Разпространение ключове 1

ключ разпределение - най-важният процес в управлението на ключовете. Да тя трябва да отговаря на следните изисквания:

· Скоростта и точността на разпространение;

· Stealth разпределени ключове.

Разпределението на ключове между потребителите компютърна мрежа се осъществява по два начина:

1) с помощта на един или повече ключови центрове за дистрибуция;

2) ключове пряк обмен сесия между ползвателите на мрежата.

И в двата случая трябва да се гарантира автентичността на комуникационна сесия. Това може да стане с помощта на механизъм или механизъм времеви отпечатъци искане на отговор.

механизъм предизвикателство-отговор е както следва. Потребител А включва изпратено съобщение (заявка) за потребителя по непредсказуем елемент (например, за случайни числа). Когато отговорите на потребителите трябва да извършват някои операция на елемента (например, добавете една), която не може да бъде направено по-рано, тъй като не е известно как ще дойде случайно число в искането. След получаване на резултатите от действие на потребителя в (реакция), на потребителя може да бъде сигурен, че сесията е автентичен.

механизъм време печата включва времеви печат за всяко съобщение. Това позволява на мрежата на всеки пациент да се определи колко години входящо съобщение и да го отхвърли, ако е имало съмнение относно неговата автентичност. При използване на времето печати трябва да се определят допустимото закъснение интервал от време.

И в двата случая се използва шифроване, за да се гарантира, че отговорът не е изпратено до нападателя, а не промениха печат марка време, за да се защитят елемента за управление.

Основен проблем разпределение намалява до изграждането на ключови за протокола за разпределение, който гласи:

· Взаимно удостоверяване на участниците в сесията;

· Утвърждаване на механизма на сесията заявка-отговор или клеймото;

· Използването на минимален брой длъжности на обмен на ключове;

· Възможността за изключване на злоупотреби от страна на ключов разпределителен център (до отказ от него).

Разпределението на ключове с ключ разпределителен център. При разпределянето на комуникация ключове за сесия автентичност трябва да бъде гарантирана между участниците предстоящия обмен на информация. За взаимното удостоверяване ръкостискане партньори приемлив модел. В този случай, никой от участниците няма да получи класифицирана информация по време на процедурата за удостоверяване.

Когато са включени в процеса на ключ (CRK) разпределение ключов разпределителен център е взаимодействието му с едната или двете страни на сесия, за да се разпространява секретни или публични ключове за използване в следващите комуникации.

На следващия етап - потвърждение за автентичността на участниците - включва удостоверяващ обмен на съобщения, за да може да се идентифицира всяко заместване или се повтаря един от предишните разговори.

Помислете протоколи за симетрични криптосистеми с таен ключ и асиметрични публично-ключовите криптосистеми. Отсрещната страна (изходния обект) е означен с А и наречен (дестинация обекта) - чрез V. сесия участниците А и Б имат уникални идентификатори Ида и IDB, съответно.

5.6.4. удостоверяване и разпространение протокол
ключове за симетрични криптосистеми

Помислете като протокол пример удостоверяване Kerberos и Key Distribution (на руски - Cerberus). Протоколът Kerberos е проектиран да работи върху TCP / IP мрежи и участието на удостоверяване и разпространение на доверен ключ на трето лице. Kerberos осигурява сигурна идентификация на мрежата, което позволява на законен достъп на потребителите до различни машини в мрежата. Kerberos протокол се основава на симетрични шифри (изпълнява алгоритъм DES, въпреки че е възможно да се използват други симетрични криптиращи алгоритми). Kerberos генерира единичен таен ключ за всеки предмет на мрежата и знанието на таен ключ е равносилно на доказателството за истинността на предприятието мрежа.

Kerberos протокол е вариант на основния удостоверяване и за разпределение на протокола Needham-Шрьодер. Във версията 5 от основния протокол Kerberos включва две комуникиращи страни А и Б и доверен сървър СК (Kerberos сървър). Страна А и В, всеки индивидуално споделят своя таен ключ със СК на сървъра. KS доверен сървър действа като ключов разпределителен център KDC.

Нека партито А иска да се сдобиете с ключ на сесията за обмен на данни със страничната Б.

Страна А инициира ключ фазата на разпределение, изпращане на сървъра мрежа KS идентификатори Ида и IDB:

KS сървъра генерира съобщение с клеймото T, валиден L, случаен сесия ключ К и идентификатор Ида. Той криптира съобщението таен ключ, който се споделя с страна Б.

Тогава KS сървъра е на клеймото T, валидността на L, ключовата сесия K ID IDB страна Б и криптира всичко таен ключ, който се споделя с страничен А. И двата шифровани съобщения го изпраща А страна:

Страна А декриптира първото съобщение с неговия личен ключ, проверява клеймото T за да се гарантира, че това съобщение не е повторение на предишния ключ процедурата по разпределение.

След това парти А генерира съобщение с идентификатор и щемпел на времето Ида TS криптира сесия ключ К, и изпраща страничната Б. В допълнение, А изпраща съобщение до B от сарком на Капоши, криптиран ключ в ръка:

Единствената партия в състояние да дешифрирате съобщението (3). Страна Б получава временна маркировка, T, валидността на L, ключовият K сесия и IDA идентификатор. Тогава страна B декриптира ключа за достъп до втората част на съобщението (3). Съвпадението на стойностите на Т и IDA в две части на докладите потвърди автентичността на А по отношение на B.

За взаимно удостоверяване в страната създава съобщение, състояща се от временна маркировка, Т + 1, криптира и я изпраща към страничната А:

Ако след дешифриране на посланието (4) Страна А получава очакван резултат, той знае, че на другия край на връзката е наистина V.

Този протокол успешно работи на предположението, че часовникът е синхронизиран с всеки участник KS сървъра часовник. Трябва да се отбележи, че този протокол изисква обмен със СК за получаване на ключ за достъп всеки път, когато А желае да установи комуникация с Б. Протокол осигурява надеждна връзка обекти А и Б, при условие, че нито един от ключовете не са компрометирани и защитен сървър СК.

Kerberos система осигурява защита на мрежата от неоторизиран достъп, единствено въз основа на софтуерни решения, и включва няколко контрол криптиране информация, предавана по мрежата.

Kerberos е клиент-сървър структура и се състои от клиента част от инсталиран на всички машини в мрежата (работни станции и сървъри на потребителите) и KS-Kerberos сървъра, който се намира в някои (не е задължително посветен) компютър.

Kerberos-сървър, от своя страна, може да бъде разделена на две части: сървър за удостоверяване AS (Authentication сървър) и оторизация на сървъра TGS (Ticket Предоставяне сървър). Информационни ресурси, клиенти с необходимия контрол RS информационни ресурси на сървъра (вж. На следващата фиг.).

Действието на системата Kerberos се отнася за частта от мрежата, всички потребители, които са регистрирани по собствените им имена и пароли в базата данни на Kerberos-сървър.

Свързани статии

• Знайте, Intuit, лекция, при управление на ключове

• Ако ключовете са били в колата какво да прави и как да се отвори колата без ключове

• потенциални ключове