1 / 24

Protokoli za proveru identiteta

Protokoli za proveru identiteta. Prof. dr Mladen Veinovi ć, dipl.ing. Authentication. Authentication - provera identiteta Provera da li je učesnik u komunikaciji ono što tvrdi da jeste Radi se o udaljenom učesniku Authorization – ovlašćenje Šta je jednom procesu dozvoljeno da uradi.

tanner-mcclure
Télécharger la présentation

Protokoli za proveru identiteta

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Protokoli za proveru identiteta Prof. dr Mladen Veinović, dipl.ing.

  2. Authentication • Authentication - provera identiteta • Provera da li je učesnik u komunikaciji ono što tvrdi da jeste • Radi se o udaljenom učesniku • Authorization – ovlašćenje • Šta je jednom procesu dozvoljeno da uradi

  3. Authentication • Primer: Klijentski proces stupa u vezu sa serverom datoteka i kaže: • Ja sam Markov proces i želim da obrišem daoteku ime.key • Server treba da proveri • Da li je to Markov proces - authentication • Da li je Marko ovlašćen da obriše datoteku ime.txt - authorization

  4. Authentication • Provera identiteta • Žele da komuniciraju A i B • Protokol započinje tako što A šalje poruku za B • Sledi razmena više poruka u oba pravca • Provera identita i za stranu A i za stranu B • Strana A mora biti sigurna da komunicira sa B • Strana B mora biti sigurna da komunicira sa A • Uspostavlja se sesijski ključ (Difie-Hellman)

  5. Authentication • Provera identiteta na bazi tajnog ključa • Tajni ključ je prethodno dogovoren (razmenjen) • Strana A šalje slučajni broj drugoj strani B, i od B dobija njegovu šifrovanu vrednost • IDU i IDO • Takvi protokoli se nazivaju: • Protokoli za proveru identiteta testiranjemChallenge responseprotocols

  6. Provera identiteta testiranjem Šifrovan SN_B SN_B Predstavljanje Slučaj 1 SN_A Šifrovan SN_A

  7. Provera identiteta testiranjem Predstavljanje SN_A SN_B Šifrovan SN_A Slučaj 2 Brže, ali pogrešno Šifrovan SN_B

  8. Napad Pretpostavka: Sa B se može uspostavljati više sesija SN_B Šifrovano SN_T Lažno predstavljanje SN_T Lažno predstavljanje SN_B SN_B Šifrovano SN_B Šifrovano SN_B

  9. Napad • Preporuke • Identitet treba da dokaže prvo inicijator • Treba koristiti različite ključeve za dokazivanje identiteta (za svaki smer posebno) • SN_A i SN_B moraju uvek biti različiti • Složeniji protokoli kada ima više sesija

  10. Napad Pretpostavka: Sa A se može uspostavljati više sesija

  11. Provera identiteta pomoću Hash-a SN_B Heš (SN_A, SN_B, Ident A, Ident B, Tajni K) Heš (SN_A, SN_B, Tajni K)

  12. Diffie-Hellman • Uspostavljanje deljenog ključa (key exchange) • Strane A i B dogovaraju dva velika broja n i g • To su javni brojevi • Strana A bira tajni broj x, a strana B y • Strana A šalje: n, g, (gx mod n) • Strana Bšalje: (gy mod n) • Strana A računa: (gy mod n)xmod n = gxymod n • Strana B računa: (gx mod n)ymod n = gxymod n

  13. Diffie-Hellman Odrediti x je težak problem Odrediti y je težak problem

  14. Napad naDiffie-Hellman Lančani napad ili posrednički napad (man-in-the-middle attack)

  15. Treća strana od poverenja • Treća strana od poverenja (centar za distribuciju ključeva) • KDC ima tajni ključ sa A i drugi sa B • Strana A šalje ka trećoj strani šifrovano: • Da želi da komunicira sa B • Sesijski ključ za komunikaciju strane A sa B • Treća strana šalje ka B šifrovano • Da strana A želi da komunicira • Sesijski ključ za komunikaciju strane A sa B

  16. Treća strana od poverenja Sesijski ključ Ks Predstavljanje trećoj strani Šifrovano (Odredište i sesijski ključ) Šifrovano (Izvorište i sesijski ključ) • Ovaj protokol je osetljiv na napade ponavljanjem slanja poruka (replay attack) • Odbrana: • Uz poruku se šalje i vremenska oznaka • Uz svaku poruku različit jednokratni uzorak

  17. Needham-Schroederprotokol Strana A, strana B i SN_A Šifrovano (SN_A, B, Ks + kupon) Kupon + šifrovan novi SN Potvrda identiteta B Potvrda identiteta A

  18. Kerberos • Pored strana A i B uključuje: • Server za proveru identiteta (Authentication Server – AS) • Server za dodelu kupona (Ticket-Granting Server – TGS) • Username – javni podatak o identitetu • Password – tajni podatak, koji pored radne stanice poseduje AS • Služi za generisanje tajnog ključa za komunikaciju sa AS • Tajni ključ se generiše na osnovu passworda

  19. Kerberos • AS server • Poseduje password za svakog korisnika • Dodeljuje ključ sesije i kupon za pristup TGS serveru • TGS server • Treba da uveri prave servere da je podnosilac TGS kupona stvarno ono što i tvrdi da jeste

  20. Kerberos Password za svakog korisnika Bezbedno pristupa resursima na mreži, a password nikada ne izlazi na mrežu

  21. PKI • Treća strana od poverenja • Postoji server koji izdaje sertifikate za javne ključeve • Sertifikati su po standardu X.509 ver 3

  22. PKI

  23. Authentication • Literatura • A. Tanenbaum, Računarske mreže, prevod Mikro knjiga

  24. DISCUSSION QUESTIONS?

More Related