Elosztási kulcsok 1
legfontosabb elosztó - a legfontosabb folyamat a kulcsfontosságú vezetők. Ahhoz, hogy meg kell felelnie az alábbi követelményeknek:
· A sebesség és pontosság forgalmazás;
· Stealth elosztott kulcsokat.
Az elosztási kulcsok közötti számítógépes hálózat felhasználók valósul két módja van:
1) egy vagy több kulcs elosztó központokat;
2) közvetlen csere munkamenetkulcsok közötti hálózati felhasználók számára.
Mindkét esetben a hitelességét egy kommunikációs esemény biztosítani kell. Ezt meg lehet tenni egy mechanizmus vagy kérés-válasz mechanizmus timestamps.
Challenge-válasz mechanizmus a következő. A felhasználó tartalmaz egy elküldött üzenet (kérésre), hogy a felhasználó egy előre nem látható elem (például egy véletlen számot). Ha a válaszok a felhasználóknak meg kell végezni néhány műveletet az elemet (például, adjunk hozzá egy), hogy nem lehet tenni előre, mivel nem ismert, hogy egy véletlen szám jön a kérelmet. Miután megkapta a felhasználó akció eredményeként a (válasz), a felhasználó egy biztos lehet abban, hogy az ülés hiteles.
időbélyegző mechanizmus magában időbélyegző minden üzenet. Ez lehetővé teszi, hogy a hálózat minden egyes alany, hogy meghatározza, hogy hány éves a bejövő üzenetet, és elutasítja, ha kétség merült fel, hogy a hitelesség. Amikor a időbélyeggel kell állítania a megengedett késleltetési idő intervallumban.
Mindkét esetben titkosítást használni annak érdekében, hogy a választ nem küldött a támadó, és nem változott az időbélyegző jel védelme a vezérlőelem.
kulcs elosztási probléma csökkenti az építőiparban a legfontosabb értékesítési protokoll, amely szerint:
· A kölcsönös hitelesítés résztvevők az ülésen;
· Validálása a munkamenet kérés-válasz mechanizmusa vagy időbélyeg;
· Tilos a minimális számú álláshelyek kulcs csere;
· Az a lehetőség kizárása visszaélések részéről a legfontosabb elosztó központ (legfeljebb elutasítás belőle).
Az elosztási kulcsok kulccsal elosztó központ. Elosztásakor egy kommunikációs esemény kulcsok hitelességét biztosítani kell a résztvevők közötti közelgő információcserét. A kölcsönös hitelesítés kézfogás partnerek elfogadható modell szerint. Ebben az esetben sem a résztvevők nem kapnak minősített információt a hitelesítési eljárást.
Ha benne van a kulcs (CRK) gombot elosztó központ elosztó folyamat kölcsönhatása egyik vagy mindkét fél a munkamenet elosztása érdekében a titkos vagy nyilvános kulcsok használatára a későbbi kommunikáció.
A következő lépés - igazolják az a résztvevők - tartalmazza igazoló üzeneteket váltanak, hogy képes legyen azonosítani helyettesítési vagy ismételje meg egyik korábbi hívások.
Tekintsük protokollok szimmetrikus kriptográfiai titkos kulcs és aszimmetrikus nyilvános kulcsú titkosító rendszerekkel. A hívó (a forrás objektum) jelöli az A és a hívott (cél tárgy) - keresztül V. munkamenet résztvevők A és B rendelkeznek egyedi azonosítóval IdA és IdB, ill.
5.6.4. hitelesítési és forgalmazás protokoll
kulcsok szimmetrikus titkosító rendszer
Vegyük példaként a hitelesítési protokoll és a Kerberos Key Distribution (oroszul - Cerberus). A Kerberos protokoll úgy tervezték, hogy a TCP / IP hálózatok bevonásával hitelesítés és forgalmazása egy megbízható harmadik fél gombot. A Kerberos biztonságos hitelesítést a hálózat, amely lehetővé teszi a jogos felhasználói hozzáférést a különböző gépek a hálózat. Kerberos protokoll alapján szimmetrikus kódolást (megvalósított algoritmus a DES, habár lehetséges, hogy más szimmetrikus titkosítási algoritmusok). Kerberos generál egy titkos kulcsot minden egyes alany a hálózat és a tudás, a titkos kulcs megegyezik az igazolás hitelességét a hálózati entitás.
Kerberos protokoll egy változata az egyszerű hitelesítés és a legfontosabb elosztó protokollja Needham-Schroeder. Az 5. verziója alapvető Kerberos protokollt magában foglalja a két kommunikáló fél az A és B megbízható kiszolgáló KS (Kerberos kiszolgáló). Fél az A és B, egyenként megosszák titkos kulcsot a szerver KS. KS megbízott szerver működik, mint egy kulcs elosztó központ KDC.
Hagyja, hogy a párt akar egy session kulcsot adatcsere a B oldal
Party kezdeményezi a legfontosabb értékesítési fázisban küld a hálózati szerveren KS azonosítók IDA és az idb:
KS szerver generál egy üzenetet az időbélyeg T, érvényes L, véletlenszerű munkamenet és K kulcsot azonosító IdA. Ez titkosítja az üzenetet egy titkos kulcsot, amely megosztja a B oldal
Ezután KS szerver átveszi az időbélyeg T érvényességét L, a munkamenet K kulcs ID IdB oldalon B és titkosítja az összes titkos kulccsal közös oldala A. Mindkét titkosított üzeneteket küld az A oldalon:
Side dekódolja az első üzenet a saját egyedi kulcsával ellenőrzi az időbélyeg T annak biztosítására, hogy ez az üzenet nem ismételni a korábbi kulcs elosztó eljárást.
Majd fél Egy generál üzenetet azonosítója és időbélyeggel IdA TS titkosítja a munkamenet K kulcsot, és elküldi az oldalsó B. Emellett egy üzenetet küld B KS, a titkosított kulcs a kézben:
Az egyetlen párt képes dekódolni az üzenetet (3). Fél B kap egy időbélyeget T érvényességét L, a munkamenet K kulcsot és az IDA azonosító. Ezután a B oldal dekódolja az ülés legfontosabb, hogy a második része az üzenet (3). A véletlen értékek a T és az IDA két részben a jelentés megerősíti a hitelességet tekintetében B.
A kölcsönös hitelesítés a párt hoz létre egy üzenetet, amely egy időbélyegző T + 1, titkosítja és elküldi azt az oldalsó A:
Ha ezek után dekódolására az üzenet (4) párt veszi a várt eredményt, akkor tudja, hogy a másik végét a link tényleg V.
Ez a protokoll sikeresen működik az a feltételezés, hogy az órája szinkronizálva van minden résztvevő KS szerver órája. Meg kell jegyezni, hogy ez a protokoll előírja, hogy a csere a KS szerezni egy session kulcs minden egyes alkalommal, amikor egy kíván létrehozni kommunikációt B. jegyzőkönyv biztosítja a megbízható kapcsolat tárgyak és B azzal a feltétellel, hogy sem a kulcsok nem veszélyezteti, és a védett szerver KS.
Kerberos rendszer hálózati védelmet biztosít a jogosulatlan hozzáférés, amely kizárólag szoftveres megoldások, és magában foglalja a több titkosítási vezérlő információt továbbítani a hálózaton keresztül.
A Kerberos egy kliens-szerver struktúra, és egy ügyfél része a korábban telepített az összes gép a hálózaton (felhasználói munkaállomások és szerverek) és KS-Kerberos szerver, amely található egy (nem feltétlenül dedikált) számítógépen.
Kerberos-kiszolgáló, viszont, lehet osztani két részre: a hitelesítő szerver AS (Authentication Server) és az engedély szerver TGS (jegybiztosító Server). Információ források, az ügyfelek számára a szükséges ellenőrzések RS információforrások szerver (lásd. Az alábbi ábra.).
A Kerberos rendszer akció érvényes a részben a hálózat, mind a felhasználók, akik regisztrált saját nevükön és jelszavakat a Kerberos-kiszolgáló adatbázisával.