Đang tải... (xem toàn văn)
Thông tin tài liệu
Từ khóa liên quan
Mục lục
Đinh nghĩa toán học Một mã xác thực là một bộ 4 (S,R,K,C) thoả mãn các điều kiện sau :
S là tập hữu hạn các trạng thái nguồn có thể
A là tập hợp các nhãn xác thực có thể
K là một tập hữu hạn các khoá có thể (không gian khoá)
Với mỗi kK có một quy tắc xác thực ek : S→R
Tập bản tin được xác định bằng C=S→R
Ta sẽ nghiên cứu hai kiểu tấn công khác nhau mà Oscar có thể tiến hành.Trong cả hai loại này, Oscar sẽ là’’kẻ xâm nhập vào giưa cuộc’’.Các phép tấn công này được mô tả như sau:
Thay thế
Oscar quan sát một bản tin trong (s, a) kênh, sau đó anh ta biến đổi nó thành (s’,a’), trong đó s’=s và hi vọng được Bob chấp nhận như một bản tin xác thực .Bởi vậy anh ta tin sẽ lái được Bob đi tới trạng thái nguồn mới này
Kerberos authentication dùng một Server trung tâm để kiểm tra việc xác thực user và cấp phát thẻ thông hành (service tickets) để User có thể truy cập vào tài nguyên. Kerberos là một phương thức rất an toàn trong authentication bởi vì dùng cấp độ mã hóa rất mạnh. Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server và Client Computer, do đó cần đảm bảo có một time server hoặc authenticating servers được đồng bộ time từ các Internet time server. Kerberos là nền tảng xác thực chính của nhiều OS như Unix, Windows
Chính phủ Hoa Kỳ đã cấm xuất khẩu Kerberos vì nó có sử dụng thuật toán DES 56 bit. Tuy nhiên, trước khi chính sách xuất khẩu của Hoa Kỳ thay đổi năm 2000, đã có phiên bản KTH-KRB viết tại Thuỵ Điển thực hiện
Năm 2005, nhóm làm việc của IETF về Kerberos cập nhật các đặc điểm kỹ thuật tại địa chỉ http://www.ietf.org/html.charters/krb-wg-charter.html. Các cập nhật gần đây bao gồm:
RFC 3961: Các quy định về mật mã hóa và kiểm tra tổng
RFC 3962: Mã hoá AES cho Kerberos 5
RFC 4120: Phiên bản mới về tiêu chuẩn Kerberos V5: "The Kerberos Network
Authentication Service (V5)". Phiên bản này thay thế RFC 1510, làm rõ các vấn đề của giao thức và cách sử dụng;
Ngày nay dịch vụ xác thực Kerberos này được ứng dụng nhiều ở thực tiễn như là:
- Tích hợp trong các ứng dụng mạng
+OpenSSH (với Kerberos v5 hoặc cao hơn)
+NFS (kể từ NFSv3)
+PAM (với modular pam_krb5)
+SOCKS (kể từ SOCKS5)
+Apache (với modular mod_auth_kerb)
+Dovecot IMAP4 và POP3
- Một cách gián tiếp, tất cả phần mềm sử dụng SASL để nhận thực, chẳng hạn như penLDAP
Tài liệu cùng người dùng
Tài liệu liên quan