HỌC VIỆN KĨ THUẬT MẬT MÃ Báo cáo Môn học: An tồn hệ điều hành Đề tài 06: Trình bày phân tích chế xác thực đăng nhập Kerberos Windows Sinh viên thực hiện: Đỗ Duy Hưng AT150225 Nguyễn Thùy Dương AT150209 Đỗ Cao Đức AT150215 Trịnh Thị Dung AT150211 Hà Ngọc Hiếu AT150218 Nguyễn Tuấn Đạt AT150212 Giáo viên giảng dạy: Trần Sỹ Nam NỘI DUNG CHÍNH Phần I: SƠ LƯỢC VỀ GIAO THỨC Phần II: CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG KERBEROS Phần III: ĐÁNH GIÁ HỆ THỐNG KERBEROS PHẦN I LỊCH SỬ PHÁT TRIỂN KERBEROS LÀ GÌ? ỨNG DỤNG CỦA KERBEROS LỊCH SỬ PHÁT TRIỂN Học viện công nghệ Massachusetts (MIT) phát triển Kerberos để bảo vệ dịch vụ mạng cung cấp dự án Athena Giao thức phát triển nhiều phiên bản, phiên từ đến dùng nội MIT Các tác giả phiên 4, Steve Miller Clifford Neuman, xuất giao thức công chúng vào cuối thập niên 1980, mục đích họ phục vụ cho dự án Athena Phiên 5, John Kohl Clifford Neuman thiết kế, xuất tài liệu (RFC1510) vào năm 1993 (được thay RFC 4120 vào năm 2005 với mục đích sửa lỗi phiên Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sử dụng phiên thực Kerberos làm phương pháp mặc định để xác thực KERBEROS LÀ GÌ? Kerberos giao thức mật mã dùng để xác thực mạng máy tính hoạt động đường truyền khơng an tồn Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính toàn vẹn liệu Mục tiêu thiết kế giao thức nhằm vào mơ hình client - server đảm bảo nhận thực cho hai chiều Tên giao thức Kerberos lấy từ tên chó ba đầu Cerberus canh gác cổng địa ngục thần thoại Hy Lạp Giao thức xây dựng dựa mã hoá đối xứng cần đến bên thứ ba mà hai phía tham gia giao dịch tin tưởng ỨNG DỤNG CỦA KERBEROS Ngày dịch vụ xác thực Kerberos ứng dụng nhiều thực tiễn là: Tích hợp ứng dụng mạng: OpenSSH ( với Kerberos v5 cao hơn) NFS ( kể từ NFSv3) PAM ( với modular pam_krb5) ỨNG DỤNG CỦA KERBEROS SOCKS ( kể từ SOCKS5) Apache ( với modular mod_auth_kerb) Hệ thống X window ỨNG DỤNG CỦA KERBEROS Thẻ thơng minh Smark Card Được tích hợp để xác thực hệ điêu hành mạng Xây dưng tích hợp hệ thống xác thực ngân hàng Tích hợp kerboros hệ thống bastion host MỤC TIÊU HOẠT ĐỘNG YÊU CẦU MỤC TIÊU VÀ U CẦU CỦA HỆ THỐNG KERBEROS MÃ HĨA MƠ TẢ GIAO THỨC NGUYÊN TẮC HOẠT ĐỘNG CHUNG MỤC TIÊU * Người sử dụng truy cập tất dịch vụ mà họ ủy quyền cho mà không cần phải nhập lại mật phiên Đặc tính gọi Single Sign-On * Khi người dùng thay đổi mật mình, thay đổi cho tất dịch vụ lúc * Không người sử dụng phải chứng minh họ người họ mà máy chủ ứng dụng phải xác thực lại khách hàng họ có khơng Đặc tính gọi xác thực chéo CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Realm Principa * Realm: Chính tên miền để thiết lập giới hạn phạm vi mà máy chủ xác thực có thẩm quyền để xác thực người dùng, máy chủ lưu trữ dịch vụ Điều khơng có nghĩa xác thực người dùng dịch vụ mà họ phải thuộc lĩnh vực quản lý máy chủ xác thực kerberos * Principal: Tên mục sở liệu máy chủ xác thực thành phần tham gia xác thực hệ thống bao gồm người sử dụng server CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Trung tâm phân phối khoá (KDC- Key Distribution Centre) * KDC đối tượng hệ thống Kerberos liên quan đến việc xác thực người dùng dịch vụ * KDC chia thành ba phần chính:  Server xác thực  Máy chủ cung cấp  Cơ sở liệu CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Server xác thực-Authentication Server (AS) * Là phần KDC trả lời yêu cầu xác thực từ khách hàng * Khi người sử dụng có yêu cầu xác nhận, họ đăng nhập tài khoản mật ( đăng ký khởi tạo tài khoản người dùng ) Để đáp lại yêu cầu xác thực người dùng AS cấp cho họ TGT( vé chấp nhận) người sử dụng thực người mà họ nói mà AS định danh Người dùng sử dụng TGT để có cung cấp vé dịch vụ khác mà không cần phải đăng nhập lại CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Server cấp vé-Ticket Granting Server (TGS ) * Trong hệ thống Kerberos chứng thực định danh người sử dụng Nó có nhiệm vụ kiểm tra tính hợp lệ TGS đảm bảo xác thực giưa người dùng máy chủ ứng dụng * Nếu đinh danh server TGS vé TGT người dùng hợp lệ cấp cho người dùng vé thơng hành để truy cập vào server ứng dụng gọi TGS CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Cơ sở liệu * Cơ sở liệu cho mục chứa liên kết với người sử dụng dịch vụ Tham chiếu tới mục cách sử dụng nhánh (tức tên mục nhập) Mỗi mục chứa thơng tin sau: Khố mật mã có thơng tin liên quan Thời gian hiệu lực tối đa cho vé Thời gian tồn tối đa vé, gia hạn (chỉ Kerberos 5) Các thuộc tính cờ đặc trưng cho hành vi vé Mật hết hạn * Để đảm bảo thông tin mã hóa lưu việc trao đổi các máy với CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Vé (Ticket) * Một vé mà Client gởi đến ứng dụng máy chủ để chứng minh xác thực để nhận dạng * Chính thơng tin chứa vé bao gồm: Những yêu cầu người sử dụng thiết yếu (thông thường Username) Các thiết yếu dịch vụ dành cho Địa IP máy khách mà từ vé sử dụng Ngày thời gian (trong thời gian định dạng) vé có tính hợp lệ Vịng đời tối đa vé Các khóa phiên (điều có vai trị mơ tả đây) * Mỗi vé có hạn sử dụng (thường 10 giờ) Đây điều cần thiết giúp máy chủ xác thực kiểm sốt tốt vé ban hành CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Khóa phiên * Đối với server dịch vụ, chìa khóa bí mật họ (được đặt quản trị viên).These keys are called long term, since they not change when the work session changes Các khóa gọi khóa dài hạn, khơng thay đổi phiên làm việc thay đổi * Tuy nhiên, người sử dung phải xác thực server dịch vụ cho thời gian có khách hàng có phiên làm việc mở dịch vụ điều quan trọng, tạo KDC vé ban hành, gọi khóa phiên * Các khóa phiên đóng vai trị chứng minh xác thực người sử dụng MÃ HÓA * Kerberos thực loại mã hóa mà DES 56 bit Sự yếu dẫn đến dễ bị công làm cho Kerberos bị lỗi thời * Phiên Kerberos, hỗ trợ nhiều kiểu mã hóa phức tạp khác tùy vào việc triển khai mô hinh cụ thể đó, tính linh hoạt mở rộng giao thức nâng caolàm cho Kerberos có khã tương thích cao với nhiều hệ thống khác HOẠT ĐỘNG Client chứng thực AS * Authentication Server - biết khoá mật tất người dùng lưu giữ sở liệu tập trung * AS_REQ yêu cầu người dùng xác thực ban đầu(khởi tạo dich vụ) yêu cầu chuyển trực tiếp tới thành phần gọi KDC Authentication Server (AS) * AS_REP trả lời máy chủ xác thực để yêu cầu trước Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng yêu cầu) HOẠT ĐỘNG Client xác thực TGS * Ticket Granting Server - cung cấp vé dịch vụ cho phép người dùng truy nhập vào máy chủ mạng * TGS_REQ yêu cầu từ khách hàng đến Cấp vé máy chủ (TGS) cho vé thông hành Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng u cầu) * TGS_REP trả lời Cấp vé máy chủ để yêu cầu trước đó.Nằm bên vé dịch vụ theo yêu cầu (được mã hóa với khóa bí mật dịch vụ) phiên dịch vụ khóa tạo TGS mã hóa khóa phiên trước tạo AS HOẠT ĐỘNG Khách hàng truy cập cấp phép sử dung dịch vụ * AP_REQ yêu cầu khách hàng gửi tới máy chủ ứng dụng để truy cập vào dịch vụ Các thành phần dịch vụ bán vé thu từ TGS với thư trả lời trước nhận thực lần tạo khách hàng, lần mã hóa khóa phiên dịch (tạo TGS); * AP_REP trả lời máy chủ ứng dụng cung cấp cho khách hàng để chứng minh thực máy chủ khách hàng mong muốn Gói khơng phải lúc u cầu Các khách hàng yêu cầu máy chủ cho xác thực lẫn cần thiết ĐÁNH GIÁ HỆ THỐNG KERBEROS ƯU ĐIỂM NHƯỢC ĐIỂM ƯU ĐIỂM * Tăng tiện dụng cho người dung * Hỗ trợ nhà phát triển hệ thống * Làm đơn giản hố cơng tác quản trị * Tăng cường bảo mật * Kerberos giao thức xác thực cho máy chủ tin cậy mạng không đáng tin cậy * Mục tiêu thiết kế Kerberos để loại bỏ việc truyền mật khơng mã hóa mạng Nếu sử dụng cách, Kerberos có hiệu loại bỏ gói tin sniffers * Kerberos có khã tương thích cao tích hợp vào điều hành hệ phổ biến ( windows, linux , unix, mac os ) tích hơp trực tiếp vào ứng dụng mạng hoạt động hệ điều hành khác NHƯỢC ĐIỂM * Khó tích hợp với hệ thống cũ * Tấn cơng desktop Cũng tính SSO, có khả kẻ địch giành quyền truy nhập tới tài nguyên người dùng máy rời khỏi máy sau đăng nhập mà qn khơng khố máy lại * Kerberos xác thực sử dụng máy chủ lưu trữ mạng không đáng tin * Giao thức địi hỏi đồng hồ tất máy tính liên quan phải đồng Nếu không đảm bảo điều này, chế nhận thực thời hạn Sử dụng không hoạt động ... phiên Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sử dụng phiên thực Kerberos làm phương pháp mặc định để xác thực KERBEROS LÀ GÌ? Kerberos giao thức mật mã dùng để xác thực mạng... mod_auth_kerb) Hệ thống X window ỨNG DỤNG CỦA KERBEROS Thẻ thơng minh Smark Card Được tích hợp để xác thực hệ điêu hành mạng Xây dưng tích hợp hệ thống xác thực ngân hàng Tích hợp kerboros hệ thống... thống Kerberos liên quan đến việc xác thực người dùng dịch vụ * KDC chia thành ba phần chính:  Server xác thực  Máy chủ cung cấp  Cơ sở liệu CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Server xác thực- Authentication