TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT HANOI UNIVERSITY OF MINING AND GEOLOGY BÀI TẬP LỚN CƠ SỞ AN NINH MẠNG ĐỀ TÀI Kerberos NHÓM 10 HỌ TÊN Nguyễn Đức Mạnh 2021050435 Phùng Hồng Phúc 2021050518 Lưu Ngọc Nguyê[.]
TRƯỜNG ĐẠI HỌC MỎ-ĐỊA CHẤT HANOI UNIVERSITY OF MINING AND GEOLOGY BÀI TẬP LỚN: CƠ SỞ AN NINH MẠNG ĐỀ TÀI : Kerberos NHÓM 10 HỌ TÊN: Nguyễn Đức Mạnh-2021050435 Phùng Hồng Phúc-2021050518 Lưu Ngọc Nguyên-2021050483 Trương Văn Nhân-2021050488 MÃ MƠN HỌC: 7080703 - NHĨM 05 GV GIẢNG DẠY: Đặng Quốc Trung MỤC LỤC Ι.Những khái niệm liên quan………………………………………………………….1 An tồn thơng tin 1.1 Khái niệm 1.2 Tại phải quan tâm đến an tồn thơng tin Giao thức xác thực II GIAO THỨC KERREROS 1.Sơ lược giao thức 2.Mục tiêu, yêu cầu hệ thống Kerberos 10 2.1 Mục tiêu 10 2.2 Yêu cầu 11 Hoạt động hệ thống Kebores 11 Quy trình hoạt động kerberos 16 Hình hoạt động giao thức kerberos 18 4.1 Giai đoạn thứ 18 4.2 Giai đoạn thứ hai .20 4.3 Giai đoạn thứ ba 21 Ι Những khái niệm liên quan An toàn thơng tin 1.1 Khái niệm An tồn nghĩa thơng tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ lỗi tác động không mong đợi thay đổi tác động đến độ an toàn hệ thống nhỏ Hệ thống có đặc điểm sau khơng an tồn Các thơng tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rị rỉ) Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Thơng tin có giá trị cao đảm bảo tinh xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu an tồn bảo mật cơng nghệ thơng tin đưa số tiêu chuẩn an toàn Ứng dụng tiêu chuẩn an toàn vào đầu để loại trừ giảm bớt nguy hiểm Do kỹ thuật truyền nhận xử lý thông tin ngày phát triển đáp ứng yêu cầu ngày cao nên hệ thống đạt tới độ an tồn Quản lý an tồn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá độ an tồn thơng tin cần phải dựa phân tích rủi ro, tăng an tồn cách giảm tối thiểu rủi ro Các đánh giả cần hài hồ với đặc tính, cấu trúc hệ thống trình kiểm tra chất lượng Hiện biện pháp công ngày tinh vi đe doạ tới độ an tồn thơng tin đến từ nhiều nơi theo nhiều cách nên đưa cá sách phương pháp đề phịng cần thiết 1.2 Tại phải quan tâm đến an tồn thơng tin Khi nhu cầu trao đổi thơng tin liệu ngày lớn đa dạng, tiến điện tử viễn thông công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng lưu lượng truyền tin quan niệm ý tưởng biện pháp bảo vệ thông tin liệu đổi Bảo vệ an tồn thơng tin liệu chủ đề rộng, có liên quan đến nhiều lĩnh vực thực tế có nhiều phương pháp thực để bảo vệ an tồn thơng tin liệu Các phương pháp bảo vệ an tồn thơng tin liệu quy tụ vào ba nhóm sau: Bảo vệ an tồn thơng tin biện pháp hành Bảo vệ an tồn thơng tin biện pháp kỹ thuật (phần cứng) Bảo vệ an tồn thơng tin biện pháp thuật tốn (phần mềm) Ba nhóm ứng dụng riêng rẽ phối kết hợp Môi trường khô bảo vệ an tồn thơng tin mơi trường đối phương đễ sản nhập mơi trường mạng truyền tin Biện pháp hiệu kinh tế mạng truyền tin mạng máy tính biện pháp thuật tốn An tồn thông tin bao gồm nội dung sau: Đảm bảo tính tin cậy (Confidentiality): Thơng tin khơng thể bị truy nhập trái phép người khơng có thẩm quyền Đảm bảo tính ngun vẹn (Integrity): Thơng tin khơng thể bị sửa đổi bị làm giả người khơng có thẩm quyền Đảm bảo tính sẵn sàng riability) Thơng tin ln sẵn : dụng cho người có thẩm quyền để đáp ứng sử 2 Đảm bảo tinh từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Xác định xác nguy nói định tốt giải pháp để giảm thiểu thiệt hại Có hai loại hành vi xâm phạm thơng tin liệu là: vi phạm chủ động vi phạm thụ động Vi phạm thụ động nhằm mục đích cuối nắm bắt thơng tin (đánh cắp thơng tin) Việc làm có khơng biết nội dung cụ thể người gửi, người nhận nhờ thơng tin điều khiển giao thức chứa phần đầu gói tin Kẻ xâm nhập kiểm tra số lượng, độ dài tần số trao đổi Vì vi phạm thụ động không làm sai lệch hủy hoại nội dung thông tin liệu trao đổi Vi phạm thụ động thường khơ phát có biện pháp ngăn chặn hiệu Vi phạm chủ động dạng vi phạm làm thay đổi nội dung, xóa bỏ, làm trễ, xếp lại thứ tự làm lặp lại gói tin thời điểm sau thời gian Vi phạm chủ động thêm vào số thơng tin ngoại lai để làm sai lệch nội dung thông tin trao đổi Vi phạm chủ động dễ phát để ngăn chặn hiệu thi khó khăn nhiều Một thực tế khơng có biện pháp bảo vệ an tồn thơng tin liệu an toàn tuyệt đối Một hệ thống dù bảo vệ chắn đến đâu đảm bảo an toàn tuyệt đối Giao thức xác thực Khái niệm Xác thực-Authentication hành động nhằm thiết lập chứng thực (hoặc người đó) đáng tin cậy, có nghĩa lời khai báo người đưa vật thật Xác thực đối tượng cịn có nghĩa cơng nhận nguồn gốc (provenance) đối tượng xác thực người thường bao gồm việc thẩm tra nhận dạng họ Việc xác thực thường phụ thuộc vào nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể Trong an ninh máy tính xác thực quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) phần truyền gửi thông tin (sender) giao thông liên lạc chẳng hạn yêu cầu đăng nhập Phần gửi cần phải xác thực người dùng sử dụng máy tính, thân máy tính chương trình ứng dụng máy tính (computer program) Ngược lại Sự tin cậy mù quảng (blind credential) hồn tồn khơng thiết lập địi hỏi nhận đang, song thiết lập quyền địa vị hẹp hịi người dùng chương trình ứng dụng mà thơi Đinh nghĩa tốn học Một mã xác thực (S.R.K.C) thoả mãn điều kiện sau : -S tập hữu hạn trạng thái nguồn – A tập hợp nhân xác thực – K tập hữu hạn khố (khơng gian khoả) tk - Với k=K có quy tắc xác thực ek:S–R – Tập tin xác định C=5—E Chú ý trạng thái nguồn tương đương với rõ Một tin gồm rõ với nhãn xác thực kèm theo cách xác coi là tin xác nhận Một quy tắc xác thực không thiết phải hàm đơn ảnh Để phát thơng báo (đã kì).Alice Bob phải tn theo giao thức sau Trước tiên họ phải chọn khoả ngẫu nhiên Kek Điều thực cách bí mật hệ mặt khố bí mật Sau giả sử Alice muốn gửi trạng thái nguồn sẽS cho Bob kênh khơng an tồn Alice tính a=ek(s) gửi tin (s, a) cho Bob.Khi nhận (s, a) Bob tinh Cu=1 Bob chấp nhận tin xác thực ngược lại 2.2 Ta nghiên cứu hai kiểu công khác mà Oscar tiến hành Trong hai loại Oscar kẻ xâm nhập vào Các phép công mô tả sau: * Giá mạo * Thay Ứng với phương pháp xác xuất lừa bịp, xác suất để Oscar thành công việc lừa Bob (Oscar) tuân thủ chiến lược tối ưu Các xác suất kí hiệu Pd, (trường hợp giảmạo) Pdl (trường hợp thay thế) Để tỉnh Pdo Pdi ta cần phải xác định phân bố xác suất S vàk Các xác suất kí hiệu tương ứng P P Giả sử Oscar biết mã xác thực hai phân bố xác suất Chỉ có thơng tin mà Alice Bob có mà Oscar giả trị khoả 2.1 Các phương pháp xác thực 2.1.1 Xác thực dựa user name password Su ự kết hợp user name password cách xác thực Với kiểu xác thực này, chứng từ ủy nhiệm User đối chiếu với chứng từ lưu trữ database hệ thống trùng khớp username password, user xác thực khơng User bị cấm truy cập Phương thức không bão mặt chứng từ xác nhận User gửi xác thực tình trạng plain text, tức khơng mã hóa bị tơm đường truyền 2.2.1 Challenge handshake authentication protocol (CHAP) Challenge Handshake Authentication Protocol (CHAP) mơ hình xác thực dựa user name password Khi user cố gắng log on, server đảm nhiệm vai trị xác thực gửi thơng điệp thử thách (challenge message) trở lại máy tính User Lúc máy tính User phản hồi lại user name password mã hóa Server xác thực so sánh phiên xác thực User lưu giữ với phiên mã hóa vừa nhận, trùng khớp user authenticated Bản thân Password không gửi qua network Phương thức CHAP thường sử dụng User logon vào remote servers cty chẳng hạn R4S server Dữ liệu chữa password mã hóa gọi password băm (hash password) Một gói băm loại mã hóa khơng có phương cách giải mã 2.2.3 Kerberos Kerberos authentication dùng Server trung tâm để kiểm tra việc xác thực user cấp phát thẻ thơng hành (service tickets) để User truy cập vào tài nguyên Kerberos phương thức an tồn authentication dùng cấp độ mã hóa mạnh Kerberos dựa độ xác thời gian xác thực Server Client Computer, cần đảm bảo có time server authenticating servers đồng time từ Internet time server Kerberos tảng xác thực nhiều OS Unix, Windows 2.2.4 Tokens Tokens phương tiện vật lý thẻ thông minh (smart cards) thẻ đeo nhân viên (ID badges) chứa thông tin xác thực Tokens lưu trữ số nhận dạng cá nhân-personal identification numbers (PINs) thông tin user, passwords Các thơng tin token đọc xử lý thiết bị đặc dụng, vi dụ the smart card đọc đầu đọc smart card gắn Computer, sau thơng tin gửi đến authenticating server Tokens chứa chuỗi text giá trị số thông thương giá trị sử dụng lần 2.2.5 Biometrics Biometrics (phương pháp nhận dạng sinh trắc học) mơ hình xác thực dựa đặc điểm sinh học cá nhân Quét dấu vân tay (fingerprint scanner) quét võng mạc mắt (retinal scanner), nhận dạng giọng nói voice- recognition), nhận dạng khuôn mặt facerecognition) 2.2.6 Multi-factor authentication Multi-factor authentication xác thực dựa nhiều nhân tố kết hợp mơ hình xác thực u cầu kiểm nhân tố xác thực Có thể kết hợp nhân tố ví dụ như: bạn bạn có chứng minh bạn biết gi? 2.2.7 Mutual authentication Mutual authentication, xác thực lẫn kỹ thuật bảo mật mà thành phần tham gia giao tiếp với kiểm tra lẫn Trước hết Server chữa tài nguyên kiểm tra giấy phép truy cập” client sau client lại kiểm tra giày phép cấp tài nguyên Server II GIAO THỨC KERREROS 1.Sơ lược giao thức Tên giao thức Kerberos lấy từ tên chó ba đầu Cerberus canh gác cổng địa ngục thần thoại a A Lạp Nó phát triển dự án Athena học viện công nghệ MIT- Massachusetts Institute of Technology Kerberos giao thức mật mã dùng để xác thực mạng máy tinh theo mơ hình hình mơ hình client-server hoạt động đường truyền khơng an tồn Giao thức Kerberos có khả chống lại việc nghe lên hay gửi lại gói tin cũ đảm bảo tinh toàn vẹn liệu Mục tiêu thiết kế giao thức nhằm vào đảm bảo tinh toàn vẹn tinh bảo mặt cho thông tin truyền hai chiều 1.1.Lịch sử phát triển Học viện công nghệ Massachusetts (MIT) phát triển Kerberos để bảo vệ dịch vụ mạng cung cấp dự án Athena Giao thức phát triển nhiều phiên bản, phiên từ đến dùng nội MIT Các tác giả phiên Steve Miller Clifford Neuman, xuất bàn giao thức công chúng vào cuối thập niên 1980, mục đích họ chi phục vụ cho dự án Athena Phiên 5, John Kohl Clifford Neuman thiết kế, xuất tài liệu (RFC1510) vào năm 1993 (được thay RFC 4120 vào năm 2005 với mục đích sửa lỗi phiên MIT cung cấp phiên thực Kerberoslo miễn phi giấy phép tương tự dùng cho sản phẩm BSD (Berkeley Software Distribution) Chính phủ Hoa Kỳ cấm xuất Kerberos có sử dụng thuật toán DES 56 bit Tuy nhiên trước sách xuất Hoa Kỳ thay đổi năm 2000, có phiên KTH-KRB viết Thụy Điển thực Kerberos phân phối rộng rãi bên Hoa Kỳ Phiên dựa phiên khác có tên eBones eBones lại dựa phiên bàn xuất MIT thực Kerberos (patch-level 9) gọi Bones (loại bỏ hàm mặt mã lệnh gọi chúng) Eric Young, lập trình viên người Austraulia, phục hồi lại lệnh gọi hàm sử dụng hàm mặt mã thư viện Một phiên khác thực Kerberos Heimdal thực nhóm xuất KTH KRB Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sử dụng phiên thực Kerberos làm phương pháp mặc định để xác thực Những bổ sung Microsoft vào giao thức Kerberos đề cập tài liệu RFC 3244 http: tools ietf org html 3244 ("Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols") Hệ điều hành Mac OS X sử dụng Kerberos phiên Clients Server Năm 2005, nhóm làm việc IETF Kerberos cập nhật đặc điểm kỹ thuật địa http://www.ietf.org html charters krb-wg-charter.html Các cập nhật gần bao gồm: RFC 3961 Các quy định mật mã hóa kiểm tra tổng FFC 3962 Mà hoa AES cho Kerberos RFC 4120: Phiên tiêu chuẩn Kerberos V5 "The Kerberos Network Authentication Service (V5)" Phiên thay RFC 1510, làm rõ vấn đề giao thức cách sử dụng RFC 4121: Phiên tiêu chuẩn G5S-API: "Cơ -API 10 Kerberos Version 5: Version 2." 1.2 Ứng dụng kerberos Ngày dịch vụ xác thực Kerberos ứng dụng nhiều thực tiễn là: - Tích hợp ứng dụng mạng +OpenSSH (với Kerberos v5 cao hơn) +NFS (kê tir NFSv3) +PAM(với modular pam_krb5) +SOCKS (kể từ SOCKS5) +Apache (với modular mod_auth_kerb) +Dovecot IAPivaFOF Một cách giản tiếp tất phần mềm sử dụng SASL để nhận thực, chẳng hạn penLDAP Bộ Kerberos kèm với phần mềm client server ish FTP Telnet +Hệ thống X Window +Thế thông minh Smark Card +Được tích hợp để xác thực hệ điều hành mạng +Xây dựng tích hợp hệ thống xác thực ngân hàng +Tích hợp kerboros hệ thống bastion host 2.Mục tiêu, yêu cầu hệ thống Kerberos 2.1 Mục tiêu Mật người dùng không bị thất lạc mạng Đảm bảo mật khách hàng không lưu trữ trực tiếp máy người dùng mà loại bỏ sau sử dụng Mật người dùng không nên cất giữ hình thức khơng mặt mà sở liệu máy chủ dịch vụ Người sử dụng có yêu cầu nhập mật lần phiên làm việc Vì người sử dụng truy cập tất dịch vụ mà họ ủy uyển cho mà không cần phải nhập lại mật phiên Đặc tính gọi Single Sign-On 11 Quản lý thông tin xác thực tập trung cư trú máy chủ xác thực Các máy chủ ứng dụng không trực tiếp xác thực thông tin cho người dùng họ, điều làm cho hệ thống có hệ Người Quản trị quản lý tập trung tài khoản người dùng máy chủ xác thực mà không cần thao tác máy chủ dịch vụ Khi người dùng thay đổi mật mình, thay đổi cho tất dịch vụ lúc – Khơng có xác thực thừa nhằm bảo vệ mật Không người sử dụng phải chứng minh họ người họ mà máy chủ ứng dụng phải xác thực lại khách hàng họ có khơng Đặc tính gọi xác thực chéo Sau hoàn thành xác nhận uỷ quyền Client Server phải có khả thiết lập kết nối mã hóa, yêu cầu Đối với mục đích Kerberos cung cấp hỗ trợ cho hệ trao đổi khoả mặt mà sử dụng để mã hóa liệu 2.2 Yêu cầu Để Kerberos đạt mục tiêu đặt ra, phải đảm bảo yêu cầu sau: - Bão mat(security) - Tin cậy(reliability) - Minh bạch (transparency) - Uyển chuyển (scalability) Hoạt động hệ thống Kebores 3.1 Môi trường hoạt động Kerbores (Kerbores realms ) Để triển khai hệ thống hoạt động với dịch vụ Kerberos, yêu cầu môi trường: – Có máy chủ cài đặt dịch vụ Kerberos (Kerberos Server) - Các Clients phải đăng ký v máy chủ Kerberos - Một số máy chủ ứng dụng đóng vai trị phân bố khóa với may Kerberos Để có kerberos Realms hoạt động ta cần có Một vùng quản trị (administrative domain) Nếu có nhiều realms, Kerberos servers phải phân bố khóa ủy thác cho realms 12 3.2 Nguyên tắc hoạt động chung Giao thức Kerberos xây dựng dựa giao thức Needham- Shroeder (NS giao thức) Mô tả báo xuất năm 1978 Roger Needham Michael Shroeder, thiết kế để cung cấp dịch vụ chứng thực phân phối an tồn, thơng qua mật mã khóa bí mật Kerberos sử dụng bên thứ ba tham gia vào trình nhận thực gọi "trung tâm phân phối khỏa" ( key distribution center - KDC) KDC bao gồm hai chức "máy chủ xác thực" (authentication server - AS) "máy chủ cung cấp vẽ" (Ticket Granting Server - TGS) "Vẻ" hệ thống Kerberos chinh chứng thực chứng minh nhân dạng người sử dụng Đối với người sử dụng khóa bí mật băm thông tin đầu vào đăng ký thường lưu trung tâm phân phối khóa server Kerberos Mỗi người sử dụng (cả máy chủ máy khách) hệ thống chia khóa chung với máy chủ Kerberos Việc sở hữu thơng tin khóa chứng để chứng minh nhân dạng người sử dụng Trong giao dịch hai người sử dụng hệ thống máy chủ Kerberos tạo khoa phiên dùng cho phiên giao dịch Đối với dịch vụ, chuỗi ngẫu nhiên tạo hoạt động mật x40 lưu giữ Trung tâm phân phối khóa tập tin gọi keytab máy bên dịch vụ Đối với sơ đồ để làm việc, khách hàng dịch vụ phải tin tưởng dịch vụ bên thứ ba (các máy chủ Kerberos ), cung cấp khóa xác thực phân phối chúng theo yêu cầu Hoạt động Kerberos dựa vé Vẽ chuỗi liệu mã hóa truyền qua mạng, lưu trữ máy khách hàng Cách lưu trữ phụ thuộc vào hệ điều hành cấu hình khách hàng Theo cách thơng thường, lưu trữ tập tin dạng text khả tương thích với nhiều hệ điều hành khác 3.3 Mô tả giao thức Kerberos mô tả sau A sử dụng máy chủ kerberos S để chứng thực với máy chủ dịch vụ B A SAB S→A: (Ts L, KAB B (TS L KAB A}KBS KAS 13 A→B: (Ts, L, KAB A}KBS {A,TA }KAB B→A: KAB An ninh giao thức phụ thuộc nhiều vào trưởng T (đánh đầu thời điểm) L (thời hạn) gói tin Đây thị tính chất gói tin chống lại cơng gửi lại gói tin cũ Trong tin trên, máy chủ bao gồm dịch vụ xác thực cung cấp vẻ Trong gói tin { Ts, L Kiz B Ts L Kz A}Kus K45 KF khóa phiên A B {Ts L, Kaz, A}Kgs a từ máy khách tới máy chủ {A,Ta}Kus phần để xác thực A với Bộ { Ta+1}K_z để khẳng định lại xác thực B thơng qua chấp nhận A Điều cần thiết để hai bên nhận dạng lẫn 3.4 Các thành phần hệ thống kerberos 3.4.1 Realm Principa Realm: Chính tên miền để thiết lập giới hạn phạm vi mà máy chủ xác thực có thẩm quyền để xác thực người dùng, máy chủ lưu trữ dịch vụ Điều khơng có nghĩa xác thực người dùng dịch vụ mà họ phải thuộc lĩnh vực quản lý máy chủ xác thực kerberos Principal: Tên mục sở liệu máy chủ xác thực thành phần tham gia xác thực hệ thống bao gồm người sử dụng server 3.4.2 Trung tâm phân phối khoa (KDC- Key Distribution Centre) KDC đối tượng hệ thống Kerberos liên quan đến việc xác thực người dùng dịch vụ Các máy chủ xác thực realm kerberos có chức phân phối giữ người dùng nhà cung cấp dịch vụ, gọi Trung tâm phân phối khóa KDC Nó nằm hồn toàn máy chủ vật lý (đối với hệ thống đơn gian ) chia thành ba phần chính: – Server xác thực – Máy chủ cung cấp 14 – Cơ sở liệu • Server xác thực-Authentication Server (AS) – Máy chủ xác thực ( authentication server – AS ) AS phần KDC trả lời yêu cầu xác thực từ khách hàng Khi người sử dụng có yêu cầu xác nhận họ đăng nhập tài khoản mật ( đăng ký khởi tạo tài khoản người dùng ) Để đáp lại yêu cầu xác thực người dùng AS cấp cho họ TGT người sử dụng thực người mà họ nói mà AS định danh Người dùng sử dụng IGT để có cung cấp dịch vụ khác mà không cần phải đăng nhập lại • Server cấp vé-Ticket Granting Server (TGS) Trong hệ thống Kerberos chứng thực định danh người sử dụng Nó có nhiệm vụ kiểm tra tính hợp lệ TGS đảm bảo xác thực người dùng máy chủ ứng dụng – Nếu định danh server TGS IGT cũ người dùng hợp lệ cấp cho người dùng thơng hành để truy cập vào server ứng dụng gọi TGS * Cơ sở liệu Cơ sở liệu cho mục chứa liên kết với người sử dụng dịch vụ Tham chiếu tới mục cách sử dụng nhanh (tức tên mục nhập) Mỗi mục chứa thông tin sau: Khoa mật mã có thơng tin liên quan Thời gian hiệu lực tối đa cho Kerberos 5) gian tồn tối đa vẻ gia hạn (chỉ Các thuộc tỉnh có đặc trưng cho hành vi Mật hết hạn Để đảm bảo thông tin mã hóa lưu việc trao đổi các máy với 3.4.3 Vé (Ticket) – Một vẻ mà Client gởi đến ứng dụng máy chủ để chứng minh xác thực để nhận dạng Vẽ phát hành máy chủ xác thực mã hóa cách sử dụng khoa bí mật 15 dịch vụ mà họ dành cho Khoả bí mật chia sẻ máy chủ xác thực máy chủ cung cấp dịch vụ Client u cầu cấp khơng có quyền xem thay đổi nội dung Chính thơng tin chứa vẻ bao gồm: hợp lệ Những yêu cầu người sử dụng thiết yếu (thông thường Username) – Các thiết yếu dịch vụ dành cho – Địa IP máy khách mà từ vẻ sử dụng – Ngày thời gian (trong thời gian định đạng) vẻ có tinh hợp lệ – Vịng đời tối đa – Các khóa phiên (điều có vai trị mơ tả đây) Mỗi vẻ có hạn sử dụng ( thường 10 ) Đây điều cần thiết giúp máy chủ xác thực kiểm sốt tốt vẻ ban hành Realm quản trị ngăn ngừa việc phát hành thu hồi vẻ cho người sử dụng vào thời điểm nào, khơng ngăn cản người sử dụng bất hợp pháp họ Đây lý cho việc giới hạn vòng đời vẻ để hạn chế thay mạo danh người sử dụng hợp pháp 3.4.4 Khóa phiền Như thấy, người dùng dịch vụ chia sẻ bí mật với KDC Đối với người sử dụng khóa phép băm thơng tin đầu vào mật cho Đối với server dịch vụ chìa khóa bí mật họ (được đặt quân trị viên) Các khóa gọi khóa dài hạn khơng thay đổi phiên làm việc thay đổi Tuy nhiên, người sử dụng phải xác thực server dịch vụ cho thời gian có khách hàng có phiên làm việc mở dịch vụ điều quan trọng, tạo KDC vẻ ban hành gọi khóa phiên Các đành cho dịch vụ bao bọc KDC vẻ (trong trường hợp ứng dụng máy chủ họ hiểu biết khóa dài hạn giải mã trích khóa phiên), đành cho người sử dụng đóng gói gói mã hóa với người sử dụng khoa lâu dài Các khóa phiên đóng vai trị chứng minh xác thực người sử dụng 16 3.45 hòa Như thấy thầy Kerberos thường nhu cầu để mã hóa giải mã thơng điệp (vẻ khóa) qua người khác việc xác thực Điều quan trọng cần lưu ý sử dụng Kerberos mã hóa khóa đối xứng (nói cách khác khỏa sử dụng để mã hóa giải mã ) Kerberos thực loại mã hóa mà DES 56 bit Sự yếu dẫn đến dễ bị công làm cho Kerberos bị lỗi thời Phiên Kerberos, hỗ trợ nhiều kiểu mã hóa phức tạp khác tùy vào việc triển khai mơ hình cụ thể Vì tinh linh hoạt mở rộng giao thức nâng cao làm cho Kerberos có khả tương thích cao với nhiều hệ thống khác Để khách hàng sử dụng ứng dụng xác thực cách sử dụng máy chủ khác nhau, họ phải có loại mã hóa chung Những khó khăn liên quan đến việc triển khai vận hành UNIX Kerberos tồn Active Directory Windows giới hạn hỗ trợ mã hóa đưng lại DES 56 bit Điều làm giảm tinh an toàn hệ thống Vấn đề sau giải với phiên 1,3 MIT Kerberos Phiên giới thiệu RC4-HMAC ba DES (3DES) AES 128 AES 256 đáng đề cập đến Quy trình hoạt động kerberos Kerberos khơng xây dựng giao thức chứng thực phức tạp cho máy chủ mà hoạt động dựa máy chủ chứng thực tập trung KDC (Key Distribution Centre) 17 KDC cung cấp vé cho việc chứng thực người dùng bảo mật truyền thơng khố phiên vé gồm3 giai đoạn bước trao đổi Client chứng thực AS (Authentication Server – biết khoá mật tất người dùng lưu giữ sở liệu tập trung ) AS_REQ yêu cầu người dùng xác thực ban đầu(khởi tạo dich vụ) yêu cầu chuyển trực tiếp tới thành phần gọi KDC Authentication Server (AS) AS_REP trả lời máy chủ xác thực để yêu cầu trước Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng u cầu) · Client xác thực TGS (Ticket Granting Server – cung cấp vé dịch vụ cho phép người dùng truy nhập vào máy chủ mạng) TGS_REQ yêu cầu từ khách hàng đến Cấp vé máy chủ (TGS) cho vé thơng hành Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng yêu cầu) TGS_REP trả lời Cấp vé máy chủ để yêu cầu trước đó.Nằm bên vé dịch vụ theo yêu cầu (được mã hóa với khóa bí mật dịch vụ) phiên dịch vụ khóa tạo TGS mã hóa khóa phiên trước tạo AS Khách hàng truy cập cấp phép sử dung dịch vụ AP_REQ yêu cầu khách hàng gửi tới máy chủ ứng dụng để truy cập vào dịch vụ Các thành phần dịch vụ bán vé thu từ TGS với thư trả lời trước nhận thực lần tạo khách hàng, lần mã hóa khóa phiên dịch (tạo TGS); AP_REP trả lời máy chủ ứng dụng cung cấp cho khách hàng để chứng minh thực máy chủ khách hàng mong muốn Gói khơng phải lúc yêu cầu Các khách hàng yêu cầu máy chủ cho xác thực lẫn cần thiết 18 · Lưu ý tất trao đổi máy dược đóng dấu thời gian Timestamp Hình hoạt động giao thức kerberos Trong kịch này, người dùng C đăng nhập vào máy trạm client yêu cầu truy nhập tới máy chủ V 4.1 Giai đoạn thứ Kết nối với AS để lấy vé xin truy nhập TGS, ticket-granting-ticket (TGT) Truyền thông với AS thường giai đoạn khởi đầu phiên đăng nhập, nhằm lấy liệu chứng thực (TGT) cho TGS, để sau lấy chứng thực cho máy chủ khác mà nhập lại khố bí mật client Khố bí mật client sử dụng cho việc mã hoá giải mã Người sử dụng nhập tên mật máy tính (máy khách) Phần mềm máy khách thực hàm băm chiều mật nhận được.Kết dùng làm khóa bí mật người sử dụng Phần mềm máy khách gửi gói tin (khơng mật mã hóa) tới máy chủ dịch vụ AS để yêu cầu dịch vụ Nội dung gói tin là: "người dùng U muốn sử dụng dịch vụ" Cần ý khóa bí mật lẫn mật không gửi tới AS 19 AS kiểm tra nhận dạng người yêu cầu có nằm sở liệu khơng Nếu có AS gửi gói tin sau tới người sử dụng: – Gói tin A: "Khóa phiên TGS/Client" mật mã hóa với khóa bí mật người sử dụng – Gói tin B: "Vé chấp thuận" (bao gồm danh người sử dụng (ID), địa mạng người sử dụng, thời hạn vé "Khóa phiên TGS/Client") mật mã hóa với khóa bí mật TGS Hình 2: Ngừơi dùng truy cập vào AS 4.2 Giai đoạn thứ hai Trao đổi với máy chủ cấp vé dịch vụ TGS, lấy service ticket truy nhập máy chủ V: Khi nhận gói tin A B, phần mềm máy khách giải mã gói tin A để có khóa phiên với TGS (Người sử dụng khơng thể giải mã gói tin B mã hóa với khóa bí mật TGS) Tại thời điểm này, người dùng nhận thực với TGS Khi yêu cầu dịch vụ, người sử dụng gửi gói tin sau tới TGS: – Gói tin C: Bao gồm "Vé chấp thuận" từ gói tin B danh (ID) yêu cầu dịch vụ – Gói tin D: Phần nhận thực (bao gồm danh người sử dụng thời điểm yêu cầu), mật mã hóa với "Khóa phiên TGS/Client " 20 ... liên quan………………………………………………………….1 An toàn thông tin 1.1 Khái niệm 1.2 Tại phải quan tâm đến an tồn thơng tin Giao thức xác thực II GIAO THỨC KERREROS. .. gia giao tiếp với kiểm tra lẫn Trước hết Server chữa tài nguyên kiểm tra giấy phép truy cập” client sau client lại kiểm tra giày phép cấp tài nguyên Server II GIAO THỨC KERREROS 1.Sơ lược giao thức. .. thực Kerberos làm phương pháp mặc định để xác thực Những bổ sung Microsoft vào giao thức Kerberos đề cập tài liệu RFC 3244 http: tools ietf org html 3244 ("Microsoft Windows 2000 Kerberos Change