Zaštita podataka primenom kriptografskih metoda - Univerzitet u Nišu

More documents

Recommendations

Info

5.Upravljanje ključevima geografskim i logičkim oblastima. Na nivou Level-2 se nalaze CA-ovi koji operišu nad manjim oblastima. CA-ove u okviru ovog nivoa mogu da sertifikuju CA-ovi koji se nalaze na nivou više. Ovakvom hijerarhijom upravlja Root CA, tako da svi korisnici imaju poverenje u njega. Za razliku od Root CA ostalim CA-ima mogu, a i ne moraju verovati svi korisnici. Na primer, ako osoba A traži sertifikat osobe B može ga pribaviti od bilo kog CA, ali mu ne mora verovati. Ukoliko mu ne veruje osoba A može zatražiti sertifikat od CA koji se nalazi u nekom višem nivou. Traganje za validnim sertifikatom se može nastaviti u pravcu Root-a. 5.2.2.4 Kerberos Kerberos je istovremeno autentifikacioni protokol i KDC. U poslednje vreme jako popularan, i koristi se u velikom broju aplikacija i operativnih sistema. Kerberos se može opisati kao siguran protokol za autentifikaciju koji koristi prijavljivanje tipa „prijavi se samo jednom“ (eng. Single Sign On) što omogućava veliku efikasnost u radu. Korisnicima je omogućeno da se samo jednom prijave na sistem i da nakon toga, u skladu sa svojim ovlašćenjima, imaju pristup resursima u sistemu ili mreži [32]. Postoji više implementacija Kerberos protokola, koje su razvijane za različite namene: • Osnovnu verziju kerberosa je formirao MIT (Massachusetts Institute of Technology) ranih devedesetih godina. Do danas se pojavilo više verzija ovog protokola, a najpopularnije su MIT verzija 4 i verzija 5. • Heimdal kerberos je Švedska kopija MIT Kerberos-a sa kojim je u potpunosti kompatibilan. • Aktivni direktorijum je razvio Microsoft i sam po sebi nije Kerberos ali sadrži neke njegove elemente u kombinaciji sa drugim servisima, kao što je LDAP (eng. Lightweight Directory Access Protocol). Treba napomenuti da Aktivni direktorijum nije kompatibilan sa MIT i Heimdal Kerberosom. • Trust Broker predstavlja komercijalnu implementaciju Kerberos protokola. Ovu implementaciju podržava većina operativnih sistema. Uz to, Trust Broker je potpuno kompatibilna sa svim navedenim implementacijama Kerberos protokola, što je čini jako fleksibilnom. • Shishi je GNU implementacija MIT Kerberosa verzije 5. U cilju razumevanja redosleda operacija i načina rada Kerberos protokola, najpre je potrebno objasniti nekoliko pojmova vezanih za njega. Komunikacije između entiteta u okviru Kerberos protokola se baziraju na razmeni tiketa. Tiket predstavlja vrstu kriptovanih podataka koji se prenose putem mreže, i dostavljaju klijentu koji ih čuva i kasnije koristi kao propusnicu za uspostavljanje komunikacije sa odgovarajućim serverom. Prilikom kriptovanja poruka/tiketa Kerberos protokol koristi simetrični DES algoritam ili njegove varijante kao što je 3DES a Kerberos verzija 5 koristi isključivo AES algoritam za kriptovanje. Okruženje Kerberosa čine tri servera i to: server za autentifikaciju (eng. Authentication server, AS), server za izdavanje tiketa (eng. Ticket-Granting Server) i server za podatke koji se štiti opšteg tipa. Na Slici 1 je prikazan odnos između pomenutih servera [32],. 53
Zaštita podataka primenom kriptografskih metoda 54 Slika 5.7 Serveri koji se koriste u okviru Kerberos protokola Server za autentifikaciju (AS) koji se koristi u Kerberos protokolu ima ulogu KDC-a. Svaki entitet, ukoliko želi pristup serveru za podatke koji se štiti, mora se registrovati kod AS. AS poseduje bazu podataka u kojoj čuva identitete i odgovarajuće šifre za pristup serveru koji se štiti. Pošto dobije zahtev za pristupom od strane nekog entiteta (Osobe A), AS vrši utvrđivanje identiteta entiteta (osobe A), izdaje ključ koji se može koristiti za jednu sesiju između osobe A i servera za izdavanje tiketa i šalje tiket TGT (eng. Ticket GrantingTicket) ka osobi A, kao odgovor. Server za izdavanje tiketa izdaje tiket TGS (eng. Ticket Granting Service) namenjen osobi A i serveru B a obezbeđuje ključ sesije KAB koji se koristi u komunikaciji između osobe A i servera B. Kerberos razdvaja servise provere identiteta i izdavanja tiketa, što predstavlja pravo rešenje u slučaju kada neka osoba želi koristiti usluge više različitih servera. Dovoljno je da ta osoba izvrši verifikaciju svog identiteta kod AS samo jednom, onda se više puta obrati serveru za dozvolu tiketa u cilju dobijanja tiketa za pristup različitim serverima. Svaki zaštićeni server pruža izvesne usluge entitetu, pri čemu se razmena podataka između entiteta i servera isključivo obavlja pomoću klijent-server aplikacija kao što je FTP (eng. File Transfer Protocol). Princip rada procesa pristupa klijenta serveru, pomoću Kerberos protokola, je prikazan na Slici 5.8.
Page 1 and 2:
Univerzitet u Nišu Elektronski fak
Page 3 and 4:
Zaštita podataka primenom kriptogr
Page 5 and 6: Zaštita podataka primenom kriptogr
Page 55: Zaštita podataka primenom kriptogr
Page 65 and 66: 7 Zaključak Nagli razvoj tehnologi
Page 67: Zaštita podataka primenom kriptogr
show all

Zaštita podataka primenom kriptografskih metoda - Univerzitet u Nišu

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?