phải giữ khóa bí mật để trao đổi với tất cả các thành.. phần còn lại[r]
(1)(2)• Tại sao cần trung tâm phân phối khóa ?
• Master keys vs Session keys.
(3)Sự cần thiết của trung tâm phân phối
khóa (KDC)
• Giả sử có nhóm người/ tiến trình… muốn giao tiếp với cách an toàn Và thành phần tham gia gia nhập rời nhóm thời điểm
• Giải pháp nhìn thấy thành phần tham gia
phải giữ khóa bí mật để trao đổi với tất thành
phần lại Như hai thành phầnnàođó dễ dàngthiết lập kênh truyền bảo mật
• Cách tiếp cận khơng khả thi, số lượng
tham gia lớn thường xuyên thay đổi
• Giải pháp hiệu cung cấp cho thành viên
(4)• Khi A muốn thiết lập kết nối bảo mật với B A yêu cầu một sesion key từ KDC
• Các vấn đề phát sinh:
– Giả sử A yêu cầu session key từ KDC, A nhận đc khóa từ
thì A xác định khóa từ KDC
– Khi A tạo kết nối với B, B biết A
– Khi A nhận trả lời từ B A biết xác từ
B
(5)Giao thức phân phối khóa Needham-Schroeder
• Giả thiết A muốn tạo kết nối an toàn với B.
• KA, KB là master key của A B để giao tiếp với KDC
• A thực hiện theo giao thức sau:
– A sử dụng KA để mã hóa yêu cầu session key giao tiếp với B
– Thông điệp gửi từ A gồm có: địa A (IDA), địa B (IDB), session indentifier (còn gọi nonce – number used once, kí hiệu N1)
– Giá trị nonce phải khác yêu cầu khác
(6)• KClient: khóa bí mật lưu bởi AS client
• KTGS: khóa bí mật lưu bởi AS TGS
• KSP: khóa bị mật lưu bởi AS Service Provider
• KClient-TGS: session key mà AS sẽ gửi để client giao tiếp với TGS
(7)• gửi yêu cầu dịch vụ
• E(KClient, [KClient−TGS])
• E(KClient,
[KClient−TGS,E(KTGS, [C_ID, C_IP, ValidPeriod, KClient−TGS])])
• E(KTGS, [C_ID, C_IP, ValidPeriod, KClient−TGS])
• E(KClient-TGS, Client Authenticator: C_ID + timestamp)
• E(KSP, [C_ID, C_IP, ValidPeriod, KClient-SP])
• 7 E(KClient-TGS, KClient-SP)
• 8 E(KSP, [C_ID, C_IP, ValidPeriod, KClient-SP])