INFORMATION SECURITY GIAO THỨC XÁC THỰC KERBEROS

Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tínhhoạt động trên những đường truyền không an toàn được công khai từ năm1989. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại cácgói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thứcnày là nhằm vào mô hình client - server và đảm bảo nhận thực cho cả 2 chiều.
Nội dung trích xuất từ tài liệu:
INFORMATION SECURITY GIAO THỨC XÁC THỰC KERBEROSHỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TPHCM KHOA CÔNG NGHỆ THÔNG TIN II ----- ----- ĐỀ TÀI: INFORMATION SECURITYGIAO THỨC XÁC THỰC KERBEROS HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG HCM KHOA CÔNG NGH Ệ THÔNG TIN IIĐề tài: INFORMATION SECURITY GIAO THỨC XÁC THỰC KERBEROS Giáo viên hướng dẫn: Thầy Lê Phúc Thành viên nhóm: Nguyễn Duy Cường 4 06170004 Thân Đoàn Đăng Hải 406170018PTIT_D06THA1 Kerberos Tổng quan I. Lịch sử phát triển II. Một số khái niệm III. IV. Mô hình Kerberos Cơ chế hoạt động V. Cài đặt Kerberos VI. VII. Kerberos 5 VIII. Securiry Ưu nhược điểm của Kerberos IX. X. Trust Relationship2|Giao thức xác thực KerberosPTIT_D06THA1I.Tổng quan:  Kerberos là một giao thức mật mã dùng đ ể xác thực trong các mạng máy tính ho ạt động trên những đ ường truyền không an toàn được công khai từ năm 1989. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình client - server và đảm bảo nhận thực cho cả 2 chiều.  Tên của giao thức Kerberos đ ược lấy từ tên của con chó ba đầu Cerberus canh gác cổng địa ngục trong thần thoại Hy Lạp  Các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 và sau này sử dụng một phiên bản Kerberos làm phương pháp mặc định để xác thực.  Hệ điều hành Mac OS X cũng sử dụng Kerberos trong các phiên bản Clients và Server của mình.II.Lịch sử phát triển:  Học viện kỹ thuật Massachusetts (MIT) phát triển Kerberos để bảo vệ các dịch vụ mạng cung cấp bởi dự án Athena  Giao thức đã đ ược phát triển d ưới nhiều phiên b ản, trong đó các phiên b ản từ 1 đ ến 3 chỉ dùng trong nội bộ MIT.  Các tác giả chính của phiên bản 4, Steve Miller và Clifford Neuman, đ ã xu ất bản giao thức ra công chúng vào cuối thập niên 1980, mặc dù mục đích chính của họ là chỉ phục vụ cho dự án Athena.  Phiên bản 5, do John Kohl và Clifford Neuman thiết kế, xuất hiện trong tài liệu (RFC1510) RFC 1510 - The Kerberos Network Authentication Service (V5) vào năm 1993 (được thay thế bởi RFC 4120 vào năm 2005 - RFC 4120 - The Kerberos Network Authentication Service (V5) với mục đích sửa lỗi của phiên b ản 4.III.Một số khái niệm :  Realm , Principal, instance : * Realm: là một trường hay một lĩnh vực, nó tương tự như 1 domain nhưng không phải 1 domain * Instance: phần chú thích bổ sung thêm * Principal: Mỗi thực thể chứa trong bộ cài đặt Kerberos, bao gồm cả người dùng cá nhân, máy tính, và các d ịch vụ đang chạy trên máy chủ, có một principal liên kết với nó. Mỗi principal liên kết với một khoá dài hạn. Khóa này có thể là một mật khẩu hay cụm từ mật khẩu. Các principal là tên duy nhất trên toàn cầu. Để thực hiện việc này, principal được chia thành một cấu trúc thứ bậc. Mỗi principal bắt đầu với một tên người dùng ho ặc tên dịch vụ. Tên người dùng ho ặc tên dịch vụ này phụ thuộc tùy vào các instance khác nhau. Instance được sử dụng trong hai tình huống: dịch vụ cho principal , và đ ể tạo principal đặc biệt cho việc sử dụng quản trị. Ví dụ, các quản trị viên có thể có hai lãnh3|Giao thức xác thực KerberosPTIT_D06THA1 đạo: một là sử dụng hằng ngày, và một người (một admin chính) để sử dụng chỉ khi có các nhu cầu đặc quyền quản trị cao. Ví dụ tên người dùng và các tùy chọn, kết hợp với nhau, tạo thành một thực thể duy nhất trong một realm nhất định. Mỗi trình ứng dụng Kerberos định nghĩa một realm quản trị để kiểm soát, điều đó để phân biệt với tất cả các trình ứng dụng Kerberos khác. Kerberos định nghĩa nó như là tên của realm. Theo quy ước, các realm của Kerberos có một DNS domain là 1 domain được chuyển đổi sang chữ hoa.Ví dụ ptit.org trở thành PTIT.ORG Ví dụ: Duy Cường là 1 sinh viên của lớp IT của trường PTIT có domain name là ptit.org thì principal mà Kerberos gán cho Cườnglà: cuong@IT.PTIT.ORG Trong đó IT.PTIT.ORG la Realm, không có instance. *Đối với Kerberos 4: có 2 cấu trúc: Username[/instance]@REALM + + Service/fully-qualified-domain-name@REALM Đăng Hải là 1 sinh viên của lớp IT nằm trong ban quản trị của trường PTIT có domain name: ptit.org thì principal mà Kerberos gán cho Đăng Hải là: hai.admin@IT.PTIT.ORG Ví dụ này cũng như ví dụ trên chỉ khác là có thêm trường instance la admin. *Đối với Kerberos 5: Trong thực tế có 1 số trường hợp 2 máy có cùng tên host nhưng ma ở 2 domain khác nhau.Ví dụ, bạn Đăng Hải ở tổ 1 và bạn Hồng Hải ở tổ 2 của cùng lớp cùng trường. Ta giả sử bạn Đăng Hải thuộc domain it.ptit.org còn b ạn Hồng Hải thuộc domain it.ptit.edu .Và 2 b ạn đều thuộc cùng 1 realm la IT.PTIT.ORG Vậy đối với Kerberos 4 thì 2 bạn này có cùng principal là hai@IT.PTIT.ORG Trước thực trạng này , người ta đ ã cho ra đời Kerberos 5, có 2 cấu trúc : - Username[/instance]@REALM - Service/fully-qualified-domain-name@REALM Bây giờ đối với ví dụ trên ta có : + Đối với bạn Đăng Hải : hai/it.ptit.org@IT.PTIT.ORG + Đối với bạn Hồng Hải : hai/it.ptit.edu@IT.PTIT.ORG  KDC – Key Distribution Center: Trung tâm phân phối khóa. Key Distribution Center cu ả Kerberos(KDC), là một phần của hệ thống Kerberos. Trên lý thuyết KDC bao gồm ba thành phần: - Database của tất cả các principal và các khóa đã mã hóa của nó đ ể gia nhập - Anthentication Server - Ticket Granting S ...