Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4612 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пензенский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
шпоры БВС.doc
Скачиваний:
8
Добавлен:
24.09.2019
Размер:
931.33 Кб
Скачать
►Содержание►

Вопрос 19. Kerberos. Простой диалог аутентификации. Вопрос 20. Kerberos. Защищенный диалог аутентификации.

Служба аутентификации применяется, чтобы пользователи в распределенной сети могли получать доступ к ее сервисам, при этом обеспечивалась защита от следующих угроз:

  • НСД;

  • Подмена IP (IP spoofing);

  • Воспроизведение ранее перехваченных сообщений.

В данной системе для аутентификации используется третья сторона, так называемый сервер аутентификации (AS), который хранит пароли всех пользователей в централизованной БД, причем распределение паролей осуществляется физическим способом. Также сервер хранит секретный ключ, уникальный для каждого сервера или ресурса сети, позволяющего его идентифицировать.

Для обеспечения конфиденциальности ПД используется симметричная система шифрования (DES на пример). Процедура аутентификации реализуется с помощью специального диалога, состоящего из нескольких шагов.

Простейший диалог аутентификации

1) С→AS; IDc||Pc||IDv;

2) AS →С: мандат, мандат = , ADc – сетевой адрес клиента;

3) С→V: IDc||мандат

«-»:

  • Данный диалог требует от клиента проходить процедуру аутентификации каждый раз при обращении к сервису с введением пароля;

  • Пароль передается в открытом виде;

  • Мандат может быть использован злоумышленником для подмены IP

Для устранения этих «-» используется защищенный алгоритм аутентификации.

Для реализации более защищенного диалога аутентификации будет использован дополнительный сервер TGS или сервер выдачи мандатов. Этот TGS выдает мандаты пользователям, которые были идентифицированы сервером AS. Т.е. пользователь однократно запрашивает мандат на получение мандата у сервера AS и каждый раз его использует для запроса у сервера TGS мандата для доступа к конкретному сервису.

Однократно в ходе сеанса доступа

1) С→AS; IDc||IDTGS;

2) AS→ С: ЕКС[МандатTGS;]

МандатTGSКTGS[IDc||ADc||IDTGS||TS1||Cрок1]

Однократно для каждого сервиса

3) С→TGS: IDc||IDv||МандатTGS;

4) TGS→С: Мандатv

МандатvКv[IDc||ADc||IDv||TS2||Cрок2]

Каждый раз выполняется при каждом использовании сервиса

5) С→V: IDc||Мандатv

«-»:

МандатTGS передается в открытом виде на 3 шаге, соответственно может быть перехвачен и использован им до истечения срока действия мандата, используя подмену IDC и ADC легального пользователя. Все упирается в сроки действия. Нет взаимной аутентификации К и С.

Вопрос 21. Kerberos. Диалог аутентификации Kerberos V.4.

Служба аутентификации применяется, чтобы пользователи в распределенной сети могли получать доступ к ее сервисам, при этом обеспечивалась защита от следующих угроз:

  • НСД;

  • Подмена IP (IP spoofing);

  • Воспроизведение ранее перехваченных сообщений.

Получение мандата на получение мандата

1) С→AS: IDc||IDTGS||TS1;

2) AS→ С: EKS[Kс,TGS||IDTGS||TS2рок2||МандатTGS], где Kc – сеансовый ключ

МандатTGSКTGS[IDc||ADc||IDTGS||TS2||Cрок2||Kс,TGS]

Получение мандата на получение сервиса;

3) С→TGS: IDv||МандатTGS||аутентификаторс;

4) TGS→С: ЕКc,TGS[Kc||IDv||IDv||TS4||мандатv]

Аутентификаторс= ЕКc,TGS[IDc||ADc||TS3]

МандатvКv[IDc||IDv||TS4||Kc,v||Cрок4]

5) С→V: Мандатv||аутентификаторс2

аутентификаторс2КC,v[IDc||ADc||TS5]

6) V→C:EKC,V[TS5+1]

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности