Xác thực trong hệ phân tán Kerberos

- 1 -

LỜI NÓI ĐẦU.......................................................................................................1

CHƯƠNG I............................................................................................................2

GIAO THỨC KERBEROS..................................................................................2

1. Nội dung giao thức........................................................................................3

2. Các thẻ Kerberos...........................................................................................9

2.1. Các yêu cầu thẻ Kerberos...........................................................................9

2.2. Các thẻ dùng để trao thẻ...........................................................................10

2.3. Các thẻ dịch vụ.........................................................................................10

2.4. Nội dung của một thẻ Kerberos...............................................................11

2.5. Các TGT có thể gia hạn...........................................................................15

3. Authenticator...............................................................................................15

3.1. Vai trò của authenticator..........................................................................15

3.2. Hoạt động của authenticator....................................................................15

3.3. Nhãn thời gian của authenticator.............................................................16

3.4. Cấu trúc của authenticator.......................................................................16

4. Vùng (realm) và chứng thực liên vùng.......................................................16

5. Những cải tiến chính trong Kerberos phiên bản 5......................................18

6. Đánh giá giao thức Kerberos......................................................................19

6.1.Tăng cường bảo mật..................................................................................19

6.2.Cung cấp cơ chế chứng thực mạnh...........................................................20

CHƯƠNG II........................................................................................................23

ỨNG DỤNG KERBEROS..................................................................................23

1. Xác thực trong Windows :..........................................................................24

1.1 SSP và SSPI..............................................................................................24

1.2 Kerberos Authentication...........................................................................25

2. Windows Logon..........................................................................................26

2.1 Local Logon..............................................................................................26

2.2 Domain Logon...........................................................................................27

3. Xây dựng chương trình Demo Kerberos trong SSO..................................31

3.1 Chương trình Demo-Kerberos-SSO tại Client.........................................32

3.2 Chương trình TestGateway.......................................................................34

3.3 Thực hiện chương trình Demo-Kerberos-SSO:........................................36

4. Ưu nhược điểm của Kerberos.....................................................................38

KẾT LUẬN..........................................................................................................39

LỜI NÓI ĐẦU

Ngày nay vấn đề xác thực trong các hệ phân tán là một yếu tố vô cùng quan trọng

bởi vì các hệ phân tán không thể làm việc đơn lẻ mà phải tương tác với nhau.

Trong quá trình tương tác đó các hệ phân tán phải có những quá trình xác thực để

đảm bảo những yêu cầu về bảo mật cũng như gia tăng quyền hạn cho các thành

viên, đặc biệt để chống lại những nguy cơ bảo mật ngày càng gia tăng hiện nay.

Với những lý do như vậy em đã chọn đồ án : Xác thực trong hệ phân tán,

Kerberos để nghiên cứu về giao thức xác thực này và tìm hiểu triển khai những mô

Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang

1

- 2 -

hình phân tán dựa trên Kerberos để phục vụ cho các ứng dụng trên môi trường

mạng.

Với ý tưởng như vậy em đã đặt ra mục tiêu công việc như sau :

• Tìm hiểu về giao thức Kerberos.

• Tìm hiểu việc ứng dụng Kerberos trong thực tế.

• Thiết kế chương trình sử dụng giao thức Kerberos phục vụ SSO.

Như vậy đồ án Xác thực trong hệ phân tán, Kerberos của em sẽ bao gồm những

phần sau :

Chương I : Giao thức Kerberos : Chương này trình bày những tìm hiểu của em

về giao thức Kerberos, cách thức vận hành của Kerberos, các loại khóa, thẻ, phân

vùng của Kerberos.

Đồng thời trong chương này cũng phân tích một số cải tiến và đánh giá về giao thức

Kerberos hiện nay.

Chương II : Xây dựng ứng dụng Kerberos : Trình bày phần thiết kế chương trình

thử nghiệm sử dụng Kerberos để phục vụ mục đích SSO trên nền Windows 2003

Server .

Trong chương này sẽ phân tích chương trình thử nghiệm dựa trên Kerberos áp dụng

cho cơ chế domain logon và việc áp dụng cơ chế đó vào SSO.

Chương trình thử nghiệm có 2 thành phần cơ bản là Demo-Kerberos-SSO và

TestGateway.

Trong chương này cũng sẽ trình bày các biểu đồ thiết kế chương trình thử nghiệm

và kết quả đạt được.

Chương III : Kết Luận : Tổng kết công việc đã làm và những kinh nghiệm thu

được trong quá trình thực hiện đồ án.

Qua đây em cũng xin gửi lời cám ơn TS Nguyễn Linh Giang đã giúp đỡ em rất

nhiều trong quá trình thực hiện đồ án này !

CHƯƠNG I

GIAO THỨC KERBEROS

Kerberos là một giao thức chứng thực mạng được phát triển trong dự án Athena

của học viện công nghệ Massachusetts (MIT). Kerberos là một cơ chế chứng thực

mạnh cho các ứng dụng client/server trên môi trường mạng phân tán; nó cho phép

các thực thể truyền thông trong mạng chứng thực lẫn nhau mà vẫn đảm bảo an toàn,

chống nghe lén hay tấn công reply attack trên mạng. Nó cũng đảm bảo tính toàn vẹn

và tính mật cho thông tin truyền đi, sử dụng mã hoá bí mật như DES, triple DES.

Trong thông báo đầu tiên của Kerberos đã liệt kê các yêu cầu trong Kerberos đó

là:

Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang

2

- 3 -

- An toàn : Một kẻ nghe trộm trên mạng không thể bắt được các thông tin

cần thiết để giả mạo một người dùng. Hay nói chung là Kerberos phải đủ

mạnh để kẻ địch không thể liệt nó vào kênh có thể xâm nhập.

- Đáng tin cậy: Tất cả các dịch vụ trong mạng đều sử dụng Kerberos để

kiểm soát truy nhập, nếu thiếu dịch vụ Kerberos có nghĩa là nó chưa được

bảo đảm. Vì thế, Kerberos phải đáng tin cậy và phải sử dụng kiến trúc

máy chủ phân tán mà một hệ thống này có thể chuyển trở lại một hệ

thống khác.

- Trong suốt: Một cách lý tưởng, người dùng không thể phát hiện ra sự

chứng thực, ngoại trừ yêu cầu nhập mật khẩu.

- Co giãn được: Hệ thống phải có khả năng hỗ trợ một số lượng lớn máy

chủ và máy khách.

1. Nội dung giao thức

Kerberos không xây dựng các giao thức chứng thực phức tạp cho mỗi máy chủ

mà hoạt động dựa trên một máy chủ chứng thực tập trung KDC (Key Distribution

Centre), sử dụng giao thức phân phối khoá được đề xuất bởi Needham và

Schroeder. KDC cung cấp vé để chứng minh định danh người dùng và bảo mật

truyền thông giữa hai bên bởi khoá phiên trong vé. Một chiếc vé có thể là một chuỗi

dài khoảng vài trăm byte và có thể được nhúng vào bất kỳ trong một giao thức

mạng nào, điều này đảm bảo độc lập với giao thức giao vận của mạng.

Trung tâm phân phối khoá KDC (Key Distribution Centre) gồm máy chủ chứng

thực AS (Authentication Server) biết mật khẩu của tất cả người dùng được lưu giữ

trên một cơ sở dữ liệu tập trung, máy chủ cấp khoá TGS (Ticket Granting Server)

cung cấp vé dịch vụ cho người dùng truy nhập vào các máy chủ trên mạng.

Giao thức Kerberos được thực hiện qua ba giai đoạn, hay ba pha. Trong kịch

bản này, người dùng C đăng nhập vào máy trạm và yêu cầu truy nhập tới máy chủ

là S .

Mô hình tổng quát của giao thức Kerberos :

Trần Quang Hoàn TT&MMT - K47 GVHD: T.S Nguyễn Linh Giang

3