Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 124

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 118 119 120 121 122 123 < 124 > 125 126 127 128 129 130 .. 181 >> Следующая

303
протокола к третьей стороне, роль которой выполняет серверная часть Kerberos. Создание Kerberos велось в рамках проекта «Athena» в Массачу-сетском технологическом университете в середине 80-х годов, и с тех пор этот протокол претерпел ряд принципиальных изменений, которые отразились в существующих ныне пяти версиях.
Основу Kerberos составляет протокол Нидхэма-Шредера с третьей доверенной стороной. Служба Kerberos, находящаяся в сети, действует как арбитр, которому доверяют все участники. Kerberos обеспечивает безопасную сетевую аутентификацию пользователей (ресурсов) сети с последующей авторизацией доступа клиента (клиентского приложения) к ресурсам сети. Защищенность установленных в рамках сессии Kerberos соединений обусловливается применением симметричных алгоритмов шифрования (DES и ряда других алгоритмов, которые могут быть взаимозаменяемы). Основу аутентификации составляет знание абонентом своего декретного пароля (что является результатом хэширования секретного ключа пользователя).
В модели протокола Kerberos существуют два основных элемента -клиенты и серверы. Клиентами могут быть пользователи, а также независимое программное обеспечение, которое нуждается в авторизованных услугах по загрузке удаленных файлов, отправке сообщений или доступу к принтерам либо в получении каких-либо привилегий у администратора. Kerberos хранит базу данных о клиентах и их секретных ключах. Наличие в базе данных секретных ключей каждого пользователя и ресурсов сети, поддерлсивающих данный протокол, позволяет создавать зашифрованные сообщения, направляемые клиенту или серверу; их успешное расшифрование и является гарантией прохождения аутентификации всеми участниками протокола.
Секретные ключи, хранящиеся в базе данных, используются только с целью аутентификации и выработки сеансового ключа (session key) для зашифрования сообщений, передающихся в ходе сессии.
Описание работы протокола
Клиент, желающий пройти аутентификацию и выработать сеансовый ключ для установки защищенного соединения с ресурсом сети, посылает запрос на получение билета предоставления билета (ticket-granting ticket) для службы предоставления билета (Ticket-Granting Service, TGS). Запрошенный билет пересылается пользователю в зашифрованном на секретном ключе клиента виде. Для получения доступа к конкретному серверу в сети клиент посылает полученный билет предоставления билета к серверу TGS. Далее сервер TGS после успешного прохождения билетом предоставления билета необходимых проверок высылает клиенту билет на доступ
304 Компьютерная безопасность и практическое применение криптографии
Таблица 3.8. Перечень сокращений
с Идентификатор (имя) клиента
S Идентификатор (имя) сервера
а Сетевой адрес клиента
V Начальное и конечное время действия билета
t Метка времени
Kx Секретный ключ, принадлежащий х
Кх,у Сеансовые ключи х и у
{т}Кх Сообщение т, зашифрованное на ключе Kx
Тх,у Билет, принадлежащий х, для предоставления у
Ах,у Аутентификатор, принадлежащий х, для предоставления у
Билет предоставляется для доступа к строго определенному серверу и на строго определенное время, причем время начала действия билета может быть указано в будущем (предварительные билеты). Он содержит имя клиента, его сетевой адрес, начальное и конечное время действия клиента и сеансовый ключ, зашифрованные на секретном ключе сервера. Однажды получив билет, клиент может использовать его для доступа к серверу в течение промежутка времени, отведенного для данного билета. Клиент не имеет возможности расшифровать билет в силу того, что он зашифрован на секретном ключе сервера, к которому необходимо получить доступ.
Аутентификатор, используемый в Kerberos, имеет следующую форму:
Ac,s = {c,t,key}Kc,s
Аутентификатор создается клиентом всякий раз, когда тот хочет получить доступ к целевому серверу. Аутентификатор содержит имя клиента, метку времени и сеансовый ключ, зашифрованные на сеансовом ключе,
к интересующей его службе. Завершающая фаза состоит в пересылке клиентом билета вместе с аутентификатором (authenticator) целевому серверу и после успешного прохождения проверок клиент может получить от сервера доступ к службам, которые данный сервер предоставляет.
Протокол Kerberos поддерживает два типа вверительиых грамот - билеты и аутентификаторы. Билет используется для обеспечения безопасности при доступе клиента к целевому серверу. Существует большое количество типов билета: начальные, обновляемые, предварительные и недействительные. Принадлежность билета к тому или другому типу определяется параметрами, установленными в нем. В общем виде билет можно представить так:
Tc,s = s, {c,a,v,Kc,s}Ks (см. табл. 3.8)
Защита технологии «клиент-сервер»
305
Данные серверы могут быть физически совмещены
Аутентификационный сервер
Сервер TGS
выработанном между клиентом и сервером. Основное отличие аутентифи-катора от билета заключается в том, что он молсет использоваться только один раз. Находящаяся в аутентификаторе метка времени не позволяет злоумышленнику, перехватившему данный аутеитификатор и билет, использовать их спустя некоторое время для успешного прохождения процедуры аутентификации.
Предыдущая << 1 .. 118 119 120 121 122 123 < 124 > 125 126 127 128 129 130 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed