Upload
peykanpour
View
511
Download
0
Tags:
Embed Size (px)
Citation preview
احراز یت ي مکاویسم ای آن
فیم پارساییتجارت الکتريویک داوشجی رشت
89بمه
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
auditing
authentication
authorization
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
احطاظیتیه هثل) هخزیت ط آى اؾبؼ ثط و اؾت هىبیعهی یب ضـ
یه زض ا قطیه آیب و وس هی ثطضؾی (قرم یب پطؾ هی ازػب و اؾت وبی ،(همبثل طف هخزیت یؼی) اضتجب
الؼی طف ثدبی ضا ذز و اؾت ثبلث گط اذالل یه یب وس.اؾت ظز خب
بی ؾبذتگی خؼل اضؾبل زاز
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
احطاظیت
چیعی و وبضثط ثساسضهع ػجض هتی، ضهع ػجض تهیطی
چیعی و وبضثط هبله آى اؾتبی قوس بی اهیتی، وبضت توي
چیعی و وبضثط اظ ظط ثیلغیه زاضز، تكریم چط، الگی قجى چكناثط اگكت،
تكریم نسا
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ولو ػجض
.تطیي ع احطاظ یت اؾت ضایحهعیت
پیبز ؾبظی ثؿیبض ؾبزهؼبیت
.هی تاى آى ضا حسؼ ظز.ث آؾبی ث زیگطی زاز هی قز
.یبزآضی آى، ث یػ اگط هطتجب اؾتفبز كز، ویك آؾبى یؿتآهظـ وبضثطاى
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
توي گبضی ضهع ػولیبت ادبم ثطای ای حبفظ زاضای توي
ثب ؿتس الىتطیىی بی گای گساضی ثىبضگیطی ب آى زض هخز تطاق ضیع اظ اؾتفبز
هی ادبم گبضی ضهع ػولیبت پیچیس، بی الگضیتنقز ثب تاس هی ثبقس، هی توي زاضس و قرهی تب
هحطهب االػبت ث توي ػجض ولو وطزى اضز.وس پیسا زؾتطؾی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ثیهتطیه
اؾتفبز اظ ذهنیبت فیعیىی اقربلهعیت
غیط لبثل زؾتطؾی، گن قسى، فطاهقیػیت
، هت، گساضی عی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
یت ثط اؾبؼ ضیىطز چبلف پبؾد احطاظ
challenge) پبؾد چبلف and Response): ضقت یب ػسز یه ، طفیي اظ یىی تجسیل ثبیس همبثل طف .فطؾتس هی ذز همبثل طف ثطای ضا آى تلیس تهبزفی ای
ضقت» تهبزفی ی ضقت یب ػسز ث .ثطگطزاس ضا تید وس اػوبل آى ضی ضا ذبنی.قز هی گفت« nonce چبلف
در محديد ای 128حداقل )بسرگ
باشد( بیت
nonce
باید کامال تصادفی باشد
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ضقی جك هتمبضى ؾطی ولیس یه ذهل زض لجال ثبة آلیؽ اظ .قز هی بهیس هتمبضى ولیس ایي.اس ضؾیس تافك ث هوئي
هتمل قجى ضی ثط جبیس ضهع ولیس قطایی یچ تحت و آدب چبلف ضیىطز ث یىسیگط یت احطاظ ثطای آب لصا قز
.قس هی هتؾل پبؾدA آلیؽ هؼطف B ثبة هؼطف R چبلف ضقت هؼطف K ولیس هؼطف
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
بابآلیس
1
2
3
آغبظ كؿت
A B
A
( )AB BK R
4
AR( )AB AK R
5
BR
ظهبىظهبى
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
مس ثطضؾی.یىی اظ هكىالت ایي ضـ حول ثبظتبة اؾت اخالل گرباب
1
2
3
آغبظ كؿت
T B
4
5
, TA R
, ( )B AB TR K R
, BA R
( )AB BK R
2 , ( )B AB BR K R
ظهبىظهبى
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ضاىبض
.تطویت ضـ بی فق اهیت ضا زض ثطاثط حول ثبظتبة ثبال هی ثطز
طاحی ؾیؿتن ث گ ای ثبقس و ث هحى هكبس االػبت یه كؿت زضكؿت هاظی زیگط، ؾیؿتن ط ز كؿت ضا لغ وس A
Bطفیي ث گ ای ضقت بی چبلف ذز ضا اظ هدوػ بی هتفبت
اتربة وس و اهوىبى خؼل یت جبقس
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
MAC
Hash ایي اظ یىی Function ب MAC و وبضی .اؾت MAC هیىس secret و ضا ولیس یه و ایؿت key ثؼاى پیبم یه ثوطا اؾت
Message ثبم هیسس ذطخی یه هیىس لجل ضزی
Authentication Code تؼلك پیبم آى ث و یتی قبؾبیی وس اضؾبل فطزی ثطای ضا پیبهی ظهبیى و ایؿت تبثغ ایي انلی وبضثطز زاضز
وس حبنل اویبى فطؾتس فطز انلی یت اظ ثتاس فطز آى هیىین زاقت ضا اتظبضـ آى و وطز اضؾبل ثطایف ضا پیبم فطزی و قز هوئي
.اؾت پیبم انلی وس اضؾبل
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
HMAC
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
Aپیبز ؾبظی ایي ضـ زض ؾح ؾرت افعاض عی ون
ؾطػت ثبالیی زاضز
Bثطای ز هخزیت و اظ طیك یه لیه هؿتمین ث
.یىسیگط هتهلس ، ثؿیبض هفیس اؾت
Cثبیس فطو قز و لجال فطایس قبؾبیی همسهبتی هجبزل ی قبؾ
بی وبضثطی نضت گطفت ایي هىبیعم نطفب ثطای اثجبت زضؾتی .ازػبی طفیي اؾت
D AESایي الگضیتن ثب یه ضـ ضهعگبضی هتمبضى هثل
.لبثل خبیگعیي اؾت serpentیب
HMAC
احطاظ یت هتىی ثط هطوع تظیغ ولیس
هی اضائ اػتجبضی هؾؿ یب ثبه یه و ذسهبتی ویس فطو قؼت اظ یىی زض یىجبض حسالل وبضثط و ثبقس قىلی ث وس
.وبیس زضیبفت ضا ذز ولیس وس ثبظ حؿبة . قز حبيط
KDC(key distributed center) ولیس ظیبز حدن زلیل ث .قز هی ایدبز ولیسب هسیطیت شذیط ثطای هطوع ایي وبضثطاى،
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
KDC آلیسباب
1
3
آغبظ كؿت
A B
, ( , )A sA K B K
( , )B sK A K
ظهبىظهبى
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
مس ثطضؾیظیطا اذاللگط ثبلث . اؾت« حول تىطاض»یىی اظ ذطات ثؿیبض هن
هی تاس پیبم بی ثیي طفیي ثسى یچ فوی اظ هحتا اؾتطاق .ؾوغ وس
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ضاىبض
تطویت ضـ بی فق ثتطیي ضا اؾت.
ضقت بی زاضای اػتجبض ظهبی فم زض ثبفط گساضی هی قس.
ث هظض تكریم تبظگی پیبم« هط ظهبى»ث وبضگیطی A
Bثبقس گیطس ثب هطاخؼ ث فبیل گساضی nonceزض ط پیبم ضقت تهبزفی
.ؾبثم پیبم ب، تىطاضی ثزى ضا ثطضؾی وس
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
قطزض-هىبیعم احطاظ یت یسبم
تؾ ضاخطظ یسبم 1978ایي پطتىل زض ؾبل.هبیىل قطزض هؼطفی قس
اؾت یبظ ث هطوع « چبلف پبؾد»هجتی ثط هفم.تلیس ولیس زاضز
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
KDC آلیسباب
1
2
آغبظ كؿت
A B
, ,AR A B
( , , , ( , ))A A S B SK R B K K A K
2( , ), ( )B S S AK A K K R
2( 1),S A BK R R
( 1)S BK R
3
4
5
ظهبى ظهبى
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ثطضؾی مس اظ هیتاس .وس ؾوغ اؾتطاق ضا كؿت ولیس ثلی اذاللگط اگط
.وس آغبظ ضا تىطاض حول ؾم هطحل
كؿت ولیس طم افطاز ػوهب وس هی تغییط ثبض ط ههطف ثبض یه هؼوال
.وس وی زلت آى گساضی زض ب افعاض
SK
SK
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
KERBEROS
یت احطاظ پطتىل Kerberos زض «آتي» پطغ اظ ثركی پطتىل اظ ای گ اؾبؼ ثط انل زض و ثز MIT زاكگب
ااؾ ث هتؼلك Kerberos .اؾت قس بز ثب «قطزض -یسبم» زض خسیس ی عاض زض آى خسی وبضثطزبی لی اؾت كتبز ز
Windows هثل ػبهلی بی ؾیؿتن 2000، Linux Solaris .گطفت ثرز الؼیت نضت
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ث اقبض و اؾت ثبؾتبى یبى اؾبیط اظ ثطگعیس Kerberos بم زض اظ زاضز قیط قجی یبلی افؼی قىل ث ؾط ؾ ثب قطظ ؾگی .قس ذبضج آدب اظ تاس زظذیبى تب وس هی گجبی زظخ
ؾ ثب آضایكی پطتىل، ایي ثب وي اؾض ایي هكتطن خ اظ ثبیس تطتیت ث وبضثط ط و اؾت AS، TGS Server هؤلف
زضافؿب .ثبقس ذبل ؾطیؿی زضیبفت ث لبزض تب ثگیطز هدظ آب وكت ضا وطثطؼ ذبى، زاظز اظ یبظزن ذاى زض طول ب
چ ضا اهیت زیبی وطثطؼ !ثطز اضؾتیؼ عز ضا ا ؾطبیویؿت؟ طول آى ثطز هی ؾط وؿی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
وطثطؼیػگیبی ػوهی ثزى ػوهی(Common)
هتوطوعزض هحی تظیغ قس وطا ثب ؾطضبی هتوطوع غیطت اهی(Security)
ازػبی انلیبى یاو(Reliability)
.اویبى اظ فؼبل ثزى و ؾطیؽ ب ثطای وبضثطاى هدبظت قفبفی(Transparency)
ولو قبؾ»ؿتن ؾبز یه ؾیؿتن ضا وبس یس ؾیوبضثطاى ثب. سیثج«ػجض
یطیبؼ پصیهم (Scalability)لبثلیت وبض ثب تؼساز ظیبزی هبقیي وبضثط وبضگعاض
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
وطثطؼ للوط
اظ ثركبی ظیط تكىیل قس اؾتوطثطؼ للوط:وبضگعاض وطثطؼ –وبضفطهبیبى –Application Serversوبضثطزی وبضگعاضاى– وبضگعاض وطثطؼ گصضاغ توبم وبضثطاى ضا زض پبیگب زاز
.ذز زاضزولیسی هرفی ث وبضثطزی وبضگعاض وطثطؼ ثب ط وبضگعاض
.اقتطان گصاقت اؾت هیجبقس حظ هسیطیتیهؼوال ط للوط هؼبزل یه.
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
طهخزیت هتمبيی ؾطیؽثبیسیت ذزضا اثجبت وس
طؾطیؽ زس زاضای ولو ػجضاؾت تحت ظاث ذبنی ؾطیؽ هی زس
KERBEROSاصول
هطحل الیي زض وبضثط ط فم «ؾیؿتن ث ضز»اظ
وس، هی اثجبت ضا ذز یتاظ گطفتي ؾطیؽ ثطای لی
ثبیس زس ؾطیؽ ط وس اذص ای خساگب هدظبی
س ز
ؽ طی
ؾت
یاظ
حطا
س ز
ؽ طی
ؾ
ضثلیس
ن
س ز
ؽ طی
ؾى
قج
AS TGS Serverآلیس
A1
( , ( , ))A s TGS sK K K A K2
3
( , ), , ( )TGS s sK A K B K t4
( , ), ( , )s AB B ABK B K K A K
5
( , ), ( )B AB ABK A K K t
6
( 1)ABK t
آغبظ كؿت
A B
ظهبىظهبى
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ثلی
زض الغ ػی گای اؾت و گبم ضز وبضثط ث للوط ث ا زاز هی قز و ثیبگط اػتجبض ا ثطای وطثطؼ
.زؾتطؾی ث هبثغ قجى هی ثبقس
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
1بلي یزافعایف ایوی
یس ثب بم وبضگعاض اػب وس ثلیه وبضگعاض خسیاؾتفبز اظ –TGS: Ticket Granting Server
احطاظ یتوبضگعاض، AS ،ووبوبى خز زاضز ..تؾ آى نبزض هی قز ticket-granting ticket« یثل اػبء» یثل–بی اػبء ذسهبت تؾ یاگطچ ثلTGS كسینبزض ه.
service-granting ticket« ذسهبت اػبء» یثل–
احطاظ یتبم وبضگعاض یثب ضهع وطزى پ اختبة اظ اتمبل ولو ػجض (AS) ثس هكتك قس اظ ولو ػجضیوبضفطهب تؾ ول
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
1بلي یزافعایف ایوی
ضز ثسل Log onه ز ث اظاء ط خلؿ یقوبض یبهبیپ. كسیهقوبض ؾ چبض ث اظاء ط ع ذسهبت ضز ثسل یبهبیپ.كسیه.كزیبم قوبض پح ث اظاء ط خلؿ ذسهبت ضز ثسل هیپ
.1Client AS: IDClient || IDTGS
.2AS Client: EKClient [TicketTGS]
.3Client TGS: IDClient || IDServer || TicketTGS
.4TGS Client: TicketServer
.5Client Server: IDClient || TicketServer
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
1بلي یز یب یػگی
زض اؾبؼ ث زجبل سف . ز ثلی نبزض قس ؾبذتبض هكبثی زاضس.احسی ؿتس
ضهعگبضیTicketTGS خت احطاظ یت.تب وبضفطهب هی تاس ث ثلی ضهعقس زؾتطؾی پیسا وس– توبهیت ضهع وزى هحتای ثلیب(Integrity )ضا فطان هیىس. اؾتفبز اظ هط ظهبی(Timestamp) زض ثلیب آب ضا ثطای یه ثبظ
.ظهبی تؼطیف قس لبثل اؾتفبز هدسز هیىسظ اظ آزضؼ قجى ثطای احطاظ یت ثط هیگیطز .
. هیكز (Spoof)چساى خبلت یؿت ظیطا آزضؼ قجى خؼل –ثب ایي حبل، زضخ ای اظ اهیت هیب هی قز–
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
1بلي یزمب يؼف
ثلیبهكىل ظهبى اػتجبض:یبظ ث زضذاؾت بی ظیبز گصضاغ: ظهبى وتب – حول تىطاضذط : ظهبى ثلس – تؾ وبضگعاضػسم احطاظ یت : یت قبؾی یىؿی
فطهبوبضهدبظغیطوبضگعاضضؾیسى زضذاؾت ب ث یه –
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
تمامی با TGSکلید
رمس شد اود
TGSثلی
ولیس خلؿ وبضفطهب ثیي
TGS
قبؾوبضفطهب آزضؼ
وبضفطهب قبؾTGS
هط ظهبی
زض اػتجبض ثلی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
فطهبتبیح ایي هطحل ثطای وبض
اظ «اػبء ثلی»ثلی ثسؾت آضزى اهيAS
ثسؾت آضزى ظهبى امبی ثلی(TS2)
وبضفطهباهي ثیي ولیس خلؿثسؾت آضزى TGS
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
«اػبء ذسهبت»ثسؾت آضزى ثلی
Server Client
3.
TicketServer=
EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]
AuthenticatorClient=
EKClient,tgs[IDClient|AddrClient|TS3]
4.
( , ), , ( )TGS s sK A K B K t
( , ), ( , )s AB B ABK B K K A K
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
تمامی با کلید کارگزار رمز
شده اند
وبضگعاضثلی
ولیس خلؿ وبضفطهب ثیي
وبضگعاض
قبؾوبضفطهب آزضؼ
وبضفطهب قبؾTGS
هط ظهبی
زض اػتجبض ثلی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
اػتجبض به وبضفطهب
شناسهکارفرما آدرس
کارفرما
مهر زمانی
تمامی با کلید جلسه رمز
شده اند
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
فطهبتبیح ایي هطحل ثطای وبض
اػتجبض یهخلگیطی اظ حول تىطاض ثب اؾتفبز اظیىجبض ههطف و ػوط ( Authenticator)به
.وتبی زاضزثسؾت آضزى ولیس خلؿ ثطای اضتجب ثب ؾطض
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
ذسهبت ؾطضزؾتیبثی ث
Client Server
5.
6.
( , ), ( )B AB ABK A K K t
( 1)ABK t
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
Kerberosيؼف بی
ث ذط افتبزى ؾطیؽ گط هؼتوس هطوعی، ظیبى ثبض اؾتظیطا اى همبزیط ؾطی یل الوست وبضثطاى ضا گساضی
وطثطؼ ؿجت ث حوالت اغ به ای ثطای . هی وس.حسؼ گصض اغ ب آؾیت پصیط اؾت
وطثطؼ ؾطیؽ بی ػسم اىبض ضا فطان وی وس .(اهببی ضلوی)
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
Kerberos V5
زاضای TGSزض ایي ؿر ط ثلی نبزض تؾ ؾطیؽ زس :هحتیبت ظیط اؾت
قبؾ وبضثطیوبزیي ؾطیؽ زس بمهبقیي هكتطی آزضؼكت ولیساػتجبض ثلی ظهبىظهبى هط
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
Kerberos V5هعیت بی
ثطای ایى وطثطؼ لبثلیت گؿتطـ زض ؾح قجى بی ثؿیبضثعضي ضا زاقت ثبقس ؾؼی قس و ول قجى ث نضت ؾلؿل
هطاتجی زض لبلت چسیي للوط ثطای ذزـ یه ؾطیؽ زس AS TGS زاضزو ثبض وبضثطاى للوط ذز ضا ث زـ هیىكس.گصاضی وبز اظ ب زاز تنیف ثطای ASN.1 قس اؾتفبز
اهىبى ثطز ثیي اظ DES ث اثؿتگی قس ؾؼی اؾت.ثبقس زاقت خز ؾیؿتن زض هتمبضى ضهعگبضی
وبضثط آظهبیف قس ث اثجبت 280000وبضایی ایي ؿر ثب.ضؾیس اؾت
احطاظ یت ثب اؾتفبز اظ ضهعگبضی ولیس ػوهی
اهي ضقی ث ضا افطاز ػوهی ولیسبی ثتاى ای قجى زض گب ط ثط هجتی تط ؾبز ضقی ث ضا یت احطاظ تاى هی آضز ثسؾت
.وطز ؾبظی پیبز ػوهی ضهعگبضی
زیدیتبل گایبه نسض اظ تاى هی ضـ ایي اػوبل ثطای X.509 ؾیؿتن PKI وطز اؾتفبز.
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
مقدمه چالش و پاسخ HMACمرکس توزیع
کلیدشرودر-نیدهام KERBEROS
رمسنگاری کلید عمومی
سريیس دىد تزیع کلید عممی
آلیسباب
تمبيبی زضیبفت ولیس ػوهی ثبة
دریافت کلید عممی یا گایىام باب
آغبظ كؿت
A B
3
تمبيبی زضیبفت ولیس ػوهی آلیؽ 4
7
BE
( , )B AE A R
AE
زضیبفت ولیس ػوهی آیب گایبه لیؽ 5
( , , )A A B SE R R K
( )S BK R
ظهبى ظهبى
تید گیطی
هىبیعم تطیي ضایح اظ قس هؼطفی بی ضـ توبم زض وبهپیتطی بی قجى زض اؾتفبز هضز بی
Kerberos اظ تطویجی الىتطیه تدبضت 5 RSA هبس (بهتمبضى)ػوهی ولیسبی اظ اؾتفبز
Kerberos ضـ اهیت و اؾت ض ث ضا 5.زس هی افعایف قبیبی
هقذه
تشخسداس ای یظ اویت اص ا سایت دذگاى تسع هیاى دس الکتشیک تجاست اهیت ڇفظ WEBتذیذات تا غڇیڇ دقیق هقاتل ا سایت پزیشی آسیة دفع گش دس اهش ایي است
APPLICATION است. آا تشیي هن اص یکی گیشد هی غست تشاه سغڇ دس ا ڇول اص تسیاسی SQL
INJECTION گیشد هی قشاس ڇول هسد سایت داد پایگا ڇول ع ایي دس .است.هجاص غیش ضکل ت ا داد ت دستیاتی فشد یت جعل تشای هاقع اص تسیاسی دس ڇول ایي
.سد هی کاس ت الیي تاس ڇولSQL PIGGYBACKING یاSQL INJECTION دس ااخش سال
.هغشڇ ضذ 1998 دسغذ اص 10جام ضذ طاى داد ک تیص اص ا 2007تا 2002عثق تشسسی ایی ک اص سال
دسغذ اص ایي 20تد SQL INJECTIONکل آسیة پزیشی ا هشتط ت .آسیة پزیشی ا هشتط ت اعتثاسسجی داد است
دسغذ اص ب سایت ا دس هقاتل ایي ڇول آسیة پزیشذ 16عثق تشسسی ای اخیش.
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
تخص ثثت نام و ویرایص اطالعات-1
ای تجاست الکتشیک پزیش سایت ای آسیة قسوت
تخص ثثت نام و ویرایص اطالعات-1
دستکاسی سدی کاستشاى،:هکانیسن حولهSecond Order Injection تا استفاد اص ایي هکایسنایی ک تشاه ای خاظ دس ایي قسوت تعضی اص هڇذدیت تاى تا ثثت ام یک کاستش ت سش هی
.کذ سا دس صد یس اعوال هی
ای تضسیق،تعشیف ضوای تاک اعالعاتی،اضاف یا تعشیف داد،گزس کشدى تطخیع پاساهتش: هذف حولهاص اڇشاص یت،اجشای دستسات
هایی از حوالت نوونه: Union Query, Piggy Backed Query تاتع،..
قشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش،Lock Down دسSql Server، اعتثاسسجی ا،Store Procedureاستفاد اص استفاد اص عثاست ای آهاد ، ساصگاسی پیغام خغاا،
اتػاالت تا کوتشیي ڇق دستشسی ا، سدی
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
ورود اعضا-2
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
ورود اعضا-2دستکاسی سدی کاستشاى، :هکانیسن حولهSecond Order Injection
تطخیع پاساهتشای تضسیق، :هذفperforming database fingerprinting تعشیف، performing denialا، ، اضاف یا دستکاسی داد Extracting Dataضوای پایگا داد،
of service ،avoiding detection ،By passing authentication ،Executed remote command
ای تاذ ت کاس تشد ضد ت خػظ ڇول ا سا هی ی ڇول و: هایی از حوالت نوونهاستفاد اص استتاج
ساصگاسی پیغام خغاا،پایگا داد ی اهي قشاس دادى یک گشداذ ی :های هقاتله روش ، ،Escaping Table Name، ا اعتثاسسجی سدی ا،Store Procedureاستفاد اص
اتػاالت تا کوتشیي ڇق دستشسی ،ای سیستوی عذم دستشسی ت فایل
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
تعاهل تا تانک صاحة حساب، وارد کردى اطالعات -3حساب
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
تعاهل تا تانک صاحة حساب، وارد کردى اطالعات حساب -3
دستکاسی سدی کاستشاى، :هکانیسن حولهSecond Order Injection
ای تضسیق،تعشیف ضوای تاک اعالعاتی،اضاف یا تعشیف تطخیع پاساهتش :هذف حولهدسی اص تطخیع Remotesداد،گزس کشدى اص اڇشاص یت،اجشای دستسات
هایی از حوالت نوونه:Union Query, Piggy Backed Queryتاتع، Illegal/Logically Incorrect Queries..و
ساصگاسی پیغام خغااقشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش ،، Sqlدس Escaping Table Name، Lock Down، ا اعتثاسسجی سدی Server ،
استفاد اص عثاست ای آهاد
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
کوکی -4
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
کوکی-4
ا رخیش گشد ا اگش اعالعات فشد دسى آى ڇول ت ککی :هکانیسن حوله.
هذف حوله Performing Privilege Escalation: گزس کشدى اڇشاص،ا ا، تذست آسدى هقذاس داد یت
هایی از حوالت نوونهpiggy backed query, tautology :
ا اعتثاسسجی سدی :های هقاتله روش ، Lock Down دسSql Server ، استفاد اص عثاست ای آهاد ، اتػاالت تا کوتشیي ڇق دستشسی
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
5-URL
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
5-URL
فر ت هتغیشای سشس :هکانیسن حوله
جت فویذى سطى تاک ،ع تاک ،ضوای تاک،تطخیع پاساهتشای : هذف حولهPerforming Denialا، تضسیق،تذست آسدى هقذاس داد Of Service
هایی از حوالت نوونه: Union Query, Tautology, ،Legal/Logically Incorrect Queries،Piggy Back Query ای صهای ، استفاد اص قف
ساصگاسی پیغام خغاا، پایگا داد ی اهي قشاس دادى یک گشداذ ی :های هقاتله روش ،ای عذم دستشسی ت فایل ،Escaping Table Name، ا اعتثاسسجی سدی
ای آهاد سیستوی،استفاد اص عثاست
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
اتخاب کاال سثذ خشیذ -6
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
اتخاب کاال سثذ خشیذ -6
دستکاسی سدی کاستشاى :هکانیسن حوله
اضاف تغییش دستسات،اجشای دستسات :هذفRemote تطخیع پاساهتشای،تضسیق
هایی از حوالت نوونه :Union Query ، ا،تاتعStore Procedure ا
ا ساصگاسی پیغام خغاا، اعتثاسسجی سدی :های هقاتله روش ،Escaping Table Name، استفاد اص ای آهاد، استفاد اص عثاستStore Procedureا
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث -7هوضوع، پیام خصوصی پیراهوى
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
هوضوع، پیام پیشنهاد قیوت، قراردادى کاهنت، تواس تا ها، تحث پیراهوى -7خصوصی
دستکاسی سدی کاستشاى: هکانیسن حوله
ا،اجشای دستسات اضاف تغییش داد :هذف حولهRemote
تاتع : هایی از حوالت نوونهStore Procedure ا
قشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش،Lock Down دسSql Server، ،استفاد اص استفاد اص عثاست ای آهاد ، ساصگاسی پیغام خغااStore
Procedure،اتػاالت تا کوتشیي ڇق دستشسی ا، اعتثاسسجی سدی ا
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
جستجوی کاال -8
ای تجاست پزیش سایت ای آسیة قسوتالکتشیک
جستجوی کاال -8
دستکاسی سدی کاستشاى: هکانیسن حوله
ا، تذست آسدى ضوای تاک،تذست آسدى هقذاس داد: هذف حولهPerforming Denial Of Service
تاتع : هایی از حوالت نوونهStore Procedure ا
قشاس دادى یک گشداذ ی پایگا داد ی اهي :های هقاتله روش،Lock Down درSql Server، ،استفاد اص استفاد اص عثاست ای آهاد ، ساصگاسی پیغام خغااStore
Procedure،اتػاالت تا کوتشیي ڇق دستشسی ا، اعتثاسسجی سدی ا
Injection Sqlی هذلی جت هقاتل تا اسائ
Injection Sqlی هذلی جت هقاتل تا اسائ
هذیریت پایگاه داده-1پایگا داد ی اهي قشاس دادى یک گشداذ یLock Down دسSql Serve
اتصال ته پایگاه داده -2استفاد اص عثاست ای آهادساصگاسی پیغام خغاا استفاد اصStore Procedureا.
ترناهه نویسی ترناهه وب تجارت الکترونیک -3اتػاالت تا کوتشیي ڇق دستشسیای سیستوی عذم دستشسی ت فایل غیش فعال کشدىAdhocا اعتثاسسجی سدیEscaping Table Nameا ت پایگا داد هذیشیت سغڇ دستشسی
یی ت هذیشاى سایتتغی ا
ی سیةپزیشآک یچگ کذ ڇاغل ى عویاا Sql Injection گش تواهی اک ڇتی ا چشاسذ؛ ذل اـڇسص دس ـتسصذ ـجذی ت کالـهطام کذ، ذـقآى اع ـفست ـجد دس شـضاسایی کت سا هطکال
. تذـسد اـیجای اص گیشـجلای شـت Sql Injection د ستفا اذـضی هتشسااـپی اـاسشضـگاص ـت کـسب اـخ
.ضدای پشداخت الکتشیک آضا تاضذ ضد تا ت پشتکلای جذیذ سیستن وچیي تغی هی
.پشتکلای هسد استفاد خد سا ت سص کذدس ضوي تایذ اص اهیت پشتال پشداخت تاک اعوییاى کاهل داضت .ای اڇتوالی اضی اص ڇول تاذ دس تسیاسی اص هاسد خساست عال تش آى آضایی تا قایي ڇققی هی
. سا جثشاى کذست ک اهن س وچیي تسیا Security Fix دتاضسص ت.تست ی پیکشتذسی دس اص کتشل، شـغیشضی اـفیکاتشدى کشک تالای تشسا تص اسآیی دفیلتشا
. ـذ تلکـي ضـهاتش ـعالعاتی تیطی اک تاک اد تا تاعث هیضس یيکاا. ضدددهي گشایضذ کل ضثک ـهعث تات عاى هثال. پزیش سایت است استفاد اص اتضاسای هتفات تشای تطخیع قاط آسیة: Sqlbrute
Acunetix،(دذ پزیش دس تشاتش ڇوالت کسکسا سا تطخیع هی قاط آسیة) Web
تیج
ای تجاست هثاڇث هشتط ت تشقشاسی اهیت دس دیای هجاصی ت خػظ سایتعسیک تایذ کلی اهکاات قای ای تشخسداسذ، ت الکتشیک اص اویت یظ
.کاس گشفت ضد تا اص جشاین هجاصی جلگیشی ضد ڇققی دس کاس اهکاات فی ت تسیاسی اص فرایی ک ت یکWeb Application ضد اضی اص قع، هی
.تاضذ یسی ضعف تاک اعالعاتی هی ای تشاه ڇفش دس سالای اخیش هوتشیي ڇوالت ت پایگا داد هخػغا دس هسد سایتا تا قاتلیت
پشداخت الکتشیک کاستای کشیذیت
ت کاس گیشی الگسیتنKerberos ت دلیل ت کاسگیشی تلیظ تاعث هی ضد تشاه. هقام ضد sql Injectionکاستشدی دس هقاتل
هبثغ• Roger Needham, Michael Burrows , Martin Abadi ; A logical of Authentication;
ACM Transaction on computer System , Vol.8,No.1
• Andrews . Tanenbaum , Computer Networks, Fourth Edition,2003
• Matthew Strebe, Foundation Network Security,2004
• Kachakil D, 2009, Sfx-SQLi (Select For Xml SQL Injection)• Thomas S , Williams L, Xie T, 2008, On Automated Prepared Statement Generation To Remove SQL Injection Vulnerabilities, Information And Software Technology , • Chris A , 2002,Advanced SQL Injection, An Ngssoftware Insight Security Research (Nisr) Publication• Halfond W, Viegas J, Orso A,2006,A Classification of SQL Injection• Mitropoulos D, Spinellis D, 2008, Sdriver: Location-Specific Signatures Prevent SQL Injection Attacks, Compute R S & S E C U R I T Y Xx X ( 2 0 0 8).
• Malware Detection, 2007,Chapter2,Halfond W And Orso A,”Detection And Prevention Of SQL Injection Attacks”, Springer Us, Volume 27, Isbn978-0-387-32720-4 (Print) 978-0-387-44599-1 (Online)