HỌC VIỆN KĨ THUẬT MẬT MÃ Báo cáo Môn học: An tồn hệ điều hành Đề tài 06: Trình bày phân tích chế xác thực đăng nhập Kerberos Windows Sinh viên thực hiện: Đỗ Duy Hưng AT150225 Nguyễn Thùy Dương AT150209 Đỗ Cao Đức AT150215 Trịnh Thị Dung AT150211 Hà Ngọc Hiếu AT150218 Nguyễn Tuấn Đạt AT150212 Giáo viên giảng dạy: Trần Sỹ Nam TIEU LUAN MOI download : skknchat@gmail.com NỘI DUNG CHÍNH Phần I: SƠ LƯỢC VỀ GIAO THỨC Phần II: CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG KERBEROS Phần III: ĐÁNH GIÁ HỆ THỐNG KERBEROS T I E U L U A N M O I d o w n l o a d : skknchat@gmail.com PHẦN I LỊCH SỬ PHÁT TRIỂN TIEU LUAN MOI download : skknchat@gmail.com LỊCH SỬ PHÁT TRIỂN Học viện công nghệ Massachusetts (MIT) phát triển Kerberos để bảo vệ dịch vụ mạng cung cấp dự án Athena Giao thức phát triển nhiều phiên bản, phiên từ đến dùng nội MIT Các tác giả phiên 4, Steve Miller Clifford Neuman, xuất giao thức công chúng vào cuối thập niên 1980, mục đích họ phục vụ cho dự án Athena Phiên 5, John Kohl Clifford Neuman thiết kế, xuất tài liệu (RFC1510) vào năm 1993 (được thay RFC 4120 vào năm 2005 với mục đích sửa lỗi phiên Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sử dụng phiên thực Kerberos làm phương pháp mặc định để xác thực TIEU LUAN MOI download : skknchat@gmail.com KERBEROS LÀ GÌ? Kerberos giao thức mật mã dùng để xác thực mạng máy tính hoạt động đường truyền khơng an tồn Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu Mục tiêu thiết kế giao thức nhằm vào mơ hình client - server đảm bảo nhận thực cho hai chiều Tên giao thức Kerberos lấy từ tên chó ba đầu Cerberus canh gác cổng địa ngục thần thoại Hy Lạp Giao thức xây dựng dựa mã hoá đối xứng cần đến bên thứ ba mà hai phía tham gia giao dịch tin tưởng TIEU LUAN MOI download : skknchat@gmail.com ỨNG DỤNG CỦA KERBEROS Ngày dịch vụ xác thực Kerberos ứng dụng nhiều thực tiễn là: Tích hợp ứng dụng mạng: OpenSSH ( với Kerberos v5 cao hơn) TIEU LUAN MOI download : skknchat@gmail.com ỨNG DỤNG CỦA KERBEROS SOCKS ( kể từ SOCKS5) TIEU LUAN MOI download : skknchat@gmail.com ỨNG DỤNG CỦA KERBEROS Thẻ thông minh Smark Card TIEU LUAN MOI download : skknchat@gmail.com MỤC TIÊU YÊU CẦU MỤC TIÊU VÀ YÊU CẦU HOẠT ĐỘNG MÃ HÓA TIEU LUAN MOI download : skknchat@gmail.com NGUYÊN TẮC HOẠT ĐỘNG CHUNG MÔ TẢ GIAO THỨC Kerberos mô tả sau A sử dụng máy chủ kerberos S để chứng thực với máy chủ dịch vụ B * An ninh giao thức phụ thuộc nhiều vào trường T (đánh dấu thời điểm) L (thời hạn) gói tin Đây thị tính chất gói tin chống lại cơng gửi lại gói tin cũ * Trong tin trên, máy chủ S bao gồm dịch vụ xác thực cung cấp vé Trong gói tin { TS, L, KAB, B, {TS, L, KAB, A}KBS}KAS * KAB khóa phiên A B; {TS, L, KAB, A}KBS vé gửi từ máy khách tới máy chủ; { A,TA }KAB phần để xác thực A với B; { TA + }KAB để khẳng định lại xác thực B thơng qua chấp nhận A Điều cần thiết để hai bên nhận dạng lẫn TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Realm Principa * Realm: Chính tên miền để thiết lập giới hạn phạm vi mà máy chủ xác thực có thẩm quyền để xác thực người dùng, máy chủ lưu trữ dịch vụ Điều khơng có nghĩa xác thực người dùng dịch vụ mà họ phải thuộc lĩnh vực quản lý máy chủ xác thực kerberos * Principal: Tên mục sở liệu máy chủ xác thực thành phần tham gia xác thực hệ thống bao gồm người sử dụng server TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Trung tâm phân phối khoá (KDC- Key Distribution Centre) KDC đối tượng hệ thống Kerberos liên quan đến việc xác thực người dùng dịch vụ * * KDC chia thành ba phần chính:  Server xác thực  Máy chủ cung cấp  Cơ sở liệu TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Server xác thực-Authentication Server (AS) * Là phần KDC trả lời yêu cầu xác thực từ khách hàng Khi người sử dụng có yêu cầu xác nhận, họ đăng nhập tài khoản mật ( đăng ký khởi tạo tài khoản người dùng ) Để đáp lại yêu cầu xác thực người dùng AS cấp cho họ TGT( vé chấp nhận) người sử dụng thực người mà họ nói mà AS định danh Người dùng sử dụng TGT để có cung cấp vé dịch vụ khác mà không cần phải đăng nhập lại * TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Server cấp vé-Ticket Granting Server (TGS ) Trong hệ thống Kerberos chứng thực định danh người sử dụng Nó có nhiệm vụ kiểm tra tính hợp lệ TGS đảm bảo xác thực giưa người dùng máy chủ ứng dụng * Nếu đinh danh server TGS vé TGT người dùng hợp lệ cấp cho người dùng vé thơng hành để truy cập vào server ứng dụng gọi TGS * TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Cơ sở liệu Cơ sở liệu cho mục chứa liên kết với người sử dụng dịch vụ Tham chiếu tới mục cách sử dụng nhánh (tức tên mục nhập) Mỗi mục chứa thông tin sau: * Khố mật mã có thơng tin liên quan Thời gian hiệu lực tối đa cho vé Thời gian tồn tối đa vé, gia hạn (chỉ Kerberos 5) Các thuộc tính cờ đặc trưng cho hành vi vé Mật hết hạn Để đảm bảo thông tin mã hóa lưu việc trao đổi các máy với * TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Vé (Ticket) Một vé mà Client gởi đến ứng dụng máy chủ để chứng minh xác thực để nhận dạng * * Chính thơng tin chứa vé bao gồm: Những yêu cầu người sử dụng thiết yếu (thông thường Username) Các thiết yếu dịch vụ dành cho Địa IP máy khách mà từ vé sử dụng Ngày thời gian (trong thời gian định dạng) vé có tính hợp lệ Vịng đời tối đa vé Các khóa phiên (điều có vai trị mơ tả đây) Mỗi vé có hạn sử dụng (thường 10 giờ) Đây điều cần thiết giúp máy chủ xác thực kiểm soát tốt vé ban hành TIEU LUAN MOI download : skknchat@gmail.com * CÁC THÀNH PHẦN TRONG HỆ THỐNG KERBEROS Khóa phiên Đối với server dịch vụ, chìa khóa bí mật họ (được đặt quản trị viên).These keys are called long term, since they not change when the work session changes Các khóa gọi khóa dài hạn, khơng thay đổi phiên làm việc thay đổi * Tuy nhiên, người sử dung phải xác thực server dịch vụ cho thời gian có khách hàng có phiên làm việc mở dịch vụ điều quan trọng, tạo KDC vé ban hành, gọi khóa phiên * Các khóa phiên đóng vai trò chứng minh xác thực người sử dụng * TIEU LUAN MOI download : skknchat@gmail.com MÃ HĨA Kerberos thực loại mã hóa mà DES 56 bit Sự yếu dẫn đến dễ bị công làm cho Kerberos bị lỗi thời * Phiên Kerberos, hỗ trợ nhiều kiểu mã hóa phức tạp khác tùy vào việc triển khai mô hinh cụ thể đó, tính linh hoạt mở rộng giao thức nâng caolàm cho Kerberos có khã tương thích cao với nhiều hệ thống khác * TIEU LUAN MOI download : skknchat@gmail.com HOẠT ĐỘNG Client chứng thực AS Authentication Server - biết khoá mật tất người dùng lưu giữ sở liệu tập trung * AS_REQ yêu cầu người dùng xác thực ban đầu(khởi tạo dich vụ) yêu cầu chuyển trực tiếp tới thành phần gọi KDC Authentication Server (AS) * AS_REP trả lời máy chủ xác thực để yêu cầu trước Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng yêu cầu) * TIEU LUAN MOI download : skknchat@gmail.com HOẠT ĐỘNG Client xác thực TGS Ticket Granting Server - cung cấp vé dịch vụ cho phép người dùng truy nhập vào máy chủ mạng * TGS_REQ yêu cầu từ khách hàng đến Cấp vé máy chủ (TGS) cho vé thông hành Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng u cầu) * TGS_REP trả lời Cấp vé máy chủ để yêu cầu trước đó.Nằm bên vé dịch vụ theo u cầu (được mã hóa với khóa bí mật dịch vụ) phiên dịch vụ khóa tạo TGS mã hóa khóa phiên trước tạo AS * TIEU LUAN MOI download : skknchat@gmail.com HOẠT ĐỘNG Khách hàng truy cập cấp phép sử dung dịch vụ AP_REQ yêu cầu khách hàng gửi tới máy chủ ứng dụng để truy cập vào dịch vụ Các thành phần dịch vụ bán vé thu từ TGS với thư trả lời trước nhận thực lần tạo khách hàng, lần mã hóa khóa phiên dịch (tạo TGS); * AP_REP trả lời máy chủ ứng dụng cung cấp cho khách hàng để chứng minh thực máy chủ khách hàng mong muốn Gói khơng phải lúc yêu cầu Các khách hàng yêu cầu máy chủ cho xác thực lẫn cần thiết * TIEU LUAN MOI download : skknchat@gmail.com ĐÁNH GIÁ HỆ THỐNG KERBEROS ƯU ĐIỂM TIEU LUAN MOI download : skknchat@gmail.com ƯU ĐIỂM * Tăng tiện dụng cho người dung * Hỗ trợ nhà phát triển hệ thống * Làm đơn giản hố cơng tác quản trị * Tăng cường bảo mật Kerberos giao thức xác thực cho máy chủ tin cậy mạng khơng đáng tin cậy * Mục tiêu thiết kế Kerberos để loại bỏ việc truyền mật khơng mã hóa mạng Nếu sử dụng cách, Kerberos có hiệu loại bỏ gói tin sniffers * Kerberos có khã tương thích cao tích hợp vào điều hành hệ phổ biến ( windows, linux , unix, mac os ) tích hơp trực tiếp vào ứng dụng mạng hoạt động hệ điều hành khác * TIEU LUAN MOI download : skknchat@gmail.com NHƯỢC ĐIỂM * Khó tích hợp với hệ thống cũ Tấn công desktop Cũng tính SSO, có khả kẻ địch giành quyền truy nhập tới tài nguyên người dùng máy rời khỏi máy sau đăng nhập mà qn khơng khố máy lại * * Kerberos xác thực sử dụng máy chủ lưu trữ mạng khơng đáng tin Giao thức địi hỏi đồng hồ tất máy tính liên quan phải đồng Nếu không đảm bảo điều này, chế nhận thực thời hạn Sử dụng không hoạt động * TIEU LUAN MOI download : skknchat@gmail.com ... RFC 4120 vào năm 2005 với mục đích sửa lỗi phiên Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sử dụng phiên thực Kerberos làm phương pháp mặc định để xác thực TIEU LUAN MOI download... máy chủ xác thực kerberos * Principal: Tên mục sở liệu máy chủ xác thực thành phần tham gia xác thực hệ thống bao gồm người sử dụng server TIEU LUAN MOI download : skknchat@gmail.com CÁC THÀNH PHẦN... KDC trả lời yêu cầu xác thực từ khách hàng Khi người sử dụng có yêu cầu xác nhận, họ đăng nhập tài khoản mật ( đăng ký khởi tạo tài khoản người dùng ) Để đáp lại yêu cầu xác thực người dùng AS