Đang tải... (xem toàn văn)
Xác thực trong hệ phân tán Kerberos Chương I : Giao thức Kerberos : Chương này trình bày những tìm hiểu của em về giao thức Kerberos, cách thức vận hành của Kerberos, các loại khóa, thẻ, phân vùng của Kerberos. Đồng thời trong chương này cũng phân tích một số cải tiến và đánh giá về giao thức Kerberos hiện nay. Chương II : Xây dựng ứng dụng Kerberos : Trình bày phần thiết kế chương trình thử nghiệm sử dụng Kerberos để phục vụ mục đích SSO trên nền Windows 2003 Server . Trong chương này sẽ phân tích chương trình thử nghiệm dựa trên Kerberos áp dụng cho cơ chế domain logon và việc áp dụng cơ chế đó vào SSO. Chương trình thử nghiệm có 2 thành phần cơ bản là DemoKerberosSSO và TestGateway. Trong chương này cũng sẽ trình bày các biểu đồ thiết kế chương trình thử nghiệm và kết quả đạt được. Chương III : Kết Luận : Tổng kết công việc đã làm và những kinh nghiệm thu được trong quá trình thực hiện đồ án.
- 1 - LỜI NÓI ĐẦU 1 CHƯƠNG I 2 GIAO THỨC KERBEROS 2 1. Nội dung giao thức 3 2. Các thẻ Kerberos 9 2.1. Các yêu cầu thẻ Kerberos 9 2.2. Các thẻ dùng để trao thẻ 10 2.3. Các thẻ dịch vụ 10 2.4. Nội dung của một thẻ Kerberos 11 2.5. Các TGT có thể gia hạn 15 3. Authenticator 15 3.1. Vai trò của authenticator 15 3.2. Hoạt động của authenticator 15 3.3. Nhãn thời gian của authenticator 16 3.4. Cấu trúc của authenticator 16 4. Vùng (realm) và chứng thực liên vùng 16 5. Những cải tiến chính trong Kerberos phiên bản 5 18 6. Đánh giá giao thức Kerberos 19 6.1.Tăng cường bảo mật 19 6.2.Cung cấp cơ chế chứng thực mạnh 20 CHƯƠNG II 23 ỨNG DỤNG KERBEROS 23 1. Xác thực trong Windows : 24 1.1 SSP và SSPI 24 1.2 Kerberos Authentication 25 2. Windows Logon 26 2.1 Local Logon 26 2.2 Domain Logon 27 3. Xây dựng chương trình Demo Kerberos trong SSO 31 3.1 Chương trình Demo-Kerberos-SSO tại Client 32 3.2 Chương trình TestGateway 34 3.3 Thực hiện chương trình Demo-Kerberos-SSO: 36 4. Ưu nhược điểm của Kerberos 38 KẾT LUẬN 39 LỜI NÓI ĐẦU Ngày nay vấn đề xác thực trong các hệ phân tán là một yếu tố vô cùng quan trọng bởi vì các hệ phân tán không thể làm việc đơn lẻ mà phải tương tác với nhau. Trong quá trình tương tác đó các hệ phân tán phải có những quá trình xác thực để đảm bảo những yêu cầu về bảo mật cũng như gia tăng quyền hạn cho các thành viên, đặc biệt để chống lại những nguy cơ bảo mật ngày càng gia tăng hiện nay. Với những lý do như vậy em đã chọn đồ án : Xác thực trong hệ phân tán, Kerberos để nghiên cứu về giao thức xác thực này và tìm hiểu triển khai những mô Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 1 - 2 - hình phân tán dựa trên Kerberos để phục vụ cho các ứng dụng trên môi trường mạng. Với ý tưởng như vậy em đã đặt ra mục tiêu công việc như sau : • Tìm hiểu về giao thức Kerberos. • Tìm hiểu việc ứng dụng Kerberos trong thực tế. • Thiết kế chương trình sử dụng giao thức Kerberos phục vụ SSO. Như vậy đồ án Xác thực trong hệ phân tán, Kerberos của em sẽ bao gồm những phần sau : Chương I : Giao thức Kerberos : Chương này trình bày những tìm hiểu của em về giao thức Kerberos, cách thức vận hành của Kerberos, các loại khóa, thẻ, phân vùng của Kerberos. Đồng thời trong chương này cũng phân tích một số cải tiến và đánh giá về giao thức Kerberos hiện nay. Chương II : Xây dựng ứng dụng Kerberos : Trình bày phần thiết kế chương trình thử nghiệm sử dụng Kerberos để phục vụ mục đích SSO trên nền Windows 2003 Server . Trong chương này sẽ phân tích chương trình thử nghiệm dựa trên Kerberos áp dụng cho cơ chế domain logon và việc áp dụng cơ chế đó vào SSO. Chương trình thử nghiệm có 2 thành phần cơ bản là Demo-Kerberos-SSO và TestGateway. Trong chương này cũng sẽ trình bày các biểu đồ thiết kế chương trình thử nghiệm và kết quả đạt được. Chương III : Kết Luận : Tổng kết công việc đã làm và những kinh nghiệm thu được trong quá trình thực hiện đồ án. Qua đây em cũng xin gửi lời cám ơn TS Nguyễn Linh Giang đã giúp đỡ em rất nhiều trong quá trình thực hiện đồ án này ! CHƯƠNG I GIAO THỨC KERBEROS Kerberos là một giao thức chứng thực mạng được phát triển trong dự án Athena của học viện công nghệ Massachusetts (MIT). Kerberos là một cơ chế chứng thực mạnh cho các ứng dụng client/server trên môi trường mạng phân tán; nó cho phép các thực thể truyền thông trong mạng chứng thực lẫn nhau mà vẫn đảm bảo an toàn, chống nghe lén hay tấn công reply attack trên mạng. Nó cũng đảm bảo tính toàn vẹn và tính mật cho thông tin truyền đi, sử dụng mã hoá bí mật như DES, triple DES. Trong thông báo đầu tiên của Kerberos đã liệt kê các yêu cầu trong Kerberos đó là: Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 2 - 3 - - An toàn : Một kẻ nghe trộm trên mạng không thể bắt được các thông tin cần thiết để giả mạo một người dùng. Hay nói chung là Kerberos phải đủ mạnh để kẻ địch không thể liệt nó vào kênh có thể xâm nhập. - Đáng tin cậy: Tất cả các dịch vụ trong mạng đều sử dụng Kerberos để kiểm soát truy nhập, nếu thiếu dịch vụ Kerberos có nghĩa là nó chưa được bảo đảm. Vì thế, Kerberos phải đáng tin cậy và phải sử dụng kiến trúc máy chủ phân tán mà một hệ thống này có thể chuyển trở lại một hệ thống khác. - Trong suốt: Một cách lý tưởng, người dùng không thể phát hiện ra sự chứng thực, ngoại trừ yêu cầu nhập mật khẩu. - Co giãn được: Hệ thống phải có khả năng hỗ trợ một số lượng lớn máy chủ và máy khách. 1. Nội dung giao thức Kerberos không xây dựng các giao thức chứng thực phức tạp cho mỗi máy chủ mà hoạt động dựa trên một máy chủ chứng thực tập trung KDC (Key Distribution Centre), sử dụng giao thức phân phối khoá được đề xuất bởi Needham và Schroeder. KDC cung cấp vé để chứng minh định danh người dùng và bảo mật truyền thông giữa hai bên bởi khoá phiên trong vé. Một chiếc vé có thể là một chuỗi dài khoảng vài trăm byte và có thể được nhúng vào bất kỳ trong một giao thức mạng nào, điều này đảm bảo độc lập với giao thức giao vận của mạng. Trung tâm phân phối khoá KDC (Key Distribution Centre) gồm máy chủ chứng thực AS (Authentication Server) biết mật khẩu của tất cả người dùng được lưu giữ trên một cơ sở dữ liệu tập trung, máy chủ cấp khoá TGS (Ticket Granting Server) cung cấp vé dịch vụ cho người dùng truy nhập vào các máy chủ trên mạng. Giao thức Kerberos được thực hiện qua ba giai đoạn, hay ba pha. Trong kịch bản này, người dùng C đăng nhập vào máy trạm và yêu cầu truy nhập tới máy chủ là S . Mô hình tổng quát của giao thức Kerberos : Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 3 - 4 - Trong phần tiếp theo ta sẽ tìm hiểu kỹ hơn về 3 pha trong kịch bản của Kerberos : a. Pha thứ nhất : Kết nối với AS để lấy về TGT ( 1,2) Truyền thông với Authentication Server Truyền thông với AS thường là giai đoạn khởi đầu của phiên đăng nhập, nhằm lấy về có dữ liệu chứng thực (TGT) cho TGS, để sau đó lấy về chứng thực cho các máy chủ khác mà không phải nhập lại khoá bí mật của client. Khoá bí mật của client được sử dụng cho cả việc mã hoá và giải mã. Truyền thông với AS cũng được sử dụng để lấy dữ liệu chứng thực cho các máy chủ khác không do TGS quản lý như dịch vụ đổi mật khẩu. 1. Người dùng đăng nhập vào hệ thống, nhập định danh và mật khẩu. Client sẽ chuyển đổi mật khẩu thành khoá mã hoá bí mật, lưu trữ trong biến của chương Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 4 - 5 - trình. Cient sẽ gửi yêu cầu TGT tới AS bằng thông điệp Kerberos Authentication Service Request (KRB_AS_REQ) gồm 3 phần sau dưới dạng Plain Text : - Service Name : Ở đây Service Name sẽ là TGS. - Định danh người dùng : Client's Name. - Địa chỉ người dùng : Client's IP-Addr. Client gửi KRB_AS_REQ tới AS 2. AS nhận được KRB_AS_REQ từ client C, AS sẽ truy lục trong cơ sở dữ liệu, lấy khoá bí mật của C dưới dạng hash, sau đó sẽ gửi lại cho Client thông tin TGT được mã hóa với khóa riêng của TGS đồng thời AS cũng tạo một Session-Key giữa C và TGS được dùng để mã hóa dữ liệu cho những lần trao đổi tiếp theo giữa Client và TGS. Toàn bộ 2 thành phần trên sẽ được mã hóa bằng khóa của Client ( mật khẩu của Client dưới dạng hash ). Thông tin bên trong TGT sẽ bao gồm những thành phần sau : - Service Name : TGT. - Định danh Client : Client's Name và Client's IP Addr. - Time-stamp : ghi lại thời gian gửi tin. - Ticket Lifetime : thời gian sống của TGT. - Session Key giữa C và TGS giống như bên trên. Toàn bộ phần TGT này sẽ được mã hóa với khóa là khóa riêng của TGS, nghĩa là khi Client nhận được gói tin trả lời và giải mã thông tin thì Client cũng sẽ không thể thay đổi và đọc các thông tin bên trong TGT. 2 thành phần TGT và Session-Key(C,TGS) sẽ được ghép với nhau và mã hóa bằng khóa riêng của Client ( mã hash của Client ) điều này giúp cho việc xác thực Client, bởi vì chỉ có mật khẩu của Client thì mới có thể giải mã thông tin này. Lưu ý là trong toàn bộ quá trình thì mật khẩu của Client không bao giờ được gửi giữa 2 bên. Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 5 - 6 - AS gửi KRB_AS_REQ cho Client 3. Client sau khi nhận được KRB_AS_REQ sẽ giải mã gói tin này bằng khóa riêng của mình và thu được TGT và Session-Key(C-TGS) ( khóa phiên C-TGS ). TGT sẽ được sử dụng khi Client có yêu cầu sử dụng một dịch vụ nào đó. Session-Key(C,TGS) sẽ được sử dụng để mã hóa những thông tin sau này giữa Client và TGS. Như vậy tại bước này thì Client đã có được TGT như là một chứng chỉ xác thực sau này Client có thể đưa cho TGS để chứng mình quyền hạn của mình. b. Pha thứ hai : Truyền thông với máy chủ cấp vé dịch vụ TGS, lấy về service ticket ( 3,4) Truyền thông với Ticket-granting server 1. Có vé TGT và khóa phiên trong tay, C đã sẵn sàng để truy nhập vào TGS. Đầu tiên C gửi cho TGS một thông điệp KRB_TGS_REQ có chứa : - Vé TGT và Định danh dịch vụ yêu cầu. Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 6 - 7 - - Authenticator được mã hoá bằng khoá phiên gồm định danh, địa chỉ người dùng C và tem thời gian. Authenticator chỉ sử dụng một lần và có hiệu lực trong một thời gian cực ngắn. Client gửi yêu cầu KRB_TGS_RQ tới TGS. 2. TGS giải mã TGT bằng khóa mật của TGS, lấy ra khoá phiên dùng chung với C ( Session-Key(C,TGS) ). Khoá phiên này được dùng để giải mã Authenticator, kiểm tra tính hợp lệ. Nếu đúng, TGS được đảm bảo chắc chắn rằng người gửi chiếc vé chính là chủ nhân thực sự của nó. Khi đó, TGS sẽ sinh ra khoá phiên mới chung cho Client và Server Dịch vụ V Và gửi thông điệp KRB_TGS_REP về cho Client bao gồm : - Một bản sao khoá phiên giữa Client và Server S . - Service Ticket được mã hóa bởi khóa riêng của Server S bao gồm những thành phần sau : + Service Name. + Client's Name và Client's IP Address. + TimeStamp và Ticket Lifetime. + Session Key ( C,S). Toàn bộ Service Ticket sẽ được mã hóa bởi khóa riêng của Server S ( khóa này TGS biết ). Toàn bộ thông điệp KRB_TGS_REP được mã hóa bởi Session- Key(C,TGS). Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 7 - 8 - TGS gửi KRB_TGS_REP cho Client c. Pha thứ ba : Truyền thông trong chứng thực client/server ( 5,6 ) Đăng nhập vào máy chủ cung cấp dịch vụ 1. Bây giờ thì, Client sẵn sàng chứng thực với máy chủ S. Client gửi cho Server một thông điệp KRB_AP_REQ có chứa : - Authenticator mã hoá bởi khoá phiên dùng chung C, S. - Service ticket mã hoá bởi khoá mật của S. - Service Name. Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 8 - 9 - 2. Server giải mã service ticket, lấy ra dữ liệu phân quyền của C và khoá phiên. Server dùng khoá phiên nhận được giải mã authenticator, xác minh tem thời gian. Nếu hợp lệ Server sử dụng khoá phiên mã hoá thời gian từ authenticator và gửi về cho Client bằng thông điệp KRB_AP_REP. 3. Client giải mã thông điệp bằng khoá phiên dùng chung với Server, xác minh thời gian trong đó có đúng như khi gửi cho V không. Nếu hợp lệ, kết nối truyền thông sẽ được thực hiện. 2. Các thẻ Kerberos Thành phần chính của xác thực Kerberos là thẻ. Các thông điệp Kerberos được sử dụng để yêu cầu và phân phối các thẻ. Có hai loại thẻ được sử dụng trong xác thực Kerberos, là TGT và thẻ dịch vụ. 2.1. Các yêu cầu thẻ Kerberos Kerberos client gửi các yêu cầu thẻ đến KDC: Các yêu cầu thẻ gồm có: - Các thuộc tính được yêu cầu, ví như xác định thẻ này có được gia hạn không. - Phương thức mã mật được yêu cầu. Kiều thẻ được yêu cầu Dịch vụ KDC nhận yêu cầu TGT Dịch vụ xác thực Thẻ dịch vụ Dịch vụ trao thẻ Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 9 - 10 - Bảng 4 Các kiểu thẻ được yêu cầu 2.2. Các thẻ dùng để trao thẻ KDC đáp ứng yêu cầu dịch vụ xác thực của một client bằng cách trả về một thẻ dịch vụ cho chính nó. Thẻ dịch vụ đặc biệt này được gọi là thẻ dùng để trao thẻ (TGT). TGT cho phép dịch vụ xác thực truyền tải một cách an toàn các giấy tin cậy (credential) của người yêu cầu đến dịch vụ trao thẻ (ticket-granting service - TGS). Một TGT là: - Thẻ đầu tiên của người dùng từ dịch vụ xác thực. - Được sử dụng để yêu cầu các thẻ dịch vụ. - Chỉ có ý nghĩa khi được sử dụng bởi dịch vụ trao thẻ. Các TGT được mã hoá với một khoá được chia sẻ bởi các KDC. Client không thể đọc được các thẻ đó. Chỉ có các KDC server mới có thể đọc được các TGT để đảm bảo an toàn truy cập đến các giấy tin cậy của người dùng, các khoá phiên, và các thông tin khác. Giống như một thẻ dịch vụ bình thường, một TGT chứa một bản sao của khoá phiên mà dịch vụ (trong trường hợp này là KDC) sẽ sử dụng trong khi truyền thông với client. TGT này được mã mật với khoá long-term của KDC. Từ quan điểm của client, một TGT chỉ là một thẻ khác nữa. Trước khi nó cố gắng kết nối tới một dịch vụ nào đó, client này trước tiên kiểm tra bộ đệm các giấy tin cậy (credentials cache) của nó về thẻ dịch vụ dành cho dịch vụ đó. Nếu thẻ này không tồn tại, nó kiểm tra một lần nữa bộ đệm xem có TGT hay không.Nếu nó tìm thấy thẻ TGT, thì client lấy được khoá phiên TGS tương ứng từ bộ đệm, sử dụng khoá này để tạo ra một authenticator, và gửi cả authenticator này và TGT đến KDC, cùng với yêu cầu xin một thẻ dịch vụ cho dịch vụ tương ứng. Nói cách khác, việc đạt được sự chấp nhận của KDC hoàn toàn giống với việc đạt được sự chấp nhận của bất kỳ dịch vụ khác trong cùng một miền – nó đều yêu cầu một khoá phiên, một authenticator, và một thẻ dịch vụ. Từ quan điểm của KDC, các TGT cho phép nó tránh được các sự bất lợi về hiệu năng khi phải tìm kiếm một khoá long-term của người dùng mỗi khi người dùng này yêu cầu một dịch vụ. Thay vào đó, KDC chỉ tìm kiếm khoá trên chỉ một lần, khi nó trao cho client dùng TGT lần đầu tiên. Đối với các trao đổi các với client này, KDC có thể giải mã TGT bằng khoá long-term của chính nó, lấy ra được khoá phiên tương ứng, và sử dụng nó để kiểm tra tính hợp lệ của authenticator của client này. 2.3. Các thẻ dịch vụ Thẻ dịch vụ cho phép dịch vụ trao thẻ (TGS) truyền tải một cách an toàn giấy tin cậy của người yêu cầu đến server hoặc service đích. KDC đáp ứng lại yêu cầu kết nối đến một dịch vụ của client bằng cách gửi đi cả hai bản sao khoá phiên đến client này. Bản sao khoá phiên của client được mã mật bằng khoá mà KDC đang dùng chung với client. Bản sao khoá phiên của dịch vụ được nhúng cùng với thông tin về client trong một cấu trúc dữ liệu và được gọi là Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 10 [...]... Client Name Tên của người yêu cầu Liệt kê các vùng Kerberos có tham gia vào việc xác thực của Transited client trong xác thực liên vùng Thời gian của xác thực client lần đầu tiên KDC đặt một nhãn thời gian vào trong trường này khi nó phát ra TGT Khi nó phát ra các thẻ dựa trên TGT, KDC sao chép thời gian xác thực của TGT Authentication sang thời gian xác thực của thẻ Một ứng dụng có thể có một Time chính... K47 GVHD: T.S Nguyễn Linh Giang 23 - 24 - o Chương trình Kerberos- Test-SSO Trong mô hình SSO này sẽ sử dụng cơ chế Domain Logon để làm bước xác thực đầu tiên, vì thế em xin trình bày về cơ chế xác thực trong Windows trước khi giới thiệu về chương trình thử nghiệm 1 Xác thực trong Windows : 1.1 SSP và SSPI Windows 2003 Server sử dụng xác thực Kerberos version 5 và đặt tên là Security Support Provider... nhập hệ thống - Điểm yếu trong mạng: Với đăng nhập một lần, dịch vụ chứng thực sẽ được sử dụng bởi tất cả các ứng dụng trong mạng Vì thế, dịch vụ này rất dễ bị tấn công DDoS, làm tê liệt cả hệ thống Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 22 - 23 - CHƯƠNG II ỨNG DỤNG KERBEROS Hiện nay Kerberos được áp dụng trong rất nhiều hệ thống từ Windows cho đến Unix để thực hiện vai trò xác thực. .. chung một khóa với máy chủ trong khu vực kia Có hai máy chủ Kerberos đăng kí lẫn nhau Mô hình này yêu cầu máy chủ Kerberos trong một vùng tin cậy vào máy chủ Kerberos của vùng kia để chứng thực người dùng của nó Hơn nữa, các máy chủ của vùng thứ hai phải tin cậy máy chủ Kerberos của vùng thứ nhất Từ đó, ta có thể mô tả cơ chế hoạt động như hình dưới đây: Chứng thực liên vùng trong Kerberos Một người dùng... phải có sự xác thực và ủy quyền và điều này được Kerberos đảm nhận rất tốt Từ Windows 2000 cho đến Windows 2003 Server đều sử dụng Kerberos để quản lý User trong Domain Controller Như vậy đối với Windows Server thì Active Directory đảm nhiệm công việc lưu trữ phân cấp các đối tượng thông tin, còn Kerberos đảm nhiệm công việc quản lý ủy quyền trong Domain Controller Trong khi tìm hiểu giao thức Kerberos. .. 21 - vụ web thực thi trong workflow đòi hỏi thông tin chứng thực người dùng từ các dịch vụ phát sinh yêu cầu phục vụ Hay trong hệ thống tính toán lưới, việc bảo mật thông tin về công việc gửi đến thực hiện ở các máy tính cá nhân trên mạng cũng hết sức quan trọng (Hệ thống tính toán lưới hỗ trợ nhiều máy tính chia sẻ thực hiện các tính toán của một bài toán lớn, trong đó công việc được phân phối đến... quyền truy cập vào hệ thống domain với những quyền hạn được xác lập trên Active Directory Controller Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 30 - 31 - 3 Xây dựng chương trình Demo Kerberos trong SSO Như đã trình bày ở trên trong cơ chế Domain Logon thì sau khi Login vào Domain, tại Client sẽ có Kerberos Token và ta có thể sử dụng Kerberos Token để thực hiện công việc xác thực với Client... xử lý Kerberos Token • Sơ đồ phân cấp chức năng của chương trình như sau : Sơ đồ phân cấp chức năng hệ thống SSO thử nghiệm • Biểu đồ luồng dữ liệu hệ thống SSO thử nghiệm như sau : Biểu đồ luồng dữ liệu hệ thống SSO thử nghiệm Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 32 - 33 - • Mô hình phân tích chức năng của Demo -Kerberos- SSO như sau : Mô hình phân tích chức năng của Demo -Kerberos- SSO... Kerberos còn cung cấp một chức năng quan trọng như sau : Hỗ trợ cơ chế uỷ nhiệm: Hỗ trợ ủy nhiệm trong Kerberos Trong các ứng dụng đa lớp, khi người dùng yêu cầu một dịch vụ ở tầng giao diện người dùng, từ đây sẽ gửi yêu cầu đến tầng giữa thực hiện các chức năng của hệ thống đồng thời tạo ra các giao tác truy vấn tới tầng dữ liệu lấy ra thông tin của người dùng Thông thường, các tầng nằm phân tán trong. .. với nhau Do vé Kerberos có khả năng đại diện vì thế các tầng có thể dùng vé này đại diện cho người dùng để thực hiện các chức năng được phép Vì thế, mỗi tiến trình của mỗi tầng đều có thể xác định chính xác được người dùng mà nó phục vụ, từ đó có cơ chế phân quyền, auditing phù hợp Như vậy, với sự hỗ trợ khả năng uỷ nhiệm trong Kerberos các dịch vụ bảo mật như auditing, phân quyền được thực hiện một . đề xác thực trong các hệ phân tán là một yếu tố vô cùng quan trọng bởi vì các hệ phân tán không thể làm việc đơn lẻ mà phải tương tác với nhau. Trong quá trình tương tác đó các hệ phân tán. Xác thực trong hệ phân tán, Kerberos để nghiên cứu về giao thức xác thực này và tìm hiểu triển khai những mô Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang 1 - 2 - hình phân tán. trong thực tế. • Thiết kế chương trình sử dụng giao thức Kerberos phục vụ SSO. Như vậy đồ án Xác thực trong hệ phân tán, Kerberos của em sẽ bao gồm những phần sau : Chương I : Giao thức Kerberos