Сравнительный анализ алгоритма аутентификации Kerberos

Выявление предпочтительной системы аутентификации и распределение доступа к имеющимся информационным ресурсам. Анализ алгоритмов аутентификации, их достоинства и недостатки. Программный продукт обеспечивающий контроль доступа к информационным ресурсам.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 02.02.2019
Размер файла 763,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

УДК 004.056.53

Омский государственный технический университет, г. Омск, Россия

Сравнительный анализ алгоритма аутентификации Kerberos

С. В. Керш, А. С. Васильев, А.В. Быкова

Аннотация

аутентификация информационный программный

Целью проведенных исследований являлось выявление предпочтительной системы аутентификации и распределение доступа к имеющимся информационным ресурсам.

В процессе работы был проведен анализ алгоритмов аутентификации, а также выявлены их достоинства и недостатки.

В результате работы был разработан и реализован программный продукт обеспечивающий контроль доступа к информационным ресурсам.

Ключевые слова: Kerberos, криптография, информационная безопасность, аутентификация, хэш-функция, алгоритм.

Новые информационные технологии активно внедряются во все сферы деятельности человека. Появление локальных и глобальных сетей передачи данных предоставило пользователям новые возможности оперативного обмена информацией. По мере развития средств автоматизации, применяемых для обработки информации, увеличилась и зависимость общества от уровня безопасности используемых информационных технологий.

Задачи управления доступом пользователей актуальны для любой информационной системы. С каждым зарегистрированным в сети субъектом связана определенная информация, однозначно его идентифицирующая. Эту информацию называют идентификатором субъекта, а идентификацией - процесс распознавания пользователя по идентификатору, занесённому в базу данных при его регистрации в качестве легального пользователя. Аутентификация - это проверка подлинности предъявленного пользователем идентификатора.

От того, насколько качественно и надёжно пользователь будет аутентифицирован, зависит эффективность всей системы управления доступом. Задача аутентификации становится особенно актуальной при реализации таких сервисов безопасности, как электронная подпись, организация доступа к личному кабинету на портале государственных услуг, в том числе доступа к удалённым сервисам при переходе к облачным вычислениям. Аутентификация является основой создания доверительных отношений при удалённом взаимодействии и должна быть одним из самых важных доверенных сервисов при формировании единого пространства доверия.

При этом в число наиболее сложных и нерешённых проблем входит транслирование доверия для организации защищённого доступа к удалённым облачным сервисам в зависимости от соотношения уровней доверия аутентификации и удалённых сервисов. Для решения этой задачи следует выработать определённые требования, а в дальнейшем стандарты, регламентирующие уровни доверия и правила доступа.

Вопросы оценки надёжности аутентификации пользователей и применяемых при этом средств аутентификации активно обсуждаются специалистами, однако общепринятого научного подхода к исследованию этого весьма сложного процесса пока обнаружить не удалось.

Kerberos

Kerberos был разработан для проведения идентификации личности при передаче данных. Для достижения этой цели, обмен сообщениями выполняется между клиентским приложением, сервером аутентификации и прикладным сервером, который обеспечивает работу необходимого функционала. Первоначально клиент представляет свою личность серверу, путем передачи билета, содержащего всю необходимую информацию о клиенте. Выдача билета обеспечивается центром распределения ключей (KDC - Key Distribution Center). Центр распределения ключей помещает секретный ключ клиента и сервера в базу данных. Эти ключи служат для получения аутентификационных билетов. Билеты ограничены в сроке службы, который делает их не действительными.

Модель обмена билетам Kerberos показана на рисунке 2.

Центр распределения ключей состоит из :

- сервер аутентификации (authentication server);

- сервер проверки подлинности (ticket granted server);

- база данных (database).

В модели Kerberos клиент взаимодействует с сервером аутентификации посредствам запросов типа (AS_REQ, AS_REP(TGT)) и с сервером проверки подлинности (TGS_REQ, TGS_REP) для получения сервисного билета (Tc,s). В конце с помощью Tc,s (AP_REQ, AP_REP) сервер приложений предоставляет доступ к необходимой услуге.

Рисунок 5 - Модель обмена билетами

Windows NT Local Area Network Manager (NTLM)

В начале эры информационных технологий безопасность данных зависела в большей мере от пользователей, потому что проверка подлинности пользователя зависела лишь от пароля, который в свою очередь придумывал пользователь. Первый NTLM протокол применялся корпорацией Microsoft еще на Windows NT 3.1, релиз которой состоялся 27 июля 1993 года. Но начиная с версии Windows 2000 стали применять Kerberos, так как он оказался более совершенным методом аутентификации. Однако NTLM до сих пор используется и даже является обязательным для работы в системах под управлением Windows NT Server 4.0 и предыдущих версиях.

Протоколы проверки подлинности NTLM проверяют подлинность пользователей и компьютеров, основываясь на механизме запроса-подтверждения, который подтверждает серверу или контроллеру домена, что пользователю известен пароль, связанный с учетной записью. При использовании протокола NTLM сервер ресурсов должен выполнять одно из следующих действий для проверки удостоверения пользователя или компьютера каждый раз, как возникает необходимость в новом маркере доступа:

- свяжитесь со службой проверки подлинности домена на контроллере домена, чтобы получить домен учетной записи компьютера или пользователя, если эта учетная запись является учетной записью в домене;

- если же учетная запись пользователя или компьютера является локальной учетной записью, то ее можно найти в локальной базе данных учетных записей.

Рисунок 6 Модель работы семейства протоколов NTLM

NEGOTIATE_MSG: Для начала взаимодействия клиент передает сообщение (запрос) на сервер, чтобы получить доступ к службе. В этом сообщении клиент указывает свои возможные варианты взаимодействия с NTLM сервером. Это сообщение может содержать различные поля, например такие как: доменное имя, имя рабочей станции, версия структуры.

CHALLENGE_MSG: Это сообщение отправляется сервером на клиент, чтобы дать вызов клиенту для удостоверения его личности. Это сообщение может содержать такие поля как: тип сообщения, доменное имя, имя пользователя, идентификатор рабочей станции, случайный сессионный ключ, версия структуры, информацию о цели аутентификации, ответ на запрос размером (8 байт).

AUTHENTICATE_MSG: Содержит поля: тип сообщения, ответ на запрос размером (8 байт) доменное имя, имя пользователя, имя рабочей станции, случайный сессионный ключ, версия структуры, целостность сообщений.

NTLM v1

Основан на базовой модели NTLM описанной выше. Сервер и клиент разделяют секретный ключ. Когда начинается диалог, клиент обращается к серверу через переговорное сообщение (NEGOTIATE_MSG). В ответ сервер отправляет в качестве вызова (CH), случайно сгенерированное, число размером 8 байт клиенту. Получив вызов клиент, используя вызов и секретный ключ, высчитывает значение, которое направляется серверу как результат размером в 24 байта (response 1, response 2). Теперь сервер проверяет, является ли значение замененное пользователем, корректным или нет. Если оно верно, то аутентификация прошла успешно.

В клиенте NLTM v1 используются два хэша: NT-hash и LM-hash для вычисления 24 байтного сообщения, которое отправляет клиент серверу на последнем этапе аутентификации. Хэши же содержат по 16 байт информации. Для того чтобы сделать их размер равным 21 байту в конце добавляются 5 байт нулей. Это 21 байт информации в свою очередь делится на 3 значения по 56 бит, которые используются в качестве секретного ключа при шифровании по протоколу DES. С помощью этих 64 байт, вызов шифруется и отправляется.

Рисунок 7 структура сообщений NTLM v1

NTLM v2

Работа NTLM v2 незначительно отличается от NTLM v1. Отличие заключается в том что, в ответ на 8 байтовый вызов сервера (SCH), клиент возвращает два сообщения по 16 байт (client_response (LMv2 и NTv2)). Также вместо DES используется алгоритм HMAC-MD5, для вычисления значения на клиентской машине. Первый ответ (LMv2) содержит HMAC-MD5 хэш из вызова сервера (SCH), клиентский вызов (ССН (случайное число)), пароль клиента захешированный с помощью HMAC-MD5 (V2-хэш) и другую идентификационную информацию клиента. Второй ответ (NT v2) отправляется серверу NTLM v2, используя клиентский вызов переменной длины (CCH*). Который содержит: текущее время, случайное 8 байтовое значение (CCH), доменное имя, значения стандартных форматов (??????_????????????_??????????).

Рисунок 8 структура сообщений NTLM v2

Сравнение протоколов

Были рассмотрены 2 версии протокола NTLM и протокол Kerberos и сопоставлены по различным параметрам, таким как: использованные криптографические методы, уровень безопасности, типы передаваемых сообщений, простота использования, доверенная третья сторона, клиент серверный вызов, значения которых приведены в таблице 1. На основе полученных данных, сделан вывод, о том, что Kerberos оказался лучше своих аналогов в связи с усилением обеспечения безопасности, за счет использования более совершенных технологий криптографии.

Таблица 1 сводная таблица рассмотренных протоколов

Протокол

Kerberos

NTLM v1

NTLM v2

Криптографический метод

Симметричное и ассиметричное шифрование

Симметричное шифрование

Симметричное шифрование

Уровень безопасности

Выше чем у NTLM v2

Низкий

Выше чем у NTLM v1

Тип сообщений

Билеты зашифрованные MD5-Hash

Случайные числа

MD4-Hash и случайные числа

Простота использования

Сложно

Просто

Просто

Доверенная третья сторона

Контроллер домена и центр распределения ключей

Контроллер домена

Контроллер домена

Клиент-серверный вызов

Клиент и сервер

Только сервер

Клиент и сервер

Библиографический список

1. Шнайер Б. Практическая криптография [Текст] : пер. с англ. П. Семьяновым. / Брюс Шнайер. - 2-е изд. - М. : Триумф, 2002. - 816 с.

2. Столлингс В. Криптография и защита сетей. Принципы и практика [Текст] / Д. Столлингс Вильям - 2-е изд. - М.: Вильямс, 2001. - 672 с.

Размещено на Allbest.ru

...

Подобные документы

  • Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.

    презентация [1,1 M], добавлен 25.05.2016

  • Разработка подключаемых модулей аутентификации как средства аутентификации пользователей. Модуль Linux-PAM в составе дистрибутивов Linux. Принцип работы, администрирование, ограничение по времени и ресурсам. Обзор подключаемых модулей аутентификации.

    курсовая работа [192,0 K], добавлен 29.01.2011

  • Аутентификация в Windows 2000. Преимущества аутентификации по протоколу Kerberos. Стандарты аутентификации по протоколу Kerberos. Расширения протокола и его обзор. Управление ключами, сеансовые билеты. Аутентификация за пределами домена, подпротоколы.

    курсовая работа [369,2 K], добавлен 17.12.2010

  • Создание базы данных для хранения информации о пользователях системы. Применение механизма аутентификации и управления сессиями. Описание программных мер, предпринятых для обеспечения безопасности информационных ресурсов образовательного веб-портала.

    дипломная работа [2,2 M], добавлен 27.06.2012

  • Обеспечение безопасности сетевого соединения. Процесс аутентификации при установке соединения и процесс передачи данных. Использование криптостойкого шифрования. Протокол аутентификации Kerberos. Основные этапы процедуры аутентификации клиента.

    презентация [162,8 K], добавлен 10.09.2013

  • Понятие процесса биометрической аутентификации. Технология и вероятность ошибок аутентификации по отпечатку пальца, радужной оболочке или по сетчатке глаза, по геометрии руки и лица человека, по термограмме лица, по голосу, по рукописному почерку.

    презентация [1,2 M], добавлен 03.05.2014

  • Компоненты вычислительной системы, предоставляющие клиенту доступ к определенным ресурсам и обмен информацией. Функциональные возможности ядра веб-сервера Apache. Механизм авторизации пользователей для доступа к директории на основе HTTP-аутентификации.

    курсовая работа [105,6 K], добавлен 07.06.2014

  • Всемирная система объединённых компьютерных сетей. Коммерческие интернет-провайдеры. Языки в Интернете. Свобода доступа пользователей Интернета к информационным ресурсам. Интерактивные сайты и программы. Беспроводные системы доступа в сеть Интернет.

    курсовая работа [182,9 K], добавлен 09.01.2014

  • Разработка предложений по внедрению биометрической аутентификации пользователей линейной вычислительной сети. Сущность и характеристика статических и динамических методов аутентификации пользователей. Методы устранения угроз, параметры службы защиты.

    курсовая работа [347,3 K], добавлен 25.04.2014

  • Использование электронных ключей как средства аутентификации пользователей. Анализ методов идентификации и аутентификации с точки зрения применяемых в них технологий. Установка и настройка средств аутентификации "Rutoken", управление драйверами.

    курсовая работа [4,6 M], добавлен 11.01.2013

  • Понятие безопасности данных. Базовые технологии сетевой аутентификации информации на основе многоразового и одноразового паролей: авторизация доступа, аудит. Сертифицирующие центры, инфраструктура с открытыми ключами, цифровая подпись, программные коды.

    курсовая работа [861,3 K], добавлен 23.12.2014

  • Характеристики биометрических систем контроля доступа (БСКД) и обобщенная схема их функционирования. Статические и динамические методы аутентификации. Интеграция БСКД с системами видеонаблюдения. Применение БСКД для защиты систем передачи данных.

    курсовая работа [58,4 K], добавлен 05.06.2014

  • Исследование симметричных алгоритмов блочного шифрования. Минусы и плюсы алгоритма IDEA. Разработка программы аутентификации пользователя и сообщений на основе алгоритма IDEA. Выбор языка программирования. Тестирование и реализация программного средства.

    курсовая работа [314,2 K], добавлен 27.01.2015

  • Проблема улучшения качества отпечатков пальца с целью повышения эффективности работы алгоритмов биометрической аутентификации. Обзор алгоритмов обработки изображений отпечатков пальцев. Анализ алгоритма, основанного на использовании преобразования Габора.

    дипломная работа [4,5 M], добавлен 16.07.2014

  • Общие принципы аутентификации в Windows. Локальная и доменная регистрация. Аутентификация в Linux. Права доступа к файлам и реестру. Транзакции, примитивы, цепочки и политики. Основные компоненты дескриптора защиты. Хранение и шифрование паролей.

    курсовая работа [62,6 K], добавлен 13.06.2013

  • Знакомство с возможностями перехвата пароля при аутентификации в почтовых системах. Характеристика почтовой программы "The Bat!", анализ способов настройки и проверки работоспособности. Рассмотрение распространенных методов защиты от перехвата пароля.

    контрольная работа [1,1 M], добавлен 19.05.2014

  • Структура, специфика и архитектура многопроцессорных систем; классификация Флинна. Организация взаимного исключения для синхронизации доступа к разделяемым ресурсам. Запрещение прерываний; семафоры с драйверами устройств. Кластеры распределения нагрузки.

    курсовая работа [455,9 K], добавлен 07.06.2014

  • Трансляция полей формы. Метод аутентификации в Web как требование к посетителям предоставить имя пользователя и пароль. Форма для передачи данных. Использование базу данных для хранения паролей. Разработка сценарий для аутентификации посетителей.

    лекция [225,0 K], добавлен 27.04.2009

  • Способы и средства использования CD-ROM-дисков в качестве индентификатора (использование меток и серийного номера, физические метки и программы). Проблема защиты информации и ее программная реализация. Разграничение доступа к информационным ресурсам.

    контрольная работа [27,5 K], добавлен 03.05.2010

  • Описание метода анализа иерархий и программно-апаратных средств аутентификации: электронных ключей и идентификаторов. Анализ рынка программно-аппаратных средств аутентификации и выбор наилучшего средства при помощи построения иерархической структуры.

    курсовая работа [407,6 K], добавлен 07.05.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.