Алгоритм проверки цифрового сертификата сервера клиентом
5) Проверка срока действия сертификата. Если текущая дата выходит за период, проверка прекращается.
6) Проверка, находится ли центр сертификации, выпустивший сертификат в списке доверенных центров сертификации клиента.
7) Используя открытый ключ центра сертификации из его сертификата, проверяется подлинность цифровой подписи сертификата сервера.
8) Проверка соответствия имени сервера в сертификате его реальным именем.
Современные программные средства, такие как браузеры, позволяют изменить реакцию на нарушение сертификата, отключив какую-либо из проверок или выдать сообщение пользователю для принятия конкретного решения.
Алгоритм проверки цифрового сертификата клиента сервером
3) Клиент и сервер совместно генерируют некое случайное число, которое клиент подписывает своей цифровой подписью.
4) Сервер проверяет эту цифровую подпись ключом из сертификата клиента.
Шаги 3-5 эквиваленты шагам 1-3 предыдущего алгоритма.
6. Сервер проверяет, находится ли сертификат клиента в списке сертификатов клиентов, которые могут быть аутентифицированы данным сервером.
Протоколы сетевой безопасности. Задачи. Протоколы S/Key, Kerberos.
Протокол – это распределенный алгоритм, определяющий последовательность действий каждой из сторон. В процессе выполнения протокола аутентификации участники передают свою идентификационную информацию и информацию для проверки ее подлинности; затем происходит проверка подлинности идентификатора на основе вновь принятой и ранее имевшейся информации.
|
|
Задачи протоколов сетевой безопасности
· Идентификация и аутентификация объекта или субъекта
· Обеспечение защиты информации, проходящей по каналу связи.
Классификация протоколов по принципу обеспечения безопасности:
· Протоколы, не обеспечивающие защиту передаваемых данных – только связь;
· Протоколы, позволяющие подключать к себе дополнительные протоколы для защиты данных;
· Специализированные протоколы защищенной передачи данных.
В реальности за счет уровневой и иерархичной структуры протоколов в любой протокол первого класса можно вложить информацию, защищенную протоколом третьего класса, превратив протокол первого класса в протокол второго класса.
Протокол аутентификации на основе одноразовых паролей S/KEY.
Относится к числу алгоритмов, работающих на основе однонаправленной хэш-функции.
Алгоритм работы протокола S/KEY
6) Клиент и сервер обмениваются общим секретом.
7) Сервер генерирует случайное число и число циклов применения хэш-функции.
8) Сервер отправляет клиенту сгенерированное число и число циклов применения циклов за вычетом единицы.
|
|
9) Клиент прибавляет секрет к полученному числу, вычисляет хэш-функцию заданное количество раз и отправляет результат серверу.
10) Сервер вычисляет результат хэш-функции от полученного значения и сравнивает с тем значением, которое у него хранится. При положительном исходе счетчик циклов применения хэш-функции уменьшается на единицу, а полученная от клиента свертка сохраняется для следующего этапа.
В нормальном режиме алгоритм начинает функционировать с шага 3, с шага 2 он начинается, если число циклов применения хэш-функции уменьшилось до некоторого ограниченного значения или истек срок действия случайного числа. С шага 1 алгоритм начинается, если истек срок действия общего секрета.
Протокол Kerberos
Позволяет провести аутентификацию клиента и сервера, предварительно незнакомых друг с другом, при условии наличия общего доверенного сервера.
Общая схема аутентификации:
5) На основании запроса доверенный сервер генерирует сессионный ключ.
6) Сессионный ключ шифруется ключом клиента и отправляется клиенту.
7) Сессионный ключ шифруется ключом сервера и отправляется серверу.
Реально 3: сессионный ключ шифруется ключом сервера и отправляется клиенту.
|
|
8) Клиент отправляет серверу свой запрос, зашифрованный сессионным ключом и сеансовый ключ, зашифрованный ключом сервера.
Схема Kerberos позволяет провести аутентификацию клиента и сервера, имеющих разные доверенные сервера при условии, что у этих серверов есть свой общий доверенный сервер.
Недостатком данного протокола является то, что он лишь проводит аутентификацию, но никак не обеспечивает проведение авторизации – каждый сервер решает эту проблему самостоятельно.
Дата добавления: 2018-08-06; просмотров: 561; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!