2015-02-04
760
Рассмотрим в качестве примера протокол аутентификации и распределения ключей Kerberos (по-русски – Цербер). Первоначально протокол Kerberos был разработан в Массачусетском Технологическом Институте (США) для проекта Athena. Протокол Kerberos спроектирован для работы в сетях TCP/IP и предполагает участие в аутентификации и распределении ключей третьей доверенной стороны. Kerberos обеспечивает надежную аутентификацию в сети, разрешая законному пользователю доступ к различным машинам в сети. Протокол Kerberos основывается на симметричной криптографии (реализован алгоритм DES, хотя возможно применение и других симметричных криптоалгоритмов). Kerberos разделяет отдельный секретный ключ с каждым субъектом сети, и знание такого секретного ключа равносильно доказательству подлинности субъекта сети [117, 125].
Основной протокол Kerberos является вариантом протокола аутентификации и распределения ключей Нидхема-Шредера [117]. В основном протоколе Kerberos (версия 5) участвуют две взаимодействующие стороны А и В и доверенный сервер KS (Kerberos Server). Стороны А и В, каждая по отдельности, разделяют свой секретный ключ с сервером KS. Доверенный сервер KS выполняет роль центра распределения ключей ЦРК.
|
|
|
Пусть сторона А хочет получить сеансовый ключ для информационного обмена со стороной В.
Сторона А инициирует фазу распределения ключей, посылая по сети серверу KS идентификаторы IdA и IdB:
(1) A ® KS: IdA, IdB.
Сервер KS генерирует сообщение с временной отметкой Т, сроком действия L, случайным сеансовым ключом К и идентификатором IdA. Он шифрует это сообщение секретным ключом, который разделяет со стороной В.
Затем сервер KS берет временную отметку Т, срок действия L, сеансовый ключ К, идентификатор IdB стороны В и шифрует все это секретным ключом, который разделяет со стороной А. Оба эти зашифрованные сообщения он отправляет стороне А:
(2) KS ® A: EA (T, L, K, IdB), EB (T, L, K, IdA).
Сторона А расшифровывает первое сообщение своим секретным ключом, проверяет отметку времени Т, чтобы убедиться, что это сообщение не является повторением предыдущей процедуры распределения ключей.
Затем сторона А генерирует сообщение со своим идентификатором IdA и отметкой времени Т, шифрует его сеансовым ключом К и отправляет стороне В. Кроме того, А отправляет для В сообщение от KS, зашифрованное ключом стороны В:
(3) A ® B: EK (IdA, T), EB (T, L, K, IdA).
Только сторона В может расшифровать сообщения (3). Сторона В получает отметку времени Т, срок действия L, сеансовый ключ К и идентификатор IdA. Затем сторона В расшифровывает сеансовым ключом К вторую часть сообщения (3). Совпадение значений Т и IdA в двух частях сообщения подтверждают подлинность А по отношению к В.
|
|
|
Для взаимного подтверждения подлинности сторона В создает сообщение, состоящее из отметки времени Т плюс 1, шифрует его ключом К и отправляет стороне A:
(4) B ® A: EK (T+1).
Если после расшифрования сообщения (4) сторона А получает ожидаемый результат, она знает, что на другом конце линии связи находится действительно В.
Этот протокол успешно работает при условии, что часы каждого участника синхронизированы с часами сервера KS. Следует отметить, что в этом протоколе необходим обмен с KS для получения сеансового ключа каждый раз, когда А желает установить связь с В. Протокол обеспечивает надежное соединение объектов А и В при условии, что ни один из ключей не скомпрометирован и сервер KS защищен.
Система Kerberos обеспечивает защиту сети от несанкционированного доступа, базируясь исключительно на программных решениях, и предполагает многократное шифрование передаваемой по сети управляющей информации.
Система Kerberos имеет структуру типа клиент-сервер и состоит из клиентских частей С, установленных на все машины сети (рабочие станции пользователей и серверы), и Kerberos-сервера KS, располагающегося на каком-либо (не обязательно выделенном) компьютере.
Kerberos-сервер, в свою очередь, можно разделить на две части: сервер идентификации AS (Authentication Server) и сервер выдачи разрешений TGS (Ticket Granting Server). Информационными ресурсами, необходимыми клиентам С, управляет сервер информационных ресурсов RS (рис.7.4).
Область действия системы Kerberos распространяется на тот участок сети, все пользователи которого зарегистрированы под своими именами и паролями в базе данных Kerberos-сервера.
Рисунок 7.4 – Схема и шаги протокола Kerberos
Обозначения:
KS - сервер системы Kerberos;
AS - сервер идентификации;
TGS - сервер выдачи разрешений;
RS - сервер информационных ресурсов;
C - клиент системы Kerberos;
1: C ® AS: - запрос разрешить обратиться к TGS;
2: AS ® C: - разрешение обратиться к TGS;
3: C ® TGS: - запрос на допуск к RS;
4: TGS ® C: - разрешение на допуск к RS;
5: C ® RS: - запрос на получение информационного ресурса от RS;
6: RS ® C: - подтверждение подлинности сервера RS и предоставление информационного ресурса.
Укрупненно процесс идентификации и аутентификации пользователя в системе Kerberos можно списать следующим образом. Пользователь (клиент) С, желая получить доступ к ресурсу сети, направляет запрос серверу идентификации AS. Последний идентифицирует пользователя с помощью его имени и пароля и выдает разрешение на доступ к серверу выдачи разрешений TGS, который в свою очередь, по запросу клиента С разрешает использование необходимых ресурсов сети с помощью целевого сервера информационных ресурсов RS.
Данная модель взаимодействия клиента с серверами может функционировать только при условии обеспечения конфиденциальности и целостности передаваемой управляющей информации. Без строгого обеспечения информационной безопасности клиент не может отправлять серверам AS, TGS и RS свои запросы и получать разрешения на доступ к обслуживанию в сети. Чтобы избежать возможности перехвата и несанкционированного использования информации, Kerberos применяет при передаче любой управляющей информации в сети сложную систему многократного шифрования с использованием комплекса секретных ключей (секретный ключ клиента, секретный ключ сервера, секретные сеансовые ключи, клиент-сервер) [125].
7.3.3. Протокол для асимметричных криптосистем с
использованием сертификатов открытых ключей
В этом протоколе используется идея сертификатов открытых ключей.
Сертификатом открытого ключа С называется сообщение ЦРК, удостоверяющее целостность некоторого открытого ключа объекта. Например, сертификат открытого ключа для пользователя А, обозначаемый СА, содержит отметку времени Т, идентификатор IdА и открытый ключ КА, зашифрованные секретным ключом ЦРК kЦРК, т.е.
|
|
|
СА = 
(Т, IdА, КА).
Отметка времени Т используется для подтверждения актуальности сертификата и тем самым предотвращает повторы прежних сертификатов, которые содержат открытые ключи и для которых соответствующие секретные ключи несостоятельны.
Секретный ключ kЦРК известен только менеджеру ЦРК. Открытый ключ К ЦРК известен участникам А и В. ЦРК поддерживает таблицу открытых ключей всех объектов сети, которые он обслуживает.
Вызывающий объект А инициирует стадию установления ключа, запрашивая у ЦРК сертификат своего открытого ключа и открытого ключа участника В:
(1) А ® ЦРК: IdA, IdB, ´Вышлите сертификаты ключей А и В´. Здесь IdA и IdB – уникальные идентификаторы соответственно участников А и В.
Менеджер ЦРК отвечает сообщением
(2) ЦРК ® А: (Т, IdA, КА), (Т, IdB, КВ).
Участник А, используя открытый ключ ЦРК КЦРК, расшифровывает ответ ЦРК, проверяет оба сертификата. Идентификатор IdB убеждает А, что личность вызываемого участника правильно зафиксирована в ЦРК и КВ – действительно открытый ключ участника В, поскольку оба зашифрованы ключом kЦРК.
Хотя открытые ключи предполагаются известными всем, посредничество ЦРК позволяет подтвердить их целостность. Без такого посредничества злоумышленник может снабдить А своим открытым ключом, который А будет считать ключом участника В. Затем злоумышленник может подменить собой В и установить связь с А, и его никто не сможет выявить.
Следующий шаг протокола включает установление свя-зи А с В:
(3) А ® В: СА, 
(Т), 
(r1).
Здесь СА – сертификат открытого ключа пользователя А;
(Т) – отметка времени, зашифрованная секретным ключом участника А и являющаяся подписью участника А, поскольку никто другой не может создать такую подпись;
r1 – случайное число, генерируемое А и используемое для обмена с В в ходе процедуры подлинности.
Если сертификат СА и подпись А верны, то участник В уверен, что сообщение пришло от А. Часть сообщения (r1) может расшифровать только В, поскольку никто другой не знает секретного ключа kВ, соответствующего открытому ключу КВ. Участник В расшифровывает значение числа r1 и, чтобы подтвердить свою подлинность, посылает участнику А сообщение
|
|
|
(4) В ® А: 
(r1).
Участник А восстанавливает значение r1, расшифровывая это сообщение с использованием своего секретного ключа kА. Если это ожидаемое значение r1, то А получает подтверждение, что вызываемый участник действительно В.
Протокол, основанный на симметричном шифровании, функционирует быстрее, чем протокол, основанный на криптосистемах с открытыми ключами. Однако способность систем с открытыми ключами генерировать цифровые подписи, обеспечивающие различные функции защиты, компенсирует избыточность требуемых вычислений.
