CHƯƠNG I 1 TỔNG QUAN VỀ GIAO THỨC KERBEROS 1.1. SƠ LƯƠT VỀ GIAO THỨC Tên của giao thức Kerberos được lấy từ tên của con chó ba đầu Cerberus canh gác cổng địa ngục trong thần thoại Hy Lạp. Nó được phát triển trong dự án Athena của học viện công nghệ MIT Massachusetts Institute of Technology. Kerberos một giao thức mật mã dùng để xác thực trong các mạng máy tính theo mô hinh hình mô hình clientserver hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào và đảm bảo tính toàn vẹn và tính bảo mật cho thông tin truyền đi cả hai chiều. 1.1.1. Lịch sử phát triển Học viện công nghệ Massachusetts (MIT) phát triển Kerberos để bảo vệ các dịch vụ mạng cung cấp bởi dự án Athena. Giao thức đã được phát triển dưới nhiều phiên bản, trong đó các phiên bản từ 1 đến 3 chỉ dùng trong nội bộ MIT. Các tác giả chính của phiên bản 4, Steve Miller và Clifford Neuman, đã xuất bản giao thức ra công chúng vào cuối thập niên 1980, mặc dù mục đích chính của họ là chỉ phục vụ cho dự án Athena. Phiên bản 5, do John Kohl và Clifford Neuman thiết kế, xuất hiện trong tài liệu (RFC1510) vào năm 1993 (được thay thế bởi RFC 4120 vào năm 2005 với mục đích sửa các lỗi của phiên bản 4. MIT đã cung cấp các phiên bản thực hiện Kerberoslo miễn phí dưới giấy phép tương tự như dùng cho các sản phẩm BSD (Berkeley Software Distribution). Chính phủ Hoa Kỳ đã cấm xuất khẩu Kerberos vì nó có sử dụng thuật toán DES 56 bit. Tuy nhiên, trước khi chính sách xuất khẩu của Hoa Kỳ thay đổi năm 2000, đã có phiên bản KTHKRB viết tại Thuỵ Điển thực hiện Kerberos 4 được phân phối rộng rãi bên ngoài Hoa Kỳ. Phiên bản này được dựa trên một phiên bản khác có tên là eBones. eBones lại dựa trên một phiên bản được xuất khẩu của MIT thực hiện Kerberos 4 (patchlevel 9) gọi là Bones (loại bỏ các hàm mật mã và các lệnh gọi chúng). Eric Young, một lập trình viên người Austraulia, đã phục hồi lại các lệnh gọi hàm và sử dụng các hàm mật mã trong thư viện của anh ta. Một phiên bản khác thực hiện Kerberos 5, Heimdal, cũng được thực hiện bởi nhóm đã xuất bản KTHKRB. Các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 sử dụng một phiên bản thực hiện Kerberos làm phương pháp mặc định để xác thực. Những bổ sung của Microsoft vào bộ giao thức Kerberos được đề cập trong tài liệu RFC 3244 http:tools.ietf.orghtml3244 (Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols). Hệ điều hành Mac OS X cũng sử dụng Kerberos trong các phiên bản Clients và Server của mình. Năm 2005, nhóm làm việc của IETF về Kerberos cập nhật các đặc điểm kỹ thuật tại địa chỉ http:www.ietf.orghtml.charterskrbwgcharter.html. Các cập nhật gần đây bao gồm: RFC 3961: Các quy định về mật mã hóa và kiểm tra tổng RFC 3962: Mã hoá AES cho Kerberos 5 RFC 4120: Phiên bản mới về tiêu chuẩn Kerberos V5: The Kerberos Network Authentication Service (V5). Phiên bản này thay thế RFC 1510, làm rõ các vấn đề của giao thức và cách sử dụng; RFC 4121: Phiên bản mới của tiêu chuẩn GSSAPI: Cơ cấu GSSAPI của Kerberos Version 5: Version 2. 1.1.2. Ứng dụng của Kerberos Ngày nay dịch vụ xác thực Kerberos này được ứng dụng nhiều ở thực tiễn như là Tích hợp trong các ứng dụng mạng OpenSSH (với Kerberos v5 hoặc cao hơn) NFS (kể từ NFSv3)
Đồ án môn học CHƯƠNG I TỔNG QUAN VỀ GIAO THỨC KERBEROS GVHD: Ths: Văn Thiên Hoàng 1 Đồ án môn học 1 SƠ LƯƠT VỀ GIAO THỨC Tên của giao thức Kerberos được lấy từ tên của con chó ba đầu Cerberus canh gác cổng địa ngục trong thần thoại Hy Lạp. Nó được phát triển trong dự án Athena của học viện công nghệ MIT- Massachusetts Institute of Technology. Kerberos một giao thức mật mã dùng để xác thực trong các mạng máy tính theo mô hinh hình mô hình client-server hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào và đảm bảo tính toàn vẹn và tính bảo mật cho thông tin truyền đi cả hai chiều. Lịch sử phát triển Học viện công nghệ Massachusetts (MIT) phát triển Kerberos để bảo vệ các dịch vụ mạng cung cấp bởi dự án Athena. Giao thức đã được phát triển dưới nhiều phiên bản, trong đó các phiên bản từ 1 đến 3 chỉ dùng trong nội bộ MIT. Các tác giả chính của phiên bản 4, Steve Miller và Clifford Neuman, đã xuất bản giao thức ra công chúng vào cuối thập niên 1980, mặc dù mục đích chính của họ là chỉ phục vụ cho dự án Athena. Phiên bản 5, do John Kohl và Clifford Neuman thiết kế, xuất hiện trong tài liệu (RFC1510) vào năm 1993 (được thay thế bởi RFC 4120 vào năm 2005 với mục đích sửa các lỗi của phiên bản 4. MIT đã cung cấp các phiên bản thực hiện Kerberoslo miễn phí dưới giấy phép tương tự như dùng cho các sản phẩm BSD (Berkeley Software Distribution). Chính phủ Hoa Kỳ đã cấm xuất khẩu Kerberos vì nó có sử dụng thuật toán DES 56 bit. Tuy nhiên, trước khi chính sách xuất khẩu của Hoa Kỳ thay đổi năm 2000, đã có phiên bản KTH-KRB viết tại Thuỵ Điển thực hiện GVHD: Ths: Văn Thiên Hoàng 2 Đồ án môn học Kerberos 4 được phân phối rộng rãi bên ngoài Hoa Kỳ. Phiên bản này được dựa trên một phiên bản khác có tên là eBones. eBones lại dựa trên một phiên bản được xuất khẩu của MIT thực hiện Kerberos 4 (patch-level 9) gọi là Bones (loại bỏ các hàm mật mã và các lệnh gọi chúng). Eric Young, một lập trình viên người Austraulia, đã phục hồi lại các lệnh gọi hàm và sử dụng các hàm mật mã trong thư viện của anh ta. Một phiên bản khác thực hiện Kerberos 5, Heimdal, cũng được thực hiện bởi nhóm đã xuất bản KTH-KRB. Các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 sử dụng một phiên bản thực hiện Kerberos làm phương pháp mặc định để xác thực. Những bổ sung của Microsoft vào bộ giao thức Kerberos được đề cập trong tài liệu RFC 3244 http://tools.ietf.org/html/3244 ("Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols"). Hệ điều hành Mac OS X cũng sử dụng Kerberos trong các phiên bản Clients và Server của mình. Năm 2005, nhóm làm việc của IETF về Kerberos cập nhật các đặc điểm kỹ thuật tại địa chỉ http://www.ietf.org/html.charters/krb-wg-charter.html. Các cập nhật gần đây bao gồm: RFC 3961: Các quy định về mật mã hóa và kiểm tra tổng RFC 3962: Mã hoá AES cho Kerberos 5 RFC 4120: Phiên bản mới về tiêu chuẩn Kerberos V5: "The Kerberos Network Authentication Service (V5)". Phiên bản này thay thế RFC 1510, làm rõ các vấn đề của giao thức và cách sử dụng; RFC 4121: Phiên bản mới của tiêu chuẩn GSS-API: "Cơ cấu GSS-API của Kerberos Version 5: Version 2." Ứng dụng của Kerberos GVHD: Ths: Văn Thiên Hoàng 3 Đồ án môn học Ngày nay dịch vụ xác thực Kerberos này được ứng dụng nhiều ở thực tiễn như là Tích hợp trong các ứng dụng mạng OpenSSH (với Kerberos v5 hoặc cao hơn) NFS (kể từ NFSv3) PAM (với modular pam_krb5) SOCKS (kể từ SOCKS5) Apache (với modular mod_auth_kerb) Dovecot IMAP4 và POP3 Một cách gián tiếp, tất cả phần mềm sử dụng SASL để nhận thực, chẳng hạn như penLDAP Bộ Kerberos còn đi kèm với các bộ phần mềm client/server của rsh, FTP và Telnet Hệ thống X Window Thẻ thông minh Smark Card Được tích hợp để xác thực trong các hệ điêu hành mạng. Xây dưng tích hợp trong các hệ thống xác thực của các ngân hàng. Tích hợp kerboros trong các hệ thống bastion host MỤC TIÊU VÀ YÊU CầU CỦA HỆ THỐNG KERBEROS Trước khi miêu tả hệ thống xác thực Kerberos và nguyên tắc hoạt động của nó chúng ta tìm hiểu về mục tiêu và các yêu cầu đặt ra cho một hệ thống Kerberos: GVHD: Ths: Văn Thiên Hoàng 4 Đồ án môn học Mục Tiêu Mật khẩu của người dùng không bị thất lạc trên mạng. Đảm bảo mật khẩu của khách hàng không lưu trữ trực tiếp trên máy người dùng mà dược loại bỏ ngay sau khi sử dụng Mật khẩu của người dùng không bao giờ nên được cất giữ trong một hình thức không được mật mã ngay cả trong cơ sở dữ liệu máy chủ dịch vụ. Người sử dụng có yêu cầu nhập mật khẩu duy nhất một lần mỗi phiên làm việc. Vì vậy người sử dụng có thể truy cập tất cả các dịch vụ mà họ được ủy uyền cho mà không cần phải nhập lại mật khẩu trong phiên này. Đặc tính này được gọi là Single Sign-On Quản lý thông tin xác thực là tập trung và cư trú trên máy chủ xác thực. Các máy chủ ứng dụng không trực tiếp xác thực thông tin cho người dùng của họ, điều này làm cho hệ thống có được các hệ quả: Người Quản trị quản lý tập trung tài khoản người dùng trên các máy chủ xác thực mà không cần thao tác trên các máy chủ dịch vụ. Khi người dùng thay đổi mật khẩu của mình, nó được thay đổi cho tất cả các dịch vụ cùng một lúc. Không có sự xác thực thừa nhằm bảo vệ được mật khẩu. Không chỉ những người sử dụng phải chứng minh rằng họ là những người họ nó mà các máy chủ ứng dụng phải xác thực lại của khách hàng của họ có đúng không. Đặc tính này được gọi là xác thực chéo. Sau khi hoàn thành xác nhận và uỷ quyền, Client và Server phải có khả năng thiết lập một kết nối đã mã hóa, nếu được yêu cầu. Đối với mục đích này, Kerberos cung cấp hỗ trợ cho các thế hệ và trao đổi của một khoá mật mã sẽ được sử dụng để mã hóa dữ liệu. GVHD: Ths: Văn Thiên Hoàng 5 Đồ án môn học Yêu Cầu Để Kerberos đạtđược mục tiêu đã đặt ra, phải đảm bảo các yêu cầu sau: Bảo mật(security) Tin cậy(reliability) Minh bạch (transparency) Uyển chuyển (scalability) HOẠT ĐỘNG CỦA HỆ THỐNG KERBEROS 1.2. Môi trường hoạt động của kerberos (Kerberos Realms) Để có thể triển khai một hệ thống hoạt động với dịch vụ Kerberos, yêu cầu về môi trường: Có ít nhất 1 máy chủ cài đặt dịch vụ Kerberos (Kerberos Server). Các Clients phải được đăng ký với máy chủ Kerberos. Một số các máy chủ ứng dụng đóng vai trò phân bổ các khóa với máy Kerberos. Để có kerberos Realms hoạt động ta cần có Một vùng một quản trị (administrative domain) Nếu như có nhiều realms, Kerberos servers phải phân bổ các khóa và ủy thác cho các realms Nguyên tắc hoạt động chung GVHD: Ths: Văn Thiên Hoàng 6 Đồ án môn học Giao thức Kerberos được xây dựng dựa trên giao thức Needham-Shroeder (NS giao thức).Mô tả trong một bài báo xuất bản năm 1978 của Roger Needham và Michael Shroeder, nó được thiết kế để cung cấp một dịch vụ chứng thực phân phối an toàn, thông qua mật mã khóa bí mật. Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" ( key distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) và "máy chủ cung cấp vé" (Ticket Granting Server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của người sử dụng. Đối với người sử dụng, các khóa bí mật chính là băm thông tin đầu vào khi đăng ký thường được lưu trong các trung tâm phân phối khóa trên server Kerberos. Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khoá phiên dùng cho phiên giao dịch đó. Đối với một dịch vụ, chính là một chuỗi ngẫu nhiên tạo ra, hoạt động như một mật khẩu, nó cũng được lưu giữ trong Trung tâm phân phối khóa, và trong một tập tin gọi là keytab trên máy của bên dịch vụ. Đối với sơ đồ này để làm việc, khách hàng và dịch vụ phải tin tưởng một dịch vụ của bên thứ ba (các máy chủ Kerberos ), cung cấp khóa xác thực phân phối chúng theo yêu cầu Hoạt động Kerberos được dựa trên vé. Vé là một chuổi dữ liệu mã hóa được truyền qua mạng, và được lưu trữ trên máy của khách hàng. Cách lưu trữ phụ thuộc vào hệ điều hành và cấu hình của khách hàng. Theo cách thông thường, nó được lưu trữ như tập tin dạng text khả năng tương thích với nhiều hệ điều hành khác nhau. GVHD: Ths: Văn Thiên Hoàng 7 Đồ án môn học Mô tả giao thức Kerberos được mô tả như sau A sử dụng máy chủ kerberos S để chứng thực với máy chủ dịch vụ B. AS :A,B SA : { T S , L, K AB , B, {T S , L, K AB , A}K BS }K AS AB: {T S , L, K AB , A}K BS , { A,T A }K AB BA: { T A + 1 }K AB An ninh của giao thức phụ thuộc rất nhiều vào các trường T (đánh dấu thời điểm) và L (thời hạn) của các gói tin. Đây chính là các chỉ thị về tính chất mới của các gói tin và chống lại các tấn công gửi lại các gói tin cũ. Trong các bản tin ở trên, máy chủ S bao gồm cả dịch vụ xác thực và cung cấp vé. Trong gói tin { T S , L, K AB , B, {T S , L, K AB , A}K BS }K AS K AB chính là khóa phiên giữa A và B; {T S , L, K AB , A}K BS là vé gửi từ máy khách tới máy chủ; { A,T A }K AB là phần để xác thực A với B; { T A + 1 }K AB để khẳng định lại xác thực của B và thông qua đó chấp nhận A. Điều này cần thiết để hai bên nhận dạng lẫn nhau. Các thành phần trong hệ thống kerberos Phần này cung cấp các định nghĩa của các đối tượng và điều kiện, kiến thức trong đó là điều cần thiết cho các mô tả về giao thức Kerberos. Realm và Principa GVHD: Ths: Văn Thiên Hoàng 8 Đồ án môn học Realm: Chính là một tên miền để thiết lập giới hạn trong phạm vi mà một máy chủ xác thực có thẩm quyền để xác thực người dùng, máy chủ lưu trữ hoặc dịch vụ. Điều này không có nghĩa là xác thực giữa một người dùng và dịch vụ mà họ phải thuộc các lĩnh vực quản lý các máy chủ xác thực kerberos. Principal: Tên một chỉ mục trong cơ sở dữ liệu máy chủ xác thực là các thành phần tham gia xác thực trong hệ thống bao gồm người sử dụng và các server Trung tâm phân phối khoá (KDC- Key Distribution Centre) KDC là đối tượng cơ bản trong hệ thống Kerberos liên quan đến việc xác thực người dùng và dịch vụ. Các máy chủ xác thực trong một realm kerberos có chức năng phân phối vé giữ người dùng và nhà cung cấp dịch vụ, được gọi là Trung tâm phân phối khóa KDC. Nó có thể nằm hoàn toàn trên một máy chủ vật lý duy nhất (đôi với hệ thống đơn giản ) chia thành ba phần chính: Server xác thực Máy chủ cung cấp . Cơ sở dữ liệu Server xác thực-Authentication Server (AS) Máy chủ xác thực ( authentication server – AS ) AS là một phần của KDC trả lời yêu cầu xác thực từ các khách hàng Khi người sử dụng có yêu cầu xác nhận, họ đăng nhập bằng tài khoản và mật khẩu của mình ( có thể đăng ký hoặc khởi tạo tài khoản người dùng mới ). Để đáp lại một yêu cầu xác thực của người dùng AS cấp cho họ một TGT nếu người sử dụng thực sự là người mà họ nói mà AS đã định danh. Người dùng có thể sử dụng TGT để có được cung cấp vé dịch vụ khác mà không cần phải đăng nhập lại. GVHD: Ths: Văn Thiên Hoàng 9 Đồ án môn học Server cấp vé-Ticket Granting Server (TGS ) Trong hệ thống Kerberos chính là các chứng thực định danh người sử dụng. Nó có nhiệm vụ kiểm tra tính hợp lệ TGS đảm bảo sự xác thực giưa người dùng máy chủ ứng dụng. Nếu các đinh danh của server TGS trên vé TGT củ người dùng là hợp lệ nó sẽ cấp cho người dùng 1 vé thông hành mới để có thể truy cập vào các server ứng dụng gọi là TGS. Cơ sở dữ liệu Cơ sở dữ liệu cho các mục chứa các liên kết với người sử dụng và dịch vụ. Tham chiếu tới các mục mới bằng cách sử dụng nhánh chính (tức là tên của mục nhập). Mỗi mục chứa các thông tin sau: Khoá mật mã và có thông tin liên quan. Thời gian hiệu lực tối đa cho một vé Thời gian tồn tại tối đa một vé, có thể được gia hạn (chỉ ở Kerberos 5). Các thuộc tính hoặc cờ đặc trưng cho những hành vi của vé. Mật khẩu hết hạn. Để đảm bảo các thông tin này sẽ được mã hóa và sao lưu và việc trao đổi giữa các các máy với nhau. Vé (Ticket) GVHD: Ths: Văn Thiên Hoàng 10 [...]... 256 đáng đề cập đến Hoạt Động Kerberos không xây dựng các giao thức chứng thực phức tạp cho mỗi máy chủ mà hoạt động dựa trên một máy chủ chứng thực tập trung KDC (Key Distribution Centre) KDC cung cấp vé cho việc chứng thực người dùng và bảo mật truyền thông bởi khoá phiên trong vé gồm3 giai đoạn và 6 bước trao đổi Client chứng thực AS (Authentication Server - biết khoá mật của tất cả người dùng được... sử dụng GVHD: Ths: Văn Thiên Hoàng 20 Đồ án môn học Hình 2.4: Người dùng chứng thực với server dịch vụ Tăng cường bảo mật GVHD: Ths: Văn Thiên Hoàng 21 Đồ án môn học Khi một phiên truyền thông được thiết lập, khoá phiên sẽ được truyền an toàn đến các bên truyền thông Điều này sẽ đảm bảo cho hệ thống các tính năng bảo mật sau: Tính xác thực : Không ai gửi một thông điệp sai Do chỉ có client và máy chủ... hệ thống: SSO cung cấp một framework chứng thực chung cho các nhà phát triển Vì thế họ không cần phải quan tâm đến chứng thực khi xây dựng hệ thống nữa, coi như là các yêu cầu gửi đến hệ thống đã được chứng thực Điều này sẽ làm cho các nhà phát triển hoàn toàn yên tâm về an ninh của hệ thống được xây dựng, mà tránh được công việc nặng nhọc là xây dựng an toàn bảo mật cho hệ thống mới Làm đơn giản... đây, Kerberos đảm bảo tính Chứng thực lẫn nhau Tính riêng tư, tính toàn vẹn : Thông điệp trước khi truyền sẽ được mã hoá và kí bằng khoá phiên nên thám mã không thể nào có thể đọc hay thay đổi nội dung thông điệp được truyền Như vậy, sử dụng giao thức Kerberos thì ta được đảm bảo tính xác thực, tính riêng tư, và tính toàn vẹn của các thông điệp được truyền Đây chính là các yêu cầu cần và đủ để đảm bảo. .. mạng Giảm thiểu số lần nhập mật khẩu cũng có nghĩa là tăng độ an toàn cho hệ thống vì với số lượng mật khẩu nhiều người dùng thường ghi mật khẩu ra xung quanh, dễ để lộ GVHD: Ths: Văn Thiên Hoàng 25 Đồ án môn học Kerberos là một giao thức xác thực cho máy chủ tin cậy trên các mạng không đáng tin cậy Cụ thể nó có thể dụng để xác thực qua internet trên mô hình phân tán(chỉ có kerberos V) và tập trung Hầu... dựa trên khoá mật Trong hệ Kerberos, một máy chủ xác thực trung tâm sẽ chứng nhận danh tính của tất cả các thực thể (ở đây thực thể có thể là một người dùng, một chương trình chạy trên máy khách hoạt động nhân danh một người dùng cụ thể, hoặc một dịch vụ do một máy chủ ứng dụng cung cấp) Chức năng của Kerberos hoàn toàn dựa trên tính đáng tin cậy của máy chủ xác thực, máy chủ này phải biết mật khẩu hay... nhập mà quên không khoá máy lại Hệ thống SSO chỉ bảo mật trên đường truyền mà không bảo mật cho dữ liệu trước khi được truyền nên mật khẩu của người dùng rất có khả năng bị các chương trình như trojan đánh cắp, giành quyền truy nhập hệ thống Kerberos xác thực sử dụng một máy chủ lưu trữ trên một mạng không đáng tin Mục tiêu chính của nó là để ngăn chặn từ mật khẩu không mã hóa được gửi qua mạng Tuy... sử dụng để xác thực - được gọi là trung tâm phân phối khoá (KDC) - các hệ thống xác thực Kerberos có thể bi sụp Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng bộ Nếu không đảm bảo điều này, cơ chế nhận thực giữa trên thời hạn Sử dụng sẽ không hoạt động GVHD: Ths: Văn Thiên Hoàng 27 Đồ án môn học CHƯƠNG II XÂY DỰNG HỆ THỐNG MÔ PHỎNG HOẠT ĐỘNG GIAO THỨC KERBEROS GVHD:... lập trình phân tán khác nhu mô hình lập trình socket Hệ phân tán 1.1.1 Định nghĩa hệ phân tán Có nhiều định nghĩa về hệ phân tán Định nghĩa 1: Hệ phân tán là tập hợp các máy tính tự trị được kết nối với nhau bởi một mạng máy tính và được cài đặt phần mềm hệ phân tán GVHD: Ths: Văn Thiên Hoàng Đồ án môn học Định nghĩa 2: Hệ phân tán là một hệ thống có chức năng và dữ liệu phân tán trên các trạm... Định nghĩa 3: Hệ phân tán là một tập các máy tính độc lập giao tiếp với người dùng như một hệ thống thống nhất, toàn vẹn Trước đây, hệ phân tán được chia thành ba loại : hệ điều hành hệ phân tán, cơ sở dữ liệu hệ phân tán và các hệ thống tính toán hệ phân tán Ngày nay, hệ phân tán được phân chia như sau: Hệ phân tán mang tính hệ thống: hệ điều hành phân tán Hệ phân tán mang tính ứng dụng: các . GSS-API của Kerberos Version 5: Version 2." Ứng dụng của Kerberos GVHD: Ths: Văn Thiên Hoàng 3 Đồ án môn học Ngày nay dịch vụ xác thực Kerberos này được ứng dụng nhiều ở thực tiễn như. một khoá mật mã sẽ được sử dụng để mã hóa dữ liệu. GVHD: Ths: Văn Thiên Hoàng 5 Đồ án môn học Yêu Cầu Để Kerberos đạtđược mục tiêu đã đặt ra, phải đảm bảo các yêu cầu sau: Bảo mật( security) . được thiết kế để cung cấp một dịch vụ chứng thực phân phối an toàn, thông qua mật mã khóa bí mật. Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối