для того чтобы запустить процесс С на клиентской машине в рамках аутентификации, пользователь U должен иметь мандат системы Kerberos. Этот мандат вводится пользователем U в виде пароля.
• 5: сервер приложений (процесс), предоставляющий ресурсы клиенту С. В рамках клиент-серверной аутентификации приложений он получает от клиента С запрос на выполнение приложения (application request — APREQ). В свою очередь сервер приложений пересылает ответ (application reply — APREP), открывающий клиенту С доступ к приложениям.
• Ответ APREP содержит мандат клиента С (ticket — ТКТ), который в свою очередь содержит сеансовый ключ приложения Kc,s, временно разделенный между клиентом С и сервером S.
• KDC: центр распределения ключей (Key Distribution Center). Это коллективное название двух серверов аутентификации.
— AS: сервер аутентификации (Authentication Server). В рамках аутентификации он получает от клиента С исходный текст запроса на аутен-1 тификацию (Authentication Service Request — ASREQ) и возвращает! клиенту мандат на получение мандата (ticket granting ticket — TGT), который в дальнейшем клиент С может использовать для получения^ мандата в рамках протокола TGS Exchange.
Глава 12. Протоколы аутентификации — реальный мир
465
Сервер аутентификации разделяет пароль с каждым обслуживаемым пользователем. Этот пароль устанавливается с помощью средств однократной регистрации за пределами протокола Kerberos. Мандат на получение мандата, предоставляемый клиенту С, состоит из двух частей. Одна часть предназначена для клиента и шифруется с помощью ключа, построенного на основе пароля однократной регистрации. Другая часть предназначена для службы выдачи мандатов TGS и шифруется с помощью долговременного ключа, разделенного между сервером аутентификации и сервером TGS. Обе части мандата на получение мандата содержат сеансовый ключ мандата Kc.tgs, разделенный между клиентом С и службой выдачи мандатов.
— TGS: служба выдачи мандатов (Ticket Granting Server — TGS). Она получает запрос на получение мандата (ticket granting request — TGS_ REQ), содержащий мандат на получение мандата TGT, принадлежащий клиенту С. В ответ она возвращает мандат ТКТ, который используется клиентом С в процессе аутентификации приложений при обмене с сервером S.
Как и мандат TGT, мандат ТКТ состоит из двух частей. Одна из его частей предназначена для клиента С и шифруется с помощью сеансового ключа Kc,tgs, распределенного между клиентом С и сервером TGS. Другая часть предназначена для сервера приложений S и шифруется долговременным ключом Ks,tgs, разделенным между серверами S hTGS.
Обе части мандата ТКТ содержат новый сеансовый ключ приложения Kc,Si разделяемый между клиентом С и сервером S. Сеансовый ключ приложения (application session key) представляет собой криптографический мандат клиента С, который используется для аутентификации приложений при последующем обмене с сервером S для получения доступа к его ресурсам.
12.4.1.1 Зачем центр распределения ключей KDS разделяется на две части: сервер приложений AS и службу выдачи мандатов TGS?
В будущем мы убедимся, что роли серверов AS и TGS очень похожи, поэтому они объединяются под общим названием: центр распределения ключей (KDS).
Причина, по которой центр распределения ключей разделяется на две части, заключается в том, что сеть, в которой он работает, может быть очень большой. В таких сетях серверы приложений и службы выдачи мандатов принадлежат разным сетевым доменам. Таким образом, даже если фиксированный пользователь U должен пройти однократную регистрацию на фиксированном сервере аутенти-
466
Часть IV. Аутентификация
фикации AS, он может обслуживаться многими службами выдачи мандатов и, следовательно, многими серверами приложений.
12.4.2 Обмены протокола Kerberos
Опишем каждый из трех обменов, образующих протокол Kerberos. Чтобьм упростить изложение, будем рассматривать только необходимые протокольные сообщения. Полное описание всех протокольных сообщений, включая огромное количество необязательных сообщений, читатель найдет в работе [168].
12.4.2.1 Обмен сообщениями со службой аутентификации
Этот обмен происходит только между клиентом С и сервером аутентифика-1 ции AS.
1. AS REQ С -у AS: U, TGS, Срок_действия_1, Ni.
2. ТОТ AS -> С: U, Tc,tcs,TGTc. Здесь
Tc,Tcs = {U, С, TGS, KCtTCS, Начало, Конец}^^ , TGTC = {TGS, Kc,tcs, Начало, Конец,Nx}Kv -
Пользователь U генерирует сообщение 1. Используя исходное сообщение! AS_REQ, клиент С информирует сервер аутентификации AS о том, что пользователь U желает установить связь со службой выдачи мандатов TGS. В запрос включается информация о сроке действия мандата и одноразовое случайное число Ni (идентификатор "свежести").
В ответ сервер аутентификации AS генерирует новый сеансовый ключ( Кс, tgs, разделяемый между клиентом С и сервером TGS. Затем он шифруется с помощью сеансового ключа внутри мандата на получение мандата TGT и возвращается клиенту С в виде сообщения 2.
Предыдущая << 1 .. 178 179 180 181 182 183 < 184 > 185 186 187 188 189 190 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed