1. Trang chủ
  2. » Luận Văn - Báo Cáo

BÁO cáo đề tài KERBEROS đồ án môn bảo mật THÔNG TIN slide

36 1,1K 23

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 36
Dung lượng 2,6 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

 Phần mềm máy khách client gửi một gói tin không mã hóa username, địa chỉ mạng của người sử dụng đến máy chủ AS máy chủ chứng thực để yêu cầu chứng thực..  AS kiểm tra xem username củ

Trang 2

NỘI DUNG TRÌNH BÀY

 GIỚI THIỆU VỀ KERBEROS

 MÔ TẢ VÀ NGUYÊN TẮT HOẠT ĐỘNG CỦA KERBEROS

 DEMO THỰC NGHIỆM

Trang 3

Giới Thiệu

 Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính theo mô hình client -server hoạt động trên những đường truyền không

an toàn Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn dữ liệu Giao thức được xây dựng trên mật mã khóa đối xứng (vừa mã hóa vừa giải mã) và cần đến bên thứ 3 mà cả 2 phía tham gia giao dịch tin tưởng

 Tên giao thức Kerberos được lấy từ tên của chú chó ba đầu Cerberus canh gác cổng địa ngục trong thần thoại Hy Lạp Nó được phát triển trong dự án Athena của học viện công nghệ MIT

3

Trang 4

 Phiên bản Từ 1 – 3 chỉ sử dụng trong nội bộ MIT

 phiên bản 4, Steve Miller và Clifford Neuman, đã xuất bản giao thức ra công chúng vào cuối thập niên 1980

 phiên bản 5, do John Kohl và Cilfford Neuman thiết kế, xuất hiện vào năm 1993 (mục đích của nó là sửa các lỗi của phiên bản 4

Các phiên bản Kerberos:

Trang 5

Ứng Dụng

OpenSSH (với Kerberos v5 hoặc cao hơn)

 NFS (kể từ NFSv3) PAM (với mô đun

pam_krb5)

 SOCKS (kể từ SOCKS5)

 Apache (với mô đun mod auth kerb)

 Devecot IMAP4 và POP3

 Hệ thống X Windows

5

Trang 6

Authentication Server (AS) Ticket Granting Server (TGS)

Trang 7

Nguyên Tắt Hoạt Động

Mô tả tóm tắt: Người dùng Client A gửi yêu cầu chứng thực tới AS, Máy chủ chứng thực (AS) tra

trên dữ liệu mình có thông tin Client A và cho phép

Client A giao tiếp tới cổng TGS (Trung Tâm Cấp Vé) Sau đó, Client A sẽ gửi yêu cầu tới Máy Chủ Cấp Vé TGS rằng mình đã được chứng thực bởi AS

cấp phép, yêu cầu để nhận Vé Chấp Thuận từ TGS

TGS xem và xác minh đúng là AS đã xác thực, thì

sẽ cấp cho Client 1 tấm vé được vào cổng Dịch Vụ

Máy Chủ (SS) Client sẽ vào SS và xác thực với SS

rằng mình đã được Chấp Thuận bởi trong tay có tấm vé vào cổng Cuối cùng Client sẽ gửi yêu cầu mình muốn, tới Dịch Vụ Máy Chủ SS Máy Chủ

Dịch Vụ sẽ chấp thuận yêu cầu và cho Client A trò

chuyện với Client B

7

Trang 8

Một phiên giao dịch (giản lược) của Kerberos : 3 giai đoạn và 6 bước trao đổi.

Trang 9

Giai đoạn 1:

Người sử dụng Client nhập Username và

Password để tiến hành đăng nhập.

Phần mềm máy Client mã hóa Password với

hàm băm một chiều, kết quả mã hóa sẽ làm khóa

bí mật của người sử dụng client.

Phần mềm máy khách client gửi một gói tin

không mã hóa (username, địa chỉ mạng của

người sử dụng) đến máy chủ AS (máy chủ

chứng thực) để yêu cầu chứng thực Lưu ý là cả

khóa bí mật của người sử dụng client lẫn

Password đều không gửi tới AS.

9

Trang 10

AS kiểm tra xem username của client có nằm

trong cơ sở dữ liệu database của mình không, nếu

có thì gửi 2 gói tin sau tới người sử dụng:

 Gói tin A: gồm (Thời gian, thời hạn, yều cầu cần của

client và “Khóa phiên TGS/Client”) được mật mã hóa với khóa bí mật của người sử dụng chỉ có người

sử dụng mới mở được gói tin A.

 Gói tin B: là “Vé chấp thuận” (bao gồm username, địa chỉ mạng của người sử dụng, thời gian, thời hạn của vé

và “Khóa phiên TGS/Client”) được mật mã hóa với

khóa bí mật của TGS.

Trang 11

Giai đoạn 2:

 Khi nhận được 2 gói tin A và B, phần mềm

máy khách Client giải mã gói tin A (với khóa bí

mật của người sử dụng Client và sẽ có được khóa phiên TGS/Client là khóa vào cổng TGS ,

và bao gồm thời gian, thời hạn, yêu cầu cần của

Client ở bên trong gói tin A Chứng minh là AS là

thật không giả mạo

 Khi có khóa vào cổng dịch vụ TGS, người

sử dụng gửi 2 gói tin sau tới TGS:

 Gói tin C: Bao gồm “Vé chấp thuận” từ gói tin B,

gói tin này client không mở được vì dùng khóa riêng của TGS, nhằm để chứng minh client có được

là do AS cấp cho

 Gói tin D: Phần nhận thực (bao gồm username và

thời điểm yêu cầu), mật mã hóa với “Khóa phiên

TGS/Client ” lấy được từ bước trước.

 Khi nhận được 2 gói tin C và D, TGS giải mã

C với khóa bí mật của TGS giải mã D với

Trang 12

 TGS so sánh username từ gói tin C và gói tin D

đã giải mã, so sánh giữa thời điểm yêu cầu và thời hạn sử dụng của vé, nếu thỏa mãn thì gửi 2 gói tin sau tới người sử dụng:

Gói tin E: là “Vé vào dich vụ máy chủ SS như hình trên là

Aplication Server” (bao gồm username, địa chỉ mạng người

sử dụng, thời hạn sử dụng và “Khóa phiên Server/Client“) mật mã hóa với khóa bí mật của máy chủ cung cấp dịch

vụ SS Chỉ có SS mới mở được , client không mở được

Gói tin F: gồm “Khóa phiên Server/Client” mật mã hóa với “Khóa phiên TGS/Client ”, Client sẽ mở ra lấy được

Khóa phiên Server/Client để vào cổng Máy Chủ Dịch vụ SS

Trang 13

Giai đoạn 3:

Khi nhận được 2 gói tin E và F, người sử dụng

đã có đủ thông tin để nhận thực vào cổng với máy chủ cung cấp dịch vụ SS

Phần mềm máy khách giải mã gói tin F để lấy

khóa phiên Server/Client Khóa này sẽ vào cổng máy chủ cung cấp dịch vụ SS

Người sử dụng tạo gói tin G: bên trong gồm:

chỉ danh người sử dụng, thời điểm yêu cầu dịch

vụ, được mã hóa với khóa phiên Server/Client

đã lấy được ở trên

Gửi tới máy chủ cung cấp dịch vụ SS gói tin G

và gói tin E mà client không mở được do mã hóa

với khóa bí mật riêng của SS, thu được từ bước trước để chứng minh là người sử dụng có được

Trang 14

Máy chủ cung cấp dịch vụ SS giải mã gói tin E

bằng khóa bí mật của mình Biết được Client là

đúng không giả mạo và gửi tới người sử dụng

Client để xác nhận định danh của mình và khẳng

định sự đồng ý cung cấp dịch vụ:

Máy chủ SS gửi gói tin H: Thời điểm trong gói

tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với

khóa phiên Server/Client mà người sử dụng có

thể mở được

Máy khách Client giải mã gói tin H có được

thời gian và kiểm tra thời gian có được cập nhật

chính xác Nếu đúng thì người sử dụng có thể tin tưởng vào máy chủ SS và bắt đầu gửi yêu cầu sử

dụng dịch vụ

Trang 17

Click phải My Network Places -> Properties -> Click phải Card Cross chọn Properties ->chọn Internet Protocol.

Start -> Run -> gõ dcpromo -> OK

17

Trang 18

Hộp thoại Welcome to…> Click Next.

Hộp thoại Operating System > Next.

Trang 19

Hộp thoại Domain Controller Type -> chọn Domain

Controller for a new domain -> Next.

Hộp thoại Create New Domain -> chọn Domain in a new forest -> Next.

19

Trang 20

Hộp thoại New Domain Name -> nhập Hutech.com-> Next

Hộp thoại NetBIOS Domain Name -> Next

Trang 21

Hộp thoại Database and … -> Next

Hộp thoại Shared Volume -> Next

21

Trang 22

Hộp thoại DNS Registration Diagnostics -> Next

Hộp thoại Permission -> chọn Permission compatible only with -> Next.

Trang 23

Hộp thoại Directory Services…-> Next

Hộp thoại Summary -> Next.

23

Trang 24

Hệ thống tiến hành quá trình nâng cấp Domain Controller.

Nâng cấp hoàn tất -> Finish chọn Restart để khởi động lại Server.

Trang 25

Click phải My Computer -> chọn Properties -> Tab

Computer Name -> Change.

Join vào Domain từ máy client :

25

Trang 26

Hộp thọai Computer Name Change -> chọn Domain nhập Huetch.com -> OK.

Trang 27

Join hoàn thành

System Setting Changer >Yes

27

Trang 28

Client đăng nhập

Trang 31

client ip 172.16.1.7 gửi yêu cầu request lên

server ip 172.16.1.1 để AS chứng thực thông tin user id của client,

server ip 172.16.1.1 hồi đáp yêu cầu reply tới client thông báo là đã kiểm tra trong database xác thực có user id của client

Client gửi thông tin yêu cầu request cấp vé chấp thuận TGS để vào được các dịch vụ mà client muốn

Server hồi đáp reply lại yêu cầu của client cấp

Trang 32

 khi có vé chấp thuận dịch vụ được cấp , thì client

sẽ gọi thủ tục hệ thống phát triễn và phân phối mạng máy tính DCERPC , để đăng nhập kết nối vào tài khoản domain khi join domain

 Server khi nhận được cuộc gọi trên sẽ kiểm tra xem có đúng dns không Nếu đúng thì sẽ chấp thuận cho phép client kết nối

 khi được chấp thuận vào môi trường domain

Client sẽ thay đổi cuộc gọi tới các user trong

domain để kết nối

Trang 33

 Client sẽ gửi yêu cầu request dịch vụ

SMB( Server Message Block) đòi phiên cài đặt hệ thống tập tin để cung cấp chia sẻ tập tin, máy in, cổng nối tiếp

 Server hồi đáp response phiên cài đặt của client thành công.

33

Trang 34

 Client gửi yêu cầu request tới LDAP yêu cầu truy cập các dịch vụ thư mục mà Client cần.

 Server hồi đáp response thành công

Trang 35

Tài liệu tham khảo:

 http://forum.technet.com.vn/showthread.php?t=290

 http://forum.4u-vn.com/security-zone/243-t%E1%BB%95ng-quan-v

%E1%BB%81-kerberos.html

 http://vnexperts.net/bai-viet-ky-thuat/security/489-tim-hiu-v-giao-th c-xac-thc-kerberos.html

 http://kieuvinh.wordpress.com/2011/12/12/quy-trinh-ho%E1%BA% A1t-d%E1%BB%99ng-c%E1%BB%A7a-giao-th%E1%BB%A9c-k erberos/

 http://forum.athena.edu.vn/client-operating-system/87-tim-hieu-ve-g iao-thuc-xac-thuc-kerberos.html

35

Trang 36

Thanks !!

Ngày đăng: 13/05/2016, 07:51

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w