Authentication1. احراز ًَیت ي مکاویسم َای آن
فُیمٍ پارسایی
داوشجًی رشتٍ تجارت الکتريویک
بُمه 98
2. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
authentication
authorization
auditing
3. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
احطاظَّیت
ضٍـ یب هىبًیعهی اؾت وِ ثط اؾبؼ آى ّط هَخَزیت (هثل یه
پطٍؾِ یب قرم) ثطضؾی هی وٌس وِ آیب قطیه اٍ زض یه
اضتجبٌ (یؼٌی هَخَزیت َطف همبثل)، ّوبًی اؾت وِ ازػب هی
وٌس یب یه اذالل گط ثبلث اؾت وِ ذَز ضا ثدبی َطف ٍالؼی
خب ظزُ اؾت.
خؼل ٍ اضؾبل زازُّبی ؾبذتگی
4. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
احطاظَّیت
چیعی وِ وبضثط ثساًس
ضهع ػجَض هتٌی، ضهع ػجَض تهَیطی
چیعی وِ وبضثط هبله آى اؾت
تَويّبی اهٌیتی، وبضتّبی َّقوٌس
چیعی وِ وبضثط اظ ًظط ثیَلَغیه زاضز
اثط اًگكت، الگَی قجىِ چكن، تكریم چْطُ،
تكریم نسا
5. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ولوِ ػجَض
ضایحتطیي ًَع احطاظ َّیت اؾت.
هعیت
پیبزُ ؾبظی ثؿیبض ؾبزُ
هؼبیت
هی تَاى آى ضا حسؼ ظز.
ثِ آؾبًی ثِ زیگطی زازُ هی قَز.
یبزآٍضی آى، ثِ ٍیػُ اگط هطتجب اؾتفبزُ ًكَز، ّویكِ آؾبى ًیؿت.
آهَظـ وبضثطاى
6. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
تَوي
تَوي زاضای حبفظِای ثطای اًدبم ػولیبت ضهعًگبضی
ٍ ًگْساضی گَاّیّبی الىتطًٍیىی ّؿتٌس ٍ ثب
اؾتفبزُ اظ ضیع تطاقِ هَخَز زض آى ّب ٍ ثىبضگیطی
الگَضیتن ّبی پیچیسُ، ػولیبت ضهع ًگبضی اًدبم هی
قَز
تٌْب قرهی وِ زاضًسُ تَوي هی ثبقس، هی تَاًس ثب
ٍاضز وطزى ولوِ ػجَض تَوي ثِ اَالػبت هحطهبًِ
زؾتطؾی پیسا وٌس.
7. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ثیَهتطیه
اؾتفبزُ اظ ذهَنیبت فیعیىی اقربل
هعیت
غیط لبثل زؾتطؾی، گن قسى، فطاهَقی
ػیت
ّعیٌِ، ًهت، ًگْساضی
8. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
احطاظ َّیت ثط اؾبؼ ضٍیىطز چبلف ٍ پبؾد
چبلف ٍ پبؾد ( :)challenge and Responseیىی اظ َطفیي ، یه ػسز یب ضقتِ
ای تهبزفی تَلیس ٍآى ضا ثطای َطف همبثل ذَز هی فطؾتس. َطف همبثل ثبیس تجسیل
ذبنی ضا ضٍی آى اػوبل وٌس ٍ ًتیدِ ضا ثطگطزاًس. ثِ ػسز یب ضقتِ ی تهبزفی «ضقتِ
چبلف » nonceگفتِ هی قَز.
nonce
در محديدٌ ای
باید کامال تصادفی
بسرگ (حداقل 821
باشد
بیت) باشد
9. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
آلیؽ ٍ ثبة لجال زض ذهَل یه ولیس ؾطی ٍ هتمبضى َجك ضٍقی
هُوئي ثِ تَافك ضؾیسُ اًس.ایي ولیس هتمبضى ًبهیسُ هی قَز. اظ
آًدب وِ تحت ّیچ قطایُی ولیس ضهع ًجبیس ثط ضٍی قجىِ هٌتمل
قَز لصا آًْب ثطای احطاظ َّیت یىسیگط ثِ ضٍیىطز چبلف ٍ
پبؾد هتَؾل هی قًَس.
Bهؼطف ثبة Aهؼطف آلیؽ
Kهؼطف ولیس Rهؼطف ضقتِ چبلف
10. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
آلیس باب
A B
1
A
2
RB
3
) K AB ( RB
4
RA
5
ظهبى ) K AB ( RA ظهبى
آغبظ ًكؿت
11. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًمس ٍ ثطضؾی
T اخالل گر
یىی Bهكىالت ایي ضٍـ حولِ ثبظتبة اؾت.
باب
اظ
1
A, RT
2
) RB, K AB ( RT
3
A, RB
4 ) RB 2 , K AB (R B
5
ظهبى ) K AB ( RB ظهبى
آغبظ ًكؿت
12. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ضاّىبض
َطاحی ؾیؿتن ثِ گًَِ ای ثبقس وِ ثِ هحى هكبّسُ اَالػبت یه ًكؿت زض
ًكؿت هَاظی زیگط، ؾیؿتن ّط زٍ ًكؿت ضا لُغ وٌس A
َطفیي ثِ گًَِ ای ضقتِ ّبی چبلف ذَز ضا اظ هدوَػِ ّبی هتفبٍت
اًتربة وٌٌس وِ اهوىبى خؼل َّیت ًجبقس
B
تطویت ضٍـ ّبی فَق اهٌیت ضا زض ثطاثط حولِ ثبظتبة ثبال هی ثطز.
13. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
MAC
یىی اظ ایي ّ Hash Functionب MACاؾت. وبضی وِ MACهیىٌس
ایٌؿت وِ یه ولیس ضا وِ secret keyاؾت ثْوطاُ یه پیبم ثؼٌَاى
ٍضٍزی لجَل هیىٌس ٍ یه ذطٍخی هیسّس ثٌبم Message
Authentication Codeوس قٌبؾبیی َّیتی وِ ثِ آى پیبم تؼلك
زاضز ٍ وبضثطز انلی ایي تبثغ ایٌؿت وِ ظهبًیىِ پیبهی ضا ثطای فطزی اضؾبل
هیىٌین آى فطز ثتَاًس اظ َّیت انلی فطز فطؾتٌسُ اَویٌبى حبنل وٌس ٍ
هُوئي قَز وِ فطزی پیبم ضا ثطایف اضؾبل وطزُ وِ آى اًتظبضـ ضا زاقتِ
ٍ اضؾبل وٌٌسُ انلی پیبم اؾت.
14. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
HMAC
15. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
HMAC
پیبزُ ؾبظی ایي ضٍـ زض ؾُح ؾرت افعاض ّعیٌِ ون ٍ
A
ؾطػت ثبالیی زاضز
ثطای زٍ هَخَزیت وِ اظ َطیك یه لیٌه هؿتمین ثِ
B
یىسیگط هتهلٌس ، ثؿیبض هفیس اؾت.
ثبیس فطو قَز وِ لجال فطایٌس قٌبؾبیی همسهبتی ٍ هجبزلِ ی قٌبؾِ
ّبی وبضثطی نَضت گطفتِ ٍ ایي هىبًیعم نطفب ثطای اثجبت زضؾتی C
ازػبی َطفیي اؾت.
ایي الگَضیتن ثب یه ضٍـ ضهعًگبضی هتمبضى هثل AES
D
یب serpentلبثل خبیگعیي اؾت.
16. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
احطاظ َّیت هتىی ثط هطوع تَظیغ ولیس
فطو وٌیس ذسهبتی وِ یه ثبًه یب هَؾؿِ اػتجبضی اضائِ هی
وٌس ثِ قىلی ثبقس وِ وبضثط حسالل یىجبض زض یىی اظ قؼت
حبيط قَز . حؿبة ثبظ وٌس ٍ ولیس ذَز ضا زضیبفت ًوبیس.
)key distributed center(KDC ثِ زلیل حدن ظیبز ولیس
وبضثطاى، ایي هطوع ثطای شذیطُ ٍ هسیطیت ولیسّب ایدبز هی قَز.
17. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
آلیس باب
KDC
A B
1
) A, K A ( B, Ks
3
) K B ( A, K s
آغبظ ًكؿت
ظهبى ظهبى
18. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًمس ٍثطضؾی
یىی اظ ذُطات ثؿیبض هْن «حولِ تىطاض» اؾت. ظیطا اذاللگط ثبلث
هی تَاًس پیبم ّبی ثیي َطفیي ثسٍى ّیچ فْوی اظ هحتَا اؾتطاق
ؾوغ وٌس.
19. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ضاّىبض
ثِ وبضگیطی «هْط ظهبى» ثِ هٌظَض تكریم تبظگی پیبم A
زض ّط پیبم ضقتِ تهبزفی nonceثبقس ٍ گیطًسُ ثب هطاخؼِ ثِ فبیل ًگْساضی
ؾبثمِ پیبم ّب، تىطاضی ثَزى ضا ثطضؾی وٌس. B
تطویت ضٍـ ّبی فَق ثْتطیي ضاُ اؾت.
ضقتِ ّبی زاضای اػتجبض ظهبًی فمٍ زض ثبفط ًگْساضی هی قًَس.
20. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
هىبًیعم احطاظ َّیت ًیسّبم-قطٍزض
ایي پطٍتىل زض ؾبل 8791 تَؾٍ ضاخطظ ًیسّبم ٍ
هبیىل قطٍزض هؼطفی قس .
هجتٌی ثط هفَْم «چبلف ٍ پبؾد» اؾت ٍ ًیبظ ثِ هطوع
تَلیس ولیس زاضز.
21. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
آلیس باب
KDC
A B
1
RA , A, B
2
)) K A ( RA , B, KS , K B ( A, KS
3
) 2K B ( A, KS ), KS ( RA
4
K S ( RA2 1), RB
5
)1 K S ( RB
آغبظ ًكؿت
ظهبى
ظهبى
22. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًمس ٍ ثطضؾی
اگط اذاللگط ثلیٍ ٍولیس ًكؿت Kضا اؾتطاق ؾوغ وٌس. هیتَاًس اظ
S
هطحلِ ؾَم حولِ تىطاض ضا آغبظ وٌس.
ولیس ًكؿت
KS
هؼوَال یه ثبض ههطف ٍ ّط ثبض تغییط هی وٌٌس ٍ ػوَهب افطاز ٍ ًطم
افعاض ّب زض ًگْساضی آى زلت ًوی وٌٌس.
23. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
KERBEROS
پطٍتىل احطاظ َّیت Kerberosثركی اظ پطٍغُ «آتي» زض
زاًكگبُ MITثَز وِ زض انل ثط اؾبؼ گًَِ ای اظ پطٍتىل
«ًیسّبم- قطٍزض» ثٌب ًْبزُ قسُ اؾت. Kerberosهتؼلك ثِ اٍاؾٍ
زِّ ّكتبز اؾت ٍلی وبضثطزّبی خسی آى زض ّعاضُ ی خسیس زض
ؾیؿتن ّبی ػبهلی هثل 0002 Solaris ٍ Linux ،Windows
نَضت ٍالؼیت ثرَز گطفت.
24. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًبم Kerberosثطگعیسُ اظ اؾبَیط یًَبى ثبؾتبى اؾت وِ اقبضُ ثِ
ؾگی قطظُ ثب ؾِ ؾط ثِ قىل افؼی ٍ یبلی قجیِ قیط زاضزٍ اظ زض
زٍظخ ًگْجبًی هی وٌس تب زٍظذیبى ًتَاًٌس اظ آًدب ذبضج قًَس.
ٍخِ هكتطن ایي اؾَُضُ وْي ثب ایي پطٍتىل، آضایكی ثب ؾِ
هؤلفِ Server ٍ TGS ،ASاؾت وِ ّط وبضثط ثِ تطتیت ثبیس اظ
آًْب هدَظ ثگیطز تب لبزض ثِ زضیبفت ؾطٍیؿی ذبل ثبقس. زضافؿبًِ
ّب ّطوَل زض ذَاى یبظزّن اظ زٍاظزُ ذبى، وطثطٍؼ ضا وكت ٍ
ؾطّبی اٍ ضا ًعز اٍضؾتیَؼ ثطز! وطثطٍؼ زًیبی اهٌیت ضا چِ
وؿی ؾط هی ثطز ٍ آى ّطوَل ویؿت؟
25. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ٍیػگیْبی ػوَهی وطثطٍؼ
ػوَهی ثَزى()Common
زض هحیٍ تَظیغ قسُ ّوطاُ ثب ؾطٍضّبی هتوطوع ٍ غیط هتوطوع
اهٌیت ()Security
ازػبی انلی
اَویٌبى ()Reliability
اَویٌبى اظ فؼبل ثَزى ّوِ ؾطٍیؽ ّب ثطای وبضثطاى هدبظ.
قفبفیت ()Transparency
وبضثطاى ثبیس ؾیؿتن ضا ّوبًٌس یه ؾیؿتن ؾبزُ «قٌبؾِ ٍ ولوِ
ػجَض»ثجیٌٌس.
همیبؼ پصیطی ()Scalability
لبثلیت وبض ثب تؼساز ظیبزی هبقیي وبضثط ٍ وبضگعاض
26. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
للوطٍ وطثطٍؼ
للوطٍ وطثطٍؼ اظ ثركْبی ظیط تكىیل قسُ اؾت:
– وبضگعاض وطثطٍؼ
– وبضفطهبیبى
– وبضگعاضاى وبضثطزی Application Servers
وبضگعاض وطثطٍؼ گصضٍاغُ توبم وبضثطاى ضا زض پبیگبُ زازُ
ذَز زاضز.
وبضگعاض وطثطٍؼ ثب ّط وبضگعاض وبضثطزی ولیسی هرفی ثِ
اقتطان گصاقتِ اؾت.
هؼوَالً ّط للوطٍ هؼبزل یه حَظُ هسیطیتی هیجبقس.
27. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
اصول KERBEROS
ّطؾطٍیؽ زٌّسُ زاضای ولوِ
ّط وبضثط زض اٍلیي هطحلِ ّطهَخَزیت هتمبيی ؾطٍیؽ
ػجَضاؾت ٍتحت ظَاثٍ
اظ«ٍضٍز ثِ ؾیؿتن» فمٍ ثبیسَّیت ذَزضا اثجبت وٌس
ذبنی ؾطٍیؽ هی زّس
َّیت ذَز ضا اثجبت هی وٌس،
ٍلی ثطای ؾطٍیؽ گطفتي اظ
ّط ؾطٍیؽ زٌّسُ ثبیس
هدَظّبی خساگبًِ ای اذص وٌس
28. آلیس
AS TGS Server
ُؾطٍیؽ زٌّس
ُؾطٍیؽ زٌّس
ُؾطٍیؽ زٌّس
ٍنسٍضثلی
ِقجى
احطاظ َّیت
A B
1
A
2
K A (K s , KTGS (A , K s ))
3
KTGS (A , K s ), B , K s (t )
4
K s (B , K AB ), K B (A , K AB )
5
K B (A , K AB ), K AB (t )
6
ظهبى K AB (t 1) ظهبى
آغبظ ًكؿت
29. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ثلیٍ
زض ٍالغ ًَػی گَاّی اؾت وِ ٌّگبم ٍضٍز وبضثط ثِ للوطٍ
وطثطٍؼ ثِ اٍ زازُ هی قَز وِ ثیبًگط اػتجبض اٍ ثطای
زؾتطؾی ثِ هٌبثغ قجىِ هی ثبقس.
30. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
افعایف ایوٌیزیبلَي 1
اؾتفبزُ اظ یه وبضگعاض خسیس ثب ًبم وبضگعاض اػُب وٌٌسُ ثلیٍ
– TGS: Ticket Granting Server
وبضگعاض احطاظ َّیت، ، ASووبوبى ٍخَز زاضز.
– ثلیٍ «اػُبء ثلیٍ» ticket-granting ticketتَؾٍ آى نبزض هی قَز.
اگطچِ ثلیُْبی اػُبء ذسهبت تَؾٍ TGSنبزض هیكًَس.
– ثلیٍ «اػُبء ذسهبت» service-granting ticket
اختٌبة اظ اًتمبل ولوِ ػجَض ثب ضهع وطزى پیبم وبضگعاض احطاظ َّیت ( )ASثِ
وبضفطهب تَؾٍ ولیس هكتك قسُ اظ ولوِ ػجَض
31. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
افعایف ایوٌیزیبلَي 1
پیبهْبی قوبضُ یه ٍ زٍ ثِ اظاء ّط خلؿِ Log onضز ٍ ثسل
هیكًَس.
پیبهْبی قوبضُ ؾِ ٍ چْبض ثِ اظاء ّط ًَع ذسهبت ضز ٍ ثسل
هیكًَس.
پیبم قوبضُ پٌح ثِ اظاء ّط خلؿِ ذسهبت ضز ٍ ثسل هیكَز.
1.Client AS: IDClient || IDTGS
2.]AS Client: EKClient [TicketTGS
3.Client TGS: IDClient || IDServer || TicketTGS
4.TGS Client: TicketServer
5.Client Server: IDClient || TicketServer
32. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ٍیػگی ّبی زیبلَي 1
زٍ ثلیٍ نبزض قسُ ؾبذتبض هكبثْی زاضًس. زض اؾبؼ ثِ زًجبل ّسف
ٍاحسی ّؿتٌس.
ضهعًگبضی TicketTGSخْت احطاظ َّیت
– تٌْب وبضفطهب هی تَاًس ثِ ثلیٍ ضهعقسُ زؾتطؾی پیسا وٌس.
ضهع ًوَزى هحتَای ثلیُْب توبهیت ( )Integrityضا فطاّن هیىٌس.
اؾتفبزُ اظ هْط ظهبًی ) (Timestampزض ثلیُْب آًْب ضا ثطای یه ثبظُ
ظهبًی تؼطیف قسُ لبثل اؾتفبزُ هدسز هیىٌس.
ٌَّ ظ اظ آزضؼ قجىِ ثطای احطاظ َّیت ثْطُ هیگیطز.
– چٌساى خبلت ًیؿت ظیطا آزضؼ قجىِ خؼل ) (Spoofهیكَز.
– ثب ایي حبل، زضخِ ای اظ اهٌیت هْیب هی قَز
33. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًمبٌ يؼف زیبلَي 1
هكىل ظهبى اػتجبض ثلیُْب:
– ظهبى وَتبُ : ًیبظ ثِ زضذَاؾت ّبی ظیبز گصضٍاغُ
– ظهبى ثلٌس : ذُط حولِ تىطاض
َّ یت قٌبؾی یىؿَیِ : ػسم احطاظ َّیت وبضگعاض تَؾٍ
وبضفطهب
– ضؾیسى زضذَاؾت ّب ثِ یه وبضگعاضغیطهدبظ
34. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ثلیٍ TGS
تمامی با
TGSکلید
رمس شدٌ اود
ولیس خلؿِ
قٌبؾِ هْط ظهبًی
ثیي وبضفطهب
وبضفطهب آزضؼ قٌبؾِ ٍ
ٍ
وبضفطهب TGS زٍضُ اػتجبض
TGS
ثلیٍ
35. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًتبیح ایي هطحلِ ثطای وبضفطهب
ثسؾت آٍضزى اهي ثلیٍ «اػُبء ثلیٍ» اظ AS
ثسؾت آٍضزى ظهبى اًمًبی ثلیٍ(2)TS
ثسؾت آٍضزى ولیس خلؿِ اهي ثیي وبضفطهب ٍ TGS
36. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
»ثسؾت آٍضزى ثلیٍ «اػُبء ذسهبت
KTGS (A , K s ), B , K s (t )
3.
4. K s (B , K AB ), K B (A , K AB )
Server Client
TicketServer=
EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]
AuthenticatorClient=
EKClient,tgs[IDClient|AddrClient|TS3]
37. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ثلیٍ وبضگعاض
تمامی با کلید
کارگزار رمز
شده اند
ولیس خلؿِ
قٌبؾِ هْط ظهبًی
ثیي وبضفطهب
وبضفطهب آزضؼ قٌبؾِ ٍ
ٍ
وبضفطهب TGS زٍضُ اػتجبض
وبضگعاض
ثلیٍ
38. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
اػتجبض ًبهِ وبضفطهب
تمامی با کلید
جلسه رمز
شده اند
شناسه
مهر زمانی
کارفرما آدرس
کارفرما
39. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
ًتبیح ایي هطحلِ ثطای وبضفطهب
خلَگیطی اظ حولِ تىطاض ثب اؾتفبزُ اظ یه اػتجبض
ًبهِ ( )Authenticatorیىجبض ههطف وِ ػوط
وَتبّی زاضز.
ثسؾت آٍضزى ولیس خلؿِ ثطای اضتجبٌ ثب ؾطٍض
40. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
زؾتیبثی ثِ ذسهبت ؾطٍض
) 5. K B (A , K AB ), K AB (t
)1 6. K AB (t
Client Server
41. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
يؼف ّبی Kerberos
ثِ ذُط افتبزى ؾطٍیؽ گط هؼتوس هطوعی، ظیبى ثبض اؾت
ظیطا اى همبزیط ؾطی ََیل الوست وبضثطاى ضا ًگْساضی
هی وٌس. وطثطٍؼ ًؿجت ثِ حوالت ٍاغُ ًبهِ ای ثطای
حسؼ گصض ٍاغُ ّب آؾیت پصیط اؾت.
وطثطٍؼ ؾطٍیؽ ّبی ػسم اًىبض ضا فطاّن ًوی وٌس.
(اهًبّبی ضلوی)
42. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
5Kerberos V
زض ایي ًؿرِ ّط ثلیٍ نبزضُ تَؾٍ ؾطٍیؽ زٌّسُ TGSزاضای
هحتَیبت ظیط اؾت:
قٌبؾِ وبضثطی
ً بم ًوبزیي ؾطٍیؽ زٌّسُ
آزضؼ هبقیي هكتطی
ولیس ًكت
ظهبى اػتجبض ثلیٍ
هْط ظهبى
43. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
هعیت ّبی 5Kerberos V
ثطای ایٌىِ وطثطٍؼ لبثلیت گؿتطـ زض ؾُح قجىِ ّبی ثؿیبض
ثعضي ضا زاقتِ ثبقس ؾؼی قسُ وِ ول قجىِ ثِ نَضت ؾلؿلِ
هطاتجی زض لبلت چٌسیي للوطٍ ثطای ذَزـ یه ؾطٍیؽ زٌّسُ
TGS ٍ ASزاضزوِ ثبض وبضثطاى للوطٍ ذَز ضا ثِ زٍـ هیىكس.
ثطای تَنیف زازُ ّب اظ ًوبز گصاضی 1. ASNاؾتفبزُ قسُ
اؾت ٍ ؾؼی قسُ ٍاثؿتگی ثِ DESاظ ثیي ثطٍزٍ اهىبى
ضهعًگبضی هتمبضى زض ؾیؿتن ٍخَز زاقتِ ثبقس.
وبضایی ایي ًؿرِ ثب 000082وبضثط آظهبیف قسُ ٍ ثِ اثجبت
ضؾیسُ اؾت.
44. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
احطاظ َّیت ثب اؾتفبزُ اظ ضهعًگبضی ولیس ػوَهی
ّ ط گبُ زض قجىِ ای ثتَاى ولیسّبی ػوَهی افطاز ضا ثِ ضٍقی اهي
ثسؾت آٍضز هی تَاى احطاظ َّیت ضا ثِ ضٍقی ؾبزُ تط هجتٌی ثط
ضهعًگبضی ػوَهی پیبزُ ؾبظی وطز.
ثطای اػوبل ایي ضٍـ هی تَاى اظ نسٍض گَاّیٌبهِ زیدیتبل
905. ٍ Xؾیؿتن PKIاؾتفبزُ وطز.
45. مرکس توزیع رمسنگاری
مقدمه چالش و پاسخ HMAC نیدهام-شرودر KERBEROS
کلید کلید عمومی
آلیس سريیس دَىدٌ تًزیع باب
کلید عمًمی
A B
تمبيبی زضیبفت ولیس ػوَهی ثبة EB
دریافت کلید عمًمی یا گًاَیىامٍ باب
3
) EB ( A, RA
4تمبيبی زضیبفت ولیس ػوَهی آلیؽ E A
5 زضیبفت ولیس ػوَهی آیب گَاّیٌبهِ لیؽ
) EA ( RA , RB , K S
7
) K S ( RB
آغبظ ًكؿت
ظهبى ظهبى
46. ًتیدِ گیطی
زض توبم ضٍـ ّبی هؼطفی قسُ اظ ضایح تطیي هىبًیعم
ّبی هَضز اؾتفبزُ زض قجىِ ّبی وبهپیَتطی ٍ
تدبضت الىتطًٍیه تطویجی اظ 5 ٍ Kerberos
اؾتفبزُ اظ ولیسّبی ػوَهی(ًبهتمبضى) هبًٌس RSA
اؾت وِ اهٌیت ضٍـ 5 Kerberosضا ثِ ََض
قبیبًی افعایف هی زّس.
48. هقذهِ
ﮀفظ اهٌیت تجاست الکتشًٍیک دس هیاى تَسعِ دٌّذگاى سایتّا اص اّویت ٍیظُای تشخَسداس
است ٍ ایي اهش دس گشٍ دفع آسیةپزیشی سایتّا ٍ هقاتلِ دقیق ٍ غﮁیﭿ تا تْذیذات WEB
ّAPPLICATIONاست.
تسیاسی اص ﮀولِّا دس سغﭿ تشًاهِ غَست هیگیشد ٍ یکی اص هْنتشیي آًْا SQL
INJECTIONاست. دس ایي ًَع ﮀولِ پایگاُ دادُ سایت هَسد ﮀولِ قشاس هیگیشد.
ایي ﮀولِ دس تسیاسی اص هَاقع تشای جعل َّیت فشد ٍ دستیاتی تِ دادُ ّا تِ ضکل غیش هجاص
تِ کاس هی سٍد.
اٍلیي تاس ﮀولِ SQL PIGGYBACKINGیا SQL INJECTIONدس اٍاخش سال
8991 هغشﭾ ضذ.
عثق تشسسیّایی کِ اص سال 2002 تا 7002 اًجام ضذ ًطاى داد کِ تیص اص 01 دسغذ اص
کل آسیةپزیشیّا هشتَط تِ SQL INJECTIONتَدُ ٍ 02 دسغذ اص ایي
آسیةپزیشیّا هشتَط تِ اعتثاسسٌجی دادُّاست.
عثق تشسسیّای اخیش 61 دسغذ اص ٍبسایتّا دس هقاتل ایي ﮀولِ آسیةپزیشًذ.
50. قسوتّای آسیةپزیش سایتّای تجاست الکتشًٍیک
1-تخص ثثت نام و ویرایص اطالعات
هکانیسن حوله:دستکاسی ٍسٍدی کاستشاى، Second Order Injectionتا استفادُ اص ایي هکاًیسن
هیتَاى تا ثثت ًام یک کاستش تِ سٍشّای خاظ دس ایي قسوت تعضی اص هﮁذٍدیتّایی کِ تشًاهِ
ًَیس اعوال هیکٌذ سا دٍس صد.
هذف حوله: تطخیع پاساهتشّای تضسیق،تعشیف ضوای تاًک اعالعاتی،اضافِ یا تعشیف دادُ،گزس کشدى
اص اﮀشاص َّیت،اجشای دستَسات
نوونههایی از حوالت: ،Union Query, Piggy Backed Queryتَاتع ٍ..
روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، Lock Downدس ،Sql Server
استفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص ّStore Procedureا، اعتثاسسٌجی
ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی
52. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
2-ورود اعضا
هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى،Second Order Injection
هذف: تطخیع پاساهتشّای تضسیق،، performing database fingerprintingتعشیف
ضوای پایگاُ دادُ، ، Extracting Dataاضافِ یا دستکاسی دادُّا، performing denial
Executed ، By passing authentication ،avoiding detection ، of service
remote command
نوونههایی از حوالت: ّوِی ﮀولِّا سا هیتَاًذ تِ کاس تشدُ ضَد تِ خػَظ ﮀولِّای
استفادُ اص استٌتاج
روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،
استفادُ اص ّStore Procedureا، اعتثاسسٌجی ٍسٍدیّا ،، Escaping Table Name
عذم دستشسی تِ فایلّای سیستوی، اتػاالت تا کوتشیي ﮀق دستشسی
54. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
3- تعاهل تا تانک صاحة حساب، وارد کردى اطالعات حساب
هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى،Second Order Injection
هذف حوله: تطخیع پاساهتشّای تضسیق،تعشیف ضوای تاًک اعالعاتی،اضافِ یا تعشیف
دادُ،گزس کشدى اص اﮀشاص َّیت،اجشای دستَسات Remotesدٍسی اص تطخیع
نوونههایی از حوالت:،Union Query, Piggy Backed Queryتَاتع
و..Illegal/Logically Incorrect Queries
روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،
اعتثاسسٌجی ٍسٍدیّا ،Lock Down ، Escaping Table Nameدس ، Sql Server
استفادُ اص عثاستّای آهادُ
56. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
4-کوکی
هکانیسن حوله: ﮀولِ تِ کَکیّا اگش اعالعات فشد دسٍى آىّا رخیشُ گشد.
هذف حوله :،Performing Privilege Escalationگزس کشدى اﮀشاص
َّیتّا، تذست آٍسدى هقذاس دادُّا
نوونههایی از حوالت: piggy backed query, tautology
روشهای هقاتله: اعتثاسسٌجی ٍسٍدیّا ، Lock Downدس ، Sql Server
استفادُ اص عثاستّای آهادُ ، اتػاالت تا کوتشیي ﮀق دستشسی
58. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
5-URL
هکانیسن حوله: ًفَر تِ هتغیشّای سشٍس
هذف حوله: جْت فْویذى ٍسطى تاًک ،ًَع تاًک ،ضوای تاًک،تطخیع پاساهتشّای
تضسیق،تذست آٍسدى هقذاس دادُّا، Performing Denial Of Service
نوونههایی از حوالت: ,Legal/Logically ،Union Query, Tautology
،Piggy Back Query ،Incorrect Queriesاستفادُ اص ٍقفِّای صهاًی
روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، ساصگاسی پیغام خغاّا،
اعتثاسسٌجی ٍسٍدیّا ، ، Escaping Table Nameعذم دستشسی تِ فایلّای
سیستوی،استفادُ اص عثاستّای آهادُ
60. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
6- اًتخاب کاال ٍ سثذ خشیذ
هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى
هذف: اضافِ ٍ تغییش دستَسات،اجشای دستَسات ،Remoteتطخیع پاساهتشّای
تضسیق
نوونههایی از حوالت: ّUnion Queryا،تَاتع ،ّStore Procedureا
روشهای هقاتله: ساصگاسی پیغام خغاّا، اعتثاسسٌجی ٍسٍدیّا ، Escaping
،Table Nameاستفادُ اص عثاستّای آهادُ، استفادُ اص ّStore Procedureا
61. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث
پیراهوى هوضوع، پیام خصوصی
62. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
7- پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث پیراهوى هوضوع، پیام
خصوصی
هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى
هذف حوله: اضافِ ٍ تغییش دادُّا،اجشای دستَساتRemote
نوونههایی از حوالت: تَاتع ٍ ّStore Procedureا
روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، Lock Downدس Sql
،Serverاستفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص Store
ّProcedureا، اعتثاسسٌجی ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی
64. قسوتّای آسیةپزیش سایتّای تجاست
الکتشًٍیک
8- جستجوی کاال
هکانیسن حوله: دستکاسی ٍسٍدی کاستشاى
هذف حوله: تذست آٍسدى ضوای تاًک،تذست آٍسدى هقذاس دادُّا، Performing Denial
Of Service
نوونههایی از حوالت: تَاتع ٍ ّStore Procedureا
روشهای هقاتله: قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي، Lock Downدر Sql
،Serverاستفادُ اص عثاستّای آهادُ ، ساصگاسی پیغام خغاّا، استفادُ اص Store
ّProcedureا، اعتثاسسٌجی ٍسٍدیّا، اتػاالت تا کوتشیي ﮀق دستشسی
66. اسائِی هذلی جْت هقاتلِ تا Sql Injection
1-هذیریت پایگاه داده
قشاس دادى یک گشداًٌذُی پایگاُ دادُی اهي
Lock Down دس Sql Serve
2- اتصال ته پایگاه داده
استفادُ اص عثاستّای آهادُ
ساصگاسی پیغام خغاّا
استفادُ اص ّStore Procedureا.
3- ترناهه نویسی ترناهه وب تجارت الکترونیک
اتػاالت تا کوتشیي ﮀق دستشسی
عذم دستشسی تِ فایلّای سیستوی
غیش فعال کشدى Adhoc
اعتثاسسٌجی ٍسٍدیّا
Escaping Table Name
هذیشیت سغﭿ دستشسیّا تِ پایگاُ دادُ
67. تَغیِ ّایی تِ هذیشاى سایت
اعویٌاى ﮀاغل کٌٌذ کِ ّیﭻگًَِ آسیةپزیشی ً Sql Injectionذاسًذ؛ ﭼشا کِ ﮀتی اگش تواهی
هطکالت سا ضٌاسایی کـشدُ ٍ دس جْـت سفـع آى اقـذام کٌٌذ، هطـکالت جذیـذ سٍصتـِسٍص دس ﮀـال
ایجـاد ّسـتٌذ.
تـشای جلـَگیشی اص Sql Injectionخـَب اسـت کـِ اص گـضاسشّـای پـاساهتشی ضـذُ استفادُ
ضَد.
ّ وﭽٌیي تَغیِ هیضَد تا تِ پشٍتکلْای جذیذ سیستنّای پشداخت الکتشًٍیک آضٌا تاضٌذ ٍ
پشٍتکلْای هَسد استفادُ خَد سا تِ سٍص کٌٌذ.
دس ضوي تایذ اص اهٌیت پشتال پشداخت تاًک اعوییٌاى کاهل داضت.
عالٍُ تش آى آضٌایی تا قَاًیي ﮀقَقی هیتَاًذ دس تسیاسی اص هَاسد خساستّای اﮀتوالی ًاضی اص ﮀولِ
سا جثشاى کٌذ.
ّ وﭽٌیي تسیاس هْن است کِ Security Fixتِسٍص تاضد.
فیلتشّای دیَاسآتص سا تشای تالک کشدى تشافیکّـای غیشضـشٍسی دٍس اص کٌتشل، پیکشتٌذی ٍ تست
ضَد. ایيکاس ًِتٌْا تاعﺚ هیضَد کِ تاًک ّای اعالعاتی تیطـتش اهـي ضـًَذ تلکـِ .
تاعﺚ هـیضًَذ کل ضثکِ اهي گشدد
استفادُ اص اتضاسّای هتفاٍت تشای تطخیع ًقاط آسیةپزیش سایت است. تِ عٌَاى هثال: Sqlbrute
(ًقاط آسیةپزیش دس تشاتش ﮀوالت کَسکَساًِ سا تطخیع هیدّذ)، Acunetix Web
68. ًتیجِ
هثاﮀﺚ هشتَط تِ تشقشاسی اهٌیت دس دًیای هجاصی تِ خػَظ سایتّای تجاست
الکتشًٍیک اص اّویت ٍیظُای تشخَسداسًذ، تِعَسیکِ تایذ کلیِ اهکاًات قاًًَی ٍ
ﮀقَقی دس کٌاس اهکاًات فٌی تِکاس گشفتِ ضَد تا اص جشاین هجاصی جلَگیشی ضَد.
تسیاسی اص ًفَرّایی کِ تِ یک Web Applicationهیضَد ًاضی اص ًقع،
ﮀفشُّای تشًاهًَِیسی ٍ ضعف تاًک اعالعاتی هیتاضذ.
دس سالْای اخیش هْوتشیي ﮀوالت تِ پایگاُ دادُ هخػَغا دس هَسد سایتْا تا قاتلیت
پشداخت الکتشًٍیک ٍ کاستْای کشیذیت
تِ کاس گیشی الگَسیتن Kerberosتِ دلیل تِ کاسگیشی تلیظ تاعﺚ هی ضَد تشًاهِ
کاستشدی دس هقاتل sql Injectionهقاٍم ضَد .
69. هٌبثغ
• Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication;
ACM Transaction on computer System , Vol.8,No.1
• Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003
• Matthew Strebe, Foundation Network Security,2004
• Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)
• Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation
To Remove SQL Injection Vulnerabilities, Information And Software Technology ,
• Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research
(Nisr) Publication
• Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection
• Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL
Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).
• Malware Detection, 2007,Chapter2,Halfond W And Orso A,”Detection And
Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-
32720-4 (Print) 978-0-387-44599-1 (Online)