Предварительное распределение ключей посредством протокола kerberos




Скачать 58.88 Kb.
НазваниеПредварительное распределение ключей посредством протокола kerberos
Дата публикации22.05.2014
Размер58.88 Kb.
ТипДокументы
literature-edu.ru > Информатика > Документы
ПРЕДВАРИТЕЛЬНОЕ РАСПРЕДЕЛЕНИЕ КЛЮЧЕЙ ПОСРЕДСТВОМ ПРОТОКОЛА KERBEROS
1.     KDP – схемы

Пусть имеется доверенная сторона TA (trusted authority) и множество абонентов U={1, …, n}. Доверенная сторона имеет возможность передавать абонентам информацию по открытому каналу.

На этапе инициализации TA выделяет каждому абоненту i ключевую информацию i. Данная информация должна передаваться по секретному каналу. С ее помощью каждый член некоторой привилегированной коалиции абонентов PP2U может автономно вычислить ключ kP, позволяющий ему иметь доступ к информации, передаваемой TA данной коалиции, или обмениваться информацией внутри коалиции. В то же время, определенные коалиции абонентов FF2U, не пересекающиеся с P, не должны иметь возможность вычислить какую-либо информацию о kP. Удовлетворяющая данным условиям схема называется схемой предварительного распределения ключей и обозначается KPS(P,F).

Наиболее изученнымиыми являются схемы предварительного распределения ключей типа KDP (Key Distribution Patterns). Они изучаются в разделе «Схемы предварительного распределения ключей» настоящего Практикума.

 

2.    Протокол Kerberos.

Протокол Kerberos использует технологии аутентификации, опирающиеся на «секреты для двоих». Основная концепция протокола: если есть секрет, известный только двоим, любой из его хранителей может легко удостовериться, что имеет дело именно со своим напарником. Для этого ему достаточно каким-либо способом проверить, знает ли собеседник их общий секрет.



Рис 1. Работа протоколов Kerberos

 

Пять участников Протокола Kerberos (см. рис. 1):

U: Пользователь U выступает, инициализирует посредством пароля соответствующий процесс C(U). Пользователь должен знать свой одноразовый пароль на обращение к протоколу Kerberos.

C: Клиент это процесс, использующий ресурс сети по поручению пользователя U. Для его запуска необходимо свидетельство о допуске пользователя к протоколу Kerberos, что и сообщается ему паролем пользователя.

AS: Сервер аутентификации (Authentication Server) – процесс, выдающий по запросу AS_REQ (Kerberos Authentication Service Request – запрос к службе аутентификации Kerberos) от C мандат TGT на право получения билетов от TGS.

TGS: Сервер, выдающий по запросу TGS_REQ (Kerberos Ticket-Granting Service Request – запрос к службе выдачи билетов Kerberos) от C билет TKT  на доступ к ресурсу.

S: Сервер приложений — процесс, предоставляющий клиенту С по его запросу AP_REQ (Kerberos Application Request – запрос приложения Kerberos) разрешение на использование сетевого ресурса (AP_REP (Kerberos Application Reply – ответ приложения Kerberos)).

AS и TGS образуют центр распределения ключей (KDC  Key Distribution Center). Разделение на два сервера позволяет разгрузить AS от работы по выдаче сеансовых ключей.

Все протоколы работают в две стороны. Для AS Exchange:

C AS: AS_REQ (запрос билета TGT);

AS  C: AS_REP (билет TGT).

Для TGS Exchange:

C TGS: TGS_REQ (запрос билета-аутентификатора TKT);

TGS C: TGS_REP (TKT).

И для Application Exchange:

C AP: AP_REQ (запрос сетевого ресурса);

AP C: AP_REP (разрешение на использование запрошенного сетевого ресурса).

Далее приведем составы всех передаваемых сообщений (см. рис. 1) при работе описанных протоколов.

Пусть C (пользователю U) необходимо получить доступ к S.

AS_REQ содержит идентификатор пользователя U и данные предварительной аутентификации (pre-authentication data). В качестве данных предварительной аутентификации используется метка времени, зашифрованная долговременным ключом пользователя.

Получив запрос AS_REQ, сервер аутентификации обращается в свою базу данных и находит в ней долговременный ключ пользователя U, после чего расшифровывает данные предварительной аутентификации и оценивает метку времени, содержащуюся в них. Если проверка прошла успешно, сервер аутентификации генерирует удостоверение (билет TGT), подтверждающее, что клиент C имеет право обратиться к службе выдачи билетов.

В билет TGT входят данные предварительной аутентификации пользователя U. Билет TGT шифруется на долговременном ключе TGS.

AS_REP содержит зашифрованный билет TGT.

TGS_REQ содержит и идентификатор пользователя U, идентификатор сервера приложений S, данные предварительной аутентификации зашифрованные с помощью долговременного ключа TGS, билет TGT, который был получен с помощью протокола AS Exchange.

Получив запрос TGS_REQ, TGS с помощью собственного секретного ключа расшифровывает билет TGT и данные предварительной аутентификации. Если содержимое данные предварительной аутентификации выдерживает проверку, служба GTS извлекает из билета TGT регистрационные данные U и генерирует сеансовый ключ, для связи пользователя U и сервера S - KC.

TGS_REP содержит ключ KC, зашифрованный на долговременном ключе пользователя U; ключ KC и данных предварительной аутентификации пользователя U, зашифрованные на долговременном ключе службы S. Где KC – сеансовый ключ для связи пользователя U и службы S.

Получив такое сообщение, пользователь U с помощью долговременного ключа TGS расшифровывает сеансовый ключ доступа к службе S.

AP_REQ содержит данные предварительной аутентификации пользователя U, зашифрованные посредством сеансового ключа KC и билет, полученный с помощью протокола TGS Exchange.

Получив сообщение AP_REQ, служба S расшифровывает билет, извлекает из него данные предварительной аутентификации пользователя U и сеансовый ключ KC. Далее S посылает U сообщение AP_REP.

AP_REP содержит метку времени из данные предварительной аутентификации пользователя U, зашифрованную сеансовым ключом KC.

После получения сообщения AP_REP клиент C расшифровывает метку времени, используя для этого сеансовый ключ, и сравнивает полученную метку времени с исходной. Если они совпадают, то связь установлена с нужной службой, и, следовательно, можно приступать к обмену информацией.

3.     Построение безопасной сети на основе протокола Kerberos и KDP-схем

На этапе инициализации сети Kerberos и сервер TGS создают уникальные ключи и передают их абонентам сети по некоторому секретному каналу. Данные системные ключи необходимы абонентам для связи с Kerberos и сервером TGS соответственно. Для распределения ключей используется KDP-схема (KDP(1,1)-схема). При этом Kerberos и TGS могут использовать одну и туже KDP-схему, т.к. она является несекретной.

Далее, если абонент A сети хочет связаться с абонентом B, он должен использовать алгоритм работы протокола Kerberos,  в котором в качестве сервера приложения выступает абонент B.

Контрольные вопросы:

  1. Дайте определение KDP-схемы.

  2. Назовите 5 участников протокола Kerberos.

  3. Назовите подпротоколы протокола Kerberos.

  4. Приведите состав всех пересылаемых сообщений протокола (AP_REQ, AS_REP, TGS_REQ, TGS_REP, AP_REQ, AP_REP).

Рекомендуемая литература:

1.     Чмора А.Л. Современная прикладная криптография. Москва. Гелиос АРВ, 2001

2.     А.П. Алферов, А.Ю. Зубов, А.С. Кузьмин, А.В. Черемушкин. Основы криптографии. М.: Гелиос АРВ. 2001

3.     И.И. Щуров «Методы построения схем предварительного распределения ключей». Вестник МЭИ, №6, 2004. с. 94104, Издательство МЭИ 2004.

4.     И.И. Щуров «Минимизация ключевого материала для построения безопасной сети». Вестник МЭИ, №6, 2006. с. 112-118, Издательство МЭИ 2006.

Добавить документ в свой блог или на сайт

Похожие:

Предварительное распределение ключей посредством протокола kerberos icon«русско-британский институт управления» общеобразовательная школа...

Предварительное распределение ключей посредством протокола kerberos iconАббревиатура tcp/ip обычно расшифровывается как
Х. 25, Frame Relay, atm и другим (гл. 5). Эти протоколы также вписывают­ся в модель tcp/IP. В этом случае говорят об использовании...

Предварительное распределение ключей посредством протокола kerberos iconНа заседании педсовета
Расстановка педагогических кадров и распределение обязанностей между педагогами

Предварительное распределение ключей посредством протокола kerberos iconНегосударственное образовательное учреждение высшего профессионального образования
Прошу оформить подписку в библиотеку Негосударственного образовательного учреждения высшего профессионального образования «Русско-Британский...

Предварительное распределение ключей посредством протокола kerberos iconБрюс Форсайя Код исцеления. Семь ключей к безграничной целительной силе
Ни одна часть этой книги не может быть использована или воспроизведена в какой-либо форме, в том числе в Интернете, без письменного...

Предварительное распределение ключей посредством протокола kerberos icon«Маалинская средняя общеобразовательная школа» Утвержден
Расстановка педагогических кадров, повышение их квалификации, распределение обязанностей

Предварительное распределение ключей посредством протокола kerberos iconПрика з «18» декабря 2012 г №1478 Об утверждении организационно
Федерации от 2 марта 2009 года №68, в целях обеспечения организованного проведения единого государственного экзамена во Владимирской...

Предварительное распределение ключей посредством протокола kerberos iconЖ. Ж. Жеенбаев, И. А. Васильев, К. Урманбетов, П. И. Чалов
Концентрация и пространственное распределение тяжелых металлов в подземных водах Кара-Балтинской площади

Предварительное распределение ключей посредством протокола kerberos iconПроект протокола
Марком Хэндли (ucl). В ноябре 2000 года sip был утверждён как сигнальный протокол проекта 3gpp и основной протокол архитектуры ims...

Предварительное распределение ключей посредством протокола kerberos iconФормирование духовно-нравственного облика студента посредством приобщения...

Литература


При копировании материала укажите ссылку © 2015
контакты
literature-edu.ru
Поиск на сайте

Главная страница  Литература  Доклады  Рефераты  Курсовая работа  Лекции