Сервер аутентификации Kerberos

Kerberos - это программный продукт, разработанный в середине 1980-х гг. в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.

Kerberos предназначен для решения задачи идентификации и аутентификации пользователей и программных продуктов (субъектов) в незащищенных сетях. Каждый субъект обладает секретным ключом. Чтобы субъект Sj мог доказать свою подлинность субъекту S2 (без этого S2 не станет обслуживать S^, он должен не только назвать себя, но и продемонстрировать знание секретного ключа. Sj не может просто послать S2 свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а во-вторых, потому, что S2 не знает (и не должен знать) секретный ключ S1. Необходим более защищенный способ демонстрации знания секретного ключа.

В этой сети сервер Kerberos представляет собой доверенную третью сторону (которой доверяет каждый субъект, находящийся в сети), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.

Чтобы с помощью Kerberos получить доступ к S2 (обычно это сервер), Sj (как правило - клиент) посылает Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные, т. е. продемонстрировал знание секретного ключа. Следовательно, можно утверждать, что произошла аутентификация клиента. При этом ни один секретный ключ не передавался по незащищенным каналам связи и не мог быть скомпрометирован, ключи использовались только для шифрования.

Использование карт доступа. Как отмечалось выше, парольная защита имеет свои недостатки. В первую очередь риск забыть пароль. Для обхода данной проблемы возможно использование некоторого устройства, постоянно находящегося у сотрудника и служащего для его идентификации и аутентификации. В настоящее время используется большое количество вариантов реализации данной идеи: sim-карты мобильных телефонов, смарт-карты, usb-токены, бесконтактные карты и т. д.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >