& فصل يازدهم Kerberos X.509 از کتاب11 مبتني بر فصل Network Security, Principles and Practice,2nd Ed. حميد رضا شهرياري:ويرايش شده توسط http://www.fata.ir http://mehr.sharif.edu/~shahriari مركز امنبت شبكه شريف افسانه يوناني سگ سه سر افسانه يوناني :محافظان دروازه هاي جهنم! سرها نماد: Authentication Authorization Accounting اگرچه در عمل تنها احراز هويت اعمال شد. لغت نامه مركز امنبت شبكه شريف 2 انگيزه لغت نامه محيطهاي جديد :به صورت توزيع شده در يک محيط توزيع شده سه روش براي امنيت: اعتماد به ايستگاه کاري در معرفي کردن کاربران خود و اعمال سياست امنيتي مبتني بر شناسه کاربران نياز به احراز هويت سيستمهاي clientتوسط کارگزار ولي اعتماد به سيستمهاي clientنسبت به هويت شناس ي کاربران خود نياز به احراز هويت هر يک از کاربران نسبت به سرويس درخواستي و بالعکس مركز امنبت شبكه شريف 3 کربروس احراز هويت بر اساس رمز نگاري کليد مخفي (متقارن) طراحي شده در MIT به جاي احراز هويت در هر کارگزار به صورت توزيع شده ،يک کارگزار خاص را به احراز هويت اختصاص ميدهيم نسخه هاي 4و 5آن در حال استفاده هستند لغت نامه مركز امنبت شبكه شريف 4 نيازمنديها/ويژگيهاي عمومي کربروس عمومي بودن()Common در محيط توزيع شده همراه با سرورهاي متمرکز و غير متمركز امنيت ()Security ادعاي اصلي اطمينان ()Reliability اطمينان از دسترس ي پذيري کارگزار هويت شناس ي (کربروس) شفافيت ()Transparency کاربران بايد سيستم را همانند يک سيستم ساده “شناسه و کلمه عبور” ببينند. مقياس پذيري ()Scalability قابليت كار با تعداد زيادي ماشين كاربر و كارگزار لغت نامه مركز امنبت شبكه شريف 5 ويژگيهاي عمومي کربروس چند تعريف دامنه :يک محدوده دسترس ي را مشخص مي کند .به نوعي معادل دامنه هاي تعريف شده در ويندوز مي باشد. مرکز توزيع کليد :معادل کارگزار کربروس مي باشد. : Principalبه سرويس ها ،دستگاه ها ،کاربران و کليه عناصري که احتياج به شناساندن خود به کارگزار کربروس دارند ،گفته مي شود. لغت نامه مركز امنبت شبكه شريف 6 کربروس لغت نامه براي معرفي کربروس به صورت گام به گام از پروتکلهاي ساده شروع مي کنيم و سعي مي کنيم اشکاالت هر يک را برطرف کنيم تا به کربروس برسيم. مركز امنبت شبكه شريف 7 0-ديالوگ ساده احراز هويت . و هر کارگزار يک کليد مشترک وجود داردAS بين:فرص :درخواست خدمات توسط کارفرما از کارگزار 1. 2. 3. Client AS: IDclient || PassClient || IDServer AS Client: Ticket Client Server: IDclient || Ticket AS : Authentication Server کارگزاراحراز هويت Kserver: Shared key between AS and Server Ticket = EKserver [IDclient || Addrclient || IDserver] 8 مركز امنبت شبكه شريف لغت نامه بليط در واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو کربروس به او داده مي شود كه بيانگر اعتبار او براي دسترس ي به منابع شبكه مي باشد. لغت نامه مركز امنبت شبكه شريف 9 بررس ي ديالوگ چرا آدرس کارفرما ) (Clientدر بليط ذکر ميشود؟ چرا شناسه کارفرما IDclientدر گام سوم به صورت رمز نشده ارسال ميشود؟ لغت نامه در غير اين صورت هر شخص ي که بليط را از طريق شنود به دست آورد نيز ميتواند از امکانات استفاده کند .اما اکنون تنها خدمات به آدرس ذکر شده در بليط ارايه ميشود. مشکل جعل آدرس زيرا اين اطالعات به صورت رمزنگاري شده در بليط وجود دارد. اگر شناسه با بليط مطابقت نداشته باشد خدمات ارايه نمي شوند. مركز امنبت شبكه شريف 10 مشکالت ديالوگ ساده احراز هويت0- ناامني ارسال كلمه عبور بدون رمزگذاري (به شكل متن واضح) امکان حمله تکرار ناکارآيي لغت نامه لزوم تقاضاي بليط جديد براي هر خدمت مركز امنبت شبكه شريف 11 استفاده مجدد از بليط ها چرا استفاده مجدد از بليط ها ( )Ticketsاهميت دارد؟ جلوگيري از تايپ مجدد کلمه عبور در يک بازه زماني کوتاه شفافيت احراز هويت لغت نامه کاربر متوجه فرآيندهاي هويت شناس ي نمي شود. مركز امنبت شبكه شريف 12 افزايش ايمني-ديالوگ 1 استفاده از يک کارگزار جديد با نام کارگزار اعطا کننده بليط کارگزار احراز هويت ، AS ،کماکان وجود دارد. لغت نامه بليط “اعطاء بليط” ticket-granting ticketتوسط آن صادر مي شود. اگرچه بليطهاي اعطاء خدمات توسط TGSصادر ميشوند. TGS: Ticket Granting Server بليط “اعطاء خدمات” service-granting ticket اجتناب از انتقال کلمه عبور با رمز کردن پيام کارگزار احراز هويت ( )ASبه کارفرما توسط کليد مشتق شده از کلمه عبور مركز امنبت شبكه شريف 13 1ديالوگ- افزايش ايمني TGS Client 1. IDClient || IDTGS 3. IDClient || IDServer || TicketTGS 2. EKClient [TicketTGS] 4. TicketServer AS Log Inجلسهکار کمک کليد فرما با AS مشترک خود و را بازيابيTGS بليط .ميکند Ticket TGS E K TGS [ID Client || AddrClient || ID TGS || Timestamp 1 || Lifetime 1 ] Ticket Server E KServer [ID Client || AddrClient || IDServer || Timestamp 2 || Lifetime 2 ] 14 مركز امنبت شبكه شريف Server لغت نامه افزايش ايمني -ديالوگ1 پيامهاي شماره يک و دو به ازاء هر جلسه Log onرد و بدل ميشوند. پيامهاي شماره سه و چهار به ازاء هر نوع خدمات رد و بدل ميشوند. پيام شماره پنج به ازاء هر جلسه خدمات رد و بدل ميشود. Client AS: IDClient || IDTGS ]AS Client: EKClient [TicketTGS Client TGS: IDClient || IDServer || TicketTGS TGS Client: TicketServer Client Server: IDClient || TicketServer لغت نامه مركز امنبت شبكه شريف 1. 2. 3. 4. 5. 15 محتوي بليط ها : بليط اعطاي بليط Ticket TGS E K TGS [ID Client || AddrClient || ID TGS || Timestamp 1 || Lifetime 1 ] : بليط اعطاي خدمات Ticket Server E KServer [ID Client || AddrClient || IDServer || Timestamp 2 || Lifetime 2 ] 16 مركز امنبت شبكه شريف لغت نامه ويژگي هاي ديالوگ 1 دو بليط صادر شده ساختار مشابهي دارند .در اساس به دنبال هدف واحدي هستند. رمزنگاري TicketTGSجهت احراز هويت تنها کارفرما مي تواند به بليط رمزشده دسترس ي پيدا کند. رمز نمودن محتواي بليطها تماميت ( )Integrityرا فراهم ميکند. استفاده از مهر زماني ) (Timestampدر بليطها آنها را براي يک بازه زماني تعريف شده قابل استفاده مجدد مي کند. هنوز از آدرس شبکه براي احراز هويت بهره مي گيرد. چندان جالب نيست زيرا آدرس شبکه جعل ) (Spoofمي شود. با اين حال ،درجه اي از امنيت مهيا مي شود لغت نامه مركز امنبت شبكه شريف 17 نقاط ضعف ديالوگ 1 مشكل زمان اعتبار بليطها: زمان كوتاه :نياز به درخواست هاي زياد گذرواژه زمان بلند :خطر حمله تکرار هويت شناس ي يک سويه :عدم احراز هويت کارگزار توسط كارفرما لغت نامه رسيدن درخواست ها به يك کارگزارغيرمجاز مركز امنبت شبكه شريف 18 کربروس نسخه 4 توسعه يافته پروتکل هاي قبلي است. مشکل حمله تکرار حل شده است. احراز هويت دو جانبه ( )mutualبرقرار ميشود. لغت نامه کارگزاران و کارفرمايان هر دو از هويت طرف مقابل اطمينان حاصل ميکنند مركز امنبت شبكه شريف 19 مقابله با حمله تکرار يک نياز جديد :کارگزار يا TGSبايد اطمينان حاصل نمايند که کاربر بليط همان کس ي است که بليط براي او صادر شده. مفهوم جديدي به نام اعتبار نامه ( )Authenticatorابداع شده است: عالوه بر بليط ها از مفهوم کليد جلسه بهره مي جويد لغت نامه مركز امنبت شبكه شريف 20 1- بررس ي الگوريتم:4 کربروس نسخه 1. IDClient|IDtgs|TS1 2. EKClient[KClient,tgs|IDtgs|TS2|Lifetime2|Tickettgs] Client AS Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2] 21 مركز امنبت شبكه شريف لغت نامه بليط TGS ]Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2 مهر زماني و دوره اعتبار بليط لغت نامه شناسه TGS آدرس کارفرما مركز امنبت شبكه شريف شناسه کارفرما تمامي با کليد مشترک ASو TGSرمز شده اند کليد جلسه بين کارفرما و TGS 22 نتايج اين مرحله براي كارفرما بدست آوردن امن بليط ”اعطاء بليط“ از AS بدست آوردن زمان انقضاي بليط()TS2 بدست آوردن كليد جلسه امن بين کارفرما و TGS لغت نامه مركز امنبت شبكه شريف 23 ”بدست آوردن بليط “اعطاء خدمات 3. IDserver|Tickettgs|AuthenticatorClient 4. EKClient,tgs [KClient,server|IDserver|TS4|Ticketserver] Client TGS TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4] AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3] 24 مركز امنبت شبكه شريف لغت نامه بليط کارگزار ]TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4 مهر زماني و دوره اعتبار بليط لغت نامه شناسه TGS آدرس کارفرما مركز امنبت شبكه شريف شناسه کارفرما تمامي با کليد کارگزار رمز شده اند کليد جلسه بين کارفرما و کارگزار 25 اعتبار نامه کارفرما تمامي با کليد جلسه رمز شده اند ]AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3 مهر زماني لغت نامه آدرس کارفرما مركز امنبت شبكه شريف شناسه کارفرما 26 نتايج اين مرحله براي كارفرما جلوگيري از حمله تکرار با استفاده از يك اعتبار نامه ()Authenticator يكبار مصرف كه عمر كوتاهي دارد. بدست آوردن كليد جلسه براي ارتباط با کارگزار V لغت نامه مركز امنبت شبكه شريف 27 دستيابي به خدمات سرور 5. TicketServer|AuthenticatorClient 6. EKClient,Server [TS5+1] Server Client 28 مركز امنبت شبكه شريف لغت نامه نتايج اين مرحله براي كارفرما احراز هويت کارگزار در گام ششم با برگرداندن پيغام رمزشده جلوگيري از بروز حمله تکرار لغت نامه مركز امنبت شبكه شريف 29 کربروس نسخه :4شماي کلي مركز امنبت شبكه شريف 30 کربروس نسخه :4شماي کلي مركز امنبت شبكه شريف 31 قلمرو کربروس )(realm قلمرو کربروس از بخشهاي زير تشكيل شده است: کارگزار کربروس کارفرمايان کارگزاران كاربردي Application Servers کارگزار کربروس گذرواژه تمام کاربران را در پايگاه داده خود دارد. کارگزار کربروس با هر کارگزار كاربردي کليدي مخفي به اشتراک گذاشته است. ً معموال هر قلمرو معادل يک حوزه مديريتي است. لغت نامه مركز امنبت شبكه شريف 32 هويت شناس ي بين قلمرويي مركز امنبت شبكه شريف 33 کربروس نسخه 5 لغت نامه مشخصات در اواسط دهه 1990مطرح شد نقص ها و كمبودهاي نسخه قبلي را برطرف كرده است به عنوان استاندارد اينترنتي RFC 1510در نظر گرفته شده است. ويندوز 2000از استاندارد اينترنتي کربروس نسخه 5به عنوان روش اصلي هويت شناس ي کاربران استفاده مي کند. مركز امنبت شبكه شريف 34 مشكالت Kerberos v4و نحوه رفع آنها در نسخه 5 وابستگي به يك سيستم رمزنگاري خاص()DES +در نسخه 5مي توان از هر الگوريتم متقارن استفاده كرد وابستگي به IP +در نسخه 5مي توان از هر آدرس شبكه(مثال OSIيا )IPاستفاده كرد محدود بودن زمان اعتبار بليطها +در نسخه 5اين محدوديت وجود ندارد لغت نامه مركز امنبت شبكه شريف 35 مشكالت Kerberos v4و نحوه رفع آنها در نسخه 5 امكان انتقال اعتبار يك كاربر به يك سرور ديگر وجود ندارد +مثال DBMSنياز دارد براي پاسخ دادن به پرس و جوي کاربر ،برخي داده ها را از يک پايگاه داده ديگر بگيرد. با افزايش تعداد قلمروها ،تعداد كليدها بصورت تصاعدي افزايش مي يابد +در نسخه 5اين مشكل حل شده است. لغت نامه مركز امنبت شبكه شريف 36 کربروس نسخه :5شماي کلي V V مركز امنبت شبكه شريف 37 پياده سازي هاي موجود دانشگاه : MITاولين پياده سازي کربروس که هنوز به عنوان مرجع مورد استفاده قرار مي گيرد : Heimdalتنها پياده سازي انجام شده در خارج آمريکا : Active Directoryپياده سازي ارائه شده توسط مايکروسافت که در RFC 1510 آمده است لغت نامه مركز امنبت شبكه شريف 38 X-509 گواهي Certificate Authority CA Bob’s Public Key Alice’s Public Key Alice Bob Publish Retrieve Alice’s Certificate Retrieve Bob’s Certificate Alice’s Public Key Certificate Bob’s Public Key Certificate Directory 39 مركز امنبت شبكه شريف لغت نامه مباني PKI – نكته اصلي در رمزنگاري نامتقارن: “چه كس ي كليد خصوص ي متناظر با يك كليد عمومي را دارد؟” در پاسخ به يك پيغام ،بايد مطئن بود كه دريافت كننده همان است كه مورد نظر ما است. لغت نامه مركز امنبت شبكه شريف 40 مباني PKI – بايد كليد عمومي دردسترس عموم باشد با تضمين تعلق. – با كليد عمومي يك نفر ،چه كاربردي مجاز است؟ ارسال نامه يا امضاء قرارداد؟ – راه حل بايستي مقياس پذير ) (Scalableباشد. لغت نامه مركز امنبت شبكه شريف 41 گواهيهاي ساده – كارت ويزيت به عنوان حمل كننده كليد عمومي. – روي كارت مشخصات دارنده كارت. – پشت كارتRSA Public key – لغت نامه شكل 1-3 مركز امنبت شبكه شريف 42 گواهيهاي ساده لغت نامه مركز امنبت شبكه شريف 43 ويژگيها 1 – خيلي رايج است. – تماس مستقيم الزم است تا كارت داده شود. ً – صرفا ادعاي ارائه دهنده كارت است و لذا اعتبار صددرصد ندارد. – لغت نامه كليد عمومي را بايد تايپ كرد. مركز امنبت شبكه شريف 44 ويژگيها 2 – اگر كليد خصوص ي گم شود نميتوان به دارندگان كارت اعالم كرد. – اگر آدرس تغييركند نميتوان به دارندگان كارت اعالم كرد. – قابل جعل است. لغت نامه مركز امنبت شبكه شريف 45 كارت اعتباري 1 – حاوي كليد عمومي نيست. – مشخصات دارنده كارت را دارد. – صادركننده مشخص است. – تاريخ انقضاء. لغت نامه مركز امنبت شبكه شريف 46 كارت اعتباري 2 – – – لغت نامه ً صرفا به كساني كه همديگر را مالقات كردهاند محدود نميباشد. صادركننده ،دارنده كارت ،فروشنده سه عنصر متمايز هستند. امضاء دارد به نحوي كه ميتوان تعلق كارت را به دارنده كنترل كرد. اطالعات كارت از طريق نوار مغناطيس ي قابل انتقال است. مركز امنبت شبكه شريف 47 گواهي ايدهآل تركيب كارت ويزيت و كارت اعتباري. ويژگيها: -1شيئي ديجيتالي باشد كه توزيع آن ساده باشد. -2حاوي نام و مشخصات كاربري كه دارنده كليد خصوص ي متناظر است، باشد. -3تاريخ توليد گواهي را دارا باشد. لغت نامه مركز امنبت شبكه شريف 48 گواهي ايدهآل -4صادركننده گواهي معتبر باشد. - 5گواهي صادره بين گواهيهاي توليد شده توسط صادر كننده منحصر بفرد باشد. - 6منقض ي نشده باشد. - 7اطالعات گواهي قابل تغيير و جعل نباشد. - 8به سرعت بتوان اعالم كرد كه منبع گواهي معتبر نيست. - 9ذكرشده باشدكه گواهي به چه كاربردهايي تناسب دارد. لغت نامه مركز امنبت شبكه شريف 49 گواهي كليد عمومي 1 – – گواهي ) (Certificateمستند رسمي براي تضمين تعلق شناسه به كليد. گواهي به وسيله يك مركز مطمئن ) (CAامضا ،شده است. Certificate:= ( Public Key, ID, ) )EKRCA(Certificate - Signature لغت نامه مركز امنبت شبكه شريف 50 گواهي كليد عمومي 2 جامعيت گواهي به راحتي قابل كنترل است .هرتغييري درآن به سادگي كنترل ميشود. ارسال و ذخيرة گواهي به شكل رمزنشده. براي خواندن محتوي گواهي به كليد عمومي CAنياز داريم. – ً تقريبا همگي مشخصات گواهي ايدهآل در گواهي كليد عمومي است. (مورد 1تا )7 لغت نامه مركز امنبت شبكه شريف 51 گواهي كليد عمومي 2 لغت نامه مركز امنبت شبكه شريف 52 استفاده از گواهي براي كنترل درستي امضاء لغت نامه مركز امنبت شبكه شريف 53 عدم اعتبار گواهي 1 – براي اعالم عدم اعتبار گواهي بايستي به صادر كننده اعتمادكرد ونه به اعالم كننده .گواهيهاي جديد نيز بايد به تأييد يك مركز مورد اعتماد برسد. – براي ارضاء اعالم عدم اعتبار گواهي از CRLاستفاده ميشود. Certificate Revocation List لغت نامه مركز امنبت شبكه شريف 54 عدم اعتبار گواهي 2 – تغيير شغل و پس از آن تغيير كليد عمومي ::ضرورت اطمينان از اطالع همه دنيا از اين تغيير. – يك راه اين است كه هركس هرگاه كليد عمومي خواست از مركز مورد اعتماد در خواست كند. – راه ديگر اينكه با گم شدن ،تغيير و يا لو رفتن كليد خصوص ي ليستي از گواهيهاي منقض ي نشده بياعتبار به همگان منتشر شود . لغت نامه مركز امنبت شبكه شريف 55 عدم اعتبار گواهي 3 ممكن است قبل از انقضا ،ابطال صورت گيرد: – كليد خصوص ي لو رفته باشد. كاربر توسط اين CAتاييد نميشود. – تاريخ انقضاء ،ليست گواهيهاي نامعتبر ،به همراه امضاء صادر كننده در CRLوجود دارد. لغت نامه مركز امنبت شبكه شريف 56 عدم اعتبار گواهي 3 لغت نامه مركز امنبت شبكه شريف 57 هدف از گواهي؟ – هركاربر يك ميزان اعتبار دارد و آن ميزان اعتبار متناسب با سطحي از حساسيت كارها است. – كارت اعتباري هم به افراد مختلف اعتبارهاي متفاوت ميدهد (كارت نقرهاي ،طاليي ،پالتيني ،و تيتانيومي) – :Certificate Policyامضاء نامه ،امضاء قرارداد….. ، لغت نامه مركز امنبت شبكه شريف 58 هدف از گواهي؟ لغت نامه مركز امنبت شبكه شريف 59 وظايفPKI هدف فراهم آوردن اعتماد به تراكنشهاي الكترونيكي. سيستمي كه نياز است تا رمزنگاري مبتني بر كليد عمومي و امضا ،رقمي را فراهم آورد PKIنامند. هدف از PKIمديريت كليد و گواهيها است. لغت نامه مركز امنبت شبكه شريف 60 CA CA به عنوان آژانس اعتماد در يك PKIاست و لذا طرف سوم امن ناميده ميشود. لغت نامه مركز امنبت شبكه شريف 61 نسخهبرداري و بازيابي كليد كليد ممكن است گم شود! دادهها غير قابل دسترس ميشوند .بايد مركزي براي بازيابي كليد وجود داشته باشد. دو دليل براي نسخهبرداري كليد لغت نامه فراموش ي كلمة رمز :نابودي دادههاي حساس .حتي رمز نكردن به خاطر ترس از گمشدن كلمة رمز وجود دارد. گم شدن ،دزديده شدن ،و يا خرابي رسانهاي كه كليدها روي آن ذخيره شده است. مركز امنبت شبكه شريف 62 نسخهبرداري و بازيابي كليد 2 - لغت نامه عدم انكار دليلي بر عدم نسخهبرداري كليد انكار يعني اعالم عدم دخالت در يك تراكنش .در فرم كاغذي امضاء اين كار را كنترل ميكند. در فرم الكترونيكي :امضاء رقمي. عدم انكار مستلزم توليد و ذخيرة امن كليد امضاء در محدوده تحت كنترل كاربر (در همةحاالت) است و لذا نبايد از آن Backupگرفت . از نظر فني هم ضرورت ندارد چرا كه يك زوج كليد ديگر توليد و استفاده ميشود. ==> دو زوج كليد براي هر كاربر الزم است! مركز امنبت شبكه شريف 63 مديريت سابقة كليدها نبايد كليدها ابدي باشند .پس بايد: لغت نامه كليدها را بروز آورد. سابقه زوج كليدهاي قبلي را نگهداشت تا دادههاي رمز شده با زوج قبلي قابل رمزبرداري باشند .اين كار توسط نرمافزار طرف كارفرما انجام ميشود. بروزآوري كليد بايد شفاف ) (Transparentباشد،قبل از انقضاء بروز آيد. نقطه مقابل :وقتي كليدهاي امضاء بروز ميآيند بايد كامال نابود شوند! مركز امنبت شبكه شريف 64 مؤلفههايPKI – تا حال صادر كننده را مسئول توليد ،مديريت ،و توزيع گواهي و CRLتلقي كردهايم. – PKIاز تعدادي مؤلفه تشكيل شده است كه هركدام بخش ي از وظايف را به خوبي انجام ميدهند... لغت نامه مركز امنبت شبكه شريف 65 مؤلفههايPKI – چهار مؤلفه اصلي: Certificate Authority : CA – Registration Authority: RAکنترل محتواي گواهي و اطمينان از تعلق به دارنده آن. – انباره (Repository):توزيع گواهيها و CRLها (حداكثر كارآيي و دسترس پذيري را الزم دارد). – آرشيو (Archive):انباره طوالني و امن براي آرشيو اطالعات. لغت نامه مركز امنبت شبكه شريف 66 مؤلفههايPKI – استفاده كنندگان: – .همچنين كاربران شامل " :مشترك" و يا "Certificate ”Holder – كاربر گواهي يا طرف اعتماد. لغت نامه مركز امنبت شبكه شريف 67 CA – مجموعهاي از سخت افزار ،نرم افزار ،و اپراتورها. – با دو صفت شناخته ميشود :نام و كليد عمومي. – وظايف... لغت نامه مركز امنبت شبكه شريف 68 وظايفCA – صدور گواهي (توليد و امضاء) به كاربران و يا ديگر CAها. – نگهداري وضعيت گواهيها و صدورCRL. – انتشار گواهيها و CRLموجود – نگهداري آرشيو اطالعات وضعيتي از گواهيهاي صادره منقض ي يا ابطال شده ،به منظور تعيين اعتبار گواهيها پس از انقضاء. لغت نامه مركز امنبت شبكه شريف 69 صدور گواهي – تأييد اينكه فاعل (دارنده گواهي) كليد خصوص ي متناظر با كليد عمومي موجود در گواهي را دارد. – اگر كليد خصوص ي CAلو برود ،همه گواهيهاي صادهاش در معرض شك است. – پس اولين وظيفه CAحفاظت از كليد خصوص ي خودش است ،حتي وقتي در حافظه اصلي درحال پردازش است. – وظيفه ديگر CAاطمينان از درستي گواهي و درستي ادعاي درخواست كننده گواهي است. لغت نامه مركز امنبت شبكه شريف 70 اجزاي تشكيل دهندهCA لغت نامه مركز امنبت شبكه شريف 71 RA – دو روش براي تأييد هويت متقاض ي – RAقبل از ارائه در خواست به CAاطالعات الزم را جمع آوري و كنترل ميكند :مراجعه شخص ،تأييد هويت. ً – اگر قبال زوج كليد توليد كرده باشد كه همان به CAارسال ميشود. – در غير اين صورت يك هويت شناس ي يكبار مصرف ميگيرد تا پس از توليد به CAارائه دهد. لغت نامه مركز امنبت شبكه شريف 72 معماريPKI – مادام كه دارندگان گواهي از يك CAگواهي گرفته باشند مسئله ساده است. – وقتي كه دارندگان گواهي از CAهاي مختلف گواهي گرفته باشند چگونه اعتماد كنند؟ – معماري ساده PKI لغت نامه تنها يك CAدر سازمان گلوگاه وSingle point of failure ً هرگونه اشكال منجر به لطمه ديدن اعتماد و احتماال صدور مجدد گواهيها. مركز امنبت شبكه شريف 73 X.509 محصول ITU-Tو بخش ي از توصيههاي سريX.500 گواهي X.509در،IPSec ، S/MIME ،SSL/TLSو SETاستفاده شده است. CA << A >> Oبه معناي گواهي صادره CAبراي كاربر Aاست. همه كاربران در محدودة يك CA:وجود اعتماد مشترك و امكان وريف كردن گواهي صادره. لغت نامه مركز امنبت شبكه شريف 74 ساختار گواهي رقمي Version 3 Version 2 Version 1 All Versions لغت نامه مركز امنبت شبكه شريف 75 2- ساختار گواهي رقمي Certificate Version Signed Validity Period (Integer) Not Before Issuer (date and time) (name) Not After Subject (date and time) (name) Public Key Algorithm Public Key (bit string) (object Identifier) Optional Attributes Signature Algorithm (object Identifier) 76 مركز امنبت شبكه شريف لغت نامه Cross-Certificate در محيط بزرگتر :چند CAيا درختي ازCA. هر CAبه كاربران خود سرويس ميدهد و لي به ازاء هر CAديگر هم يك گواهي نزد خود دارد. با فرض Aو Bمربوط به در CAمختلف X1وX2: >>X1 <<X2>> X2 <<B O >>X2 <<X1>> X1 <<A O با توجه به شكل ميتوان داشت: O O لغت نامه >>X <<W>> W <<V>> V <<Y>>Y<<Z>>Z<<B >>Z <<Y>> Y <<V>> V <<W>>W<<X>>X<<A مركز امنبت شبكه شريف 77 Enterprise PKI دومعماري مختلف براي PKIبزرگ. – سلسله مراتبي Mesh لغت نامه مركز امنبت شبكه شريف 78 گواهي براي كاربران سيستم لغت نامه مركز امنبت شبكه شريف 79 لغت نامه مركز امنبت شبكه شريف 80 CRLs Hot Listدر مورد Credit Cardليست سوء استفاده کنندگان را دارد. CRLهمان Hot Listاست که در آن شماره سريال قرار مي گيرد. کاربران گواهي CRL ،را براي وجود شماره سريال گواهي در داخل آن کنترل مي کنند. CRLبه امضاء CAمي رسد تا هويت شناس ي و صحت محتواي آن تأييد شود. يک چارچوب مورد استفاده در حداکثر کاربردهاي CRLدر اين جا مورد انتظار است. لغت نامه مركز امنبت شبكه شريف 81 CRL ساختار Version Signature Issuer tbsCertList ThisUpdate signAlgorithm NextUpdate signatureValue RevokedCerts CRLExtensions 82 مركز امنبت شبكه شريف لغت نامه توليد و استفاده ازCRL Full CRLدرمواقعي که يک CAهرازچندگاه ليست کامل Revokeشده ها را مي دهد. از next update timeبراي کنترل کهنه بودن CRL استفاده مي شود. :CRL Locationاگرمحل توزيع CRLمشخص نباشد بايد در محلي باشد که CAمشخص کرده است. اندازه CRLمسئله است چرا که همه Revokeشده ها را بايد پشتيباني کند. Delta CRLاختالف اخيرترين بروزرساني و CRLجديد. لغت نامه مركز امنبت شبكه شريف 83 رويه ها و خط مش ي ها براي داشتن PKIدو دسته مستند الزم است (CP) Certificate Policy (CPS) Certificate Practices Statement اين دو قالب مشترک دارند ولي شنونده متفاوت و هدف متفاوتي دارند. لغت نامه مركز امنبت شبكه شريف 84 رويه ها و خط مش ي ها 2- CPيک مستند سطح باال است که خط مش ي اي امنيتي براي صدور گواهي و نگهداري اطالعات گواهي را شرح مي دهد. لغت نامه شرح عمليات ،CAمسئوليت هاي کاربربراي درخواست ،استفاده ،و مديريت کليدها و گواهي ها را دارد. عمر اين خط مش ي ازمرحله توليد تا انقضاء گواهي است. CPSيک مستند خيلي جزئي است که نحوه اجرايي شدن CPرا بيان مي کند. مركز امنبت شبكه شريف 85
© Copyright 2026 Paperzz