Лабораторная работа №12
По дисциплине: «Теория защиты информационных систем» На тему:«Аутентификация пользователей в сетях.СистемаKerberos» Специальность: Информационные системы Выполнила: Джуманиязова Ж.Б. Группа: МИС(п)-17-2 Принял: проф. Казиев Г.З. _______ ________________ «____» ________________2018г.
Алматы 2018 Цель работы – познакомиться с механизмами обеспечения безопасности информации в сети, с системой Kerberos. Задачи: 1. Что считается доменом в ОС Windows NT? 2. Какие механизмы обеспечивают аутентификация на основе а) многоразовых паролей; б) одноразовых паролей; 3. Что понимают под аутентификацией информации, как она обеспечивается? 4. Что понимают под аутентификацией пользователей на основе сертификации, какие механизмы она использует? 5. Когда используется система Kerberos? 6. Архитектура системы Kerberos; 7. Каким образом происходит доступ клиента к ресурсному серверу? 8. Какая информация содержится в квитанции TTGS? 9. Описать алгоритмы: - первичной аутентификации; - получения разрешения на доступ к ресурсному серверу; - получения доступа к ресурсу. 10. Что такое виртуальная частная сеть? 1. В основе концепции сетевой безопасности Windows NT лежит понятие домена. Домен – это совокупность пользователей, серверов и рабочих станций, учѐтная информация о которых централизованно хранится в общей базе данных, называемой базой SAM (SecurityAccountsManagerdatabase). Над этой базой данных реализована служба DirectoryServices, которая устраняет дублирование учѐтных данных в нескольких компьютерах. 2. а)Аутентификации пользователей домена выполняется на основе их паролей, хранящихся в базе SAM. Пароли зашифровываются с помощью односторонней функции при внесении их в базу данных во время создания учетной записи для нового пользователя. Введѐм обозначение для этой односторонней функции - ОФШ1. Таким образом, пароль Р хранится в БД SAM в виде дайджеста d(P) (знание дайджеста не позволяет восстановить исходное сообщение). На рис. 1 приведена схема сетевой аутентификации на основе многоразового пароля. При логическом входе пользователь локально вводит имя-идентификатор (ID) и пароль Р. Клиентская часть подсистемы аутентификации передаѐт запрос, в котором содержится в открытом виде идентификатор, но пароль не передаѐтся в сеть ни в каком виде. К паролю на клиентской станции применяется та же Рис. 1 . Схема сетевой аутентификации на основе многоразового пароля односторонняя функция - ОФШ1, которая была использована при записи пароля в БД SAM, т. е. динамически вычисляется дайджест пароля d(P). В ответ на поступивший запрос серверная часть службы аутентификации генерирует случайное число S случайной длины, называемое словом-вызовым (challenge). Это слово передаѐтся с сервера на клиентскую станцию пользователя. К слову-вызову на клиентской стороне применяется односторонняя функция – ОФШ2. Функция ОФШ2 является параметрической и получает в качестве параметра дайджест пароля d(P). Полученный в результате ответ d(S) передаѐтся по сети на сервер SAM. Параллельно этому на сервере слово-вызов S аналогично шифруется, а затем сравнивается с ответом, переданным клиентской станцией. При совпадении результатов считается, что аутентификации прошла успешно. Таким образом, при логическом входе пользователя пароли в сети Windows NT никогда не передаются по каналам связи. Б) Как правило, система аутентификация на основе одноразовых паролей рассчитана на проверку только удалѐнных, а не локальных пользователей. Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с использованием многоразовых паролей, сообщает системе свой идентификатор, однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность — новый пароль. Аутентификационный сервер проверяет введенную последовательность и разрешает пользователю осуществить логический вход. 3. Под аутентификацией информации в компьютерных системах понимают установление подлинности данных, полученных по сети, исключительно на основе информации, содержащейся в полученном сообщении. Концепция аутентификации в широком смысле предусматривает установление подлинности информации как при условии наличия взаимного доверия между участниками обмена, так и при его отсутствии. 4. Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации {CertificateAuthority, CA).сертификат содержит электронную подпись сертифицирующей организации — зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате. Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах — открытой (то есть такой, в которой он получил его в сертифицирующей организации) и зашифрованной с применением своего закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и расшифровывает с помощью него зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым. 5. Kerberos — это сетевая служба, предназначенная для централизованного решения задач аутентификации и авторизации в крупных сетях. Она может работать в среде многих популярных ОС, например в последней версииWindows 2000 система Kerberos встроена как основной компонент безопасности. 6. Сетевая служба Kerberos построена по архитектуре клиент-сервер. Kerberos-клиент устанавливается на всех компьютерах сети, которые могут обратиться к какой-либо сетевой службе. В таких случаях Kerberos-клиент от лица пользователя передает запрос на Kerberos-сервер и поддерживает с ним диалог, необходимый для выполнения функций системы Kerberos. В системе Kerberos имеются следующие участники: Kerberos-сервер, Кегberos-клиенты, ресурсные серверы (рис. 3). Kerberos-клиенты пытаются получить доступ к сетевым ресурсам — файлам, приложениям, принтеру и т. д. Рис. 2. Три этапа работы системы Kerberos 7. Однако в системе Kerberos ресурсным серверам запрещается «напрямую» принимать запросы от клиентов, им разрешается начинать рассмотрение запроса клиента только тогда, когда на это поступает разрешение от Kerberos-сервера. Таким образом, путь клиента к ресурсу в системе Kerberos состоит из трех этапов: 1. Определение легальности клиента, логический вход в сеть, получение разрешения на продолжение процесса получения доступа к ресурсу. 2. Получение разрешения на обращение к ресурсному серверу. 3. Получение разрешения на доступ к ресурсу. 8. Квитанция TTGS на доступ к серверу квитанций TGS является удостоверением легальности пользователя и разрешением ему продолжать процесс получения доступа к ресурсу. Эта квитанция содержит: - идентификатор пользователя; - идентификатор сервера квитанций, на доступ к которому получена квитанция; - отметку о текущем времени; - период времени, в течение которого может продолжаться сеанс; - копию ключа сессии KS. 9. а)Первичная аутентификация.Выполняя логический вход в сеть, пользователь, а точнее клиент Kerberos, установленный на его компьютере, посылает аутентификационному серверу AS идентификатор пользователя ID. Если в базе данных есть запись о пользователе с таким идентификатором, из нее извлекается пароль пользователя р. Ответ сервера AS состоит зашифрованных с помощью ключа р квитанции TTGS на доступ к серверу квитанций Kerberos и ключа сеанса KS. Под сеансом здесь понимается все время работы пользователя, от момента логического входа в сеть до момента логического выхода. Квитанция шифруется с помощью секретного DES-ключаК, который разделяют аутентификационный сервер и сервер квитанций. Таким образом, квитанция шифруется дважды - ключом К и паролем р. В приведенных выше обозначениях сообщение-ответ, которое аутентификационный сервер посылает клиенту, выглядит так: {{TTGS}K, KS}p. При поступлении ответного сообщения клиентская программа Kerberos просит пользователя ввести свой пароль. Когда пользователь вводит пароль, то Kerberos-клиент пробует с помощью пароля расшифровать поступившее сообщение. Если пароль верен, то из сообщения извлекается квитанция на доступ к серверу квитанций {TTGS}K (в зашифрованном виде) и ключ сеанса KS (в открытом виде) (заметим, что ключ p по сети не передавался). Б) Получение разрешения на доступ к ресурсному серверeKerberos-клиента посылает TTGS на доступ к серверу квитанций. Квитанцию TGS является удостоверением легальности пользователя и разрешением ему продолжать процесс получения доступа к ресурсу. Кроме квитанции TTGS посылается аутентификатор {A}KS. Аутентификатор А содержит идентификатор и сетевой адрес пользователя, а также собственную временную отметку (предназначен для одноразового использования и имеет очень короткое время жизни — обычно несколько минут). Таким образом, ответ Kerberos-клиента выглядит следующим образом: {TTGS}K, {A}KS. Сервер квитанций расшифровывает квитанцию имеющимся у него ключом К, проверяет, не истек ли срок действия квитанции, и извлекает из нее идентификатор пользователя, ключ сеанса, которые в ней хранятся. Затем сервер TGS расшифровывает аутентификатор, используя ключ сеанса пользователя KS, который он извлек из квитанции. Сервер квитанций сравнивает идентификатор пользователя и его сетевой адрес с аналогичными параметрами в квитанции и сообщении. Если они совпадают, то сервер квитанций получает уверенность, что данная квитанция действительно представлена ее законным владельцем. Клиент обращается к серверу квитанций за разрешением на доступ к ресурсному серверу, который здесь обозначен как RS1. Сервер квитанций, удостоверившись в легальности запроса и личности пользователя, отсылает ему ответ, содержащий две электронных формы: многократно используемую квитанцию на получение доступа к запрашиваемому ресурсному серверу TRS] и новый ключ сеанса KS1. Новый ключ сеанса KS1 содержится не только в самом сообщении, посылаемом клиенту, но и внутри квитанции TRS1. Все сообщение шифруется старым ключом сеанса клиента KS, так что его может прочитать только этот клиент. Используя введенные обозначения, ответ сервера TGS клиенту можно представить в следующем виде: {{TRS1}KRS1, KS1}KS
Популярное: Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (1138)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |