عنوان : مقاله مزاياي Kerberos
قیمت : 29,400 تومان
توضیحات در پایین همین صفحه

درگاه 1

توجه : دریافت شماره تلفن همراه و آدرس ایمیل صرفا جهت پشتیبانی می باشد و برای تبلیغات استفاده نمی شود

هدف ما در این سایت کمک به دانشجویان و دانش پژوهان برای بالا بردن بار علمی آنها می باشد پس لطفا نگران نباشید و با اطمینان خاطر خرید کنید

توضیحات پروژه

توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد

 مقاله مزاياي Kerberos دارای 44 صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است

فایل ورد مقاله مزاياي Kerberos  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد.

این پروژه توسط مرکز مرکز پروژه و مقالات آماده و تنظیم شده است

توجه : در صورت  مشاهده  بهم ريختگي احتمالي در متون زير ،دليل ان کپي کردن اين مطالب از داخل فایل ورد مي باشد و در فايل اصلي مقاله مزاياي Kerberos،به هيچ وجه بهم ريختگي وجود ندارد


بخشی از متن مقاله مزاياي Kerberos :

مزایای Kerberos
مقدمه
Kerberos نسخه 5، پروتكل اعتبار سنجی پیش فرض شبكه برای ویندوز 2000 است. Kerberos پروتكل جدیدی نیست كه مایكروسافت اختراع كرده باشد، بلكه از سال‌ها قبل در دنیای یونیكس مورد استفاده قرار گرفته است.
مایكروسافت اعتبار سنجی شبكه‌ای Kerberos را در ویندوز 2000 برای بالا بردن امنیت پیاده سازی كرده است، زیرا سرویس ها و سرورهای شبكه باید بدانند كه یك سرویس گیرنده كه درخواست اجازه دستیابی می كند واقعاً یك سرویس گیرنده معتبر است. Kerberos بر پایه ticket (بلیط)هایی كه شامل هویت سرویس گیرنده كه با كلیدهای مشترك رمزنگاری شده است،

استوار می شود. Kerberos v5 بهبودهای زیر را نسبت به نسخه‌های قبلی Kerberos دارد:
• ارسال اعتبارسنجی: امكان می دهد كه درخواست برای سرویس را از طرف یك كاربر به ارائه كننده سرویس قابل اطمینان دیگر محول كنیم.

• سیستم های رمزنگاری قابل جایگزینی: از چندین متد رمزنگاری پشتیبانی می كند. نسخه‌های قبلی Kerberos، فقط از رمزنگاری DES پشتیبانی می كردند.
• كلیدهای زیر نشست (subsession): به client و سرور امكان می دهد تا یك كلید زیر نشست كوتاه مدت را برای یك بار استفاده برای تبادل های نشست مورد مذاكره قرار دهند.
• زمان دوام بیشتر برای بلیط: حداكثر زمان بلیط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه می دهد كه بلیط ماه‌ها دوام بیاورد.

اعتبار سنجی در ویندوز 2000
ویندوز 2000 برای اعتبار سنجی هویت كاربر، پنج روش دارد:
• Windows NT LAN Manager (NTLM)
• Kerberos v5
• Distributed Password Authentication (DPA)
• Extensible Authentication Protocol (EAP)
• Secure Channel (Schannel)
ویندوز 2000، فقط از NTLM و Kerberos برای

اعتبار سنجی شبكه ای استفاده می كند و سه پروتكل دیگر برای اعتبارسنجی در اتصال‌های شماره گیری یا اینترنت مورد استفاده قرار می گیرند.
ویندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتكل اعتبار سنجی شبكه ای پیش فرض استفاده می كند. به این دلیل NTLM هنوز در ویندوز 2000 وجود دارد تا سازگاری با نسخه های قبلی سیستم عامل های مایكروسافت حفظ شود. NTLM همچنین برای اعتبار سنجی logon به كامپیوترهای مستقل ویندوز 2000 به كار می رود. Kerberos، اعتبار سنجی شبكه ای پیش فرض برای ویندوز 2000 است.

Kerberos پروتكل اعتبارسنجی پر استفاده ای است كه بر یك استاندارد باز بنا نهاده شده است. تمام كامپیوترهای ویندوز 2000 از Kerberos v5 در محیط شبكه ای استفاده می كنند، به غیر از شرایط زیر:
• كامپیوترهای ویندوز 2000 وقتی كه به سرورهای ویندوز NT اعتبار سنجی می شوند از NTLM استفاده می كنند.
• وقتی كه كامپیوترهای ویندوز 2000 به منابع domainهای ویندوز NT 4.0 دستیابی پیدا می كنند از NTLM استفاده می كنند.

• وقتی كه كنترل كننده های domain ویندوز 2000، clientهای ویندوز NT 4.0 را اعتبار سنجی می كنند از NTLM استفاده می كنند.
• Login كردن به صورت محلی به یك كنترل كننده domain ویندوز 2000
• ویندوز 2000
(DPA) Distributed Password Authentication یك پروتكل اعتبارسنجی است كه روی اینترنت به كار می رود تا به كاربران امكان دهد تا از یك كلمه عبور برای اتصال به هر سایت اینترنتی كه به یك سازمان عضویت متعلق است، استفاده كنند. DPA توسط ویندوز 2000 پشتیبانی شده است ولی به همراه آن ارائه نشده است. شما باید PDA را به صورت جداگانه و به صورت یك محصول اضافی بخرید.
(EAP) Extensible Authentication Protocol یك گسترش برای پروتكل Point-to-Point است كه برای اتصال های شماره گیری به اینترنت به كار می رود. هدف EAP این است كه اضافه كردن پویای ماژول های Plug-in اعتبار سنجی را هم در سمت سرور و هم در سمت سرویس گیرنده از یك اتصال اجازه دهد. اطلاعات بیشتر در مورد EAP در (EAP) PPP Extensible Authentication و Request for Comments (RFC) 2284 مورخ مارس 1998 یافت می شود. همچنین می توانید این RFC و RFCهای دیگر را در آدرس www.rfc-editor.org/ پیدا كنید.

Secure Channel شامل چهار پروتكل مرتبط است:
• Secure Sockets Layer (SSL) v2.0
• SSL v3.0
• Private Communication Technology (PCT) v1.0
• Transport Layer Security (TLS) v1.0

هدف اصلی استفاده از Schannel، فراهم كردن اعتبار سنجی، جامعیت داده‌ها و ارتباطات ایمن در اینترنت است. SSL معمولاً برای انتقال اطلاعات خصوصی به و از سایت های تجارت الكترونیك مورد استفاده قرار می گیرد. هر چهار پروتكل در Schannel، اعتبارسنجی را با استفاده از گواهی نامه های دیجیتال فراهم می كنند. گواهی نامه‌های دیجیتال با جزئیات بیشتر در فصل 9، «Public Key Inftastructures. در ویندوز 2000» مورد بحث قرار گرفته اند.

مزایای اعتبار سنجی Kerberos
همانطور كه محبوبیت و استفاده از ویندوز NT 4.0 در بازار افزایش یافت، علاقه جهان به سیستم های ویندوز NT نیز بیشتر شد. مایكروسافت با اضافه كردن اعتبار سنجی Kerberos در ویندوز 2000، به میزان زیادی قابلیت امنیتی سیستم عامل را افزایش داده است. NTLM برای سازگاری با نسخه های قبلی ارائه شده است، ولی به محض اینكه تمام سرویس گیرنده های روی شبكه بتوانند با استفاده از Kerberos اعتبار سنجی شوند (كه مستلزم سرورها و سرویس گیرهای ویندوز 2000 محض هستند) باید غیرفعال شود. تا وقتی كه NTLM در شبكه موجود است، امنیت در بالاترین سطح خود قرار ندارد.

مزایای زیادی كه Kerberos فراهم كرده، آن را نسبت به NTLM، انتخاب بهتری برای اعتبارسنجی نموده است. Kerberos بر پایه استانداردهای موجود بنا شده است، بنابراین به ویندوز2000 امكان می دهد تا روی شبكه‌های دیگری كه از Kerberos v5 به عنوان مكانیزم اعتبارسنجی استفاده می كنند كار كند. NTLM نمی تواند این قابلیت را فراهم كند، زیرا خاص سیستم عامل های

مایكروسافت است. اتصال به برنامه و سرورهای فایل نیز در هنگام استفاده از Kerberos سریعتر است، زیرا برای تعیین اینكه آیا اجازه دستیابی داده می شود یا خیر، سرور Kerberos فقط لازم است كه هویتی كه سرویس گیرنده ارائه می كند را بررسی كند. همین هویت ارائه شده توسط سرویس گیرنده می تواند برای كل نشست logon به شبكه به كار رود. وقتی كه NTLM به كار می رود، برنامه و سرورهای فایل باید با یك كنترل كننده domain تماس برقرار كنند تا تعیین كنند كه آیا اجازه دستیابی به سرویس گیرنده داده می شود یا خیر. اعتبارسنجی Kerberos همچنین هم برای سمت سرویس گیرنده و هم برای سمت سرور، اعتبارسنجی را فراهم می كند ولی NTLM فقط برای سرویس گیرنده، اعتبار سنجی را فراهم می كند. سرویس گینرده های NTLM مطمئناً نمی دانند كه سروری كه با آن ارتباط برقرار می كنند یك سرور نادرست است.

Kerberos همچنین برای اعتمادها (trusts) سودمند است و در واقع اساس اعتمادهای domain انتقالی است و ویندوز 2000، به صورت پیش فرض از اعتمادهای دو طرفه انتقالی با domain های ویندوز 2000 دیگر در همین مجموعه (forest)، استفاده می كند. یك اعتماد دو طرفه انتقالی از یك كلید بین ناحیه‌ای مشترك استفاده می كند. domain ها به یكدیگر اعتماد می كنند، زیرا هر دو كلید مشترك را در اختیار دارند.

استانداردهای اعتبارسنجی Kerberos
سالهاست كه Kerberos ارائه شده است. مهندسانی كه روی Project Athena كار می‌كردند، برای اولین بار Kerberos را در (MIT) Massachusetts Institute of Technology اختراع كردند. Project Athena در 1983 شروع شد، ولی اولین نمونه Kerberos تا سال 1986 عرضه نشد.

هدف Project Athena، ایجاد یك نسل جدید از امكانات كامپیوتری توزیع شده مبتنی بر سرویس گیرنده/ سرور در سطح دانشگاه بود. Kerberos v4، اولین نسخه عمومی پروتكل اعتبارسنجی بود. Kerberos v5، بهبودهای زیادی به پروتكل اضافه كرده است از جمله پشتیبانی از بلیط های قابل ارسال، قابل تجدید و تاریخ دار و تغییر الگوریتم key salt برای استفاده از كل اسم اصلی. دو تا از RFCهایی كه Kerberos v5 در آنها تعریف شده است

، RFC 1510، Network Authentication Service، The Kerberos (v5) مورخ سپتامبر 1993 و RFC 1964، The Kerberos Version 5 GSS-API Mechanism، مورخ ژوئن 1996 است (GSS-API علامت اختصاری Generic Security Service-Application Program Interface است). مایكروسافت بیان می كند كه پیاده سازی Kerberos در ویندوز 2000 بسیار مطابق با مشخصات تعیین شده در RFC 1510 برای پیاده سازی پروتكل و RFC 1964 برای مكانیزم و فرمت ارسال نشانه های (token) امنیت در پیغام های Kerberos است.

گسترش هایی در پروتكل Kerberos
مایكروسافت، نسخه Kerberos را در ویندوز 2000 گسترش داده است تا اعتبارسنجی اولیه كاربر بتواند به جای كلیدهای سری مشترك استاندارد مورد استفاده توسط Kerberos، با استفاده از گواهی نامه های كلید عمومی انجام شود. بهبود Kerberos به این طریق امكان می دهد كه logon به ویندوز 2000 با استفاده از كارت‌های هوشمند انجام شود. بهبودهایی كه مایكروسافت در Kerberos برای ویندوز 2000 ایجاد كرده است بر پایه مشخصات Public Key Cryptography for Initial Authentication in Kerberos كه توسط چند شركت بیرونی مثل (DEC) Digital Equipment Corporation، Novell، CyberSafe Corporation و دیگران به (IETF) Internet Engineering Task Force پیشنهاد شده است، استوار است.

نگاه كلی به پروتكل Kerberos
اسم Kerberos (با تلفظ یونانی) یا Cerberus (با تلفظ لاتین) از افسانه های یونان آمده است. Kerberos، سگ سه سری بود كه از ورودی Hades محافظت می كرد. Kerberos برخلاف پروتكل های دیگر (مثل NTLM) كه فقط سرویس گیرنده را اعتبارسنجی می كنند، اعتبار سنجی دو طرفه هم برای سرورها و هم برای سرویس گیرنده ها را فراهم می كند.

Kerberos با این فرض كار می كند كه تراكنش های اولیه بین سرویس گیرنده ها و سرورها روی یك شبكه ناامن انجام می شوند. شبكه هایی كه ایمن نباشند می توانند به سادگی بوسیله افرادی كه می خواهند یك سرویس گیرنده یا سرور را برای كسب دستیابی به اطلاعاتی كه می تواند به آنها در رسیدن به هدفشان كمك كند (این اطلاعات هرچه می تواند باشد) تقلید كنند، تحت نظارت قرار گیرد.

مفاهیم پایه
یك كلید سری مشترك، فقط بوسیله آنهایی كه نیاز دارند كلید سری (secret) را بدانند به اشتراك گذاشته می شود. كلید سری ممكن است بین دو فرد، دو كامپیوتر، سه سرور و غیره باشد. كلید سری مشترك به حداقل موجودیت های لازم برای انجام كار مورد نیاز، محدود است و به آنهایی كه كلید سری مشترك را می دانند امكان می دهد تا هویت آنهایی كه كلید سری مشترك را می دانند را بررسی كنند. Kerberos برای انجام اعتبارسنجی خود به كلیدهای مشترك وابسته است.

Kerberos از رمزنگاری كلید سری به عنوان مكانیزم پیاده سازی كلیدهای سری مشترك استفاده می‌كند. رمزنگاری متقارن كه در آن فقط یك كلید، هم برای رمزنگاری و هم برای گشودن رمز به كار می رود، برای كلیدهای سری مشترك در Kerberos به كار می‌رود. یك موجودیت، اطلاعات را رمزنگاری می كند و موجودیت دیگر با موفقیت این اطلاعات را از حال

ت رمز در می آورد. این امر دانستن كلید سری مشترك بین دو موجودیت را ثابت می كند.
اعتبار سنج‌ها (Authenticators)
یك اعتبار سنج، اطلاعات یكتایی است كه در كلید سری مشترك رمزنگاری شده است. Kerberos از timestampها استفاده می كند تا اعتبار سنج، یكتا باشد. اعتبار سنج ها فقط برای یك بار استفاده معتبر هستند، تا احتمال اینكه كسی سعی كند تا از هویت شخص دیگری استفاده كند را به حداقل برسانند. Replay كه یك تلاش برای استفاده مجدد اعتبار سنج است، نمی تواند در Kerberos v5 انجام شود. با این احال، اعتبار سنجی دو طرفه وقتی می تواند رخ دهد كه دریافت كننده اعتبار سنج، بخشی از اعتبار سنج اصلی را استخراج كند، آن را در یك اعتبار سنج جدید رمزنگاری كند و آن را به اولین اعتبار سنج بفرستد. بخشی از اعتبار سنج اصلی استخراج می شود تا ثابت شود كه اعتبار سنج اصلی با موفقیت از رمز درآمده است. اگر كل اعتبار سنج اصلی بدون تغییر پس فرستاده شود، اعتبار سنج نمی داند كه آیا دریافت كننده مورد نظر و یا یك مقلد آن را فرستاده است یا خیر.

Key Distribution Center
همانطور كه Kerberos در افسانه های یونانی سه سر داشت، در تكنولوژی نیز Kerberos سه قسمت دارد. پروتكل اعتبار سنجی Kerberos، یك سرویس گیرنده، یك سرور و یك مرجع مورد اعتماد دارد. (KDC) Key Distribution Center مرجع مورد اعتماد مورد استفاده در Kerberos،

پایگاه داده‌ای از تمام اطلاعات مربوط به principal (موجودیت)ها در قلمرو Kerberos را نگه می دارد. یك principal (موجودیت)، یك موجودیت با اسم منحصر به فرد است كه در ارتباطات شبكه شركمت می كند. یك قلمرو یا ناحیه، سازمانی است كه یك سرور Kerberos دارد. از آنجایی كه سیستمی كه سرویس KDC را اجرا می كند دارای پایگاه داده های با اطلاعات account های امنیتی است، باید از نظر فیزیكی ایمن باشد. بخشی از این اطلاعات امنیتی، كلید سری است كه بین یك موجودیت و KDC مشترك است.

هر موجودیت، كلید سری مربوط به خود را دارد كه دوام زیادی دارد به همین دلیل به این كلید، كلید دراز مدت نیز می گویند. وقتی كه كلید دراز مدت بر یك موجودیت كاربر انسانی استوار است، از كلمه عبور كاربر مشتق می شود. این كلید دراز مدت طبیعتاً، تقارنی است.

كلید دیگری كه به همراه KDC مورد استفاده قرار می گیرد، كلید نشست است كه وقتی كه یك موجودیت می خواهد با موجودیت دیگر ارتباط برقرار كند، KDC آن را صادر می كند. برای مثال، اگر یك سرویس گیرنده بخواهد با یك سرور ارتباط برقرار كند، سرویس گیرنده، درخواست را به KDC می فرستد و KDC به نوبه خود، یك كلید نشست صادر می كند ت

ا سرویس گیرنده و سرور بتوانند با یكدیگر اعتبار سنجی شوند. هر قسمت از كلید نشست در قسمت مربوطه در كلید دراز مدت، هم برای سرویس گیرنده و هم برای سرور، رمز نگاری می شود. به عبارت دیگر، كلید دراز مدت سرویس گیرنده، شامل كپی سرور از كلید نشست است و كلید دراز مدت سرور شامل كپی سرور از كلید نشست است. كلید نشست، طول عمر محدودی دارد و به این دلیل برای یك نشست login، مناسب می باشد. بعد از اینكه نشست login به پایان رسید، كلید نشست دیگر معتبر نیست. دفعه بعدی كه سرویس گیرنده نیاز داشته باشد كه به همان سرور وصل شود، باید برای یك كلید نشست جدید به KDC برود.

بلیط های نشست (Session Tickets)
سرویس گیرنده یك پیغام رمزنگاری شده را از KDC دریافت می كند كه شامل هم كپی سرویس گیرنده و هم كپی سرور كلید نشست است. كپی سرور كلید نشست در یك بلیط نشست قرار دارد كه خود شامل اطلاعاتی درباره سرویس گیرنده است و با استفاده از كلید سری مشترك سرور و KDC رمزنگاری می شود.

سرویس گیرنده نمی تواند به بلیط نشست دستیابی داشته باشد، زیرا كلید سری مشتركی كه سرور و KDC به اشتراك گذاشته اند را نمی داند.
حال كه سرویس گیرنده، كلید نشست سرویس گیرنده و بلیط نشست سرورها را از KDC دریافت كرده است. می تواند با موفقیت با سرور تماس بگیرد. همانطور كه سرویس گیرنده یك پیغام كه حاوی بلیط نشست است و یك اعتبار سنج كه با استفاده از كلید و نشست، رمزنگاری شده است به سرور می فرستد.

بعد از اینكه سرور، گواهی هویت را از سرویس گیرنده دریافت می كند، بلیط نشست را با استفاده از كلید سری مشترك (مشترك بین سرور و KDC)، از رمز بیرون می آورد و كلید نشست فرستاده شده توسط KDC را استخراج می كند. سپس از كلید نشست، برای از رمز در آوردن اعتبار سنجی كه سرویس گیرنده فرستاده است استفاده می كند. سرور، هویت بیان شده سرویس گیرنده را قبول دارد زیرا KDC، به عنوان مرجع مورد اعتماد، هویت سرویس گیرنده را به اطلاع سرور رسانده است. در این زمان، اگر سرویس گیرنده درخواست اعتبار سنجی دو طرفه كرده باشد، تا وقتی flag درست در پیغامی كه می فرستد تنظیم شده باشد، این اعتبار سنجی دو طرفه می تواند رخ دهد.
این یكی از تفاوت های بین Kerberos و مكانیزم های اعتبارسنجی دیگر است كه فقط سرویس گیرنده ها را اعتبار سنجی می كنند. اگر سرویس گیرنده، درخواست اعتبار سنجی دو طرفه كند، سرور با استفاده از كپی خود از كلید نشست، timestamp شامل میلی ثانیه های اعتبار سنج سرویس گیرنده را به رمز در می آورد و آن را به سرویس گیرنده می فرستد.

بلیط های نشست می توانند برای یك دوره مشخص زمانی كه بوسیله سیاست Kerberos در محدوده تعیین می شود، مجدداً مورد استفاده قرار گیرند. KDC، دوره زمانی را در ساختار بلیط قرار می دهد. این امر نیاز موجودیت را برای اینكه هر دفعه كه بخواهد با موجودیت دیگر ارتباط برقرار كند مجبور باشد كه به KDC برود، كم می كند. موجودیت سرویس گیرنده، بلیط های نشست مورد نیاز برای ارتباط با موجودیت های دیگر را در حافظه گواهی هویت خود نگه می دارد. از طرفی دیگر، موجودیت های سرور، كلیدهای نشست را در حافظه گواهی هویت خود نگه نمی‌دارند، بلكه فقط منتظر می مانند تا یك موجودیت سرویس گیرنده، یك بلیط نشست را بفرستد و با استفاده از كلید سری مشترك آن را از رمز در آورد.

بلیط هایی برای اعطای بلیط
بلیط های نشست، تنها بلیط های مورد استفاده در Kerberos نیستند. KDC با استفاده از یك بلیط كه خود بلیط هایی را در اختیار می گذارد (TGT)، ارتباط برقرار می كند و بررسی می كند كه موجودیت ها همانی باشند كه بیان می كنند. كاربری كه به یك محدود Kerberos، logon می كند، از یك كلمه عبور استفاده می كند كه از یك الگوریتم در هم سازی یك طرفه عبور می كند و به یك كلید دراز مدت تبدیل می‌شود. بعد نتایج درهم سازی به KDC فرستاده می شوند كه به نوبه خود یك كپی از درهم سازی را از پایگاه داده account خود دریافت می كند. وقتی كه سرویس گیرنده، كلید دراز مدت را می‌فرستد، یك بلیط نشست و كلید نشست درخواست می‌كند تا بتواند از آن برای برقراری ارتباط با KDC در طی نشست logon استفاده كند. بلیطی كه KDC به سرویس گیرنده بر می گرداند، TGT در كلید دراز مدت KDC، رمزنگاری می شود و كپی سرویس گیرنده از كلید نشست در كلید دراز مدت سرویس گیرنده، رمزنگاری می شود. بعد از اینكه سرویس گیرنده، پیغام پاسخ را از KDC دریافت می كند، از كلید دراز مدت خود (كه روی سیستم سرویس گیرنده ذخیره شده است) برای از رمز در آوردن كلید نشست استفاده می كند. بعد از اینكه كلید نشست، از رمز در آمد، كلید دراز مدت از حافظه نهان سرویس گیرنده بیرون كشیده می شود، زیرا دیگر برای ارتباط با KDC برای بقیه مدت نشست logon و یا تا وقتی كه TGT منقضی نشود، مورد نیاز نیست. این كلید نشست، كلیدنشست logon نیز نامیده می شود.

برای دریافت پروژه اینجا کلیک کنید


دانلود مقاله مزاياي Kerberos
قیمت : 29,400 تومان

درگاه 1

Copyright © 2014 icbc.ir