kerberos-aaf

<div dir="ltr" style="text-align: left;" trbidi="on">

<div class="separator" style="clear: both; text-align: center;">

<a href="http://4.bp.blogspot.com/-ZHLM2Wm4D6s/Uxde9YCFx1I/AAAAAAAACP4/KWOqRvptJ9w/s1600/kerberos.gif" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0"<img src="http://4.bp.blogspot.com/-ZHLM2Wm4D6s/Uxde9YCFx1I/AAAAAAAACP4/KWOqRvptJ9w/s1600/kerberos.gif" /></a></div>

/>

 

<p>Протокол Kerberos был создан в Массачусетском

технологическом институте, как вспомогательный для проекта Athena. Открытым он

стал после выхода 4-й версии. После ее изучения специалистами, авторы внесли

поправки и представили его следующий релиз —&nbsp;&mdash; Kerberos 5, который и был принят

как стандарт IETF. Протокол идеально подходит для использования в интернете и

локальных сетях. О Kerberos 5 далее и пойдет речь.<br />.</p><!-- more -->

 

 

<h3 style="text-align: left;">

>Теория работы протокола</h3>

 

<p>ТеорияАлгоритм работы протокола основывается на простой идее общего секрета двух участников общения.

Если есть секрет, известный только двоим, любой из них может легко удостовериться,

что имеет дело именно со своим напарником. Для этого ему достаточно каким-либо способом проверить,

знает ли собеседник их общий секрет. </.</p>

 

<p>В случае безопасного соединениявзаимодействия между двумя компьютерами

 общим секретом выступает криптографический ключ. КлиентРассмотрим простой пример. Традиционно будем называть участников процесса Алиса и Борн. Алиса с помощью ключа шифрует свои авторизационные

учетные данные и отправляет их на сервер, где они дешифруются, проверяются и потом отправляется определённый Борну, который их дешифрует и проверяет. В ответ клиенту.

КлиентБорн отправляет Алисе свои идентификационные данные. Алиса расшифровывает полученыйполученный ответ и проверяет соответствует ли он ожидаемому.

Тем самым и клиент,идентификацию Борна.

Теперь и сервер удостовериваютсяАлиса, и Борн уверены в том, что они те, кем представляются.

После этого уже предоставляется доступ к серверу без лишних подтверждений. </p>

 

<p>Когда Итак, когда есть общий ключ известен, то взаимодействие компьтеров прозрачное.

аутентификацию участников организовать не сложно.</p>

 

<h4>Алгоритм Нидхема-Шрёдера</h4>

 

<p>Однако этот долговременный общий ключ необходимо как-то получить в незащищенойнезащищенной среде, где передаваемые

пакеты могут быть перехвачены и изменены. Этот факт учтенЭта проблема решается в протоколе Kerberos, для получения

используется третья сторона с помощью третьей стороны, которой доверяют оба участника.

В простой системе третьей стороной может быть сам сервер.

Клиент инициирующий.</p>

 

<p><img src="http://lh4.googleusercontent.com/-y8toPpHfqyc/UylSU57JBWI/AAAAAAAAFs4/3aS5MCUGL-k/w800/KerberosFULL.png"/></p>

 

<p>Алиса инициирует обмен, отправляет этойотправляя доверенной стороне запрос на получение ключа для общения с серверомБорном.

Третья сторона сначала проверяет подлинность клиентаАлисы

путем обмена несколькими сообщениями, зашифрованными одноразовым ключом, и после отправляет Алисе

сообщение из двух частей клиенту,: одна зашифрованаячасть зашифрована ключом клиента,

а втораяАлисы,

другая&nbsp;&mdash; ключом сервера (клиентБорна (Алиса не может её расшифровать).

Обе части содержат долговременный ключ, но во второй части ещё есть метка времени от третьей стороны.

Клиент.</p>

 

<p>Алиса получает это сообщение, и формирует сообщение для сервераБорна.

Первая часть содержит данные о клиентеоб Алисе и егоее временную метку, а вторая часть берётся из полученного ответа от третьей стороны.

Первая часть зашифрована ужеобщим долговременным ключом.

Сервер получая .</p>

 

<p>Борн получает запрос, и расшифровывает вторую часть и . Таким образом, он получает долговременный ключ.

 После этого, используя полученный ключ, Борн расшифровывает первую часть используя полученный ключ.

Сравнивает. Сравнивая временные метки из первой и второй части, иБорн решает, можно ли доверять ли клиенту.

Алисе. После этого он отправлет клиентуотправляет Алисе данные о себе и временную метку клиентаАлисы плюс один.

Клиент.</p>

 

<p>Алиса расшифровывает ответ от сервераБорна и проверяет временную метку.

Таким образом клиент, Алиса и Борн надежно аутентифицируют друг друга и сервер получают долговременный ключ, а сеанс связи защищен с

самого начала. Анализатор пакетов может перехватить одноразовый ключ, но

воспользоваться им уже никто не сможет из-за короткого срока его действия.

</p>

 

<h3 style="text-align: left;">

>Практика</h3>

<p>В предыдущем разделе описано, как взаимодействуют с собой

криптографические ключи. Аабстрактные корреспонденты. Подобный алгоритм используется для аутентификации подключенных в сеть устройств. Как расширить данную процедуру на практике все выглядит вот так —пользователей данных устройств?</p>

 

<p>Если контроллер домена настроен на аутентификацию

 с помощью Kerberos., первый шаг алгоритма выглядит следующим образом. Пользователь включает компьютер, вводит логин и пароль для

авторизации. Клиентский ПК преобразует хэш пароля в секретный ключ и посылает

 его на сервер. Дальше идет работа симметричного ключа — дешифрование пакета,

аутентификация, шифрование и отсылка назадтретьей стороне. Таким образом, процедуре аутентификации подвергается не компьютер, а его клиенту. Так происходит

авторизация. Это простейший, наглядный пример работыпользователь. Замечательной чертой протокола. В реальности

все может быть намного сложнее, но принцип будет тот же.<br />

 является то, что пароль пользователя не передается по сети.</p>

 

<h3 style="text-align: left;">

KDC (Key

Distribution Center)</>Центр распределения ключей</h3>

Почему

 Kerberos так называется? Он назван в честь Цербера,

персонажа греческой мифологии. Это трехглавый грозный пес, охраняющий врата

подземного царства мёртвых. Причем здесь сетевые технологии? Трём головам этого

пса в протоколе Kerberos соответствуют три участника безопасной связи: клиент, (Алиса),

сервер (Борн) и доверенный посредник между ними. Посредник нужен для того, чтобы

распределить ключи. Выше было описано взаимодействие одного клиента и сервера.

.</p>

 

<p>Когда клиентов и серверовкорреспондентов много —, нужно на как-то безопасно хранить их уникальные

аутентификаторы. Роль такого хранилища исполняет центр распределения ключей (Key

Distribution Center, KDC.). Это служба, которая управляет базой данных с

информацией об учётных записях всех абонентов безопасности. Вместе с данными о

каждом абоненте безопасности в базе данных KDC хранится криптографический ключ,

уникальный для каждого абонента. Это долговременный ключ,

который используется для связи пользователя системы безопасности с центром

распределения ключей. То есть клиент связывается сначала с сервером KDC для

 и аутентификации, который играет две роли — посредника между сервером и клиентом

и хранителя учетных данных.<br />

 пользователя.</p>

 

<h3 style="text-align: left;">>

Заключение</h3>

Вот такие основные концепции протокола

<p>Протокол сетевой

аутентификации Kerberos 5. Этот протокол отличается эффективностью

использования, своей гибкостью, при этом обеспечивая очень высокий уровень

безопасности. В эпоху бурного развития локальных сетей, электронной коммерции,

виртуальных частных сетей, всего интернета в целом, Kerberos является одним из

тех, кто удовлетворяет всеосновных технологических столпов, удовлетворяющих требования безопасности в современной информационной

 среде. Поэтому разработчики различного сетевого программного обеспечения и

 вендоры сетевого оборудования уделяют ему большое внимание, добавляют поддержку

 его работы в свои проекты.</divp>

Comments