IV. Протокол Kerberos.
80-ті роки ХХ ст. Розроблений у Масачусетському технологічному інституті в рамках проекту «Афіна» як протокол мережевої аутентифікації. Використовується для мереженої аутентифікації у Windows 2000 та наступних версіях; Mac OS також використовує Керберос у своїх клієнтських та серверних версіях; також його використовує Red Hat Linux 4 Enterprise.
Суть протоколу Kerberos полягає в участі 3-тьої довірчої сторони, у процесі аутентифікації. 3-тя сторона - це так званий сервер Kerberos.
Нехай є учасники А; В; KS -сервер Kerberos.
Кожен учасник процесу ідентифікації має такі значення:
Сторона А->IdА - власний унікальний ідентифікаттор; KА- публічний ключшифрування;
Сторона В->Idв - власний ідентифікатор; Kв- публічний ключ шифрування;
Сервер Керберос - сторона, якій довіряють сторони А та В, який керує встановленням сеансу зв’язку між сторонами.
Протокол:
A відправляє серверу KS таке повідомлення, зашифроване на публічному ключі сервера:
EKsA (IdА,IdВ) - запит на дозвіл підключення до сторони В.
Розшифрувавши повідомлення А сервер Керберос генерує таку інформацію:
KS->B:EkB(T,L,K,IdA) для сторони В;
одночасно:
KS->А:EkA(T,L,K,Idв),EkB(T,L,K,IdA) - для сторони А.
Тут:
T-відмітка часу;
L-термін дії ключа K;
K-сеансовий ключ шифрування
2) Тепер сторона A може відправити стороні B таке повідомлення:
EК(T,IdА),EkВ(T,L,K,IdА)
Сторона В має три різні ідентифікатори IdА і 2 різні ключі (які потрапили до неї у різних повідомленнях - від сервера Керберос і від сторони А). Якщо ці об’єкти співпадають T=T=T, IdА=IdА то сторона А успішно пройшла аутентифікацію.
3) Однак тепер вимагається аутентифікація сторони B. Для цього сторона В модифікує часову відмітку на завчасно погоджену величину (Т->Т+1) і відправляє стороні А таке повідомлення: EК(T+1) - модифікована відмітка часу.
Одночасно А обчислює EК(T+1), і якщо ці дві величини (обчислена і отримана від
В) співпадають, то аутентифікація сторони В пройшла успішно.
Діаграму інформаційних потоків при аутентифікації за протоколом Керберос подано на рисунку.
- Основні поняття та визначення захисту інформації. Захист інформації це діяльність спрямована забезпечення
- Властивості інформації, що підлягають захисту.
- Класифікація загроз інформації
- 5. Посередництво (Man-In-Middle).
- 6. Зловживання довірою
- 7. Комп’ютерні віруси:
- 8. Атаки на рівні застосувань:
- Причини виникнення загроз
- Структура політики безпеки
- 1) Таблиця збитків:
- 2) Таблиця імовірності атаки:
- 3) Таблиця ризиків:
- V) Реакція системи на вторгнення
- VI) Опис повноважень користувачів системи
- Політика інформаційної безпеки та її основні поняття. Моделі керування безпекою.
- Захист інформації від витоку технічними каналами. Поняття небезпечного сигналу. Класифікація технічних каналів витоку інформації. Типи захисту від витоку інформації технічними каналами.
- Захист інформації від витоку технічними каналами. Пасивний та активний захист.
- 1) Пасивні методи:
- 2) Активні методи:
- Методи захисту комп’ютерної техніки від витоку інформації технічними каналами.
- Формальні моделі доступу
- Захист інформації в комп’ютерних системах від несанкціонованого доступу. Критерії оцінки захищеності інформації від нсд.
- Захист інформації в комп’ютерних системах від несанкціонованого доступу.
- Аналіз захищеності сучасних універсальних ос. Основні завдання захисту ос. Принципи керування доступом сучасних універсальних ос. Аутентифікація, авторизація та аудит.
- I. Протокол „виклик-відповідь”
- II. Використання одноразових паролів.
- IV. Протокол Kerberos.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту в ос Windows nt/2000/xp. Політика безпеки
- Основні компоненти системи безпеки ос Windows
- Аутентифікація користувача. Вхід у систему
- Маркер доступу. Контекст користувача
- Запозичення прав
- Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
- Ролевий доступ. Привілеї
- 5. Заборона використання usb-дисків.
- 7. Блокування мережевих загроз.
- 9. Захисник Windows.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту ос типу *nix.
- 2. Підтримка шифрувальних файлових систем у зазначених ос.
- Захищені протоколи. Протокол ssl.
- Методи підсилення стандартних засобів захисту. Електронні засоби ідентифікації та аутентифікації. Біометричні засоби ідентифікації.
- 2. Біометричні засоби ідентифікації