ﺷﺒﻜﻪ داده و ﺷ ﻜ ااﻣﻨﻴﺖ ا ﭘﺮوﺗﻜﻞ ﻛﺮﺑﺮوس ول 90-91 ل اول ﻲ -ﻧﻴﻤﺴﺎل ﻲ اﻣﻴﻨﻲ ﻣﺮﺗﻀﻲ ﺮ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ http://dnsl.ce.sharif.edu ﻓﻬﺮﺳﺖ ﻣﻘﺪﻣﻪ و ﻧﻴﺎزﻣﻨﺪيﻫﺎ دﻳﺎﻟﻮگﻫﺎي ﺳﺎده اﺣﺮاز اﺻﺎﻟﺖ ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 4 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 5 ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 2 اﻓﺴﺎﻧﻪ ﻳﻮﻧﺎﻧﻲ ﺳﮓ ﺳﻪ ﺳﺮ اﻓﺴﺎﻧﻪ ﻳﻮﻧﺎﻧﻲ :ﻣﺤﺎﻓﻆ دروازهﻫﺎي ﺟﻬﻨﻢ! ﻧﻤﺎد: ﺳﺮﻫﺎ ﻧ ﺎد ﺳ ﻫﺎ اﺣﺮاز اﺻﺎﻟﺖ )(Authentication ﻣﺠﺎزﺷﻤﺎري )(Authorization ﺎزﺷ ﺎ ي ﺣﺴﺎﺑﺮﺳﻲ )(Accounting ﻋﻤﺎل ﺷﺪ. اﺻﺎﻟﺖ ا ﺎل اﺣﺮاز ا ﺎﻟﺖ ﺗﻨﻬﺎ ا از ﻋﻤﻞ ﺗﻨ ﺎ اﮔﺮﭼﻪ ددر ﻞ اﮔ ﻪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 3 اﻧﮕﻴﺰه ﻣﺤﻴﻂﻫﺎي ﺟﺪﻳﺪ :ﺑﻪ ﺻﻮرت ﺗﻮزﻳﻊﺷﺪه در ﻳﻚ ﻣﺤﻴﻂ ﺗﻮزﻳﻊﺷﺪه ﺳﻪ روش ﺑﺮاي اﻣﻨﻴﺖ: اﻋﺘﻤﺎد ﺑﻪ اﻳﺴﺘﮕﺎه ﻛﺎري در ﻣﻌﺮﻓﻲ ﻛﺮدن ﻛﺎرﺑﺮان ﺧﻮد و اﻋﻤﺎل ﺳﻴﺎﺳﺖ اﻣﻨﻴﺘﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﻨﺎﺳﻪ ﻛﺎرﺑﺮان در ﻛﺎرﮔﺰار ﻧﻴﺎز ﺑﻪ اﺣﺮاز اﺻﺎﻟﺖ اﻳﺴﺘﮕﺎهﻫﺎي ﻛﺎري ﺗﻮﺳﻂ ﻛﺎرﮔﺰار وﻟﻲ اﻋﺘﻤﺎد ﺑﻪ اﻳﺴﺘﮕﺎهﻫﺎي ﻛﺎري ﻧﺴﺒﺖ ﺑﻪ اﺣﺮاز اﺻﺎﻟﺖ ﻛﺎرﺑﺮان ﺧﻮد ﻧﻴﺎز ﺑﻪ اﺣﺮاز اﺻﺎﻟﺖ ﻫﺮ ﻳﻚ از ﻛﺎرﺑﺮان ﺗﻮﺳﻂ ﻛﺎرﮔﺰار ﺳﺮوﻳﺲ درﺧﻮاﺳﺘﻲ و اﺣﺮاز اﺻﺎﻟﺖ ﻛﺎرﮔﺰار ﺳﺮوﻳﺲ ﺗﻮﺳﻂ ﻛﺎرﺑﺮ ﻣﺘﻘﺎﺿﻲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 4 ﻛﺮﺑﺮوس اﺣﺮاز اﺻﺎﻟﺖ ﺑﺮ اﺳﺎس رﻣﺰﻧﮕﺎري ﻛﻠﻴﺪ ﻣﺨﻔﻲ )ﻣﺘﻘﺎرن( ﻃﺮاﺣﻲ ﺷﺪه در MIT ﺑﻪ ﺟﺎي اﺣﺮاز اﺻﺎﻟﺖ در ﻫﺮ ﻛﺎرﮔﺰار ﺑﻪ ﺻﻮرت ﺗﻮزﻳﻊ ﺷﺪه ،ﻳﻚ ﻛﺎرﮔﺰار ﺧﺎص را ﺑﻪ اﺣﺮاز اﺻﺎﻟﺖ اﺧﺘﺼﺎص ﻣﻲدﻫﻴﻢ. ﻧﺴﺨﻪﻫﺎي 4و 5آن در ﺣﺎل اﺳﺘﻔﺎده ﻫﺴﺘﻨﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 5 ﻧﻴﺎزﻣﻨﺪﻳﻬﺎ/وﻳﮋﮔﻴﻬﺎي ﻋﻤﻮﻣﻲ ﻛﺮﺑﺮوس (Security S اﻣﻨﻴﺖ ) i (Reliability ﻨﺎن ) R li bilit اﻃﻤﻴ ﺎ اﻃ اﻃﻤﻴﻨﺎن از دﺳﺘﺮسﭘﺬﻳﺮي ﻛﺎرﮔﺰار اﺣﺮاز اﺻﺎﻟﺖ ﻛﺮﺑﺮوس ﺑﺎ ﭘﺸﺘﻴﺒﺎﻧﻲ از ﭘﺸﺘﻴﺒﺎن.. رﺳﺎﻧﻲ ﺗﻮزﻳﻊ ﺷﺪه و ﻛﺎرﮔﺰار ﭘﺸﺘﻴﺒﺎن ﺧﺪﻣﺖرﺳﺎﻧﻲ ﺧﺪﻣﺖ ﭘﻨﻬﺎﻧﻲ )(Transparency ﺑﺎ ﺷﻨﻮد در ﺷﺒﻜﻪ ،اﻣﻜﺎن ﺟﻌﻞ ﻛﺎرﺑﺮ ﺗﻮﺳﻂ ﻣﻬﺎﺟﻢ وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ. ﮔﺬرواژه ﺑﺒﻴﻨﻨﺪ. ﻣﺒﺘﻨﻲ ﺑﺮ رو ژ ﻢ ﺳﺎده ﺒ ﻲ ﻢ ررا ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﺳﻴﺴﺘﻢ ن ﺑﺑﺎﻳﺪ ﺳﻴﺴﺘﻢ ﻛﺎرﺑﺮان رﺑﺮ ﻣﻘﻴﺎسﭘﺬﻳﺮي )(Scalability ﻲ ازز ﺳﺎﺧﺘﺎري ري ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﺎرﮔﺰارر ﺑﺑﺎ ﭘ ﻴﺒ ري و ر ﺰ زﻳﺎدي ﻳاﻳﺴﺘﮕﺎه ﻛﺎري ﻗﺎﺑﻠﻴﺖ ﻛﺎرر ﺑﺑﺎ ﺗﻌﺪاد زﻳ ي ﺑﻴ ﭘﻴﻤﺎﻧﻪاي و ﺗﻮزﻳﻊﺷﺪه. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 6 وﻳﮋﮔﻴﻬﺎي ﻋﻤﻮﻣﻲ ﻛﺮﺑﺮوس ﭼﻨﺪ ﺗﻌﺮﻳﻒ ﻧﻮﻋﻲ ﻣﻌﺎدل دﺳﺘﺮﺳﻲ را ﻣﺸﺨﺺ ﻣﻣﻲﻛﻨﺪ .ﺑﻪ ﻧﻮﻋ داﻣﻨﻪ :ﻳﻚ ﻣﺤﺪوده دﺳﺘﺮﺳ داﻣﻨﻪﻫﺎي ﺗﻌﺮﻳﻒ ﺷﺪه در وﻳﻨﺪوز اﺳﺖ. ﻣﺮﻛﺰ ﺗﻮزﻳﻊ ﻛﻠﻴﺪ :ﻣﻌﺎدل ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس اﺳﺖ. ﻋﺎﻣﻞ ) :(Principalﺑﻪ ﺳﺮوﻳﺲﻫﺎ ،دﺳﺘﮕﺎهﻫﺎ ،ﻛﺎرﺑﺮان و ﻛﻠﻴﻪ ﻋﻨﺎﺻﺮي ﻛﻪ ﻧﻴﺎز ﺑﻪ ﺷﻨﺎﺳﺎﻧﺪن و اﺣﺮاز ﺧﻮد ﺑﻪ ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس دارﻧﺪ، ﺷﻮد. ﻋﺎﻣﻞ ﮔﻔﺘﻪ ﻣﻲﺷ د ﻋﺎ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 7 ﻛﺮﺑﺮوس ﺑﺮاي ﻣﻌﺮﻓﻲ ﻛﺮﺑﺮوس ﺑﻪ ﺻﻮرت ﮔﺎم ﺑﻪ ﮔﺎم از ﭘﺮوﺗﻜﻠﻬﺎي ﺳﺎده ﺑﺮﻃﺮف ﻛﻨﻴﻢ ﻴﻢ ﻫﺮ ﻳﻳﻚ را ﺑﺮ ﺮف ﻻت ﺮ ﻴﻢ ااﺷﻜﺎﻻت ﻲﻛﻨﻴﻢ ﺳﻌﻲ ﻣﻲ ﻛﻨﻴﻢ و ﻲ ﻣﻲ ﻴﻢ ﺮوع ﻲ ﺷﺮوع ﺗﺎ ﺑﻪ ﻛﺮﺑﺮوس ﺑﺮﺳﻴﻢ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 8 ﻓﻬﺮﺳﺖ ﻣﻘﺪﻣﻪ و ﻧﻴﺎزﻣﻨﺪيﻫﺎ دﻳﺎﻟﻮگﻫﺎي ﺳﺎده اﺣﺮاز اﺻﺎﻟﺖ ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 4 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 5 ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 9 دﻳﺎﻟﻮگ ﺳﺎده اﺣﺮاز اﺻﺎﻟﺖ ( ﻳﻚV) ( و ﻫﺮ ﻛﺎرﮔﺰار ﺳﺮوﻳﺲAS) ﺑﻴﻦ ﻛﺎرﮔﺰار اﺣﺮاز اﺻﺎﻟﺖ:ﻓﺮض .ﻛﻠﻴﺪ ﻣﺸﺘﺮك وﺟﻮد دارد :ﻛﺎرﮔﺰار ﺳﺮوﻳﺲ ﻛﺎرﺑﺮ ااز ﻛﺎ ﮔ ا ﻂ ﻛﺎ ﺧﺪﻣﺎت ﺗﻮﺳﻂ ﺎ درﺧﻮاﺳﺖ ا CAS: IDC ║ PC ║ IDV AS C Ticket ASC: Ti k t CV: IDC ║ Ticket Ticket = E(Kv, [ID Ticket = E(K [IDC ║ ADC ║ IDV]) C = client AS= authentication server V =server PC= password of user on C ADC = network address of C Kv = secret encryption key shared by AS and V 10 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ ﺑﻠﻴﻂ ﻛﺎرﺑﺮ ﺑﻪ داﻣﻨﻪ ورود ﻛﺎ ﺑ ﮔﻮاﻫﻲ اﺳﺖ ﻛﻪ ﻫﻨﮕﺎم د ﻧﻮﻋﻲ ﮔ اﻫ اﻗﻊ ﻧ ﻋ ددر واﻗﻊ ﻛﺮﺑﺮوس ﺑﻪ او داده ﻣﻲﺷﻮد ﻛﻪ ﺑﻴﺎﻧﮕﺮ اﻋﺘﺒﺎر او ﺑﺮاي دﺳﺘﺮﺳﻲ ﺑﻪ ﻣﻨﺎﺑﻊ ﺷﺒﻜﻪ اﺳﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 11 ﺑﺮرﺳﻲ دﻳﺎﻟﻮگ ﭼﺮا آدرس ﻛﺎرﻓﺮﻣﺎ ) (Clientدر ﺑﻠﻴﻂ ذﻛﺮ ﻣﻲﺷﻮد؟ ﺷﺨﺼﻲ ﻛﻪ ﺑﻠﻴﻂ را از ﻃﺮﻳﻖ ﺷﻨﻮد ﺑﻪ دﺳﺖ در ﻏﻴﺮ اﻳﻦ ﺻﻮرت ﻫﺮ ﺷﺨﺼ آورد ﻧﻴﺰ ﻣﻲﺗﻮاﻧﺪ از اﻣﻜﺎﻧﺎت اﺳﺘﻔﺎده ﻛﻨﺪ .اﻣﺎ اﻛﻨﻮن ﺗﻨﻬﺎ ﺧﺪﻣﺎت ﺑﻪ آدرس ذﻛﺮ ﺷﺪه در ﺑﻠﻴﻂ اراﻳﻪ ﻣﻲﺷﻮد. ﻣﺸﻜﻞ ﺟﻌﻞ آدرس ﭼﺮا ﺷﻨﺎﺳﻪ ﻛﺎرﻓﺮﻣﺎ IDCدر ﮔﺎم ﺳﻮم ﺑﻪ ﺻﻮرت رﻣﺰ ﻧﺸﺪه ارﺳﺎل ﻣﻲﺷﻮد؟ زﻳﺮا اﻳﻦ اﻃﻼﻋﺎت ﺑﻪ ﺻﻮرت رﻣﺰ ﺷﺪه در ﺑﻠﻴﻂ وﺟﻮد دارد. اﮔﺮ ﺷﻨﺎﺳﻪ ﺑﺎ ﺑﻠﻴﻂ ﻣﻄﺎﺑﻘﺖ ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺧﺪﻣﺎت اراﻳﻪ ﻧﻤﻲﺷﻮﻧﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 12 ﻣﺸﻜﻼت دﻳﺎﻟﻮگ ﺳﺎده اﺣﺮاز اﺻﺎﻟﺖ ﻧﺎاﻣﻨﻲ ارﺳﺎل ﻛﻠﻤﻪ ﻋﺒﻮر ﺑﺪون رﻣﺰﮔﺬاري اﻣﻜﺎن ﺣﻤﻠﻪ ﺗﻜﺮار )ﺑﺎ ﺷﻨﻮد ،ﺟﻌﻞ ﺷﻨﺎﺳﻪ و ﺟﻌﻞ آدرس ﻛﺎرﺑﺮ( ﻧﺎﻛﺎرآﻳﻲ ﺧﺪﻣﺖ ﺑﺮاي ﻫﺮ ﺧ ﻂ ﺟﺪﻳﺪ ا ﺗﻘﺎﺿﺎي ﻠﺑﻠﻴﻂ ﻟﻟﺰوم ﺗﻘﺎﺿﺎ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 13 ﺑﻠﻴﻂﻫﺎ اﺳﺘﻔﺎده ﻣﺠﺪد از ﺑﻠﻴﻂ ﻫﺎ ﭼﺮا اﺳﺘﻔﺎده ﻣﺠﺪد از ﺑﻠﻴﻂﻫﺎ اﻫﻤﻴﺖ دارد؟ ﺟﻠﻮﮔﻴﺮي از ﺗﺎﻳﭗ ﻣﺠﺪد ﻛﻠﻤﻪ ﻋﺒﻮر در ﻳﻚ ﺑﺎزه زﻣﺎﻧﻲ ﻛﻮﺗﺎه ﭘﻨﻬﺎﻧﻲ ااﺣﺮازاز ا ﺎﻟﺖ اﺻﺎﻟﺖ ﻨ ﺎﻧ ﻛﺎرﺑﺮ ﻣﺘﻮﺟﻪ ﻓﺮآﻳﻨﺪﻫﺎي اﺣﺮاز اﺻﺎﻟﺖ ﻧﺸﻮد. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 14 ارﺗﻘﺎي اﻣﻨﻴﺖ-دﻳﺎﻟﻮگ 1 اﺳﺘﻔﺎده از ﻳﻚ ﻛﺎرﮔﺰار ﺟﺪﻳﺪ ﺑﺎ ﻧﺎم ﻛﺎرﮔﺰار اﻋﻄﺎ ﻛﻨﻨﺪه ﺑﻠﻴﻂ ﻛﺎرﮔﺰار اﺣﺮاز اﺻﺎﻟﺖ ،AS ،ﻛﻤﺎﻛﺎن وﺟﻮد دارد. ﺑﻠﻴﻂ “اﻋﻄﺎء ﺑﻠﻴﻂ” ticket‐granting ticketﺗﻮﺳﻂ آن ﺻﺎدر ﻣﻲﺷﻮد. ﺑﻠﻴﻂﻫﺎي اﻋﻄﺎء ﺧﺪﻣﺎت ﺗﻮﺳﻂ TGSﺻﺎدر ﻣﻲﺷﻮﻧﺪ. TGS: Ticket Granting Server ﺑﻠﻴﻂ “اﻋﻄﺎء ﺧﺪﻣﺎت” service‐granting ticket اﺟﺘﻨﺎب از اﻧﺘﻘﺎل ﻛﻠﻤﻪ ﻋﺒﻮر ﺑﺎ رﻣﺰ ﻛﺮدن ﭘﻴﺎم ﻛﺎرﮔﺰار اﺣﺮاز اﺻﺎﻟﺖ ) (ASﺑﻪ ﻛﺎرﻓﺮﻣﺎ ﺗﻮﺳﻂ ﻛﻠﻴﺪ ﻣﺸﺘﻖ ﺷﺪه از ﻛﻠﻤﻪ ﻋﺒﻮر )(KC ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 15 1دﻳﺎﻟﻮگ-ارﺗﻘﺎي اﻣﻨﻴﺖ Client AS 1. IDC || IDTGS TGS 3. IDC|| IDV || TicketTGS 2. E(KC , [TicketTGS]) 4. TicketV Log In ﺟﻠﺴﻪ ﻛﺎرﻓﺮﻣﺎ ﺑﺎ ﻛﻤﻚ ﻛﻠﻴﺪ ﻣﺸﺘﻖ از رﻣﺰ ﻋﺒﻮر ﺑﺎزﻳﺎﺑﻲ ارا ﺑﺎزﻳﺎﺑTGS ﺑﻠﻴﻂ ﺑﻠ ﻂ .ﻣﻲﻛﻨﺪ Server Ticket c et TGS = E (K TGS ,[ , [IDC║ Addr dd C ║ IDTGS ║ Timestamp esta p1 ║ Lifetime et e1 ]) Ticket V = E (K V , [IDC ║ AddrC║ IDV ║ Timestamp2║ Lifetime2 ]) 16 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ ارﺗﻘﺎي اﻣﻨﻴﺖ-دﻳﺎﻟﻮگ1 ﭘﻴﺎمﻫﺎي ﺷﻤﺎره 1و 2ﺑﻪ ازاء ﻫﺮ ﺟﻠﺴﻪ Log onرد و ﺑﺪل ﻣﻲﺷﻮﻧﺪ. ﭘﻴﺎمﻫﺎي ﺷﻤﺎره 3و 4ﺑﻪ ازاء ﻫﺮ ﻧﻮع ﺧﺪﻣﺎت رد و ﺑﺪل ﻣﻲﺷﻮﻧﺪ. ﭘﻴﺎم ﺷﻤﺎره 5ﺑﻪ ازاء ﻫﺮ ﺟﻠﺴﻪ ﺧﺪﻣﺎت رد و ﺑﺪل ﻣﻲﺷﻮد. CAS: IDC ║ IDTGS ASC: E(Kc, Ticket )TicketTGS CTGS: IDC ║ IDV ║ TicketTGS TGSC: Ticketv CV: IDC ║ Ticketv ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 1. 2 2. 3. 4 4. 5. ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 17 ﻣﺤﺘﻮي ﺑﻠﻴﻂ ﻫﺎ :ﺑﻠﻴﻂ اﻋﻄﺎي ﺑﻠﻴﻂ Ticket TGS = E (K TGS , [IDC║ AddrC ║ IDTGS ║ Timestamp1 ║ Lifetime1 ]) :ﺑﻠﻴﻂ اﻋﻄﺎي ﺧﺪﻣﺎت Ticket V = E (K V , [IDC ║ AddrC║ IDV ║ Timestamp2║ Lifetime2 ]) 18 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ وﻳﮋﮔﻲ ﻫﺎي دﻳﺎﻟﻮگ 1 ﻫﺪف دﻧﺒﺎل ف اﺳﺎس ﺑﻪ ﻧ ﺎل دارﻧﺪ .در ا ﺎ ﻣﺸﺎﺑﻬﻲ ا ﻧ ﺳﺎﺧﺘﺎر ﺸﺎ ﺷﺪه ﺎﺧ ﺎ ﺻﺎدر ﺷ ﺑﻠﻴﻂ ﺎ دو ﻠ ﻂ واﺣﺪي ﻫﺴﺘﻨﺪ. ﺖ ااﺣﺮازاز ا ﺎﻟﺖ اﺻﺎﻟﺖ رﻣﺰﻧﮕﺎري TicketTGSﺟﻬﺖ ﺰﻧﮕﺎ ﺗﻨﻬﺎ ﻛﺎرﻓﺮﻣﺎ ﻣﻲﺗﻮاﻧﺪ ﺑﻪ ﺑﻠﻴﻂ رﻣﺰﺷﺪه دﺳﺘﺮﺳﻲ ﭘﻴﺪا ﻛﻨﺪ. ﻓﺮاﻫﻢ ﻣﻣﻲﻛﻨﺪ. ﺑﻠﻴﻂﻫﺎ ﺻﺤﺖ ارا ﻓ اﻫ اي ﺑﻠ ﻂ ﻣﺤﺘﻮاي ﻧﻤﻮدن ﻣﺤﺘ ﻣﺰ ﻧ دن رﻣﺰ اﺳﺘﻔﺎده از ﻣﻬﺮ زﻣﺎﻧﻲ ) (Timestampدر ﺑﻠﻴﻂﻫﺎ ،آﻧﻬﺎ را ﺑﺮاي ﻳﻚ ﻛﻨﺪ. زﻣﺎﻧﻲ ﺗﻌﺮﻳﻒ ﺷﺪه ﻗﺎﺑﻞ اﺳﺘﻔﺎده ﻣﺠﺪد ﻣﻣﻲﻛﻨﺪ ﺑﺎزه زﻣﺎﻧ ﻫﻨﻮز از آدرس ﺷﺒﻜﻪ ﺑﺮاي اﺣﺮاز اﺻﺎﻟﺖ ﺑﻬﺮه ﻣﻲﮔﻴﺮد. آدرس ﺷﺒﻜﻪ ﺟﻌﻞ ) (Spoofﻣﻣﻲﺷﻮد. زﻳﺮا آد س ﻧﻴﺴﺖ زﻳ ا ﭼﻨﺪان ﺟﺎﻟﺐ ﻧﻴ ﺖ ﺑﺎ اﻳﻦ ﺣﺎل ،درﺟﻪاي از اﻣﻨﻴﺖ ﻣﻬﻴﺎ ﻣﻲﺷﻮد. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 19 ﻧﻘﺎط ﺿﻌﻒ دﻳﺎﻟﻮگ 1 ﻣﺸﻜﻞ زﻣﺎن اﻋﺘﺒﺎر ﺑﻠﻴﻂﻫﺎ: زﻣﺎن ﻛﻮﺗﺎه :ﻧﻴﺎز ﺑﻪ درﺧﻮاﺳﺖﻫﺎي زﻳﺎد ﮔﺬرواژه زﻣﺎن ﺑﻠﻨﺪ :ﺧﻄﺮ ﺣﻤﻠﻪ ﺗﻜﺮار اﺣﺮاز اﺻﺎﻟﺖ ﻳﻜﻄﺮﻓﻪ :ﻋﺪم اﺣﺮاز اﺻﺎﻟﺖ ﻛﺎرﮔﺰار ﺗﻮﺳﻂ ﻛﺎرﻓﺮﻣﺎ ﻛﺎرﮔﺰار ﻏﻏﻴﺮﻣﺠﺎز درﺧﻮاﺳﺖﻫﺎ ﺑﻪ ﻳﻚ ﻛﺎ ﮔﺰا رﺳﻴﺪن د ﺧﻮاﺳﺖ ﺳ ﺪن ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 20 ﻓﻬﺮﺳﺖ ﻣﻘﺪﻣﻪ و ﻧﻴﺎزﻣﻨﺪيﻫﺎ دﻳﺎﻟﻮگﻫﺎي ﺳﺎده اﺣﺮاز اﺻﺎﻟﺖ ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 4 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 5 ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 21 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 4 ﺗﻮﺳﻌﻪ ﻳﺎﻓﺘﻪ ﭘﺮوﺗﻜﻞﻫﺎي ﻗﺒﻠﻲ اﺳﺖ. ﻣﺸﻜﻞ ﺣﻤﻠﻪ ﺗﻜﺮار ﺣﻞ ﺷﺪه اﺳﺖ. اﺣﺮاز اﺻﺎﻟﺖ دو ﺟﺎﻧﺒﻪ ﺻﻮرت ﻣﻲﮔﻴﺮد. ﻛﺎرﮔﺰاران و ﻛﺎرﻓﺮﻣﺎﻳﺎن ﻫﺮ دو از اﺻﺎﻟﺖ ﻫﻮﻳﺖ ﻃﺮف ﻣﻘﺎﺑﻞ اﻃﻤﻴﻨﺎن ﺣﺎﺻﻞ ﻣﻲﻛﻨﻨﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 22 ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﻪ ﺗﻜﺮار ﻳﻚ ﻧﻴﺎز ﺟﺪﻳﺪ :ﻛﺎرﮔﺰار ﻳﺎ TGSﺑﺎﻳﺪ اﻃﻤﻴﻨﺎن ﺣﺎﺻﻞ ﻧﻤﺎﻳﻨﺪ ﻛﻪ ﺑﻠﻴﻂ ﺑﺮاي او ﺻﺎدرر ﺷﺪه. اﺳﺖ ﻛﻪ ﺑ ﻴ ﻛﺴﻲ ا ﺖ ن ﻲ ﻫﻤﺎن ﺑﻠﻴﻂ ،ﻤ ﻛﺎرﺑﺮﺮِ ﺑ ﻴ رﺑ ﺷﺪه اﺑﺪاع ﺷﺪ اﻋﺘﺒﺎرﻧﺎﻣﻪ ) (Authenticatorا ﺪاع ﺟﺪﻳﺪي ﺑﻪﻪ ﻧﺎﻧﺎم ا ﺘ ﺎ ﻧﺎ ﻪ ﻣﻔﻬﻮم ﺪ ﺪ ﻔ اﺳﺖ: ﺟﻮﻳﺪ. ﺑﻬﺮه ﻣﻲﺟ ﺪ ﺟﻠﺴﻪ ﻬ ه ﻛﻠﻴﺪ ﺟﻠ ﻪ ﻣﻔﻬﻮم ﻛﻠ ﺪ ﻫﺎ از ﻔﻬ ﻂﻫﺎ ﻋﻼوه ﺑﺮ ﻠﺑﻠﻴﻂ ﻋﻼ ه ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 23 ﺑﺪﺳﺖ آوردن ﺑﻠﻴﻂ اﻋﻄﺎء ﺑﻠﻴﻂ AS Client 1. IDC ║ IDTGS ║ TS1 2. E(KC, [KC,TGS ║IDTGS║TS2║Lifetime2║TicketTGS]) TicketTGS=E(KTGS, [KC,TGS ║ IDC ║ AddrC ║ IDTGS ║ TS2 ║ Lifetime2]) 24 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ ﺑﺪﺳﺖ آوردن ﺑﻠﻴﻂ اﻋﻄﺎء ﺑﻠﻴﻂ ﻧﺘﺎﻳﺞ اﻳﻦ ﻣﺮﺣﻠﻪ ﺑﺮاي ﻛﺎرﻓﺮﻣﺎ ﺑﺪﺳﺖ آوردن اﻣﻦ ﺑﻠﻴﻂ ”اﻋﻄﺎء ﺑﻠﻴﻂ“ از AS ﺑﻠﻴﻂ )(TS2 اﻧﻘﻀﺎي ﻠ ﻂ زﻣﺎن اﻧﻘﻀﺎ ﺖ آآوردن ز ﺎ ﺑﺪﺳﺖ ﺪ ﺑﺪﺳﺖ آوردن ﻛﻠﻴﺪ ﺟﻠﺴﻪ اﻣﻦ ﺑﻴﻦ ﻛﺎرﻓﺮﻣﺎ و TGS ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 25 ﺑﺪﺳﺖ آوردن ﺑﻠﻴﻂ اﻋﻄﺎء ﺧﺪﻣﺎت TGS Client 3. IDV ║ TicketTGS ║ AuthenticatorC 4. E(KC,TGS , [KC,V ║ IDV ║ TS4 ║ TicketV] Ti k tV= E(K Ticket E(KV, [K [KC,V ║ IDC ║ Addr Add C ║ IDV ║ TS4 ║ Lifetime Lif ti 4] AuthenticatorC= E(K E(KC,TGS , [IDC ║ AddrC ║ TS3]) C TGS, [ID 26 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ ﺑﺪﺳﺖ آوردن ﺑﻠﻴﻂ اﻋﻄﺎء ﺧﺪﻣﺎت ﻧﺘﺎﻳﺞ اﻳﻦ ﻣﺮﺣﻠﻪ ﺑﺮاي ﻛﺎرﻓﺮﻣﺎ ﺟﻠﻮﮔﻴﺮي از ﺣﻤﻠﻪ ﺗﻜﺮار ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ اﻋﺘﺒﺎر ﻧﺎﻣﻪ ﻛﻮﺗﺎﻫﻲ دارد. ) (Authenticatorﻳﻜﺒﺎر ﻣﺼﺮف ﻛﻪ ﻋﻤﺮ ﻛﻮﺗﺎﻫ ﺑﺪﺳﺖ آوردن ﻛﻠﻴﺪ ﺟﻠﺴﻪ ﺑﺮاي ارﺗﺒﺎط ﺑﺎ ﻛﺎرﮔﺰار V ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 27 دﺳﺘﻴﺎﺑﻲ ﺑﻪ ﺧﺪﻣﺎت ﻛﺎرﮔﺰار Server Client 5. TicketV ║ AuthenticatorC 6. E(KC,V , [TS5+1]) TicketV= E(KV , [KC,V ║ IDC ║ AddrC ║ IDV ║ TS4 ║ Lifetime4] ) AuthenticatorC= E(KC,V , [IDC ║ AddrC ║ TS5]) 28 (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ دﺳﺘﻴﺎﺑﻲ ﺑﻪ ﺧﺪﻣﺎت ﻛﺎرﮔﺰار ﻧﺘﺎﻳﺞ اﻳﻦ ﻣﺮﺣﻠﻪ ﺑﺮاي ﻛﺎرﻓﺮﻣﺎ اﺣﺮاز اﺻﺎﻟﺖ ﻛﺎرﮔﺰار در ﮔﺎم ﺷﺸﻢ ﺑﺎ ﺑﺮﮔﺮداﻧﺪن ﭘﻴﻐﺎم رﻣﺰﺷﺪه ﺗﻜﺮار ﺣﻤﻠﻪ ﺗﻜ ا ﺑﺮوز ﻠﻪ ﺟﻠﻮﮔﻴﺮي از ز ﻠﮔ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 29 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ :4ﺷﻤﺎي ﻛﻠﻲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 30 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ :4ﺷﻤﺎي ﻛﻠﻲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 31 داﻣﻨﻪ ﻛﺮﺑﺮوس )(realm داﻣﻨﻪ ﻛﺮﺑﺮوس از ﺑﺨﺶﻫﺎي زﻳﺮ ﺗﺸﻜﻴﻞ ﺷﺪه اﺳﺖ: ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس ﻛﺎرﻓﺮﻣﺎﻳﺎن ﻛﺎرﮔﺰاران ﺑﺮﻧﺎﻣﻪﻫﺎي ﻛﺎرﺑﺮدي )(Application Servers ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس ﮔﺬرواژه ﺗﻤﺎم ﻛﺎرﺑﺮان را در ﭘﺎﻳﮕﺎهدادهﻫﺎي ﺧﻮد دارد. ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس ﺑﺎ ﻫﺮ ﻛﺎرﮔﺰار ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدي ﻛﻠﻴﺪي ﻣﺨﻔﻲ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ اﺳﺖ. ﻣﻌﻤﻮﻻً ﻫﺮ داﻣﻨﻪ ﻣﻌﺎدل ﻳﻚ ﺣﻮزه ﻣﺪﻳﺮﻳﺘﻲ اﺳﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 32 داﻣﻨﻪاي اي ﺗﻌﺎﻣﻞ ﺑﻴﻦ داﻣﻨﻪ وﺟﻮد ﺑﻴﺶ از ﻳﻚ داﻣﻨﻪ ﻛﺮﺑﺮوس ﻧﻴﺎز ﺑﻪ درﻳﺎﻓﺖ ﺳﺮوﻳﺲ از ﻛﺎرﮔﺰاري در داﻣﻨﻪ دﻳﮕﺮ ﻧﻴﺎز ﺑﻪ وﺟﻮد ﻛﻠﻴﺪ ﻣﺸﺘﺮك ﺑﻴﻦ ﻫﺮ دو ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس ﭘﻴﺸﻨﻬﺎدي: روﻳﻪ ﺸ ﺎ اﺣﺮاز اﺻﺎﻟﺖ ﻛﺎرﺑﺮ ﺗﻮﺳﻂ ﻛﺎرﮔﺰار ﻛﺮﺑﺮوس درﻳﺎﻓﺖ ﺑﻠﻴﻂ از TGSﻣﺤﻠﻲ ﺑﺮاي ارﺗﺒﺎط ﺑﺎ TGSداﻣﻨﻪ ﺑﻴﺮوﻧﻲ ارﺗﺒﺎط ﺑﺎ TGSداﻣﻨﻪ ﺑﻴﺮوﻧﻲ ﺑﺮاي درﻳﺎﻓﺖ ﺑﻠﻴﻂ ﺑﺮاي درﻳﺎﻓﺖ ﺳﺮوﻳﺲ اراﺋﻪ ﺑﻠﻴﻂ ﺑﻪ ﻛﺎرﮔﺰار ﺳﺮوﻳﺲ داﻣﻨﻪ ﺑﻴﺮوﻧﻲ ﺑﺮاي درﻳﺎﻓﺖ ﺳﺮوﻳﺲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 33 داﻣﻨﻪاي اي اﺣﺮاز اﺻﺎﻟﺖ ﺑﻴﻦ داﻣﻨﻪ 34 CAS: IDC ║IDTGS║TS1 ASC: E(KC, [KC,TGS║IDTGS ║TS2║ Lifetime2║TicketTGS]) CTGS: IDTGSrem ║ TicketTGS ║ AuthenticatorC TGSC: E(KC,TGS, [K [KC,TGSrem ║ IDTGSrem ║ TS4 ║ TicketTGSrem]) CTGSrem: IDVrem ║ TicketTGSrem ║ AuthenticatorC TGSrem C : E(KC,TGSrem, [KC,Vrem ║ IDVrem ║ TS6 ║ TicketVrem]) CVrem: TicketVrem ║ AuthenticatorC (http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ 90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ ﻓﻬﺮﺳﺖ ﻣﻘﺪﻣﻪ و ﻧﻴﺎزﻣﻨﺪيﻫﺎ دﻳﺎﻟﻮگﻫﺎي ﺳﺎده اﺣﺮاز اﺻﺎﻟﺖ ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 4 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 5 ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 35 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 5 ﻣﺸﺨﺼﺎت ﻣﻄﺮح ﺷﺪ. اواﺳﻂ دﻫﻪ 1990ﻄ در ا ا ﻂ ﻧﻘﺺ ﻫﺎ و ﻛﻤﺒﻮدﻫﺎي ﻧﺴﺨﻪ ﻗﺒﻠﻲ را ﺑﺮﻃﺮف ﻛﺮده اﺳﺖ. ﺑﻪ ﻋﻨﻮان اﺳﺘﺎﻧﺪارد اﻳﻨﺘﺮﻧﺘﻲ RFC 1510در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه اﺳﺖ. ﻋﻨﻮان ش روش ﻧﺴﺨﻪ 5ﺑﻪ ا اﻳﻨﺘﺮﻧﺘﻲ ﻛﻛﺮﺑﺮوس ﻧ ﺨ اﺳﺘﺎﻧﺪارد ا ﺘ ﻧﺘ 2000ااز ا ﺘﺎﻧ ا 2 وﻳﻨﺪوز اﺻﻠﻲ اﺣﺮاز اﺻﺎﻟﺖ ﻛﺎرﺑﺮان اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 36 رﻓﻊ آﻧﻬﺎ ددر ﻧ ﺨﻪ ﻧﺴﺨﻪ 4و ﻧﺤﻮه ﻓﻊ ﻛﺮﺑﺮوس ﻧ ﺨﻪ ﻣﺸﻜﻼت ﻛ ﺑ وس ﻧﺴﺨﻪ 5 واﺑﺴﺘﮕﻲ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ رﻣﺰﻧﮕﺎري ﺧﺎص )(DES ﻲ ﺑﺑﻪ IP واﺑﺴﺘﮕﻲ وﺑ +در ﻧﺴﺨﻪ 5ﻣﻲﺗﻮان از ﻫﺮ اﻟﮕﻮرﻳﺘﻢ ﻣﺘﻘﺎرن اﺳﺘﻔﺎده ﻛﺮد. +در ﻧﺴﺨﻪ 5ﻣﻲﺗﻮان از ﻫﺮ ﻧﻮع آدرس ﺷﺒﻜﻪ )ﻣﺜﻼ OSIﻳﺎ (IP اﺳﺘﻔﺎده ﻛﺮد. ﻣﺤﺪود ﺑﻮدن زﻣﺎن اﻋﺘﺒﺎر ﺑﻠﻴﻂﻫﺎ )ﻣﻀﺮﺑﻲ از 5دﻗﻴﻘﻪ ﺗﺎ ﺳﻘﻒ 21ﺳﺎﻋﺖ( +در ﻧﺴﺨﻪ 5ﻣﻲﺗﻮان اﺑﺘﺪا و اﻧﺘﻬﺎي ﺑﺎزه را ﻣﺸﺨﺺ ﻛﺮد. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 37 رﻓﻊ آﻧﻬﺎ ددر ﻧ ﺨﻪ ﻧﺴﺨﻪ 4و ﻧﺤﻮه ﻓﻊ ﻛﺮﺑﺮوس ﻧ ﺨﻪ ﻣﺸﻜﻼت ﻛ ﺑ وس ﻧﺴﺨﻪ 5 اﻣﻜﺎن اﻧﺘﻘﺎل اﻋﺘﺒﺎر ﻳﻚ ﻛﺎرﺑﺮ ﺑﻪ ﻳﻚ ﺳﺮور دﻳﮕﺮ وﺟﻮد ﻧﺪارد. ﺑﺮﺧﻲ ﻛﺎرﺑﺮ ،ﺑ ﺧ وﺟﻮي ﻛﺎ ﺑ ، سوﺟﻮي ﺑﺮاي ﭘﺎﺳﺦ دادن ﺑﻪ ﭘﭘﺮس دارد ﺑ اي +ﻣﺜﻼ DBMSﻧﻴﺎز دا د دادهﻫﺎ را از ﻳﻚ ﭘﺎﻳﮕﺎه داده دﻳﮕﺮ ﺑﮕﻴﺮد. ﺑﺎ اﻓﺰاﻳﺶ ﺗﻌﺪاد داﻣﻨﻪﻫﺎ ،ﺗﻌﺪاد ﻛﻠﻴﺪﻫﺎ ﺑﺼﻮرت ﺗﺼﺎﻋﺪي اﻓﺰاﻳﺶ ﻳﺎﺑﺪ. ﻲﻳ ﺑ ﻣﻲ +در ﻧﺴﺨﻪ 5اﻳﻦ ﻣﺸﻜﻞ ﺣﻞ ﺷﺪه اﺳﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 38 رﻓﻊ آﻧﻬﺎ ددر ﻧ ﺨﻪ ﻧﺴﺨﻪ 4و ﻧﺤﻮه ﻓﻊ ﻛﺮﺑﺮوس ﻧ ﺨﻪ ﻣﺸﻜﻼت ﻛ ﺑ وس ﻧﺴﺨﻪ 5 ﻣﺮﺣﻠﻪ 2و 4 ﻣﻀﺎﻋﻒ ددر ﺣﻠﻪ رﻣﺰﮔﺬاري ﻀﺎﻋﻒ ﺰﮔﺬا ي +در ﻧﺴﺨﻪ 5از اﻳﻦ ﻫﺰﻳﻨﻪ اﺿﺎﻓﻲ ﺟﻠﻮﮔﻴﺮي ﺷﺪه اﺳﺖ. اﺳﺘﻔﺎده ااز ،DESﻛﻪ ﻏﻴﺮاﺳﺘﺎﻧﺪارد PCBCدر ا ﺎ اﺳﺘﻔﺎده ااز ﻣﺪ ا ﺎ ا ا ﺎ آﺳﻴﺐ ﭘﺬﻳﺮ اﺳﺖ. ﻛﺎرﺑﺮ( ﻛﻠﻴﺪ ﻛﺎ ﻛﺎرﮔﺰار ﺳﺮوﻳﺲ و ﻛﻠ ﻛﻠﻴﺪ ﻛﺎ ﮔ ا ) ﺎﺑﺎ ﻛﻠ +در ﻧﺴﺨﻪ 5از ﻣﺪ CBCاﺳﺘﻔﺎده ﻣﻲ ﺷﻮد و ﻗﺒﻞ از رﻣﺰ ﺷﺪن ﭼﻜﻴﺪه ﭘﻴﺎم ﻧﻴﺰ ﺑﻪ آن اﺿﺎﻓﻪ ﻣﻲ ﺷﻮد. اﻣﻜﺎن ﺣﻤﻠﻪ دﻳﻜﺸﻨﺮي ﺑﺮاي اﺳﺘﺨﺮاج ﮔﺬرواژه و ﺟﻌﻞ ﻛﺎرﺑﺮ. +در ﻧﺴﺨﻪ 5ﺑﺎ اﺳﺘﻔﺎده از ﭘﻴﺶاﺣﺮاز اﺻﺎﻟﺖ اﻳﻦ ﺣﻤﻠﻪ را ﺳﺨﺖﺗﺮ ﻧﮕﺮﻓﺘﻪ ااﺳﺖ. ﺟﻠﻮي آآن ارا ﮕ ﻛﺎﻣﻞ ﻠ ﻛﺮده ،ﻟوﻟﻲ ﺑﻪ ﻃﻃﻮر ﺎ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 39 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ :5ﺷﻤﺎي ﻛﻠﻲ V ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ V ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 40 ﻛﺮﺑﺮوس ﻧﺴﺨﻪ 5 Authentication Service Exchange Authentication Service Exchange :Realmداﻣﻨﻪ ﻛﺎرﺑﺮ درﺧﻮاﺳﺘﻲ ﺑﻠﻴﻂ ﺧ ا ﭘﺎراﻣﺘﺮﻫﺎ در ﻠ ﻂ ﺑﺮﺧﻲ ﺎ ا ﺎ ﺗﻘﺎﺿﺎي وﺟﻮد ﺧ :Optionsﻘﺎﺿﺎ :Timesزﻣﺎن ﺷﺮوع و ﭘﺎﻳﺎن اﻋﺘﺒﺎر ﺑﻠﻴﻂ ﭘﻴﺎم دوم ﺗﺎزﮔﻲ ﺎ اﻃﻤﻴﻨﺎن از ﺗﺎزﮔ ﺑﺮاي اﻃ ﺎ ﺗﺼﺎدﻓﻲ ا ﻋﺪد ﺗ ﺎ ﻓ :Nonceﺪ Client/Server Authentication Exchange :Subkeyﻛﻠﻴﺪ اﺧﺘﻴﺎري ﻛﺎرﺑﺮ ﺑﺮاي ﺣﻔﺎﻇﺖ از ﻧﺸﺴﺖ ﺟﺎري .در ﺻﻮرت ﺧﺎﻟﻲ ﺑﻮدن اﻳﻦ ﻓﻴﻠﺪ ،از KC,Vاﺳﺘﻔﺎده ﻣﻲﺷﻮد. ﻛﺎرﺑﺮ ارﺳﺎﻟﻲ از ﻛﺎ ﻫﺎي ا ﺎﻟ ﭘﻴﺎم ﺎ اﺳﺘﻔﺎده ددر ﺎ ﺑﺮاي ا ﺘﻔﺎد آﻏﺎزﻳﻦ ا ﺳﺮﻳﺎل آﻏﺎز ﺷﻤﺎره ﺎل :Seq#ﺷ ﺎ ﺑﻪ ﻛﺎرﮔﺰار و ﺑﺎﻟﻌﻜﺲ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 41 ﭘﻴﺎدهﺳﺎزيﻫﺎي ﻫﺎي ﻣﻮﺟﻮد ﭘﻴﺎدهﺳﺎزي داﻧﺸﮕﺎه :MITاوﻟﻴﻦ ﭘﻴﺎده ﺳﺎزي ﻛﺮﺑﺮوس ﻛﻪ ﻫﻨﻮز ﺑﻪ ﻋﻨﻮان ﮔﻴﺮد. ﻲ ﻴﺮ ﺮار ﻣﻲ ﻣﻮرد ااﺳﺘﻔﺎده ﻗﺮار ﺮﺟﻊ ﻮر ﻣﺮﺟﻊ آﻣﺮﻳﻜﺎ. ﺧﺎرج آ ﻜﺎ ﺷﺪه ددر ﺧﺎ اﻧﺠﺎم ﺷﺪ ﺳﺎزي اﻧ ﺎ ﭘﻴﺎده ﺎز :Heimdalﺎد :Active Directoryﭘﻴﺎدهﺳﺎزي اراﺋﻪ ﺷﺪه ﺗﻮﺳﻂ ﻣﺎﻳﻜﺮوﺳﺎﻓﺖ ﻛﻪ در RFC 1510آﻣﺪه اﺳﺖ. ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 42 ﭘﺎﻳﺎن ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ http://dnsl.ce.sharif.edu ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ [email protected] ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 43
© Copyright 2026 Paperzz