Протоколы аутентификации

Итак, клиенту, прошедшему аутентификацию посредством Kerberos, требуется получить доступ к ресурсам на других серверах в том же домене.

1. Клиент обращается  к службе KDC. Клиент представляет KDC свой TGT и маркер времени, которые  зашифрованы с помощью ключа  сессии, известного службе KDC.

2. KDC расшифровывает TGT, используя свой собственный ключ. Маркер времени расшифровывается с помощью сессионного ключа. Теперь KDC может подтвердить, что запрос пришел от «правильного» пользователя, т. к. этот пользователь может использовать этот сессионный ключ.

3. Затем KDC создает пару билетов, один для клиента, один для сервера, к ресурсам которого клиент должен будет получать доступ. Каждый билет содержит имя пользователя, запрашивающего доступ, получателя запроса, маркер времени, показывающий, когда был создан билет, а также срок жизни билета. Оба билета будут также содержать новый ключ, K_cs который, таким образом известен и клиенту и серверу. Этот ключ будет обеспечивать возможность безопасного взаимодействия между ними. KDC шифрует билет сервера, используя мастер – ключ сервера, затем вкладывает билет сервера внутрь билета клиента, который также содержит ключ K_cs

4. Вся эта структура  зашифровывается с помощью сессионного  ключа, который стал доступен  пользователю при аутентификации. После чего эта информация  отправляется клиенту.

5. Получив билет, клиент  расшифровывает его с помощью  сессионного ключа, т. е. K_cs становится  доступным клиенту, K_cs доступен также  и серверу. Клиент не может  прочитать билет сервера, т.  к. он зашифрован на ключе  сервера. 

6. Клиент зашифровывает маркер времени с помощью ключа, K_cs затем отправляет маркер времени и билет сервера самому серверу, к ресурсам которого пытается получить доступ клиент.

7. Получив эту информацию, на первом этапе сервер расшифровывает  свой билет, используя свой  долговременный ключ. Это предоставляет возможность получить доступ к K_cs , с помощью которого будет на втором этапе расшифрован маркер времени, полученный от клиента.

8. Теперь и клиент, и сервер обладают ключом K_cs. Следовательно,  сервер может быть уверен в том, что клиент правильно идентифицирован, т. к. для шифрования маркера времени был использован K_cs . В случае необходимости ответа сервера клиенту, сервер воспользуется ключом K_cs . Клиент будет знать, что сервер правильно идентифицирован, поскольку сервер должен использовать, чтобы получить K_cs .

Заключение

В данной курсовой работе были рассмотрены протоколы аутентификации с использованием одноразовых и  многоразовых паролей, сертифицирующих  центров и протокола Kerberos. Использование этих способов обеспечивает различную степень защищенности. Наиболее безопасным показывает себя протокол Kerberos, так как не имеет явных уязвимостей, но организация работы этого протокола является довольно трудоемкой.

Список литературы

1. Методы аутентификации, использующие пароли и PIN-коды – Электрон. дан. – Режим доступа: http://protection-soft.info/pages-page-pid52.htm

2. Таненбаум Э. Компьютерные сети. 4-е издание Издательство: Питер, 2007, 992 стр.

3. Организация аутентификации по протоколу «Kerberos»– Электрон. дан. – Режим доступа: http://www.moluch.ru/archive/40/4741/.

4. Олифер В.Г. Компьютерные сети. 4-е издание Издательство: Питер, 2010, 944 стр.

ПРИЛОЖЕНИЕ А

Задание. Предположим, что у вашего знакомого есть небольшая дизайнерская компания, чья сеть состоит из рабочих станций Windows NT 4.0 и Windows 2000. Кроме того, в ней есть одна старая система Windows NT в роли файлового сервера, а также система Linux в роли брандмауэра на DSL-канале. До организации сети Windows NT/2000 в компании применялось то, что считалось сетевой схемой Windows по умолчанию – NetBIOS over NetBEUI. Теперь новый клиент хочет, чтобы сеть компании подсоединилась к его WINS-серверу, так как это позволит обеспечить возможность прямого совместного использования ресурсов. Учитывая вопросы безопасности, что вы посоветуете вашему знакомому? Какие у него (и у его клиента) есть альтернативы?

Решение. Из-за невозможности  маршрутизации при использовании сетевой схемы NetBIOS over NetBEUI его невозможно эффективно использовать в больших сетях, поэтому желательно использовать более совершенную схему NetBIOS over TCP/IP. Кроме того для обеспечения совместной работы WINS и системы под управлением Linux необходимо использовать Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Альтернативным решением является замена WINS на DNS.