Kerberos & X.509 11 - - PDF document

• هدز

Kerberos & X.509

ﻲﻨﺘﺒﻣ ﺮﺑ ﻞﺼﻓ 11بﺎﺘﻛ زا Network Security, Principles and Practice,2nd Ed.

ﺶﻳاﺮﻳوﻂﺳﻮﺗ هﺪﺷ :ﺪﻴﻤﺣ ﺎﺿر يرﺎﻳﺮﻬﺷ

http://www.fata.ir http://mehr.sharif.edu/~shahriari

٢

ﻪﻧﺎﺴﻓاﻳﻧﺎﻧﻮﻲ

ﻪﻧﺎﺴﻓا ﺮﺳ ﻪﺳ ﮓﺳﻳﻧﺎﻧﻮﻲ:هزاورد نﺎﻈﻓﺎﺤﻣيﺎﻫﻢﻨﻬﺟ ! دﺎﻤﻧ ﺎﻫﺮﺳ:

• Authentication
• Authorization
• Accounting

ﻮﻫ زاﺮﺣا ﺎﻬﻨﺗ ﻞﻤﻋ رد ﻪﭼﺮﮔاﻳﺪﺷلﺎﻤﻋا ﺖ.

٣

Motivation

يﺎﻬﻄﻴﺤﻣ ﺪﻳﺪﺟ :ترﻮﺻ ﻪﺑﻊﻳزﻮﺗ هﺪﺷ ردﻚﻳﻂﻴﺤﻣ ﻊﻳزﻮﺗ شور ﻪﺳ هﺪﺷ ياﺮﺑ ﺖﻴﻨﻣا :

ﻪﺑ دﺎﻤﺘﻋاهﺎﮕﺘﺴﻳا يرﺎﻛ رد ﻲﻓﺮﻌﻣ لﺎﻤﻋا ودﻮﺧ ناﺮﺑرﺎﻛ ندﺮﻛ ﺖﺳﺎﻴﺳ

ﻲﺘﻴﻨﻣا ﻲﻨﺘﺒﻣ ﺮﺑ ﻪﺳﺎﻨﺷ ناﺮﺑرﺎﻛ

زﺎﻴﻧ زاﺮﺣا ﻪﺑ ﺖﻳﻮﻫ يﺎﻬﻤﺘﺴﻴﺳ

client ﻂﺳﻮﺗ راﺰﮔرﺎﻛ ﻲﻟو ﻪﺑ دﺎﻤﺘﻋا يﺎﻬﻤﺘﺴﻴﺳ client ﻪﺑ ﺖﺒﺴﻧ ﺖﻳﻮﻫ ﻲﺳﺎﻨﺷ ناﺮﺑرﺎﻛ دﻮﺧ

زﺎﻴﻧ زاﺮﺣا ﻪﺑ ﺖﻳﻮﻫ ﺮﻫ ﻚﻳﻪﺑﺖﺒﺴﻧ ناﺮﺑرﺎﻛ زا ﺲﻳوﺮﺳ ﻲﺘﺳاﻮﺧرد و

ﺲﻜﻌﻟﺎﺑ

٤

سوﺮﺑﺮﻛ

ﻮﻫ زاﺮﺣاﻳرﺎﮕﻧ ﺰﻣر سﺎﺳا ﺮﺑ ﺖيﻠﻛﻴﺪﻲﻔﺨﻣ)نرﺎﻘﺘﻣ( ﺣاﺮﻃﻲردهﺪﺷ

MIT

ﺎﺟ ﻪﺑيﻮﻫزاﺮﺣا ﻳترﻮﺻ ﻪﺑ راﺰﮔرﺎﻛ ﺮﻫ رد ﺖزﻮﺗ ﻳ،هﺪﺷ ﻊﻳﻚ

ﻮﻫ زاﺮﺣا ﻪﺑ ار صﺎﺧ راﺰﮔرﺎﻛﻳﻣصﺎﺼﺘﺧا ﺖﻴﻫﺪﻴﻢ

يﺎﻫ ﻪﺨﺴﻧ4و5ﺪﻨﺘﺴﻫ هدﺎﻔﺘﺳا لﺎﺣ رد نآ

٥

ﺎﻬﻳﺪﻨﻣزﺎﻴﻧ/ﻲﻣﻮﻤﻋ يﺎﻬﻴﮔﮋﻳوسوﺮﺑﺮﻛ

ﻲﻣﻮﻤﻋندﻮﺑ )

Common (

ردﻂﻴﺤﻣ ﻊﻳزﻮﺗ ﺎﺑ هاﺮﻤﻫ هﺪﺷ يﺎﻫروﺮﺳ وﺰﻛﺮﻤﺘﻣ ﺮﻴﻏﺰﻛﺮﻤﺘﻣ ﻴﻨﻣا ﺖ)

Security (

يﺎﻋدا ﻲﻠﺻا

ﻤﻃاﻴنﺎﻨ)

Reliability (

نﺎﻨﻴﻤﻃا زا ﻲﺳﺮﺘﺳد يﺮﻳﺬﭘ راﺰﮔرﺎﻛ ﺖﻳﻮﻫ ﻲﺳﺎﻨﺷ)سوﺮﺑﺮﻛ( ﻴﻓﺎﻔﺷ ﺖ)

Transparency (

ﺎﺑ ناﺮﺑرﺎﻛﻳﺳﺪﻴﺪﻨﻧﺎﻤﻫ ار ﻢﺘﺴﻳﺳﻚﻴهدﺎﺳ ﻢﺘﺴ“ﻪﺳﺎﻨﺷ ﻪﻤﻠﻛ ورﻮﺒﻋ”ﺒﺑﻴﺪﻨﻨ . ﻘﻣﻴسﺎﺬﭘﻳﺮي)

Scalability (

ﺖﻴﻠﺑﺎﻗ رﺎﻛ داﺪﻌﺗ ﺎﺑ يدﺎﻳز ﻦﻴﺷﺎﻣ ﺮﺑرﺎﻛ وراﺰﮔرﺎﻛ

٦

ﻲﻣﻮﻤﻋ يﺎﻬﻴﮔﮋﻳوسوﺮﺑﺮﻛ

ﺪﻨﭼﻒﻳﺮﻌﺗ

ﻪﻨﻣاد :ﻚﻳهدوﺪﺤﻣ ﻲﺳﺮﺘﺳد ﺺﺨﺸﻣ ار ﻲﻣﺪﻨﻛ .ﻪﺑﻲﻋﻮﻧ ﻪﻨﻣاد لدﺎﻌﻣ يﺎﻫ ﻒﻳﺮﻌﺗ

رد هﺪﺷزوﺪﻨﻳو ﻲﻣﺪﺷﺎﺑ .

ﺰﻛﺮﻣﻊﻳزﻮﺗ ﺪﻴﻠﻛ :سوﺮﺑﺮﻛ راﺰﮔرﺎﻛ لدﺎﻌﻣﻲﻣﺪﺷﺎﺑ .

• Principal

:ﻪﺑﺲﻳوﺮﺳ ﻪﻴﻠﻛ وناﺮﺑرﺎﻛ ،ﺎﻫ هﺎﮕﺘﺳد ،ﺎﻫ يﺮﺻﺎﻨﻋ ﻪﻛ جﺎﻴﺘﺣا ﻪﺑ ﻪﺘﻔﮔ ،ﺪﻧراد سوﺮﺑﺮﻛ راﺰﮔرﺎﻛ ﻪﺑ دﻮﺧ نﺪﻧﺎﺳﺎﻨﺷﻲﻣدﻮﺷ .

٧

سو

ياﺮﺑ ﻲﻓﺮﻌﻣ سوﺮﺑﺮﻛ زا مﺎﮔ ﻪﺑ مﺎﮔ ترﻮﺻ ﻪﺑ يﺎﻬﻠﻜﺗوﺮﭘ

عوﺮﺷ هدﺎﺳﻲﻣﻢﻴﻨﻛ وﻲﻌﺳ ﻲﻣﻢﻴﻨﻛ ﺮﻫ تﻻﺎﻜﺷا ﻚﻳار فﺮﻃﺮﺑ ﻢﻴﻨﻛ ﻪﺑ ﺎﺗ سوﺮﺑﺮﻛ ﻢﻴﺳﺮﺑ.

٨

هدﺎﺳ گﻮﻟﺎﻳد زاﺮﺣاﺖﻳﻮﻫ-0

صﺮﻓ :ﻦﻴﺑ ASراﺰﮔرﺎﻛ ﺮﻫ وﻚﻳﺪﻴﻠﻛدراد دﻮﺟو كﺮﺘﺸﻣ . راﺰﮔرﺎﻛ زا ﺎﻣﺮﻓرﺎﻛ ﻂﺳﻮﺗ تﺎﻣﺪﺧ ﺖﺳاﻮﺧرد:

1.

Client AS: IDclient || PassClient || IDServer

2.

AS Client: Ticket

3.

Client Server: IDclient || Ticket AS : Authentication Serverﻮﻫ زاﺮﺣا راﺰﮔرﺎﻛﻳﺖ Kserver: Shared key between AS and Server Ticket = EKserver [IDclient || Addrclient || IDserver]

٩

ﻂﻴﻠﺑ

وﺮﻤﻠﻗ ﻪﺑ ﺮﺑرﺎﻛ دورو مﺎﮕﻨﻫ ﻪﻛ ﺖﺳا ﻲﻫاﻮﮔ ﻲﻋﻮﻧ ﻊﻗاو رد سوﺮﺑﺮﻛ ﻊﺑﺎﻨﻣ ﻪﺑ ﻲﺳﺮﺘﺳد ياﺮﺑ وا رﺎﺒﺘﻋا ﺮﮕﻧﺎﻴﺑ ﻪﻛ دﻮﺷ ﻲﻣ هداد وا ﻪﺑ ﺪﺷﺎﺑ ﻲﻣ ﻪﻜﺒﺷ.

١٠

ﻲﺳرﺮﺑ گﻮﻟﺎﻳد

ﺎﻣﺮﻓرﺎﻛ سردآ اﺮﭼ(Client)ﻠﺑرد ﻴﻣﺮﻛذ ﻂﻴ؟دﻮﺸ

ردﺮﻴﻏ ﻦﻳا ﺮﻫ ترﻮﺻ ﻲﺼﺨﺷ ﻪﻛ ﻂﻴﻠﺑ زا ار ﻖﻳﺮﻃ دروآ ﺖﺳد ﻪﺑ دﻮﻨﺷ ﺰﻴﻧ ﺪﻧاﻮﺘﻴﻣ

ﺪﻨﻛ هدﺎﻔﺘﺳا تﺎﻧﺎﻜﻣا زا .ردهﺪﺷ ﺮﻛذ سردآ ﻪﺑ تﺎﻣﺪﺧ ﺎﻬﻨﺗ نﻮﻨﻛا ﺎﻣاﻂﻴﻠﺑ ﻪﻳارا دﻮﺸﻴﻣ .

سردآ ﻞﻌﺟ ﻞﻜﺸﻣ

ﺎﻣﺮﻓرﺎﻛ ﻪﺳﺎﻨﺷ اﺮﭼ

IDclient لﺎﺳرا هﺪﺸﻧ ﺰﻣر ترﻮﺻ ﻪﺑ مﻮﺳ مﺎﮔ رد ﻣﻴ؟دﻮﺸ

اﺮﻳز ﻦﻳا ترﻮﺻ ﻪﺑ تﺎﻋﻼﻃا يرﺎﮕﻧﺰﻣر رد هﺪﺷ ﻂﻴﻠﺑدراد دﻮﺟو . ﺎﺑ ﻪﺳﺎﻨﺷ ﺮﮔا ﻂﻴﻠﺑ تﺎﻣﺪﺧ ﺪﺷﺎﺑ ﻪﺘﺷاﺪﻧ ﺖﻘﺑﺎﻄﻣ ﻪﻳارا ﻲﻤﻧﺪﻧﻮﺷ .

١١

تﻼﻜﺸﻣ هدﺎﺳ گﻮﻟﺎﻳد زاﺮﺣاﺖﻳﻮﻫ-0

ﻲﻨﻣاﺎﻧ

رﻮﺒﻋ ﻪﻤﻠﻛ لﺎﺳرا راﺬﮔﺰﻣر نوﺪﺑي)ﺑﻪﻞﻜﺷ ﺢﺿاو ﻦﺘﻣ ( راﺮﻜﺗ ﻪﻠﻤﺣ نﺎﻜﻣا

ﻲﻳآرﺎﻛﺎﻧ

موﺰﻟ يﺎﺿﺎﻘﺗ ﻂﻴﻠﺑ ﺪﻳﺪﺟ ياﺮﺑ ﺮﻫ ﺖﻣﺪﺧ

١٢

ﻂﻴﻠﺑ زا دﺪﺠﻣ هدﺎﻔﺘﺳاﺎﻫ

اﺮﭼ ﻂﻴﻠﺑ زا دﺪﺠﻣ هدﺎﻔﺘﺳا ﺎﻫ)

Tickets (ﻤﻫا ﻴ؟دراد ﺖ

ﮔﻮﻠﺟﻴﺮيﺎﺗزا ﻳردرﻮﺒﻋ ﻪﻤﻠﻛ دﺪﺠﻣ ﭗﻳﻧﺎﻣز هزﺎﺑ ﻚﻲهﺎﺗﻮﻛ ﺖﻴﻓﺎﻔﺷ زاﺮﺣا ﺖﻳﻮﻫ

ﻪﺟﻮﺘﻣ ﺮﺑرﺎﻛ يﺎﻫﺪﻨﻳآﺮﻓ ﺖﻳﻮﻫ ﻲﺳﺎﻨﺷ ﻲﻤﻧدﻮﺷ .

١٣

ﺶﻳاﺰﻓا ﻲﻨﻤﻳا-دﻳگﻮﻟﺎ 1

زا هدﺎﻔﺘﺳاﻳﺪﺟراﺰﮔرﺎﻛ ﻚﻳﻠﺑهﺪﻨﻨﻛ ﺎﻄﻋا راﺰﮔرﺎﻛ مﺎﻧ ﺎﺑ ﺪﻴﻂ

• TGS: Ticket Granting Server

راﺰﮔرﺎﻛ ﺖﻳﻮﻫ زاﺮﺣا،

AS ،دراد دﻮﺟو نﺎﻛﺎﻤﻛ .

ﻠﺑﻴﻂ“ءﺎﻄﻋاﻠﺑﻴﻂ”

ticket-granting ticket ردﺎﺻ نآ ﻂﺳﻮﺗ ﻲﻣدﻮﺷ . ﻠﺑ ﻪﭼﺮﮔا ﻴيﺎﻬﻄ ﻂﺳﻮﺗ تﺎﻣﺪﺧ ءﺎﻄﻋا

TGSﻣردﺎﺻ ﻴﺪﻧﻮﺸ .

ﻠﺑﻴﻂ“ءﺎﻄﻋا تﺎﻣﺪﺧ”

service-granting ticket رﻮﺒﻋ ﻪﻤﻠﻛ لﺎﻘﺘﻧا زا بﺎﻨﺘﺟا ﭘندﺮﻛ ﺰﻣر ﺎﺑ ﻴراﺰﮔرﺎﻛ مﺎ ﺖﻳﻮﻫ زاﺮﺣا )

AS ( ﺎﻣﺮﻓرﺎﻛ ﻪﺑ ﻠﻛ ﻂﺳﻮﺗ ﻴرﻮﺒﻋ ﻪﻤﻠﻛ زا هﺪﺷ ﻖﺘﺸﻣ ﺪ

١٤

ﺶﻳاﺰﻓا ﻲﻨﻤﻳا-دﻳگﻮﻟﺎ1

AS Client TGS Server

• 1. IDClient || IDTGS
• 2. EKClient [TicketTGS]
• 3. IDClient || IDServer || TicketTGS
• 4. TicketServer
• 5. IDClient || TicketServer

ﻚﻤﻛ ﺎﺑ ﺎﻣﺮﻓرﺎﻛﺪﻴﻠﻛ ودﻮﺧ كﺮﺘﺸﻣ AS ﻂﻴﻠﺑ TGS ار ﻲﺑﺎﻳزﺎﺑ ﺪﻨﻜﻴﻣ.

ﻪﺴﻠﺟ Log In

] Lifetime || Timestamp || ID || Addr || [ID E Ticket

1 1 TGS Client Client K TGS

TGS

= ] Lifetime || Timestamp || ID || Addr || [ID E Ticket

2 2 Server Client Client K Server

Server

=

١٥

ﺶﻳاﺰﻓا ﻲﻨﻤﻳا-دﻳگﻮﻟﺎ1

ﭘﻴﺎﻬﻣﺎيهرﺎﻤﺷ ﻳﻪﺴﻠﺟ ﺮﻫ ءازا ﻪﺑ ود وﻚ

Log onﻣلﺪﺑ ودر ﻴﺪﻧﻮﺸ .

ﭘﻴﺎﻬﻣﺎيﻣلﺪﺑ ودر تﺎﻣﺪﺧ عﻮﻧ ﺮﻫ ءازا ﻪﺑ رﺎﻬﭼ وﻪﺳ هرﺎﻤﺷ ﻴﺪﻧﻮﺸ. ﭘﻴﻣلﺪﺑ ودر تﺎﻣﺪﺧ ﻪﺴﻠﺟ ﺮﻫ ءازا ﻪﺑ ﺞﻨﭘ هرﺎﻤﺷ مﺎﻴدﻮﺸ.

1.

Client AS: IDClient || IDTGS

2.

AS Client: EKClient [TicketTGS]

3.

Client TGS: IDClient || IDServer || TicketTGS

4.

TGS Client: TicketServer

5.

Client Server: IDClient || TicketServer

١٦

ﻮﺘﺤﻣيﻠﺑﻴﺎﻫﻂ

] Lifetime || Timestamp || ID || Addr || [ID E Ticket

1 1 TGS Client Client K TGS

TGS

= ] Lifetime || Timestamp || ID || Addr || [ID E Ticket

2 2 Server Client Client K Server

Server

=

ﻂﻴﻠﺑ يﺎﻄﻋا ﻂﻴﻠﺑ : ﻂﻴﻠﺑ يﺎﻄﻋا تﺎﻣﺪﺧ :

١٧

وﻳﮔﮋﻲﺎﻫيدﻳگﻮﻟﺎ 1

ودﻂﻴﻠﺑ رﺎﺘﺧﺎﺳ هﺪﺷ ردﺎﺻ ﻲﻬﺑﺎﺸﻣﺪﻧراد .فﺪﻫ لﺎﺒﻧد ﻪﺑ سﺎﺳا رديﺪﺣاوﺪﻨﺘﺴﻫ . يرﺎﮕﻧﺰﻣر

TicketTGS زاﺮﺣا ﺖﻬﺟ ﺖﻳﻮﻫ

ﺎﻣﺮﻓرﺎﻛ ﺎﻬﻨﺗﻲﻣﻪﺑﺪﻧاﻮﺗ ﻂﻴﻠﺑ هﺪﺷﺰﻣر ﻲﺳﺮﺘﺳد اﺪﻴﭘ ﺪﻨﻛ .

ندﻮﻤﻧ ﺰﻣرياﻮﺘﺤﻣ ﺎﻬﻄﻴﻠﺑ ﺖﻴﻣﺎﻤﺗ)

Integrity

(ﺪﻨﻜﻴﻣ ﻢﻫاﺮﻓ ار.

ﺮﻬﻣ زا هدﺎﻔﺘﺳاﻲﻧﺎﻣز (Timestamp)ردﺎﻬﻄﻴﻠﺑ ار ﺎﻬﻧآ ياﺮﺑ ﻚﻳهزﺎﺑ ﻲﻧﺎﻣز ﻒﻳﺮﻌﺗ هﺪﺷ

دﺪﺠﻣ هدﺎﻔﺘﺳا ﻞﺑﺎﻗﻲﻣﺪﻨﻛ .

ﻪﻜﺒﺷ سردآ زا زﻮﻨﻫياﺮﺑ زاﺮﺣا ﺖﻳﻮﻫ هﺮﻬﺑ ﻲﻣدﺮﻴﮔ .

ﺐﻟﺎﺟ ناﺪﻨﭼ ﺖﺴﻴﻧ اﺮﻳز ﻞﻌﺟ ﻪﻜﺒﺷ سردآ (Spoof)

ﻲﻣدﻮﺷ .

ﺎﺑﻦﻳا ﻪﺟرد ،لﺎﺣ يازاﺖﻴﻨﻣا ﺎﻴﻬﻣ ﻲﻣدﻮﺷ

١٨

ﻒﻌﺿ طﺎﻘﻧدﻳگﻮﻟﺎ 1

رﺎﺒﺘﻋا نﺎﻣز ﻞﻜﺸﻣﺎﻬﻄﻴﻠﺑ:

هﺎﺗﻮﻛ نﺎﻣز :هژاورﺬﮔ دﺎﻳز يﺎﻫ ﺖﺳاﻮﺧرد ﻪﺑ زﺎﻴﻧ ﺪﻨﻠﺑ نﺎﻣز :ﺮﻄﺧ راﺮﻜﺗ ﻪﻠﻤﺣ

ﺖﻳﻮﻫ ﻲﺳﺎﻨﺷ ﻚﻳﻪﻳﻮﺳ :ﺖﻳﻮﻫ زاﺮﺣا مﺪﻋ راﺰﮔرﺎﻛ ﻂﺳﻮﺗ

رﺎﻛﺎﻣﺮﻓ

ﻚﻳ ﻪﺑ ﺎﻫ ﺖﺳاﻮﺧرد نﺪﻴﺳر راﺰﮔرﺎﻛﺮﻴﻏ زﺎﺠﻣ

١٩

ﻪﺨﺴﻧ سوﺮﺑﺮﻛ4

ﻪﻌﺳﻮﺗﻪﺘﻓﺎﻳ ﻞﻜﺗوﺮﭘ يﺎﻫ ﻲﻠﺒﻗﺖﺳا . ﺖﺳا هﺪﺷ ﻞﺣ راﺮﻜﺗ ﻪﻠﻤﺣ ﻞﻜﺸﻣ. زاﺮﺣاﺖﻳﻮﻫ ﻪﺒﻧﺎﺟ ود )

mutual (راﺮﻗﺮﺑدﻮﺸﻴﻣ.

وناراﺰﮔرﺎﻛ نﺎﻳﺎﻣﺮﻓرﺎﻛ زا ود ﺮﻫ ﺖﻳﻮﻫ ﻞﺑﺎﻘﻣ فﺮﻃ نﺎﻨﻴﻤﻃا ﻞﺻﺎﺣ

ﺪﻨﻨﻜﻴﻣ

٢٠

راﺮﻜﺗ ﻪﻠﻤﺣ ﺎﺑ ﻪﻠﺑﺎﻘﻣ

ﻚﻳ زﺎﻴﻧ ﺪﻳﺪﺟ :راﺰﮔرﺎﻛﺎﻳ

TGS ﺪﻳﺎﺑ نﺎﻨﻴﻤﻃا ﻞﺻﺎﺣ ﺪﻨﻳﺎﻤﻧ ﺮﺑرﺎﻛ ﻪﻛ ﻂﻴﻠﺑ نﺎﻤﻫﻲﺴﻛ ﻪﻛ ﺖﺳا ﻂﻴﻠﺑ ياﺮﺑ هﺪﺷ ردﺎﺻ وا .

مﻮﻬﻔﻣيﺪﻳﺪﺟ ﻪﻣﺎﻧ رﺎﺒﺘﻋا مﺎﻧ ﻪﺑ )

Authenticator (ﺖﺳا هﺪﺷ عاﺪﺑا:

ﺮﺑ هوﻼﻋ ﻂﻴﻠﺑ مﻮﻬﻔﻣ زا ﺎﻫ ﺪﻴﻠﻛ هﺮﻬﺑ ﻪﺴﻠﺟ ﻲﻣﺪﻳﻮﺟ

٢١

ﻪﺨﺴﻧ سوﺮﺑﺮﻛ4:ﻢﺘﻳرﻮﮕﻟا ﻲﺳرﺮﺑ-1

AS Client

• 2. EKClient[KClient,tgs|IDtgs|TS2|Lifetime2|Tickettgs]
• 1. IDClient|IDtgs|TS1

Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]

٢٢

ﻲﻣﺎﻤﺗ ﺎﺑ ﺪﻴﻠﻛ TGS ﺰﻣر هﺪﺷﺪﻧا

ﻂﻴﻠﺑ TGS

ﺪﻴﻠﻛ ﻪﺴﻠﺟ ﻦﻴﺑ ﺎﻣﺮﻓرﺎﻛ و TGS ﻪﺳﺎﻨﺷ ﺎﻣﺮﻓرﺎﻛسردآ ﺎﻣﺮﻓرﺎﻛ ﻪﺳﺎﻨﺷ TGS ﺮﻬﻣﻲﻧﺎﻣز و رﺎﺒﺘﻋا هرود ﻂﻴﻠﺑ Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]

٢٣

رﺎﻛ ياﺮﺑ ﻪﻠﺣﺮﻣ ﻦﻳا ﺞﻳﺎﺘﻧﺎﻣﺮﻓ

ﻦﻣا ندروآ ﺖﺳﺪﺑ ﻂﻴﻠﺑ ”ﻂﻴﻠﺑ ءﺎﻄﻋا “زا

AS

ﻂﻴﻠﺑ يﺎﻀﻘﻧا نﺎﻣز ندروآ ﺖﺳﺪﺑ)

TS2 (

ندروآ ﺖﺳﺪﺑ ﻪﺴﻠﺟ ﺪﻴﻠﻛ ﻦﻴﺑ ﻦﻣا ﺎﻣﺮﻓرﺎﻛ و

TGS

٢٤

ﻂﻴﻠﺑ ندروآ ﺖﺳﺪﺑ“تﺎﻣﺪﺧ ءﺎﻄﻋا”

TGS Client

• 3. IDserver|Tickettgs|AuthenticatorClient

TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4] AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3]

• 4. EKClient,tgs [KClient,server|IDserver|TS4|Ticketserver]

٢٥

ﻲﻣﺎﻤﺗ ﺎﺑ ﺪﻴﻠﻛ ﺰﻣر راﺰﮔرﺎﻛ هﺪﺷﺪﻧا

ﻂﻴﻠﺑراﺰﮔرﺎﻛ

ﺪﻴﻠﻛ ﻪﺴﻠﺟ ﻦﻴﺑ ﺎﻣﺮﻓرﺎﻛ راﺰﮔرﺎﻛ و ﻪﺳﺎﻨﺷ ﺎﻣﺮﻓرﺎﻛسردآ ﺎﻣﺮﻓرﺎﻛ ﻪﺳﺎﻨﺷ TGS ﺮﻬﻣﻲﻧﺎﻣز و رﺎﺒﺘﻋا هرود ﻂﻴﻠﺑ TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]

٢٦

ﺎﻣﺮﻓرﺎﻛ ﻪﻣﺎﻧ رﺎﺒﺘﻋا

ﻪﺳﺎﻨﺷ ﺎﻣﺮﻓرﺎﻛسردآ ﺎﻣﺮﻓرﺎﻛ ﺮﻬﻣﻲﻧﺎﻣز AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3]ﻲﻣﺎﻤﺗ ﺎﺑ ﺪﻴﻠﻛ

ﺰﻣر ﻪﺴﻠﺟ هﺪﺷﺪﻧا

٢٧

رﺎﻛ ياﺮﺑ ﻪﻠﺣﺮﻣ ﻦﻳا ﺞﻳﺎﺘﻧﺎﻣﺮﻓ

يﺮﻴﮔﻮﻠﺟ زا هدﺎﻔﺘﺳا ﺎﺑ راﺮﻜﺗ ﻪﻠﻤﺣ زا ﻚﻳﻪﻣﺎﻧ رﺎﺒﺘﻋا

)

Authenticator

(دراد ﻲﻫﺎﺗﻮﻛ ﺮﻤﻋ ﻪﻛ فﺮﺼﻣ رﺎﺒﻜﻳ.

روﺮﺳ ﺎﺑ طﺎﺒﺗرا ياﺮﺑ ﻪﺴﻠﺟ ﺪﻴﻠﻛ ندروآ ﺖﺳﺪﺑ

V

٢٨

ﻪﺑ ﻲﺑﺎﻴﺘﺳدروﺮﺳ تﺎﻣﺪﺧ

Client Server

• 5. TicketServer|AuthenticatorClient
• 6. EKClient,Server [TS5+1]

٢٩

رﺎﻛ ياﺮﺑ ﻪﻠﺣﺮﻣ ﻦﻳا ﺞﻳﺎﺘﻧﺎﻣﺮﻓ

ﺖﻳﻮﻫ زاﺮﺣا ﻢﺸﺷ مﺎﮔ رد راﺰﮔرﺎﻛ هﺪﺷﺰﻣر مﺎﻐﻴﭘ نﺪﻧادﺮﮔﺮﺑ ﺎﺑ ﻪﻠﻤﺣ زوﺮﺑ زا يﺮﻴﮔﻮﻠﺟ راﺮﻜﺗ

٣٠

ﻪﺨﺴﻧ سوﺮﺑﺮﻛ4:يﺎﻤﺷ ﻲﻠﻛ

٣١

ﻪﺨﺴﻧ سوﺮﺑﺮﻛ4:يﺎﻤﺷ ﻲﻠﻛ

٣٢

وﺮﻤﻠﻗ سوﺮﺑﺮﻛ (realm)

وﺮﻤﻠﻗ سوﺮﺑﺮﻛﺖﺳا هﺪﺷ ﻞﻴﻜﺸﺗ ﺮﻳز يﺎﻬﺸﺨﺑ زا: سوﺮﺑﺮﻛ راﺰﮔرﺎﻛ نﺎﻳﺎﻣﺮﻓرﺎﻛ ناراﺰﮔرﺎﻛ يدﺮﺑرﺎﻛ

Application Servers

رد ار ناﺮﺑرﺎﻛ مﺎﻤﺗ هژاورﺬﮔ سوﺮﺑﺮﻛ راﺰﮔرﺎﻛهﺎﮕﻳﺎﭘدراد دﻮﺧ هداد . راﺰﮔرﺎﻛ ﺮﻫ ﺎﺑ سوﺮﺑﺮﻛ راﺰﮔرﺎﻛ يدﺮﺑرﺎﻛ يﺪﻴﻠﻛ ﻲﻔﺨﻣ ﺖﺳا ﻪﺘﺷاﺬﮔ كاﺮﺘﺷا ﻪﺑ . لدﺎﻌﻣ وﺮﻤﻠﻗ ﺮﻫ ًﻻﻮﻤﻌﻣﻚﻳهزﻮﺣﻲﺘﻳﺮﻳﺪﻣ ﺖﺳا .

٣٣

ﻲﻳوﺮﻤﻠﻗ ﻦﻴﺑ ﻲﺳﺎﻨﺷ ﺖﻳﻮﻫ

٣٤

ﻪﺨﺴﻧ سوﺮﺑﺮﻛ5

تﺎﺼﺨﺸﻣ

ﻂﺳاوا رد1990ﺪﺷحﺮﻄﻣ ﺖﺳا هدﺮﻛ فﺮﻃﺮﺑ ار ﻲﻠﺒﻗ ﻪﺨﺴﻧ يﺎﻫدﻮﺒﻤﻛ وﺎﻫ ﺺﻘﻧ ﻲﺘﻧﺮﺘﻨﻳا دراﺪﻧﺎﺘﺳا ناﻮﻨﻋ ﻪﺑ

RFC 1510ﺖﺳا هﺪﺷ ﻪﺘﻓﺮﮔ ﺮﻈﻧ رد .

زوﺪﻨﻳو 2000زادراﺪﻧﺎﺘﺳاﻲﺘﻧﺮﺘﻨﻳا ﻪﺨﺴﻧ سوﺮﺑﺮﻛ 5شور ناﻮﻨﻋ ﻪﺑ ﻲﻠﺻا ﺖﻳﻮﻫ

ﻲﺳﺎﻨﺷ هدﺎﻔﺘﺳا ناﺮﺑرﺎﻛ ﻲﻣﺪﻨﻛ .

٣٥

تﻼﻜﺸﻣ Kerberos v4 ﻪﺨﺴﻧ رد ﺎﻬﻧآ ﻊﻓر هﻮﺤﻧ و5

صﺎﺧ يرﺎﮕﻧﺰﻣر ﻢﺘﺴﻴﺳ ﻚﻳ ﻪﺑ ﻲﮕﺘﺴﺑاو)

DES (

+ﻪﺨﺴﻧ رد5دﺮﻛ هدﺎﻔﺘﺳا نرﺎﻘﺘﻣ ﻢﺘﻳرﻮﮕﻟا ﺮﻫ زا ناﻮﺗ ﻲﻣ ﻪﺑ ﻲﮕﺘﺴﺑاو

IP

+ﻪﺨﺴﻧ رد5ﻪﻜﺒﺷ سردآ ﺮﻫ زا ناﻮﺗ ﻲﻣ )ﻼﺜﻣ OSI ﺎﻳ IP (دﺮﻛ هدﺎﻔﺘﺳا ﺎﻬﻄﻴﻠﺑ رﺎﺒﺘﻋا نﺎﻣز ندﻮﺑ دوﺪﺤﻣ + ﻪﺨﺴﻧ رد5دراﺪﻧ دﻮﺟو ﺖﻳدوﺪﺤﻣ ﻦﻳا

٣٦

تﻼﻜﺸﻣ Kerberos v4 ﻪﺨﺴﻧ رد ﺎﻬﻧآ ﻊﻓر هﻮﺤﻧ و5

نﺎﻜﻣا لﺎﻘﺘﻧا دراﺪﻧ دﻮﺟو ﺮﮕﻳد روﺮﺳ ﻚﻳ ﻪﺑ ﺮﺑرﺎﻛ ﻚﻳ رﺎﺒﺘﻋا

+ ﻼﺜﻣ DBMS زﺎﻴﻧ دراد ياﺮﺑ وسﺮﭘ ﻪﺑ نداد ﺦﺳﺎﭘ يﻮﺟ ،ﺮﺑرﺎﻛ ﻲﺧﺮﺑ زا ار ﺎﻫ هداد ﻚﻳهﺎﮕﻳﺎﭘ هداد ﺮﮕﻳد دﺮﻴﮕﺑ.

ﺎﻫوﺮﻤﻠﻗ داﺪﻌﺗ ﺶﻳاﺰﻓا ﺎﺑ،ﺶﻳاﺰﻓا يﺪﻋﺎﺼﺗ ترﻮﺼﺑ ﺎﻫﺪﻴﻠﻛ داﺪﻌﺗ

ﺪﺑﺎﻳ ﻲﻣ + ﻪﺨﺴﻧ رد5ﺖﺳا هﺪﺷ ﻞﺣ ﻞﻜﺸﻣ ﻦﻳا .

٣٧

ﻪﺨﺴﻧ سوﺮﺑﺮﻛ5:يﺎﻤﺷﻲﻠﻛ

V V

٣٨

هدﺎﻴﭘ يزﺎﺳ يﺎﻫ دﻮﺟﻮﻣ

هﺎﮕﺸﻧاد

MIT :ﻦﻴﻟوا هدﺎﻴﭘ يزﺎﺳ راﺮﻗ هدﺎﻔﺘﺳا درﻮﻣ ﻊﺟﺮﻣ ناﻮﻨﻋ ﻪﺑ زﻮﻨﻫ ﻪﻛ سوﺮﺑﺮﻛ ﻲﻣ دﺮﻴﮔ

• Heimdal

:ﺎﻬﻨﺗهدﺎﻴﭘ يزﺎﺳ جرﺎﺧ رد هﺪﺷ مﺎﺠﻧا ﺎﻜﻳﺮﻣآ

• Active Directory

:هدﺎﻴﭘ يزﺎﺳ ﻂﺳﻮﺗ هﺪﺷ ﻪﺋارا ﺖﻓﺎﺳوﺮﻜﻳﺎﻣ رد ﻪﻛ RFC 1510ﺖﺳا هﺪﻣآ

٣٩

• X-509

Directory

Alice Bob

Alice’s Public Key Certificate Bob’s Public Key Certificate

Certificate Authority

Alice’s Public Key Publish

CA

Bob’s Public Key Retrieve Bob’s Certificate Retrieve Alice’s Certificate ٤٠

• PKI

–

: “

• ”

.

٤١

• PKI

–

• .

– –

(Scalable)

• .

٤٢

• –

.

–

.

–

RSA Public key

–

٤٣

• ٤٤
• –

.

–

.

–

• .

–

.

٤٥

• –
• .

–

.

–

.

٤٦

• –

.

–

.

–

.

–

.

٤٧

• –
• .

.

–

• .

–

.

٤٨

• .
• :
• .
• .

3

• .

٤٩

• .
• .
• .
• .
• .
• .

٥٠

• –
• (Certificate)

.

–

(CA) . Certificate:= ( Public Key, ID, EKRCA(Certificate - Signature) )

٥١

• .
• .
• .
• CA

.

–

• ) .
• (

٥٢

٥٣ ٥٤

• –

.

• .

–

CRL

• .

Certificate Revocation List

٥٥

• –

:: .

–

.

–

• .

٥٦

• –

:

• .
• CA
• .

–

CRL .

٥٧

• ٥٨

–

.

–

• )

)

–

:Certificate Policy …..

٥٩ ٦٠

• PKI
• .
• PKI
• .
• PKI

.

٦١

• PKI
• PKI
• :
• .
• ٦٢
• PKI
• (Backup & Restore)
• cross-certification
• .

٦٣

CA

• CA

PKI

• .

٦٤

• !
• .
• .
• :

. .

• .

٦٥

• .
• .
• :

.

• )
• (

Backup

• .
• .
• ==>

!

٦٦

• .

:

• .
• .
• .
• (Transparent)
• .
• :

!

٦٧

• PKI

–

CRL

• .

–

PKI

• ...

٦٨

• PKI

–

: Certificate Authority : CA

–

Registration Authority: RA

• .

–

• (Repository):

CRL

• )

. (

–

• (Archive):
• .

٦٩

• PKI

–

:

–

. " :

• "

"Certificate Holder”

–

.

٧٠

CA

–

• .

–

• :

.

–

• ...

٧١

• CA

–

) ( CA

• .

–

CRL.

–

CRL

• –

.

٧٢

–

) ( .

–

CA .

–

CA .

–

CA .

٧٣

CA

٧٤

– –

RA CA

• :

.

–

CA

• .

–

CA .

٧٥

• PKI

–

CA .

–

CA

–

PKI

• CA

Single point of failure

• .

٧٦

X.509

• ITU-T

X.500

• X.509
• S/MIME IPSec

SSL/TLS

• SET

. CA << A >> O CA A

• .
• CA:

.

٧٧

Version 1 Version 3 Version 2 All Versions

ر ها ر

٧٨

ر ها ر -٢

Certificate

Public Key Algorithm Signature Algorithm

(object Identifier) (object Identifier)

Public Key

(bit string)

Subject

(name)

Issuer

(name)

Not Before Not After Validity Period

(date and time) (date and time)

• Signed

Optional Attributes Version

(Integer)

٧٩

Cross-Certificate

• :
• CA

CA.

• CA

CA .

• A
• B

CA

• X1
• X2:

X1 <<X2>> X2 <<B>> O X2 <<X1>> X1 <<A>> O

• :

X <<W>> W <<V>> V <<Y>>Y<<Z>>Z<<B>> O Z <<Y>> Y <<V>> V <<W>>W<<X>>X<<A>> O

٨٠

Enterprise PKI

–

PKI

• .
• Mesh

٨١ ٨٢

٨٣

CRLs

• Hot List

Credit Card

• .
• CRL
• Hot List
• .
• CRL

.

• CRL

CA

• .
• CRL

.

٨٤

• CRL

signatureValue signAlgorithm tbsCertList CRLExtensions RevokedCerts NextUpdate ThisUpdate Issuer Signature Version

٨٥

• CRL
• tbsCert list

.

• )

ID

• (
• Version
• .

٨٦

• CRL
• Signature

CA CRL

• .

Algorithm Sign.

• .
• Issuer

CA CRL distribution point . (indirect CRL)

٨٧

CRL

• CRL

ITU-T

• ANSI x9

.

• Authority key identifier

CRL

• .
• Reason- code

٨٨

CRL

• Full CRL

CA

• Revoke

.

• next update time

CRL .

• CRL Location

: CRL

• CA

.

• CRL

Revoke .

٨٩

CRL

• (subject type)

.

• CRL Distribution point

.

• Delta CRL

CRL

• .
• (Indirect CRL Authority) :: ICRLA
• CRL

.

• Revoke

CA .

٩٠

(Repository)

• CRL

.

• .
• (availability)
• .
• Interoperability

٩١

• n line

.

• PKI
• IETF

PKIX LDAP v2 .

• RFC 2587

:

• :pkiUser
• pkiCA

: CA CRL, ARL

• :CRLDistributionPoint

ARL, CRL, DeltaCRL

ARL

• CRL

CA

• ٩٢
• X.500
• X.500

...

• DSA

(Directory Service Agent)

• (DUA) Directory User Agent
• x.500

Availability

٩٣

• X.500
• DAP

) Directory Access Protocol (

• DUA
• DSA
• DSP

) Directory Service Protocol ( DSA

• DISP

) Directory Inf. Sharing Protocol (

٩٤

LDAP

• (Lightweight DAP) LDAP
• LDAP v2
• .

.

• DSP

. .

• CA
• LDAP
• .

٩٥

• FTP

. HTTP E-Mail

٩٦

PKI

PKI Management Transactions

• Certificate Request
• Basic certificate req.
• .
• Initial certificate req.

.

• .

CA certificate req

• Revocation Requests
• Basic
• External

٩٧

PKI

• PKI

. PKCS#10

• .
• PKCS#10

SSL

• PKCS#7

)

• (

PKI .

٩٨

PKI

• CMP
• (Certificate Management Protocol)
• .
• (CMC)
• Certificate Management using CMS
• .
• (SCEP)
• Enrollment Protocol

Sample Certificate

• .

٩٩

Pkcs#10

• PKCS#10 with SSL
• PKCS#7 and PKCS#10

: .

• PKCS#7

.

• PKCS#10
• PKCS#7
• .

١٠٠

SCEP

• SCEP

Cisco LDAP, HTTP, PKCS#7, DES, RSA .

• RA, CA
• CRL

١٠١

• PKI
• (CP) Certificate Policy
• (CPS) Certificate Practices

Statement

• .

١٠٢

• CP

.

• CA

.

• .
• CPS

CP

• .