Kerberos

مركز امنبت شبكه شريف

Kerberosفصل یازدهمفصل یازدهم

2لغت نامه مركز امنبت شبكه شريف

اهداف

آشنایی با چگونگی احراز هویت در الگوریتمکربروس

3 مركز امنبت شبكه شريف

.مراجعه نماييد لغت نامه دياسال ترجمه ها به يسيدن معادل انگلي ديبرا

د واژه هايکل :


يونانيافسانه

محافظان دروازه يونانيسگ سه سر افسانه : های جهنم!

:سرها نماد Authentication Accounting Audit

ت اعمال شد.ياکرچه در عمل تنها احراز هو


کربروس

د ي کليت بر اساس رمز نگارياحراز هويخصوص

شده در يطراح MITت در هر کارگزار به صورت ي احراز هويبه جا

ت يک کارگزار خاص را به احراز هويع شده، يتوزم يدهياختصاص م

آن در حال استفاده هستند5 و 4نسخه هاي


کربروسويژگيهاي عمومي

بودنعمومي (Common)متمركز در محیط توزیع شده همراه با سرورهای متمرکز و غير

ت امني(Security)ادعای اصلی

نان ياطم(Reliability).اطمينان از فعال بودن همه سرویس ها برای کاربران مجاز

ت شفافي(Transparency)شناسه و کلمه ستم ساده يک سيستم را همانند يد سيکاربران با“

نند. ي” ببعبوريرياس پذيمق (Scalability)

قابليت كار با تعداد زيادي ماشين كاربر و كارگزار


کربروسويژگيهاي عمومي

چند تعریف دامنه: يک محدوده دسترسی را مشخص می کند. به نوعی

معادل دامنه های تعريف شده در ويندوز می باشد.

.مرکز توزيع کليد: معادل کارگزار کربروس می باشد

Principal به سرويس ها، دستگاه ها، کاربران و کليه : عناصری که احتیاج به شناساندن خود به کارگزار کربروس

دارند، گفته می شود.


0-هويتاحراز ديالوگ ساده

درخواست خدمات توسط کارفرما از کارگزار: 1. Client AS: IDclient || PassClient || IDServer

2. AS Client: Ticket3. Client Server: IDclient || Ticket

Ticket = EKserver [IDclient || Addrclient || IDserver]

AS : Authentication Server تيکارگزار احراز هو


بليط

در واقع نوعي گواهي است كه هنگام ورود كاربر به او داده مي شود كه کربروسبه قلمرو

بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.


بررسی دیالوگ

شود؟يط ذکر ميچرا آدرس کارفرما در بل در غیر این صورت هر شخصی که بلیط را از طریق شنود به

دست آورد نیز میتواند از امکانات استفاده کند. اما اکنون تنها خدمات به آدرس ذکر شده در بلیط ارایه میشود.

مشکل جعل آدرس

چرا شناسه مشتریIDclient در گام سوم به صورت رمز شود؟ينشده ارسال م

.زیرا این اطالعات به صورت رمزنگاری شده در بلیط وجود دارد .اگر شناسه با بلیط مطابقت نداشته باشد خدمات ارایه نمیشوند


احراز ديالوگ ساده مشکالت 0-هويت

ناامنی متن بشكل )يبدون رمزگذارارسال كلمه عبور

واضح( امکان حمله تکرار

ناکارآيی لزوم تقاضای بلیط جدید برای هر خدمات


ها استفاده مجدد از بليط

ها استفاده مجدد از بليطچرا(Tickets) ت دارد؟ياهم

ک بازه يپ مجدد کلمه عبور در ي از تايريجلوگ کوتاهيزمان

شفافیت احراز هویت.کاربر متوجه فرآيندهای هویت شناسی نمی شود


1الوگ يدافزایش ایمنی-

د با نام کارگزار اعطا کننده يک کارگزار جدياستفاده ازط يبلTGS: Ticket Granting Server

احراز هويتکارگزار، AS ،کماکان وجود دارد .ط” يط “اعطاء بليبلticket-granting ticket توسط آن صادر

می شود.طهای اعطاء خدمات توسط ياگرچه بلTGSشوند.ي صادر م

ط “اعطاء خدمات” يبلservice-granting ticketام کارگزار ي با رمز کردن پاجتناب از انتقال کلمه عبور

د مشتق شده از يتوسط کلبه کارفرما (AS )احراز هويتکلمه عبور


1الوگيد- افزایش ایمنی

AS

Client

TGS

Server

1. IDClient || IDTGS

2 .EKClient [TicketTGS]

3. IDClient || IDServer || TicketTGS

4 .TicketServer

5. IDClient || Ticket

Server

کارفرما با کمک کلید مشترک

بلیط ASخود و TGS را بازیابی

میکند.

Logجلسه In

]Lifetime || Timestamp || ID || Addr || [ID E Ticket 11TGSClientClientKTGS TGS ]Lifetime || Timestamp || ID || Addr || [ID E Ticket 22ServerClientClientKServer Server


1الوگيد- افزایش ایمنی

ک و دو به ازاء هر جلسه ي شماره يامهايپLog on رد و بدل شوند. يم

شماره سه و چهار به ازاء هر نوع خدمات رد و بدل يامهايپ شوند.يم

شود.يام شماره پنج به ازاء هر جلسه خدمات رد و بدل ميپ1. Client AS: IDClient || IDTGS

2. AS Client: EKClient [TicketTGS]

3. Client TGS: IDClient || IDServer || TicketTGS

4. TGS Client: TicketServer

5. Client Server: IDClient || TicketServer


ط هاي بليمحتو

]Lifetime || Timestamp || ID || Addr || [ID E Ticket 11TGSClientClientKTGS TGS

]Lifetime || Timestamp || ID || Addr || [ID E Ticket 22ServerClientClientKServer Server

بلیط اعطای بلیط :

بلیط اعطای خدمات :


1الوگ يد ي هايژگيو

دو بليط صادر شده ساختار مشابهی دارند. در اساس به دنبال هدفواحدی هستند.

رمزنگاریTicketTGSجهت احراز هویت .تنها کارفرما می تواند به بليط رمزشده دسترسی پيدا کند

رمز نمودن محتوای بلیطها( تمامیتIntegrity.را فراهم میکند ) استفاده از مهر زمانی(Timestamp) در بلیطها آنها را برای یک بازه

زمانی تعریف شده قابل استفاده مجدد میکند. .هنوز از آدرس شبکه برای احراز هویت بهره میگیرد

چندان جالب نیست زیرا آدرس شبکه جعل(Spoof) .میشود با این حال، درجه ای از امنیت مهیا می شود


1الوگ يدنقاط ضعف

بلیطها:مشكل زمان اعتبارزمان كوتاه : نياز به درخواست هاي زياد گذرواژهزمان بلند : خطر حمله تکرار

: عدم احراز هويت هويت شناسی يکسويهفرما كارتوسط کارگزار

مجازغيرکارگزاررسيدن درخواست ها به يك


4کربروس نسخه

توسعه یافته پروتکل های قبلی است.مشکل حمله تکرار حل شده است احراز هویت دو جانبه(mutual.برقرار میشود )

کارگزاران و کارفرمایان هردو از هویت طرف مقابل اطمینان حاصلمیکنند


مقابله با حمله تکرار

کارگزار یاTGS باید اطمینان حاصل نمایند که کاربر بلیط همان کسی است که بلیط برای او صادر شده.

مفهوم جدیدی به نام اعتبار نامه (Authenticator ابداع شده )است:

عالوه بر بلیط هااز مفهوم کلید جلسه بهره میجوید


بررسي :4کربروس نسخه 1-الگوريتم

ASClient

2 .EKClient[KClient,tgs|IDtgs|TS2|Lifetime2|Tickettgs]

1. IDClient|IDtgs|TS1

Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]


تمامی با کلید

TGS رمز شده اند

TGSبلیط

کلید جلسه بین

کارفرما TGSو

شناسهکارفرما آدرس

کارفرما شناسهTGS

مهر زمانی و

دوره اعتبار بلیط

Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]


فرمانتايج اين مرحله براي كار

بليط “اعطاء بليط” از بدست آوردن امنAS(بدست آوردن زمان انقضاي بليطTS2) و کارفرما امن بين كليد جلسهبدست آوردن

TGS


بدست آوردن بليط “اعطاء ”خدمات

TGS Client

3. IDserver|Tickettgs|AuthenticatorClient

TicketServer=

EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]

AuthenticatorClient=

EKClient,tgs[IDClient|AddrClient|TS3]

4. EKClient,tgs [KClient,server|IDserver|TS4|Ticketserver]


تمامی با کلید

کارگزار رمز شده

اند

بلیط کارگزار

کلید جلسه بین

کارفرما و

کارگزار


کارفرما شناسهTGS

مهر زمانی و

دوره اعتبار بلیط

TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]


اعتبار نامه کارفرما


کارفرمامهر زمانی

AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3]تمامی با

کلید جلسه

رمز شده اند



اعتبار نامه يكجلوگيري از حمله تکرار با استفاده از ( Authenticator يكبار مصرف كه عمر )

كوتاهي دارد. بدست آوردن كليد جلسه براي ارتباط با سرورV


خدمات دستيابي به سرور

Client

Server

5. TicketServer|AuthenticatorClient

6. EKClient,Server [TS5+1]



با برگرداندن کارگزار در گام ششم احراز هويت پيغام رمزشده

تکرارجلوگيري از بروز حمله


شمای کلی:4کربروس نسخه




کربروسقلمرو

از بخشهاي زير تشكيل شده استکربروس قلمرو: کارگزار کربروس کارفرمایانكاربردي کارگزاران Application Servers

کارگزار کربروس گذرواژه تمام کاربران را در پایگاه داده خوددارد.

کلیدی مخفی به كاربرديکارگزار کربروس با هر کارگزار اشتراک گذاشته است.

هر قلمرو معادل یک � میباشد.حوزه مدیریتیمعموًال


هويت شناسي بين قلمرويي(InterRealm)

موجود خدماتامكان اينكه كاربران بتوانند از در قلمروهاي ديگر استفاده كنند.

با يك كليد مخفي هر قلمرو کارگزاران کربروس قلمرو همکار مقابل به کربروس کارگزاران

اشتراک میگذارند. وجودN قلمرو همکار نیازمند N(N-1)/2 کلید

مخفی است. .دو کارگزار کربروس همدیگر را ثبت نام مینمایند

sadoddin

من فکر می کنم کارگزاران کربروس دو قلمرو باهم کلید به اشتراک می گذارند. شکل هم این موضوع رو تصديق می کنه.


هويت شناسي بين قلمرويي


5کربروس نسخه

مشخصات مطرح شد1990در اواسط نقص ها و كمبودهاي نسخه قبلي را برطرف كرده است به عنوان استاندارد اينترنتيRFC 1510 در نظر گرفته شده

است. بعنوان 5استاندارد اينترنتی کربروس نسخه از2000ويندوز

روش اصلی هويت شناسی کاربران استفاده می کند.


و نحوه رفع آنها در Kerberos v4مشكالت 5نسخه

(وابستگي به يك سيستم رمزنگاري خاصDES) مي توان از هر الگوريتم متقارن استفاده كرد5+ در نسخه

وابستگي بهIP( IP يا OSI مي توان از هر آدرس شبكه)مثال 5+ در نسخه

استفاده كردمحدود بودن زمان اعتبار بليطها

اين محدوديت وجود ندارد5+ در نسخه


و نحوه رفع آنها در Kerberos v4مشكالت 5نسخه

اعتبار يك كاربر به يك سرور ديگر وجود انتقال امكانندارد

اجازه داده مي شود كه مثال كاربر به سرور 5+ در نسخه چاپ يك فايل را معرفي كند تا فايل با اعتبار آن كاربر

(در يك ماشين ديگر) چاپ شود ،توسط سرور چاپتعداد كليدها بصورت ،با افزايش تعداد قلمروها

تصاعدي افزايش مي يابد اين مشكل حل شده است.5+ در نسخه




پیاده سازی های موجود

دانشگاهMIT اولين پياده سازی کربروس که هنوز به عنوان مرجع : مورد استفاده قرار می گیرد

Heimdalتنها پياده سازی انجام شده در خارج آمريکا :

Active Directory پياده سازی ارائه شده توسط مايکروسافت : آمده استRFC 1510 که در


Authentication احراز هویت

Reliability اطمینان پذیری

Authenticator اعتبار نامه

ticket-granting ticket بليط “اعطاء بليط”

service-granting ticket بليط اعطاء خدمات

Tickets ها بليط

Distributed توزيع شده

Register ثبت نام

Integrity جامعيت

Spoof جعل

Address Spoofing جعل آدرس

service session جلسه خدمات

Replay Attack حمله تکرار

Administrative Domain حوزه مدیریتی

Services خدمات

Realm دامنه

Transparency شفافیت

ID شناسه

Principal عناصری که شناسانده میشوند

Realm قلمرو

Password گذر واژه

Certificate گواهي

Plain Text متن واضح

Key Management مديريت کليد

KDC: Key distribution Center مرکز توزيع کليد

Scalability مقياس پذيري

Timestamp مهر زمانی

service type نوع خدمات

AS: Authentication Server کارگذار احراز هويت،

Server کارگزار

TGS: Ticket Granting Server کارگزار اعطا کننده بليط

Session Key کلید جلسه

لغت نامهلغت نامه

Documents

Kerberos