logo search
1111

IV. Протокол Kerberos.

80-ті роки ХХ ст. Розроблений у Масачусетському технологічному інституті в рамках проекту «Афіна» як протокол мережевої аутентифікації. Використовується для мереженої аутентифікації у Windows 2000 та наступних версіях; Mac OS також використовує Керберос у своїх клієнтських та серверних версіях; також його використовує Red Hat Linux 4 Enterprise.

Суть протоколу Kerberos полягає в участі 3-тьої довірчої сторони, у процесі аутентифікації. 3-тя сторона - це так званий сервер Kerberos.

Нехай є учасники А; В; KS -сервер Kerberos.

Кожен учасник процесу ідентифікації має такі значення:

Сторона А->IdА - власний унікальний ідентифікаттор; KА- публічний ключшифрування;

Сторона В->Idв - власний ідентифікатор; Kв- публічний ключ шифрування;

Сервер Керберос - сторона, якій довіряють сторони А та В, який керує встановленням сеансу зв’язку між сторонами.

Протокол:

A відправляє серверу KS таке повідомлення, зашифроване на публічному ключі сервера:

EKsA (IdА,IdВ) - запит на дозвіл підключення до сторони В.

  1. Розшифрувавши повідомлення А сервер Керберос генерує таку інформацію:

KS->B:EkB(T,L,K,IdA) для сторони В;

одночасно:

KS->А:EkA(T,L,K,Idв),EkB(T,L,K,IdA) - для сторони А.

Тут:

T-відмітка часу;

L-термін дії ключа K;

K-сеансовий ключ шифрування

2) Тепер сторона A може відправити стороні B таке повідомлення:

EК(T,IdА),E(T,L,K,IdА)

Сторона В має три різні ідентифікатори IdА і 2 різні ключі (які потрапили до неї у різних повідомленнях - від сервера Керберос і від сторони А). Якщо ці об’єкти співпадають T=T=T, IdА=IdА то сторона А успішно пройшла аутентифікацію.

3) Однак тепер вимагається аутентифікація сторони B. Для цього сторона В модифікує часову відмітку на завчасно погоджену величину (Т->Т+1) і відправляє стороні А таке повідомлення: EК(T+1) - модифікована відмітка часу.

Одночасно А обчислює EК(T+1), і якщо ці дві величини (обчислена і отримана від

В) співпадають, то аутентифікація сторони В пройшла успішно.

Діаграму інформаційних потоків при аутентифікації за протоколом Керберос подано на рисунку.