26. Основные концепции Kerberos.
Протокол Kerberos активно использует технологии аутентификации, опирающиеся на «секреты для двоих». Основная концепция довольно проста: если есть секрет, известный только двоим, любой из его хранителей может легко удостовериться, что имеет дело именно со своим напарником. Для этого ему достаточно каким-либо способом проверить, знает ли собеседник их общий секрет.
Основное назначение:
Аутентификация клиентов для серверов, Аутентификация серверов для клиентов.
Обеспечивает:
Защищённость,
Надёжность (Если недоступна Kerberos – недоступен сервер).
Прозрачность (Пользователь не должен замечать процесса аутентиф., не считая ввода пароля.)
Масштабируемость(Система должна поддерживать множество клиентов и множество серверов)
Участники Kerberos:
Клиент, Сервер, Доверенная сторона.
Долговременные пароли генерируются на основе пользователя с помощью функции хэширования. ЦРК ведёт БД пользователей. Ключи Kerberos пересылаются с помощью мандатов.
Аутентификация выполняется с помощью удостоверений (на основе секретного ключа).
Д
остоинства
применения мандатов:
Серверу не нужно хранить сеансовые ключи. Всё хранится у клиентов.
У клиента нет необходимого обращения в ЦРК перед каждым сеансом связи, т.е. сеансовые мандаты могут использоваться многократно.
Мандат шифруется, поэтому он не может быть изменён клиентом или злоумышленником.
Чтобы подключиться к ЦРК и получить мандат, клиент должен иметь:
Мандат на получение мандата. Т.е. ЦРК выдаёт клиенту мандат для самого себя.
Сеансовый ключ, с помощью которого будет шифроваться вся последующая информация.
В Kerberos в удостоверение включается метка даты/времени.
26 Диалог аутентификации Kerberos.
Шаги 1-2 – обмен службы аутентификации. Цель – получение мандата на получение мандата и сеансового ключа регистрации. Связь 1-2 шифруется на основе датовременного ключа пользователя, который создаётся на основе пароля. Выполняется 1 раз для каждого сеанса пользователя.
Шаг 3-4 – обмен службы выдачи мандатов. Цель – получение мандата на получение сервиса + получение сеансового ключа. Выполняется 1 раз для каждого типа сервиса. Посылается команда на получение мандата и удостоверения клиента для аутентификации клиента.
Шаги 5-6 обмен аутентификацией клиента и сервера. Выполняется 1 раз для каждого сеанса. В шаге 5 посылается мандат и удостоверение. Ответ шифруется с помощью общего сеансового ключа.
Среда Kerberos должна удовлетворять следующим условиям:
Клиенты должны регистрироваться Kerberos.
Серверы должны регистрироваться Kerberos.
Пользователь одной области должен иметь возможность обращения к серверам из другой области – сервер Kerberos одной области должен иметь с сервером Kerberos другой области общий секретный ключ.
27. Понятие сертификата. Система сертификации. Использование сертификатов открытых ключей.
Цифровой сертификат – специальный пакет данных, содержание которого позволяет однозначно идентифицировать участника соединения. Сертификат связывает открытый ключ субъекта с инфой о субъекте. Сертификат подписывается уполномоченным сертификации.
В систему сертификации входят 2 компанента:
1)цифровые сертификаты
2)уполномоченные сертификации(центры сертификации, издатели сертификатов)
Серитфикаты используются для решения след. Задач:
1)распределение открытых ключей
2)обеспечение безопасности web.
3)для обеспечения конфиденциальности и целостности сообщений
4)аутентификация клиента
5)обеспечение целостности данных с помощью цифровых областей
6)используется при распределении симметричных ключей