Категории: ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника |
Протокол аутентификации KerberosВ Windows Server 2003 используется модифицированная пятая версия протокола – Kerberos v5. Для шифрования применяется алгоритм DES (стандарт шифрования данных). Протокол обеспечивает аутентификацию в открытых сетях, т. е. там, где передаваемые пакеты могут быть перехвачены и изменены. Преимуществом протокола Kerberos по сравнению с протоколом NTLM является то, что в процессе аутентификации сервер не только удостоверяет подлинность клиента, но и по требованию клиента подтверждает свою достоверность. Ещё одно преимущество – время аутентификации при использовании Kerberos меньше. Термины, используемые в протоколе Kerberos Шифрование (encryption) – процесс преобразования данных в такую форму, которая не может быть прочитана без процесса расшифрования. Шифрование осуществляется с применением шифрующего ключа (encryption key), расшифрование использует расшифровывающий ключ (decryption key). Секретный ключ пользователя получается путем хеширования его пароля. Хеширование (hashing) обозначает такое преобразование исходной последовательности данных, результат которого – хеш (hash), в отличие от результата шифрования, не может быть преобразован обратно в исходную последовательность. Сеанс (session) – это период непрерывного соединения между двумя узлами (например, клиентом и сервером). В начале сеанса требуется пройти процедуру аутентификации. Сеансовый ключ (session key) – секретный ключ, служащий для шифрования всех сообщений между участниками сеанса. Очевидно, должен быть известен всем участникам сеанса. В протоколе Kerberos существует три основных участника сеансов – клиент, сервер и посредник. Клиент – компьютер , желающий получить доступ к ресурсам сервера. Предварительно клиент должен пройти процедуры аутентификации и авторизации, используя свое удостоверение. Сервер – компьютер, предоставляющий ресурсы авторизованным клиентам. Посредник – это специальный физически защищенный сервер, на котором работают две службы: 1 – центр распространения ключей (Key Distribution Center, KDC) и служба предоставления билетов (Ticket Granting Service, TGS). В сетях Active Directory этим сервером является контроллер домена. Удостоверения (credentials) – специальные сетевые пакеты, используемые для взаимной идентификации клиента и сервера. Удостоверения бывают двух видов: билеты (tickets) и аутентификаторы (authenticators). Билет (ticket) – специальный пакет, удостоверяющий подлинность своего владельца. В состав билета входят имя владельца, сеансовый ключ и другие параметры. Период действия билета ограничен параметром, который называется время жизни (lifetime). По умолчанию время жизни равно 5 минутам. Существует два типа билетов: билеты TGT (Ticket-Granting Ticket – билеты на выдачу билетов) и сеансовые билеты (session ticket). Билет TGT содержит учетные данные, выдаваемые пользователю центром распределения ключей KDC при входе пользователя в систему. Сеансовый билет требуется для установления сеанса соединения клиента с сервером. Аутентификатор (authenticator) – это пакет, доказывающий, что клиент действительно является обладателем секретного ключа. Приведенные выше термины сведены в схему на рис.9.1. Для дальнейшего изложения введем обозначения, представленные в таблице. Обозначение Комментарий AC Аутентификатор клиента AS Аутентификатор сервера KC Секретный ключ клиента KS Секретный ключ сервера {X}K Сообщение Х, зашифрованное ключом К {AC}KC Аутентификатор клиента, зашифрованный секретным ключом клиента КA,B Сеансовый ключ для соединения узлов А и В KC,TGS Сеансовый ключ для соединения клиента и службы TGS TGT Билет TGT TC,S Сеансовый билет для соединения клиента и сервера N Имя клиента S Имя сервера t Момент времени отправки сообщения
46. Этапы аутентификации: регистрация клиента. Основные этапы аутентификации Клиенту для получения доступа к ресурсам сервера предварительно требуется пройти проверку подлинности, т. е. аутентифицироваться. Процедура аутентификации состоит из трех основных этапов (рис. 9.2): 1) регистрация клиента; 2) получение сеансового билета; 3) доступ к серверу. Этап регистрации клиента При входе в систему под управлением Windows Server 2003 пользователь вводит имя своей учетной записи, пароль и указывает домен. Пароль при помощи хеширования преобразуется в секретный ключ клиента KC. Точно такой же ключ хранится в центре распределения ключей KDC и сопоставлен с данным пользователем. Клиент создает аутентификатор {AC}KC, зашифрованный с использованием ключа KC, и отсылает его центру распределения ключей (рис. 9.3). Аутентификатор содержит информацию об имени клиента N и время отправки аутентификатора t. Этап регистрации клиента При входе в систему, пароль при помощи хеширования преобразуется в секретный ключ клиента KC. Точно такой же ключ хранится в центре распределения ключей KDC и сопоставлен с данным пользователем. Клиент создает аутентификатор {AC}KC, зашифрованный с использованием ключа KC, и отсылает его центру распределения ключей (рис. 9.3). Аутентификатор содержит информацию об имени клиента N и время отправки аутентификатора t. Используя свою копию ключа KC, центр распределения ключей пытается расшифровать полученное сообщение. В случае успеха вычисляется разница между временем создания аутентификатора и временем его получения. Если разница не превышает пяти минут1, то клиент считается аутентифицированным и ему высылается следующая информация: • {KC,TGS}KC – сеансовый ключ KC,TGS для связи клиента и службы TGS, зашифрованный ключом KC; • {TGT}KTGS – билет на выдачу билетов TGT, зашифрованный ключом KTGS, известным только службе TGS. Сеансовый ключ KC,TGS клиент в состоянии расшифровать, используя свой ключ KC, а расшифровка билета TGT клиентом невозможна, так как ключ KTGS ему неизвестен. Билет TGT в зашифрованном виде сохраняется в кэш-память клиента и при необходимости извлекается оттуда. 47. Этапы аутентификации: получение сеансового билета. |
|
Последнее изменение этой страницы: 2016-08-29 lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда... |