Authentication

‫احراز ًَیت ي مکاویسم َای آن‬

‫فُیمٍ پارسایی‬
‫داوشجًی رشتٍ تجارت الکتريویک‬
‫بُمه 98‬

‫مرکس توزیع‬ ‫رمسنگاری‬
‫مقدمه‬ ‫چالش و پاسخ‬ ‫‪HMAC‬‬ ‫نیدهام-شرودر‬ ‫‪KERBEROS‬‬
‫کلید‬ ‫کلید عمومی‬

‫‪authentication‬‬

‫‪authorization‬‬
‫‪auditing‬‬


‫احطاظَّیت‬
‫‪ ‬ضٍـ یب هىبًیعهی اؾت وِ ثط اؾبؼ آى ّط هَخَزیت (هثل یه‬
‫پطٍؾِ یب قرم) ثطضؾی هی وٌس وِ آیب قطیه اٍ زض یه‬
‫اضتجبٌ (یؼٌی هَخَزیت َطف همبثل)، ّوبًی اؾت وِ ازػب هی‬
‫وٌس یب یه اذالل گط ثبلث اؾت وِ ذَز ضا ثدبی َطف ٍالؼی‬
‫خب ظزُ اؾت.‬
‫خؼل ٍ اضؾبل زازُّبی ؾبذتگی‬


‫احطاظَّیت‬
‫چیعی وِ وبضثط ثساًس‬
‫ضهع ػجَض هتٌی، ضهع ػجَض تهَیطی‬
‫چیعی وِ وبضثط هبله آى اؾت‬
‫تَويّبی اهٌیتی، وبضتّبی َّقوٌس‬
‫چیعی وِ وبضثط اظ ًظط ثیَلَغیه زاضز‬
‫اثط اًگكت، الگَی قجىِ چكن، تكریم چْطُ،‬
‫تكریم نسا‬


‫ولوِ ػجَض‬
‫ضایحتطیي ًَع احطاظ َّیت اؾت.‬
‫هعیت‬
‫پیبزُ ؾبظی ثؿیبض ؾبزُ‬
‫هؼبیت‬
‫هی تَاى آى ضا حسؼ ظز.‬
‫ثِ آؾبًی ثِ زیگطی زازُ هی قَز.‬
‫یبزآٍضی آى، ثِ ٍیػُ اگط هطتجب اؾتفبزُ ًكَز، ّویكِ آؾبى ًیؿت.‬
‫آهَظـ وبضثطاى‬


‫تَوي‬
‫تَوي زاضای حبفظِای ثطای اًدبم ػولیبت ضهعًگبضی‬
‫ٍ ًگْساضی گَاّیّبی الىتطًٍیىی ّؿتٌس ٍ ثب‬
‫اؾتفبزُ اظ ضیع تطاقِ هَخَز زض آى ّب ٍ ثىبضگیطی‬
‫الگَضیتن ّبی پیچیسُ، ػولیبت ضهع ًگبضی اًدبم هی‬
‫قَز‬
‫تٌْب قرهی وِ زاضًسُ تَوي هی ثبقس، هی تَاًس ثب‬
‫ٍاضز وطزى ولوِ ػجَض تَوي ثِ اَالػبت هحطهبًِ‬
‫زؾتطؾی پیسا وٌس.‬


‫ثیَهتطیه‬

‫اؾتفبزُ اظ ذهَنیبت فیعیىی اقربل‬
‫هعیت‬
‫غیط لبثل زؾتطؾی، گن قسى، فطاهَقی‬
‫ػیت‬
‫ّعیٌِ، ًهت، ًگْساضی‬


‫احطاظ َّیت ثط اؾبؼ ضٍیىطز چبلف ٍ پبؾد‬
‫چبلف ٍ پبؾد (‪ :)challenge and Response‬یىی اظ َطفیي ، یه ػسز یب ضقتِ‬
‫ای تهبزفی تَلیس ٍآى ضا ثطای َطف همبثل ذَز هی فطؾتس. َطف همبثل ثبیس تجسیل‬
‫ذبنی ضا ضٍی آى اػوبل وٌس ٍ ًتیدِ ضا ثطگطزاًس. ثِ ػسز یب ضقتِ ی تهبزفی «ضقتِ‬
‫چبلف ‪» nonce‬گفتِ هی قَز.‬

‫‪nonce‬‬

‫در محديدٌ ای‬
‫باید کامال تصادفی‬
‫بسرگ (حداقل 821‬
‫باشد‬
‫بیت) باشد‬


‫آلیؽ ٍ ثبة لجال زض ذهَل یه ولیس ؾطی ٍ هتمبضى َجك ضٍقی‬
‫هُوئي ثِ تَافك ضؾیسُ اًس.ایي ولیس هتمبضى ًبهیسُ هی قَز. اظ‬
‫آًدب وِ تحت ّیچ قطایُی ولیس ضهع ًجبیس ثط ضٍی قجىِ هٌتمل‬
‫قَز لصا آًْب ثطای احطاظ َّیت یىسیگط ثِ ضٍیىطز چبلف ٍ‬
‫پبؾد هتَؾل هی قًَس.‬
‫‪ B‬هؼطف ثبة‬ ‫‪ A‬هؼطف آلیؽ‬
‫‪ K‬هؼطف ولیس‬ ‫‪ R‬هؼطف ضقتِ چبلف‬


‫آلیس‬ ‫باب‬

‫‪A‬‬ ‫‪B‬‬

‫1‬
‫‪A‬‬

‫2‬
‫‪RB‬‬

‫3‬
‫) ‪K AB ( RB‬‬
‫4‬
‫‪RA‬‬
‫5‬
‫ظهبى‬ ‫) ‪K AB ( RA‬‬ ‫ظهبى‬
‫آغبظ ًكؿت‬


‫ًمس ٍ ثطضؾی‬
‫‪T‬‬ ‫اخالل گر‬
‫یىی ‪ B‬هكىالت ایي ضٍـ حولِ ثبظتبة اؾت.‬
‫باب‬
‫اظ‬

‫1‬
‫‪A, RT‬‬

‫2‬
‫) ‪RB, K AB ( RT‬‬

‫3‬
‫‪A, RB‬‬

‫4‬ ‫) ‪RB 2 , K AB (R B‬‬
‫5‬
‫ظهبى‬ ‫) ‪K AB ( RB‬‬ ‫ظهبى‬


‫ضاّىبض‬
‫َطاحی ؾیؿتن ثِ گًَِ ای ثبقس وِ ثِ هحى هكبّسُ اَالػبت یه ًكؿت زض‬
‫ًكؿت هَاظی زیگط، ؾیؿتن ّط زٍ ًكؿت ضا لُغ وٌس‬ ‫‪A‬‬

‫َطفیي ثِ گًَِ ای ضقتِ ّبی چبلف ذَز ضا اظ هدوَػِ ّبی هتفبٍت‬
‫اًتربة وٌٌس وِ اهوىبى خؼل َّیت ًجبقس‬
‫‪B‬‬

‫تطویت ضٍـ ّبی فَق اهٌیت ضا زض ثطاثط حولِ ثبظتبة ثبال هی ثطز.‬


‫‪MAC‬‬
‫یىی اظ ایي ‪ّ Hash Function‬ب ‪ MAC‬اؾت. وبضی وِ ‪ MAC‬هیىٌس‬
‫ایٌؿت وِ یه ولیس ضا وِ ‪ secret key‬اؾت ثْوطاُ یه پیبم ثؼٌَاى‬
‫ٍضٍزی لجَل هیىٌس ٍ یه ذطٍخی هیسّس ثٌبم ‪Message‬‬
‫‪ Authentication Code‬وس قٌبؾبیی َّیتی وِ ثِ آى پیبم تؼلك‬
‫زاضز ٍ وبضثطز انلی ایي تبثغ ایٌؿت وِ ظهبًیىِ پیبهی ضا ثطای فطزی اضؾبل‬
‫هیىٌین آى فطز ثتَاًس اظ َّیت انلی فطز فطؾتٌسُ اَویٌبى حبنل وٌس ٍ‬
‫هُوئي قَز وِ فطزی پیبم ضا ثطایف اضؾبل وطزُ وِ آى اًتظبضـ ضا زاقتِ‬
‫ٍ اضؾبل وٌٌسُ انلی پیبم اؾت.‬


‫‪HMAC‬‬


‫‪HMAC‬‬
‫پیبزُ ؾبظی ایي ضٍـ زض ؾُح ؾرت افعاض ّعیٌِ ون ٍ‬
‫‪A‬‬
‫ؾطػت ثبالیی زاضز‬

‫ثطای زٍ هَخَزیت وِ اظ َطیك یه لیٌه هؿتمین ثِ‬
‫‪B‬‬
‫یىسیگط هتهلٌس ، ثؿیبض هفیس اؾت.‬
‫ثبیس فطو قَز وِ لجال فطایٌس قٌبؾبیی همسهبتی ٍ هجبزلِ ی قٌبؾِ‬
‫ّبی وبضثطی نَضت گطفتِ ٍ ایي هىبًیعم نطفب ثطای اثجبت زضؾتی‬ ‫‪C‬‬
‫ازػبی َطفیي اؾت.‬

‫ایي الگَضیتن ثب یه ضٍـ ضهعًگبضی هتمبضى هثل ‪AES‬‬
‫‪D‬‬
‫یب‪ serpent‬لبثل خبیگعیي اؾت.‬


‫احطاظ َّیت هتىی ثط هطوع تَظیغ ولیس‬

‫‪ ‬فطو وٌیس ذسهبتی وِ یه ثبًه یب هَؾؿِ اػتجبضی اضائِ هی‬
‫وٌس ثِ قىلی ثبقس وِ وبضثط حسالل یىجبض زض یىی اظ قؼت‬
‫حبيط قَز . حؿبة ثبظ وٌس ٍ ولیس ذَز ضا زضیبفت ًوبیس.‬

‫‪ )key distributed center(KDC ‬ثِ زلیل حدن ظیبز ولیس‬
‫وبضثطاى، ایي هطوع ثطای شذیطُ ٍ هسیطیت ولیسّب ایدبز هی قَز.‬


‫‪KDC‬‬

‫‪A‬‬ ‫‪B‬‬

‫1‬
‫) ‪A, K A ( B, Ks‬‬
‫3‬
‫) ‪K B ( A, K s‬‬

‫ظهبى‬ ‫ظهبى‬


‫ًمس ٍثطضؾی‬
‫یىی اظ ذُطات ثؿیبض هْن «حولِ تىطاض» اؾت. ظیطا اذاللگط ثبلث‬
‫هی تَاًس پیبم ّبی ثیي َطفیي ثسٍى ّیچ فْوی اظ هحتَا اؾتطاق‬
‫ؾوغ وٌس.‬


‫ضاّىبض‬

‫ثِ وبضگیطی «هْط ظهبى» ثِ هٌظَض تكریم تبظگی پیبم‬ ‫‪A‬‬

‫زض ّط پیبم ضقتِ تهبزفی ‪ nonce‬ثبقس ٍ گیطًسُ ثب هطاخؼِ ثِ فبیل ًگْساضی‬
‫ؾبثمِ پیبم ّب، تىطاضی ثَزى ضا ثطضؾی وٌس.‬ ‫‪B‬‬

‫‪ ‬تطویت ضٍـ ّبی فَق ثْتطیي ضاُ اؾت.‬

‫‪ ‬ضقتِ ّبی زاضای اػتجبض ظهبًی فمٍ زض ثبفط ًگْساضی هی قًَس.‬


‫هىبًیعم احطاظ َّیت ًیسّبم-قطٍزض‬

‫‪‬ایي پطٍتىل زض ؾبل 8791 تَؾٍ ضاخطظ ًیسّبم ٍ‬
‫هبیىل قطٍزض هؼطفی قس .‬

‫‪‬هجتٌی ثط هفَْم «چبلف ٍ پبؾد» اؾت ٍ ًیبظ ثِ هطوع‬
‫تَلیس ولیس زاضز.‬


‫‪KDC‬‬

‫‪A‬‬ ‫‪B‬‬

‫1‬

‫‪RA , A, B‬‬
‫2‬

‫)) ‪K A ( RA , B, KS , K B ( A, KS‬‬
‫3‬

‫) 2‪K B ( A, KS ), KS ( RA‬‬
‫4‬
‫‪K S ( RA2  1), RB‬‬
‫5‬
‫)1 ‪K S ( RB ‬‬
‫ظهبى‬
‫ظهبى‬


‫ًمس ٍ ثطضؾی‬
‫اگط اذاللگط ثلیٍ ٍولیس ًكؿت ‪ K‬ضا اؾتطاق ؾوغ وٌس. هیتَاًس اظ‬
‫‪S‬‬

‫هطحلِ ؾَم حولِ تىطاض ضا آغبظ وٌس.‬

‫ولیس ًكؿت‬
‫‪KS‬‬

‫هؼوَال یه ثبض ههطف ٍ ّط ثبض تغییط هی وٌٌس ٍ ػوَهب افطاز ٍ ًطم‬
‫افعاض ّب زض ًگْساضی آى زلت ًوی وٌٌس.‬


‫‪KERBEROS‬‬
‫‪ ‬پطٍتىل احطاظ َّیت ‪ Kerberos‬ثركی اظ پطٍغُ «آتي» زض‬
‫زاًكگبُ ‪ MIT‬ثَز وِ زض انل ثط اؾبؼ گًَِ ای اظ پطٍتىل‬
‫«ًیسّبم- قطٍزض» ثٌب ًْبزُ قسُ اؾت. ‪ Kerberos‬هتؼلك ثِ اٍاؾٍ‬
‫زِّ ّكتبز اؾت ٍلی وبضثطزّبی خسی آى زض ّعاضُ ی خسیس زض‬
‫ؾیؿتن ّبی ػبهلی هثل 0002 ‪Solaris ٍ Linux ،Windows‬‬
‫نَضت ٍالؼیت ثرَز گطفت.‬


‫ًبم ‪ Kerberos‬ثطگعیسُ اظ اؾبَیط یًَبى ثبؾتبى اؾت وِ اقبضُ ثِ‬
‫ؾگی قطظُ ثب ؾِ ؾط ثِ قىل افؼی ٍ یبلی قجیِ قیط زاضزٍ اظ زض‬
‫زٍظخ ًگْجبًی هی وٌس تب زٍظذیبى ًتَاًٌس اظ آًدب ذبضج قًَس.‬
‫ٍخِ هكتطن ایي اؾَُضُ وْي ثب ایي پطٍتىل، آضایكی ثب ؾِ‬
‫هؤلفِ ‪ Server ٍ TGS ،AS‬اؾت وِ ّط وبضثط ثِ تطتیت ثبیس اظ‬
‫آًْب هدَظ ثگیطز تب لبزض ثِ زضیبفت ؾطٍیؿی ذبل ثبقس. زضافؿبًِ‬
‫ّب ّطوَل زض ذَاى یبظزّن اظ زٍاظزُ ذبى، وطثطٍؼ ضا وكت ٍ‬
‫ؾطّبی اٍ ضا ًعز اٍضؾتیَؼ ثطز! وطثطٍؼ زًیبی اهٌیت ضا چِ‬
‫وؿی ؾط هی ثطز ٍ آى ّطوَل ویؿت؟‬


‫ٍیػگیْبی ػوَهی وطثطٍؼ‬
‫‪‬ػوَهی ثَزى(‪)Common‬‬
‫زض هحیٍ تَظیغ قسُ ّوطاُ ثب ؾطٍضّبی هتوطوع ٍ غیط هتوطوع‬
‫‪‬اهٌیت (‪)Security‬‬
‫ازػبی انلی‬
‫‪‬اَویٌبى (‪)Reliability‬‬
‫اَویٌبى اظ فؼبل ثَزى ّوِ ؾطٍیؽ ّب ثطای وبضثطاى هدبظ.‬
‫‪‬قفبفیت (‪)Transparency‬‬
‫وبضثطاى ثبیس ؾیؿتن ضا ّوبًٌس یه ؾیؿتن ؾبزُ «قٌبؾِ ٍ ولوِ‬
‫ػجَض»ثجیٌٌس.‬
‫‪‬همیبؼ پصیطی (‪)Scalability‬‬
‫لبثلیت وبض ثب تؼساز ظیبزی هبقیي وبضثط ٍ وبضگعاض‬


‫للوطٍ وطثطٍؼ‬
‫‪ ‬للوطٍ وطثطٍؼ اظ ثركْبی ظیط تكىیل قسُ اؾت:‬
‫– وبضگعاض وطثطٍؼ‬
‫– وبضفطهبیبى‬
‫– وبضگعاضاى وبضثطزی ‪Application Servers‬‬
‫‪ ‬وبضگعاض وطثطٍؼ گصضٍاغُ توبم وبضثطاى ضا زض پبیگبُ زازُ‬
‫ذَز زاضز.‬
‫‪ ‬وبضگعاض وطثطٍؼ ثب ّط وبضگعاض وبضثطزی ولیسی هرفی ثِ‬
‫اقتطان گصاقتِ اؾت.‬
‫‪ ‬هؼوَالً ّط للوطٍ هؼبزل یه حَظُ هسیطیتی هیجبقس.‬


‫اصول ‪KERBEROS‬‬

‫ّطؾطٍیؽ زٌّسُ زاضای ولوِ‬
‫ّط وبضثط زض اٍلیي هطحلِ‬ ‫ّطهَخَزیت هتمبيی ؾطٍیؽ‬
‫ػجَضاؾت ٍتحت ظَاثٍ‬
‫اظ«ٍضٍز ثِ ؾیؿتن» فمٍ‬ ‫ثبیسَّیت ذَزضا اثجبت وٌس‬
‫ذبنی ؾطٍیؽ هی زّس‬
‫َّیت ذَز ضا اثجبت هی وٌس،‬
‫ٍلی ثطای ؾطٍیؽ گطفتي اظ‬
‫ّط ؾطٍیؽ زٌّسُ ثبیس‬
‫هدَظّبی خساگبًِ ای اذص وٌس‬

‫آلیس‬
AS TGS Server

ُ‫ؾطٍیؽ زٌّس‬


ٍ‫نسٍضثلی‬

ِ‫قجى‬
‫احطاظ َّیت‬
A B

1

A
2

K A (K s , KTGS (A , K s ))

3
KTGS (A , K s ), B , K s (t )
4

K s (B , K AB ), K B (A , K AB )
5

K B (A , K AB ), K AB (t )
6

‫ظهبى‬ K AB (t  1) ‫ظهبى‬


‫ثلیٍ‬

‫زض ٍالغ ًَػی گَاّی اؾت وِ ٌّگبم ٍضٍز وبضثط ثِ للوطٍ‬
‫وطثطٍؼ ثِ اٍ زازُ هی قَز وِ ثیبًگط اػتجبض اٍ ثطای‬
‫زؾتطؾی ثِ هٌبثغ قجىِ هی ثبقس.‬


‫افعایف ایوٌیزیبلَي 1‬

‫‪ ‬اؾتفبزُ اظ یه وبضگعاض خسیس ثب ًبم وبضگعاض اػُب وٌٌسُ ثلیٍ‬
‫– ‪TGS: Ticket Granting Server‬‬
‫‪ ‬وبضگعاض احطاظ َّیت، ‪ ، AS‬ووبوبى ٍخَز زاضز.‬
‫– ثلیٍ «اػُبء ثلیٍ» ‪ ticket-granting ticket‬تَؾٍ آى نبزض هی قَز.‬
‫‪ ‬اگطچِ ثلیُْبی اػُبء ذسهبت تَؾٍ ‪ TGS‬نبزض هیكًَس.‬
‫– ثلیٍ «اػُبء ذسهبت» ‪service-granting ticket‬‬
‫‪ ‬اختٌبة اظ اًتمبل ولوِ ػجَض ثب ضهع وطزى پیبم وبضگعاض احطاظ َّیت (‪ )AS‬ثِ‬
‫وبضفطهب تَؾٍ ولیس هكتك قسُ اظ ولوِ ػجَض‬


‫افعایف ایوٌیزیبلَي 1‬
‫پیبهْبی قوبضُ یه ٍ زٍ ثِ اظاء ّط خلؿِ ‪ Log on‬ضز ٍ ثسل‬
‫هیكًَس.‬
‫پیبهْبی قوبضُ ؾِ ٍ چْبض ثِ اظاء ّط ًَع ذسهبت ضز ٍ ثسل‬
‫هیكًَس.‬
‫پیبم قوبضُ پٌح ثِ اظاء ّط خلؿِ ذسهبت ضز ٍ ثسل هیكَز.‬
‫1.‪Client  AS: IDClient || IDTGS‬‬
‫2.]‪AS  Client: EKClient [TicketTGS‬‬
‫3.‪Client  TGS: IDClient || IDServer || TicketTGS‬‬
‫4.‪TGS  Client: TicketServer‬‬
‫5.‪Client  Server: IDClient || TicketServer‬‬


‫ٍیػگی ّبی زیبلَي 1‬
‫‪ ‬زٍ ثلیٍ نبزض قسُ ؾبذتبض هكبثْی زاضًس. زض اؾبؼ ثِ زًجبل ّسف‬
‫ٍاحسی ّؿتٌس.‬
‫‪ ‬ضهعًگبضی ‪ TicketTGS‬خْت احطاظ َّیت‬
‫– تٌْب وبضفطهب هی تَاًس ثِ ثلیٍ ضهعقسُ زؾتطؾی پیسا وٌس.‬
‫‪ ‬ضهع ًوَزى هحتَای ثلیُْب توبهیت (‪ )Integrity‬ضا فطاّن هیىٌس.‬
‫‪ ‬اؾتفبزُ اظ هْط ظهبًی )‪ (Timestamp‬زض ثلیُْب آًْب ضا ثطای یه ثبظُ‬
‫ظهبًی تؼطیف قسُ لبثل اؾتفبزُ هدسز هیىٌس.‬
‫‪ٌَّ ‬ظ اظ آزضؼ قجىِ ثطای احطاظ َّیت ثْطُ هیگیطز.‬
‫– چٌساى خبلت ًیؿت ظیطا آزضؼ قجىِ خؼل )‪ (Spoof‬هیكَز.‬
‫– ثب ایي حبل، زضخِ ای اظ اهٌیت هْیب هی قَز‬


‫ًمبٌ يؼف زیبلَي 1‬

‫‪ ‬هكىل ظهبى اػتجبض ثلیُْب:‬
‫– ظهبى وَتبُ : ًیبظ ثِ زضذَاؾت ّبی ظیبز گصضٍاغُ‬
‫– ظهبى ثلٌس : ذُط حولِ تىطاض‬
‫‪َّ ‬یت قٌبؾی یىؿَیِ : ػسم احطاظ َّیت وبضگعاض تَؾٍ‬
‫وبضفطهب‬
‫– ضؾیسى زضذَاؾت ّب ثِ یه وبضگعاضغیطهدبظ‬


‫ثلیٍ ‪TGS‬‬
‫تمامی با‬
‫‪TGS‬کلید‬
‫رمس شدٌ اود‬

‫ولیس خلؿِ‬
‫قٌبؾِ‬ ‫هْط ظهبًی‬
‫ثیي وبضفطهب‬
‫وبضفطهب‬ ‫آزضؼ‬ ‫قٌبؾِ‬ ‫ٍ‬
‫ٍ‬
‫وبضفطهب‬ ‫‪TGS‬‬ ‫زٍضُ اػتجبض‬
‫‪TGS‬‬
‫ثلیٍ‬


‫ًتبیح ایي هطحلِ ثطای وبضفطهب‬

‫‪ ‬ثسؾت آٍضزى اهي ثلیٍ «اػُبء ثلیٍ» اظ ‪AS‬‬

‫‪ ‬ثسؾت آٍضزى ظهبى اًمًبی ثلیٍ(2‪)TS‬‬

‫‪ ‬ثسؾت آٍضزى ولیس خلؿِ اهي ثیي وبضفطهب ٍ ‪TGS‬‬


‫ثلیٍ وبضگعاض‬
‫تمامی با کلید‬
‫کارگزار رمز‬
‫شده اند‬

‫ولیس خلؿِ‬
‫قٌبؾِ‬ ‫هْط ظهبًی‬
‫ثیي وبضفطهب‬
‫وبضفطهب‬ ‫آزضؼ‬ ‫قٌبؾِ‬ ‫ٍ‬
‫ٍ‬
‫وبضفطهب‬ ‫‪TGS‬‬ ‫زٍضُ اػتجبض‬
‫وبضگعاض‬
‫ثلیٍ‬


‫اػتجبض ًبهِ وبضفطهب‬
‫تمامی با کلید‬
‫جلسه رمز‬
‫شده اند‬

‫شناسه‬
‫مهر زمانی‬
‫کارفرما‬ ‫آدرس‬
‫کارفرما‬


‫ًتبیح ایي هطحلِ ثطای وبضفطهب‬

‫‪‬خلَگیطی اظ حولِ تىطاض ثب اؾتفبزُ اظ یه اػتجبض‬
‫ًبهِ (‪ )Authenticator‬یىجبض ههطف وِ ػوط‬
‫وَتبّی زاضز.‬
‫‪‬ثسؾت آٍضزى ولیس خلؿِ ثطای اضتجبٌ ثب ؾطٍض‬


‫زؾتیبثی ثِ ذسهبت ؾطٍض‬

‫) ‪5. K B (A , K AB ), K AB (t‬‬

‫)1 ‪6. K AB (t ‬‬

‫‪Client‬‬ ‫‪Server‬‬


‫يؼف ّبی ‪Kerberos‬‬
‫‪‬ثِ ذُط افتبزى ؾطٍیؽ گط هؼتوس هطوعی، ظیبى ثبض اؾت‬
‫ظیطا اى همبزیط ؾطی ََیل الوست وبضثطاى ضا ًگْساضی‬
‫هی وٌس. وطثطٍؼ ًؿجت ثِ حوالت ٍاغُ ًبهِ ای ثطای‬
‫حسؼ گصض ٍاغُ ّب آؾیت پصیط اؾت.‬

‫‪‬وطثطٍؼ ؾطٍیؽ ّبی ػسم اًىبض ضا فطاّن ًوی وٌس.‬
‫(اهًبّبی ضلوی)‬


‫5‪Kerberos V‬‬
‫زض ایي ًؿرِ ّط ثلیٍ نبزضُ تَؾٍ ؾطٍیؽ زٌّسُ ‪ TGS‬زاضای‬
‫هحتَیبت ظیط اؾت:‬
‫‪ ‬قٌبؾِ وبضثطی‬
‫‪ً ‬بم ًوبزیي ؾطٍیؽ زٌّسُ‬
‫‪ ‬آزضؼ هبقیي هكتطی‬
‫‪ ‬ولیس ًكت‬
‫‪ ‬ظهبى اػتجبض ثلیٍ‬
‫‪ ‬هْط ظهبى‬


‫هعیت ّبی 5‪Kerberos V‬‬
‫‪ ‬ثطای ایٌىِ وطثطٍؼ لبثلیت گؿتطـ زض ؾُح قجىِ ّبی ثؿیبض‬
‫ثعضي ضا زاقتِ ثبقس ؾؼی قسُ وِ ول قجىِ ثِ نَضت ؾلؿلِ‬
‫هطاتجی زض لبلت چٌسیي للوطٍ ثطای ذَزـ یه ؾطٍیؽ زٌّسُ‬
‫‪ TGS ٍ AS‬زاضزوِ ثبض وبضثطاى للوطٍ ذَز ضا ثِ زٍـ هیىكس.‬
‫‪ ‬ثطای تَنیف زازُ ّب اظ ًوبز گصاضی 1.‪ ASN‬اؾتفبزُ قسُ‬
‫اؾت ٍ ؾؼی قسُ ٍاثؿتگی ثِ ‪ DES‬اظ ثیي ثطٍزٍ اهىبى‬
‫ضهعًگبضی هتمبضى زض ؾیؿتن ٍخَز زاقتِ ثبقس.‬
‫‪ ‬وبضایی ایي ًؿرِ ثب 000082وبضثط آظهبیف قسُ ٍ ثِ اثجبت‬
‫ضؾیسُ اؾت.‬


‫احطاظ َّیت ثب اؾتفبزُ اظ ضهعًگبضی ولیس ػوَهی‬

‫‪ّ ‬ط گبُ زض قجىِ ای ثتَاى ولیسّبی ػوَهی افطاز ضا ثِ ضٍقی اهي‬
‫ثسؾت آٍضز هی تَاى احطاظ َّیت ضا ثِ ضٍقی ؾبزُ تط هجتٌی ثط‬
‫ضهعًگبضی ػوَهی پیبزُ ؾبظی وطز.‬

‫‪ ‬ثطای اػوبل ایي ضٍـ هی تَاى اظ نسٍض گَاّیٌبهِ زیدیتبل‬
‫905.‪ ٍ X‬ؾیؿتن ‪ PKI‬اؾتفبزُ وطز.‬


‫آلیس‬ ‫سريیس دَىدٌ تًزیع‬ ‫باب‬
‫کلید عمًمی‬
‫‪A‬‬ ‫‪B‬‬

‫تمبيبی زضیبفت ولیس ػوَهی ثبة ‪EB‬‬

‫دریافت کلید عمًمی یا گًاَیىامٍ باب‬
‫3‬
‫) ‪EB ( A, RA‬‬
‫4تمبيبی زضیبفت ولیس ػوَهی آلیؽ ‪E A‬‬

‫5 زضیبفت ولیس ػوَهی آیب گَاّیٌبهِ لیؽ‬

‫) ‪EA ( RA , RB , K S‬‬
‫7‬
‫) ‪K S ( RB‬‬
‫ظهبى‬ ‫ظهبى‬

‫ًتیدِ گیطی‬
‫زض توبم ضٍـ ّبی هؼطفی قسُ اظ ضایح تطیي هىبًیعم‬
‫ّبی هَضز اؾتفبزُ زض قجىِ ّبی وبهپیَتطی ٍ‬
‫تدبضت الىتطًٍیه تطویجی اظ 5 ‪ٍ Kerberos‬‬
‫اؾتفبزُ اظ ولیسّبی ػوَهی(ًبهتمبضى) هبًٌس ‪RSA‬‬
‫اؾت وِ اهٌیت ضٍـ 5 ‪ Kerberos‬ضا ثِ ََض‬
‫قبیبًی افعایف هی زّس.‬

‫هقذهِ‬
‫ﮀفظ اهٌیت تجاست الکتشًٍیک دس هیاى تَسعِ دٌّذگاى سایتّا اص اّویت ٍیظُای تشخَسداس‬ ‫‪‬‬
‫است ٍ ایي اهش دس گشٍ دفع آسیةپزیشی سایتّا ٍ هقاتلِ دقیق ٍ غﮁیﭿ تا تْذیذات ‪WEB‬‬
‫‪ّAPPLICATION‬است.‬
‫تسیاسی اص ﮀولِّا دس سغﭿ تشًاهِ غَست هیگیشد ٍ یکی اص هْنتشیي آًْا ‪SQL‬‬ ‫‪‬‬
‫‪ INJECTION‬است. دس ایي ًَع ﮀولِ پایگاُ دادُ سایت هَسد ﮀولِ قشاس هیگیشد.‬
‫ایي ﮀولِ دس تسیاسی اص هَاقع تشای جعل َّیت فشد ٍ دستیاتی تِ دادُ ّا تِ ضکل غیش هجاص‬ ‫‪‬‬
‫تِ کاس هی سٍد.‬
‫اٍلیي تاس ﮀولِ ‪ SQL PIGGYBACKING‬یا ‪ SQL INJECTION‬دس اٍاخش سال‬ ‫‪‬‬
‫8991 هغشﭾ ضذ.‬
‫عثق تشسسیّایی کِ اص سال 2002 تا 7002 اًجام ضذ ًطاى داد کِ تیص اص 01 دسغذ اص‬ ‫‪‬‬
‫کل آسیةپزیشیّا هشتَط تِ ‪SQL INJECTION‬تَدُ ٍ 02 دسغذ اص ایي‬
‫آسیةپزیشیّا هشتَط تِ اعتثاسسٌجی دادُّاست.‬
‫عثق تشسسیّای اخیش 61 دسغذ اص ٍبسایتّا دس هقاتل ایي ﮀولِ آسیةپزیشًذ.‬ ‫‪‬‬

‫قسوتّای آسیةپزیش سایتّای تجاست‬
‫الکتشًٍیک‬
‫1-تخص ثثت نام و ویرایص اطالعات‬

‫قسوتّای آسیةپزیش سایتّای تجاست الکتشًٍیک‬
‫1-تخص ثثت نام و ویرایص اطالعات‬

‫‪ ‬هکانیسن حوله:دستکاسی ٍسٍدی کاستشاى،‪ Second Order Injection‬تا استفادُ اص ایي هکاًیسن‬
‫هیتَاى تا ثثت ًام یک کاستش تِ سٍشّای خاظ دس ایي قسوت تعضی اص هﮁذٍدیتّایی کِ تشًاهِ‬
‫ًَیس اعوال هیکٌذ سا دٍس صد.‬

‫‪ ‬هذف حوله: تطخیع پاساهتشّای تضسیق،تعشیف ضوای تاًک اعالعاتی،اضافِ یا تعشیف دادُ،گزس کشدى‬
‫اص اﮀشاص َّیت،اجشای دستَسات‬

‫‪ ‬نوونههایی از حوالت: ‪،Union Query, Piggy Backed Query‬تَاتع ٍ..‬

‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي،‪ Lock Down‬دس ‪،Sql Server‬‬
‫استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ‪ّStore Procedure‬ا، اعتثاسسٌجی‬
‫ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی‬
‫‪‬‬

‫2-ورود اعضا‬

‫2-ورود اعضا‬
‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى،‪Second Order Injection‬‬

‫‪ ‬هذف: تطخیع پاساهتشّای تضسیق،‪، performing database fingerprinting‬تعشیف‬
‫ضوای پایگاُ دادُ،‪ ، Extracting Data‬اضافِ یا دستکاسی دادُّا، ‪performing denial‬‬
‫‪Executed ، By passing authentication ،avoiding detection ، of service‬‬
‫‪remote command‬‬

‫‪ ‬نوونههایی از حوالت: ّوِی ﮀولِّا سا هیتَاًذ تِ کاس تشدُ ضَد تِ خػَظ ﮀولِّای‬
‫استفادُ اص استٌتاج‬

‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،‬
‫استفادُ اص ‪ّStore Procedure‬ا، اعتثاسسٌجی ٍسٍدیّا ،‪، Escaping Table Name‬‬
‫عذم دستشسی تِ فایلّای سیستوی، اتػاالت تا کوتشیي ﮀق دستشسی‬

‫3- تعاهل تا تانک صاحة حساب، وارد کردى اطالعات‬
‫حساب‬

‫3- تعاهل تا تانک صاحة حساب، وارد کردى اطالعات حساب‬

‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى،‪Second Order Injection‬‬

‫‪ ‬هذف حوله: تطخیع پاساهتشّای تضسیق،تعشیف ضوای تاًک اعالعاتی،اضافِ یا تعشیف‬
‫دادُ،گزس کشدى اص اﮀشاص َّیت،اجشای دستَسات ‪ Remotes‬دٍسی اص تطخیع‬

‫‪ ‬نوونههایی از حوالت:‪،Union Query, Piggy Backed Query‬تَاتع‬
‫و..‪Illegal/Logically Incorrect Queries‬‬

‫اعتثاسسٌجی ٍسٍدیّا ،‪Lock Down ، Escaping Table Name‬دس ‪، Sql Server‬‬
‫استفادُ اص عثاستّای آهادُ‬

‫4- کوکی‬

‫4-کوکی‬

‫‪ ‬هکانیسن حوله: ﮀولِ تِ کَکیّا اگش اعالعات فشد دسٍى آىّا رخیشُ گشد.‬

‫‪ ‬هذف حوله :‪،Performing Privilege Escalation‬گزس کشدى اﮀشاص‬
‫َّیتّا، تذست آٍسدى هقذاس دادُّا‬

‫‪ ‬نوونههایی از حوالت: ‪piggy backed query, tautology‬‬

‫‪ ‬روشهای هقاتله: اعتثاسسٌجی ٍسٍدیّا ، ‪ Lock Down‬دس ‪، Sql Server‬‬
‫استفادُ اص عثاستّای آهادُ ، اتػاالت تا کوتشیي ﮀق دستشسی‬

‫5-‪URL‬‬

‫5-‪URL‬‬

‫‪ ‬هکانیسن حوله: ًفَر تِ هتغیشّای سشٍس‬

‫‪ ‬هذف حوله: جْت فْویذى ٍسطى تاًک ،ًَع تاًک ،ضوای تاًک،تطخیع پاساهتشّای‬
‫تضسیق،تذست آٍسدى هقذاس دادُّا، ‪Performing Denial Of Service‬‬

‫‪ ‬نوونههایی از حوالت: ,‪Legal/Logically ،Union Query, Tautology‬‬
‫‪ ،Piggy Back Query ،Incorrect Queries‬استفادُ اص ٍقفِّای صهاًی‬

‫اعتثاسسٌجی ٍسٍدیّا ،‪ ، Escaping Table Name‬عذم دستشسی تِ فایلّای‬
‫سیستوی،استفادُ اص عثاستّای آهادُ‬

‫6- اًتخاب کاال ٍ سثذ خشیذ‬

‫6- اًتخاب کاال ٍ سثذ خشیذ‬

‫‪ ‬هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى‬

‫‪ ‬هذف: اضافِ ٍ تغییش دستَسات،اجشای دستَسات ‪،Remote‬تطخیع پاساهتشّای‬
‫تضسیق‬

‫‪ ‬نوونههایی از حوالت: ‪ّUnion Query‬ا،تَاتع ،‪ّStore Procedure‬ا‬

‫‪ ‬روشهای هقاتله: ساصگاسی پیغام خغاّا، اعتثاسسٌجی ٍسٍدیّا ، ‪Escaping‬‬
‫‪ ،Table Name‬استفادُ اص عثاستّای آهادُ، استفادُ اص ‪ّStore Procedure‬ا‬

‫7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث‬
‫پیراهوى هوضوع، پیام خصوصی‬

‫7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث پیراهوى هوضوع، پیام‬
‫خصوصی‬


‫‪ ‬هذف حوله: اضافِ ٍ تغییش دادُّا،اجشای دستَسات‪Remote‬‬

‫‪ ‬نوونههایی از حوالت: تَاتع ٍ ‪ّStore Procedure‬ا‬

‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي،‪ Lock Down‬دس ‪Sql‬‬
‫‪ ،Server‬استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ‪Store‬‬
‫‪ّProcedure‬ا، اعتثاسسٌجی ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی‬

‫8- جستجوی کاال‬

‫8- جستجوی کاال‬


‫‪ ‬هذف حوله: تذست آٍسدى ضوای تاًک،تذست آٍسدى هقذاس دادُّا، ‪Performing Denial‬‬
‫‪Of Service‬‬

‫‪ ‬نوونههایی از حوالت: تَاتع ٍ ‪ّStore Procedure‬ا‬

‫‪ ‬روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي،‪ Lock Down‬در ‪Sql‬‬
‫‪ ،Server‬استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ‪Store‬‬
‫‪ّProcedure‬ا، اعتثاسسٌجی ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی‬

‫اسائِی هذلی جْت هقاتلِ تا ‪Sql Injection‬‬

‫اسائِی هذلی جْت هقاتلِ تا ‪Sql Injection‬‬
‫1-هذیریت پایگاه داده‬
‫‪ ‬قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي‬
‫‪ Lock Down ‬دس ‪Sql Serve‬‬

‫2- اتصال ته پایگاه داده‬
‫‪ ‬استفادُ اص عثاستّای آهادُ‬
‫‪ ‬ساصگاسی پیغام خغاّا‬
‫‪ ‬استفادُ اص ‪ّStore Procedure‬ا.‬

‫3- ترناهه نویسی ترناهه وب تجارت الکترونیک‬
‫‪ ‬اتػاالت تا کوتشیي ﮀق دستشسی‬
‫‪ ‬عذم دستشسی تِ فایلّای سیستوی‬
‫‪ ‬غیش فعال کشدى ‪Adhoc‬‬
‫‪ ‬اعتثاسسٌجی ٍسٍدیّا‬
‫‪Escaping Table Name ‬‬
‫‪ ‬هذیشیت سغﭿ دستشسیّا تِ پایگاُ دادُ‬

‫تَغیِ ّایی تِ هذیشاى سایت‬
‫‪ ‬اعویٌاى ﮀاغل کٌٌذ کِ ّیﭻگًَِ آسیةپزیشی ‪ً Sql Injection‬ذاسًذ؛ ﭼشا کِ ﮀتی اگش تواهی‬
‫هطکالت سا ضٌاسایی کـشدُ ٍ دس جْـت سفـع آى اقـذام کٌٌذ، هطـکالت جذیـذ سٍصتـِسٍص دس ﮀـال‬
‫ایجـاد ّسـتٌذ.‬
‫‪ ‬تـشای جلـَگیشی اص ‪ Sql Injection‬خـَب اسـت کـِ اص گـضاسشّـای پـاساهتشی ضـذُ استفادُ‬
‫ضَد.‬
‫‪ّ ‬وﭽٌیي تَغیِ هیضَد تا تِ پشٍتکلْای جذیذ سیستنّای پشداخت الکتشًٍیک آضٌا تاضٌذ ٍ‬
‫پشٍتکلْای هَسد استفادُ خَد سا تِ سٍص کٌٌذ.‬
‫‪ ‬دس ضوي تایذ اص اهٌیت پشتال پشداخت تاًک اعوییٌاى کاهل داضت.‬
‫‪ ‬عالٍُ تش آى آضٌایی تا قَاًیي ﮀقَقی هیتَاًذ دس تسیاسی اص هَاسد خساستّای اﮀتوالی ًاضی اص ﮀولِ‬
‫سا جثشاى کٌذ.‬
‫‪ّ ‬وﭽٌیي تسیاس هْن است کِ ‪ Security Fix‬تِسٍص تاضد.‬
‫‪ ‬فیلتشّای دیَاسآتص سا تشای تالک کشدى تشافیکّـای غیشضـشٍسی دٍس اص کٌتشل، پیکشتٌذی ٍ تست‬
‫ضَد. ایيکاس ًِتٌْا تاعﺚ هیضَد کِ تاًک ّای اعالعاتی تیطـتش اهـي ضـًَذ تلکـِ .‬
‫تاعﺚ هـیضًَذ کل ضثکِ اهي گشدد‬
‫‪ ‬استفادُ اص اتضاسّای هتفاٍت تشای تطخیع ًقاط آسیةپزیش سایت است. تِ عٌَاى هثال: ‪Sqlbrute‬‬
‫(ًقاط آسیةپزیش دس تشاتش ﮀوالت کَسکَساًِ سا تطخیع هیدّذ)، ‪Acunetix Web‬‬

‫ًتیجِ‬
‫هثاﮀﺚ هشتَط تِ تشقشاسی اهٌیت دس دًیای هجاصی تِ خػَظ سایتّای تجاست‬ ‫‪‬‬
‫الکتشًٍیک اص اّویت ٍیظُای تشخَسداسًذ، تِعَسیکِ تایذ کلیِ اهکاًات قاًًَی ٍ‬
‫ﮀقَقی دس کٌاس اهکاًات فٌی تِکاس گشفتِ ضَد تا اص جشاین هجاصی جلَگیشی ضَد.‬
‫تسیاسی اص ًفَرّایی کِ تِ یک ‪ Web Application‬هیضَد ًاضی اص ًقع،‬ ‫‪‬‬
‫ﮀفشُّای تشًاهًَِیسی ٍ ضعف تاًک اعالعاتی هیتاضذ.‬
‫دس سالْای اخیش هْوتشیي ﮀوالت تِ پایگاُ دادُ هخػَغا دس هَسد سایتْا تا قاتلیت‬ ‫‪‬‬
‫پشداخت الکتشًٍیک ٍ کاستْای کشیذیت‬
‫تِ کاس گیشی الگَسیتن ‪ Kerberos‬تِ دلیل تِ کاسگیشی تلیظ تاعﺚ هی ضَد تشًاهِ‬ ‫‪‬‬
‫کاستشدی دس هقاتل ‪ sql Injection‬هقاٍم ضَد .‬

‫هٌبثغ‬
• Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication;
ACM Transaction on computer System , Vol.8,No.1
• Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003
• Matthew Strebe, Foundation Network Security,2004
• Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)
• Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation
To Remove SQL Injection Vulnerabilities, Information And Software Technology ,
• Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research
(Nisr) Publication
• Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection
• Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL
Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).
• Malware Detection, 2007,Chapter2,Halfond W And Orso A,”Detection And
Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-
32720-4 (Print) 978-0-387-44599-1 (Online)

Authentication

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Empfohlen

Empfohlen (20)

Authentication