Báo cáo môn học an toàn hệ điều hành đề tài 06 trình bày và phân tích cơ chế xác thực đăng nhập kerberos trên windows

KERBEROS LÀ GÌ?Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn.. MỤC TIÊU* Người sử dụng có thể truy cập tất cả

Trang 1

HỌC VIỆN KĨ THUẬT MẬT MÃ

Báo cáo Môn học: An toàn hệ điều hành

Đề tài 06: Trình bày và phân tích cơ chế xác thực đăng

nhập Kerberos trên WindowsSinh viên thực hiện:

Đỗ Duy Hưng AT150225 Nguyễn Thùy Dương AT150209

Đỗ Cao Đức AT150215 Trịnh Thị Dung AT150211

Hà Ngọc Hiếu AT150218 Nguyễn Tuấn Đạt AT150212

Trang 2

2

3

NỘI DUNG CHÍNH

Phần I: SƠ LƯỢC VỀ GIAO THỨC

Phần II: CƠ CHẾ HOẠT ĐỘNG CỦA

HỆ THỐNG KERBEROS

Phần III: ĐÁNH GIÁ HỆ THỐNG KERBEROS

Trang 3

PHẦN I

LỊCH SỬ PHÁT

Trang 4

LỊCH SỬ PHÁT TRIỂN

Học viện công nghệ Massachusetts (MIT) phát triển Kerberos để bảo vệ các dịch

vụ mạng cung cấp bởi dự án Athena Giao thức đã được phát triển dưới nhiều phiên bản, trong đó các phiên bản từ 1 đến 3 chỉ dùng trong nội bộ MIT.

Các tác giả chính của phiên bản 4, Steve Miller và Clifford Neuman, đã xuất

bản giao thức ra công chúng vào cuối thập niên 1980, mặc dù mục đích chính

của họ là chỉ phục vụ cho dự án Athena.

Phiên bản 5, do John Kohl và Clifford Neuman thiết kế, xuất hiện trong tài

liệu (RFC1510) vào năm 1993 (được thay thế bởi RFC 4120 vào năm 2005 với

mục đích sửa các lỗi của phiên bản 4.

Các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 sử dụng một phiên bản thực hiện Kerberos làm phương pháp mặc định để xác thực.

Trang 5

KERBEROS LÀ GÌ?

Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình client - server và đảm bảo nhận thực cho cả hai chiều.

Tên của giao thức Kerberos được lấy từ tên của con chó ba đầu Cerberus canh

gác cổng địa ngục trong thần thoại Hy Lạp.

Giao thức được xây dựng dựa trên mã hoá đối xứng và cần đến một bên thứ ba mà

cả hai phía tham gia giao dịch tin tưởng.

Trang 7

ỨNG DỤNG CỦA KERBEROS

SOCKS ( kể từ SOCKS5) Apache ( với modular Hệ thống X window

mod_auth_kerb)

Trang 8

ỨNG DỤNG CỦA KERBEROS

Được tích hợp để xác Xây dưng tích hợp trong các

Tích hợp kerboros trong các Thẻ thông minh Smark Card thực trong các hệ điêu hệ thống xác thực của các

hệ thống bastion host hành mạng ngân hàng.

Trang 9

MỤC TIÊU YÊU CẦU

MỤC TIÊU VÀ YÊU CẦU

HOẠT ĐỘNG

CỦA HỆ THỐNG KERBEROS

NGUYÊN TẮC HOẠT ĐỘNG CHUNG

GIAO THỨC

Trang 10

MỤC TIÊU

* Người sử dụng có thể truy cập tất cả các dịch vụ mà họ được ủy quyền cho mà không cần

phải nhập lại mật khẩu trong phiên này Đặc tính này được gọi là Single Sign-On

* Khi người dùng thay đổi mật khẩu của mình, nó được thay đổi cho tất cả các dịch vụ cùng một lúc

* Không chỉ những người sử dụng phải chứng minh rằng họ là những người họ nó mà các

máy chủ ứng dụng phải xác thực lại của khách hàng của họ có đúng không Đặc tính này được gọi là

xác thực chéo.

TIEU LUAN MOI download : skknchat@gmail.com

Trang 12

YÊU CẦU

Có ít nhất 1 máy chủ cài đặt dịch vụ Kerberos (Kerberos Server)

Các Clients phải được đăng ký với máy chủ Kerberos

Một số các máy chủ ứng dụng đóng vai trò phân bổ các khóa với máy

Trang 13

Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là

"trung tâm phân phối khóa" ( key distribution center - KDC) KDC bao gồm hai

chức năng: "máy chủ xác thực" (authentication server - AS) và "máy chủ cung

cấp vé" (Ticket Granting Server - TGS) "Vé" trong hệ thống Kerberos chính

là các chứng thực chứng minh nhân dạng của người sử dụng.

Trang 14

được lưu trong các trung tâm phân phối khóa trên server Kerberos Mỗi người sử dụng (cả máy chủ vàmáy khách) trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhân dạng của một người sử dụng Trong mỗi giao dịch giữahai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khoá phiên dùng cho phiên giao dịch đó

cũng được lưu giữ trong Trung tâm phân phối khóa, và trong một tập tin gọi là keytab trên máy của bên dịch vụ

(các máy chủ Kerberos ), cung cấp khóa xác thực phân phối chúng theo yêu cầu

Trang 15

Mô hình hoạt động của Kerberos

Trang 16

Pha 1: Client xác thực với AS để lấy về

(Client ID, IP, ticket validity,K client/TGS ) K TGS

Trang 17

Pha 2: Client xác thực với TGS

(Client ID, IP, ticket

validity,K client/TGS ) K TGS

Server ID, B

C

[Authenticator(Client ID, Timestamp) ] K client/TGS

D

Trang 18

Pha 3: Client truy nhập và yêu cầu cấp phép

sử dụng dịch vụ

a new Authenticator( client

From previos step ID, timestamp) KClient/Service

H

Timestamp + 1

Trang 19

MÔ TẢ GIAO THỨC

vụ B.

hạn) của các gói tin Đây chính là các chỉ thị về tính chất mới của các gói tin và chống lại các tấn cônggửi lại các gói tin cũ

{ T S , L, KAB, B, {T S , L, KAB, A}K BS }K AS

{T S , L, KAB, A}K BS là vé gửi từ máy khách tới máy chủ;

{ A,T A }KAB là phần để xác thực A với B;

{ T A + 1 }KAB để khẳng định lại xác thực của B và thông qua đó chấp nhận

Trang 20

CÁC THÀNH PHẦN TRONG

Realm và Principa

* Realm: Chính là một tên miền để thiết lập giới hạn trong phạm vi mà một máy chủ xác thực có

thẩm quyền để xác thực người dùng, máy chủ lưu trữ hoặc dịch vụ Điều này không có nghĩa là xác thựcgiữa một người dùng và dịch vụ mà họ phải thuộc các lĩnh vực quản lý các máy chủ xác thực kerberos

thực trong hệ thống bao gồm người sử dụng và các server

Trang 21

Trung tâm phân phối khoá (KDC- Key Distribution Centre)

Trang 22

Server xác thực-Authentication Server (AS)

thể đăng ký hoặc khởi tạo tài khoản người dùng mới ) Để đáp lại một yêu cầu xác thực của người

dùng AS cấp cho họ một TGT( vé chấp nhận) nếu người sử dụng thực sự là người mà họ nói mà AS đãđịnh danh Người dùng có thể sử dụng TGT để có được cung cấp vé dịch vụ khác mà không cần phải đăng nhập lại

Trang 23

Server cấp vé-Ticket Granting Server (TGS )

kiểm tra tính hợp lệ TGS đảm bảo sự xác thực giưa người dùng máy chủ ứng dụng

dùng 1 vé thông hành mới để có thể truy cập vào các server ứng dụng gọi là TGS

Trang 24

Cơ sở dữ liệu

mục mới bằng cách sử dụng nhánh chính (tức là tên của mục nhập) Mỗi mục chứa các thông tin sau:Khoá mật mã và có thông tin liên quan

Thời gian hiệu lực tối đa cho một vé

Thời gian tồn tại tối đa một vé, có thể được gia hạn (chỉ ở Kerberos 5)

Các thuộc tính hoặc cờ đặc trưng cho những hành vi của vé

Mật khẩu hết hạn

nhau

Trang 25

Những yêu cầu của người sử dụng thiết yếu (thông thường Username).

Các thiết yếu của các dịch vụ đó là dành cho

Địa chỉ IP của máy khách mà từ đó các vé có thể được sử dụng

Ngày và thời gian (trong thời gian định dạng) khi những vé có tính hợp lệ

Vòng đời tối đa của vé

Các khóa phiên (điều này có một vai trò cơ bản được mô tả dưới đây)

Trang 26

* Tuy nhiên, người sử dung vẫn phải xác thực đối với server dịch vụ ít nhất là cho thời gian trong

đó có một khách hàng đã có một phiên làm việc mở trên dịch vụ đó điều này quan trọng, tạo ra bởi cácKDC khi một vé đã được ban hành, được gọi là các khóa phiên

Trang 27

MÃ HÓA

công làm cho Kerberos 4 bị lỗi thời

khai trên một mô hinh cụ thể nào đó, vì vậy tính linh hoạt và mở rộng của giao thức đã được nâng

caolàm cho Kerberos 5 có khã năng tương thích cao với nhiều hệ thống khác nhau

Trang 28

HOẠT ĐỘNG

Client chứng thực AS

tập trung

trực tiếp tới các thành phần được gọi là KDC Authentication Server (AS)

bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng khóa bí mật của người dùngyêu cầu)

Trang 29

HOẠT ĐỘNG

Client xác thực TGS

trên mạng

bản nó chứa TGT (mã hóa bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng khóa bí mật của người dùng yêu cầu)

yêu cầu (được mã hóa với khóa bí mật của dịch vụ) và phiên dịch vụ một khóa tạo ra bởi TGS và được

mã hóa bằng khóa phiên trước đó được tạo ra bởi AS

Trang 30

HOẠT ĐỘNG

Khách hàng truy cập và được cấp phép sử dung dịch vụ

thành phần là các dịch vụ bán vé thu được từ TGS với thư trả lời trước và nhận thực một lần nữa được tạo ra bởi khách hàng, nhưng lần này được mã hóa bằng khóa phiên dịch (tạo ra bởi TGS);

sự là máy chủ của khách hàng là mong muốn Gói này không phải lúc nào cũng được yêu cầu Cáckhách hàng yêu cầu máy chủ cho nó chỉ khi xác thực lẫn nhau là cần thiết

Trang 31

ĐÁNH GIÁ HỆ THỐNG KERBEROS

Trang 32

ƯU ĐIỂM

mạng Nếu sử dụng đúng cách, Kerberos có hiệu quả loại bỏ các gói tin sniffers

windows, linux , unix, mac os ) cũng có thể tích hơp trực tiếp vào các ứng dụng mạng hoạt động trên các hệ điều hành khác nhau

Trang 33

NHƯỢC ĐIỂM

tới các tài nguyên khi người dùng của máy đó rời khỏi máy sau khi đăng nhập mà quên không khoá máy lại

tin

đảm bảo điều này, cơ chế nhận thực giữa trên thời hạn Sử dụng sẽ không hoạt động

Tiêu đề	Trình bày và phân tích cơ chế xác thực đăng nhập Kerberos trên Windows
Tác giả	Đỗ Duy Hưng, Nguyễn Thùy Dương, Đỗ Cao Đức, Trịnh Thị Dung, Hà Ngọc Hiếu, Nguyễn Tuấn Đạt
Người hướng dẫn	Trần Sỹ Nam
Trường học	Học viện Kĩ thuật Mật mã
Chuyên ngành	An toàn hệ điều hành
Thể loại	báo cáo

Định dạng
Số trang	34
Dung lượng	7,11 MB