Главная Случайная страница


Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






Протокол аутентификации Kerberos

В Windows Server 2003 используется модифицированная пятая версия протокола – Kerberos v5. Для шифрования применяется алгоритм DES (стандарт шифрования данных). Протокол обеспечивает аутентификацию в открытых сетях, т. е. там, где передаваемые пакеты могут быть перехвачены и изменены. Преимуществом протокола Kerberos по сравнению с протоколом NTLM является то, что в процессе аутентификации сервер не только удостоверяет подлинность клиента, но и по требованию клиента подтверждает свою достоверность. Ещё одно преимущество – время аутентификации при использовании Kerberos меньше.

Термины, используемые в протоколе Kerberos

Шифрование (encryption) – процесс преобразования данных в такую форму, которая не может быть прочитана без процесса расшифрования.

Шифрование осуществляется с применением шифрующего ключа (encryption key), расшифрование использует расшифровывающий ключ (decryption key). Секретный ключ пользователя получается путем хеширования его пароля.

Хеширование (hashing) обозначает такое преобразование исходной последовательности данных, результат которого – хеш (hash), в отличие от результата шифрования, не может быть преобразован обратно в исходную последовательность.

Сеанс (session) – это период непрерывного соединения между двумя узлами (например, клиентом и сервером). В начале сеанса требуется пройти процедуру аутентификации.

Сеансовый ключ (session key) – секретный ключ, служащий для шифрования всех сообщений между участниками сеанса. Очевидно, должен быть известен всем участникам сеанса. В протоколе Kerberos существует три основных участника сеансов –

клиент, сервер и посредник.

Клиент – компьютер , желающий получить доступ к ресурсам сервера. Предварительно клиент должен пройти процедуры аутентификации и авторизации, используя свое удостоверение.

Сервер – компьютер, предоставляющий ресурсы авторизованным клиентам.

Посредник – это специальный физически защищенный сервер, на котором работают две службы: 1 – центр распространения ключей (Key Distribution Center, KDC) и служба предоставления билетов (Ticket Granting Service, TGS). В сетях Active Directory этим сервером является контроллер домена.


Удостоверения (credentials) – специальные сетевые пакеты, используемые для взаимной идентификации клиента и сервера.

Удостоверения бывают двух видов: билеты (tickets) и аутентификаторы (authenticators).

Билет (ticket) – специальный пакет, удостоверяющий подлинность своего владельца. В состав билета входят имя владельца, сеансовый ключ и другие параметры. Период действия билета ограничен параметром, который называется время жизни (lifetime). По умолчанию время жизни равно 5 минутам.

Существует два типа билетов: билеты TGT (Ticket-Granting Ticket – билеты на выдачу билетов) и сеансовые билеты (session ticket). Билет TGT содержит учетные данные, выдаваемые пользователю центром распределения ключей KDC при входе пользователя в систему. Сеансовый билет требуется для установления сеанса соединения клиента с сервером.

Аутентификатор (authenticator) – это пакет, доказывающий, что клиент действительно является обладателем секретного ключа. Приведенные выше термины сведены в схему на рис.9.1.

Для дальнейшего изложения введем обозначения, представленные в

таблице. Обозначение Комментарий

AC Аутентификатор клиента

AS Аутентификатор сервера

KC Секретный ключ клиента

KS Секретный ключ сервера

{X}K Сообщение Х, зашифрованное ключом К

{AC}KC Аутентификатор клиента, зашифрованный секретным ключом клиента

КA,B Сеансовый ключ для соединения узлов А и В

KC,TGS Сеансовый ключ для соединения клиента и службы TGS

TGT Билет TGT

TC,S Сеансовый билет для соединения клиента и сервера

N Имя клиента

S Имя сервера

t Момент времени отправки сообщения

 

 


46. Этапы аутентификации: регистрация клиента.

Основные этапы аутентификации

Клиенту для получения доступа к ресурсам сервера предварительно требуется пройти проверку подлинности, т. е. аутентифицироваться. Процедура аутентификации состоит из трех основных этапов (рис. 9.2):

1) регистрация клиента;

2) получение сеансового билета;

3) доступ к серверу.

Этап регистрации клиента

При входе в систему под управлением Windows Server 2003 пользователь вводит имя своей учетной записи, пароль и указывает домен. Пароль при помощи хеширования преобразуется в секретный ключ клиента KC. Точно такой же ключ хранится в центре распределения ключей KDC и сопоставлен с данным пользователем. Клиент создает аутентификатор {AC}KC, зашифрованный с использованием ключа KC, и отсылает его центру распределения ключей (рис. 9.3). Аутентификатор содержит информацию об имени клиента N и время отправки аутентификатора t.

Этап регистрации клиента

При входе в систему, пароль при помощи хеширования преобразуется в секретный ключ клиента KC. Точно такой же ключ хранится в центре распределения ключей KDC и сопоставлен с данным пользователем. Клиент создает аутентификатор {AC}KC, зашифрованный с использованием ключа KC, и отсылает его центру распределения ключей (рис. 9.3). Аутентификатор содержит информацию об

имени клиента N и время отправки аутентификатора t.

Используя свою копию ключа KC, центр распределения ключей пытается расшифровать полученное сообщение. В случае успеха вычисляется разница между временем создания аутентификатора и временем его получения. Если разница не превышает пяти минут1, то клиент считается аутентифицированным и ему высылается следующая информация:

• {KC,TGS}KC – сеансовый ключ KC,TGS для связи клиента и службы TGS, зашифрованный ключом KC;

• {TGT}KTGS – билет на выдачу билетов TGT, зашифрованный ключом KTGS, известным только службе TGS.

Сеансовый ключ KC,TGS клиент в состоянии расшифровать, используя свой ключ KC, а расшифровка билета TGT клиентом невозможна, так как ключ KTGS ему неизвестен. Билет TGT в зашифрованном виде сохраняется в кэш-память клиента и при необходимости извлекается оттуда.


47. Этапы аутентификации: получение сеансового билета.

Последнее изменение этой страницы: 2016-08-29

lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...