Your search keyword '"Kerberos"' showing total 832 results

801. Návrh řešení autentizace uživatelů pro malé a střední počítačové sítě

Author

Burda, Karel, Pust, Radim, Burda, Karel, and Pust, Radim

Abstract

Práce se zabývá problematikou autentizace uživatelů v počítačové síti a souvisejícím řízením přístupu k prostředkům. Je v ní provedena stručná analýza modelu TCP/IP v souvislosti s bezpečností, dále jsou popsány základní stavební prvky autentizačních protokolů (především hashe) a následuje analýza vlastních protokolů pro ověření klienta. Pro srovnání bezpečnosti jsou uvedeny zastaralé protokoly, především LANMAN. Dále jsou popsány aktuální protokoly NTLM, Kerberos a Radius. Důraz je kladen především na Kerberos, který je také zvolen jako hlavní protokol k implementaci. Z tohoto důvodu je popsána také jeho modifikace, která se používá při přihlášení do domény sítě využívající řadič Active Directory. V praktické části jsou zmíněné mechanizmy implementovány a ověřeny v reálném nasazení. Při realizaci je použita virtualizace pro přehlednější a efektivnější konfiguraci. Výsledkem je model sítě, která vyžaduje ověření identity uživatele a ve které jsou minimalizovány možnosti zneužití prostředků neoprávněnými klienty., The main focus of this Master’s thesis is user authentication and access control in a computer network. I analyze the TCP/IP model in connection with security and describe main stepping stones of authentication protocols (mainly hash functions). The authentication protocol analysis follows. I begin with LANMAN protocol analysis for the reason of a security comparison. The NTLM, Kerberos and Radius follows. The focus is on the Kerberos which is chosen as a main authentication protocol. This is also a reason why the modification used in MS domains is described. The implementation and functional verification is placed in the second part which is more practical. The virtualization technology is used for an easier manipulation. The result is a computer network model requiring user authentication and minimizing the possibility of an attack by unauthorized clients.

802. Single sign-on v J2EE webových aplikacích založené na protokolu SPNEGO/Kerberos

Author

Ryšavý, Ondřej, Ráb, Jaroslav, Ryšavý, Ondřej, and Ráb, Jaroslav

Abstract

Diplomová práce se zabývá potřebou, analýzou, popisem a integrací řešení Single Sign-On postaveném na protokolu SPNEGO/Kerberos. Práce přináší přehled o základních principech a konceptech Single Sign-On a podrobněji se zabývá autentizačním mechanismem Kerberos. Po popisu základů protokolu Kerberos, příslušné terminologie a běžných implementací je pohled zaměřen na služby a nastavení Microsoft implementace Kerbera v prostředí Windows 2000/2003. Demonstrace řešení autentizace je provedena na platformě J2EE prostřednictvím autentizačního filtru a ověřovacího pluginu. Součástí práce je stručný přehled integrace řešení Single Sign-On do různých architektur podnikových informačních systémů a popis procesu implementace takového řešení. Závěr práce obsahuje rozbor použitelnosti řešení Kerberos Single Sign-On v dnešní podnikové sféře., The dissertation deals with requirements, analysis, description and integration of Single Sign-On solution based on SPNEGO/Kerberos protocol. The thesis provides an overview of the Single Sign-On basic principles and concepts and deals with the Kerberos authentication mechanism in more detail. After introducing the fundaments of the Kerberos protocol, its terminology and common implementations, attention is focused on the services and settings of Microsoft Kerberos implementation in Windows 2000/2003 environment. An authentication solution demonstration is performed on J2EE platform using the authentication filter and plug-in. The thesis also includes a brief overview of integrating the Single Sign-On solution into different architectures of corporate information systems and describes the implementation process of this solution. In conclusion, the usability of Kerberos Single Sign-On solution in today's business sector is analysed.

803. Sada testů na výkon MIT Kerberosu

Author

Zelený, Jan, Müller, Petr, Zelený, Jan, and Müller, Petr

Abstract

Tato práce se zaměřuje na vyvinutí nástrojů pro výkonnostní testování, které umožní otestovat infrastrukturu systému MIT Kerberos, zjistit její výkonnostní charakteristiky a detekovat potenciální problémy. Práce shrnuje teoretické základy protokolu Kerberos a analyzuje potenciální výkonnostní problémy v různých konfiguracích MIT Kerberosu. Dále práce obsahuje popis návrhu a implementace sady nástrojů pro distribuované testování. Pomocí implementovaných nástrojů bylo odhaleno několik výkonnostních problémů, které jsou v práci popsány spolu s návrhem jejich řešení., The aim of this thesis is to develop performance test suite, which will enable to test MIT Kerberos system infrastructure, assess gained performance characteristics and detect potential bottlenecks. This thesis summarizes necessary theoretical background of Kerberos protocol. Potential performance problems are analyzed on different MIT Kerberos configurations. This thesis describes distributed test suite design and implementation. Several performance problems were discovered using this test suite. These problems are described and some solutions are proposed.

804. Implementace autentizace Cosign v PHP

Author

Lampa, Petr, Skokanová, Jana, Lampa, Petr, and Skokanová, Jana

Abstract

Diplomová práce je zaměřena na problematiku centrální autentizace webových serverů pomocí technologie cookie. Popsány jsou současné metody poskytující jednotné přihlášení. Podrobně je prozkoumána specifikace single sign-on mechanismu Cosign a jeho autentizačního filtru. Popsány jsou kryptografické algoritmy filtru a možnost jejich realizace v jazyce PHP. Práce se dále zabývá samotnou implementací autentizačního filtru, jeho testováním a možným využitím., Master's thesis deals with issue of cookie-based central authentication services. Present-day methods of single sign-on are described. The specification of single sign-on mechanism Cosign and its authentication filter is closely viewed. Cryptographic algorithms needed by this filter are described, as well as their possible realization in PHP. Next, the implementation of Cosign authentication filter is described. Performance of the filter is tested and its future use is analysed.

805. Podpora různých typů replikace v programu FreeIPA

Author

Zelený, Jan, Burget, Radek, Zelený, Jan, and Burget, Radek

Abstract

Velmi rozšířeným prostředkem pro správu uživatelských účtů a řízení přístupu k výpočetní infrastruktuře a službám je kombinace protokolů LDAP a Kerberos. Instalace jakož i samotná správa sítě postavené nad těmito technologiemi však skýtá mnoho překážek. Jedním z řešení je použití open-sourcové aplikace FreeIPA, která patří mezi takzvané řešení pro správu identit a bezpečnostních politik. FreeIPA výrazně usnadňuje práci s těmito protokoly od samotného nasazení až po správu celého systému. Cílem této práce je rozšíření aplikace FreeIPA o možnost použití read-only replik, které přispěje k snadnější a účinnější škálovatelnosti., LDAP and Kerberos together are widely used for management of user accounts and authorization. The installation and administration of a system based on these protocols might be difficult and full of obstacles. An open source solution exists that is capable of handling the entire life cycle of such system. It is the FreeIPA identity management system. FreeIPA significantly simplify the usage of LDAP and Kerberos from the administrator's point of view. This thesis focuses on extending the replication capabilities of FreeIPA by adding a support for read-only replicas. The read-only replicas should improve scalability features of FreeIPA controlled systems.

806. Formální analýza kryptografických protokolů

Author

Člupek, Vlastimil, Martinásek, Zdeněk, Člupek, Vlastimil, and Martinásek, Zdeněk

Abstract

Táto diplomová práca sa zaoberá kryptografiou. Popisuje sa jej základné rozdelenie a problémy teórie čísel, ktoré musí riešiť. Taktiež sa zaoberá metódami, ktoré sa použí- vajú k ohodnoteniu formálnej bezpečnosti kryptografických protokolov z matematického hľadiska. Nakoniec sa analyzujú nástroje využívané k automatickému a poloautomatic- kému vyhodnoteniu bezpečnosti kryptografických protokolov. Popisuje sa spôsob práce s týmito nástrojmi a nakoniec sa otestuje bezpečnosť protokolov Kerberos, EKE a protokolov jednosmernej autentizácie využívajúcich symetrickú kryptografiu, funkciu HMAC a hashovaciu funkciu postupne v nástrojoch AVISPA, ProVerif a Scyther. Na záver je porovnanie výsledkov., This diploma thesis deals with cryptography. It describes its basic allocation and problems of number theory that needs to be addressed. It also deals with methods used to review the formal security of cryptographic protocols from a mathematical point of view. It analyse the tools used to automatic and semi-automatic evaluation of the safety of cryptographic protocols. It describes the process of working with these tools and finally test the security of protocols Kerberos, EKE and Unilateral authentication using symmetric cryptography, HMAC function and hash function. These tests are in tools AVISPA, ProVerif and Scyther. At the end is comparison of results.

807. Softwarová podpora výuky kryptografických protokolů

Author

Burda, Karel, Lambertová, Petra, Burda, Karel, and Lambertová, Petra

Abstract

Dokument obsahuje informace o autentizaci, šifrování, integritě dat, autentičnosti dat. Dále je zde popis známých kryptografických protokolů a jejich funkce, popřípadě jejich slabiny. Všechny tyto informace vedly k návrhu a realizaci softwaru pro podporu výuky kryptografických protokolů spustitelného na běžném webovém prohlížeči. Proto byla aplikace navržena jako webové stránky v PHP za využití i JavaSriptu a AJAXu. Tím je zajištěna i multiplatformnost a nezávislost na architektuře OS. Krom popisné a ilustrativní části aplikace obsahuje i interaktivní části a animace. V závěru textové části se nachází popis obsahu a funkcí výukového softwaru. Zdrojové kódy je možné nalézt na přiloženém CD., Document contains informations about authentication, encryption, data integrity and data authenticity. Next part includes description of well know cryptography protocols, their functions and also their weaknesses. All of these acquired informations were used in concept and final software support for teaching of cryptography protocols, which is able to run on clasic web-browser. Thats why the application was designed as web PHP pages using JavaScript and AJAX, which ensures plaform and OS architecture independency. Besides the descripted and ilustrated part of application there are also interactive parts and animations. The last period contains description of education software and its functions. Source code can be found on the appended CD.

808. Identity management

Author

Pelka, Tomáš, Polívka, Michal, Pelka, Tomáš, and Polívka, Michal

Abstract

Diplomová práce je rozdělena do dvou částí. V první z nich je na teoretické úrovni zpracována oblast Identity Managementu. Jsou zde popsány jednotlivé oblasti Identity Managementu, kam patří autentizace, autorizace a audit. Dále se tato část zabývá problematikou Single Sign-On, tedy využití jednoho přihlášení k přístupu k více nezávislým systémům či službám. Ve druhé části, která je stěžejním prvkem této diplomové práce, bylo přistoupeno k praktické realizaci projektu v prostředí infrastruktury Ústavu telekomunikací na Fakultě elektrotechniky a komunikačních technologií VUT v Brně, jehož cílem bylo implementovat v rámci počítačové učebny sloužící k výuce OS Linux prostředí pro centrální autentizaci a Single Sign-On pro studenty a vyučující za využití výhradně open source technologií. Hlavními prvky tohoto řešení je OS Linux Debian, protokol pro bezpečnou autentizaci Kerberos a LDAP server OpenLDAP. Pro demonstraci Single Sign-On byla zvolena služba NFS, která slouží k přístupu k souborům po síti a díky které jsou uživatelé nezávislí na použití konkrétní stanice pro práci. Správa uživatelů a jejich import z centrální databáze FEKT VUT je řešena pomocí skriptů vyvinutých v jazyce Python. Dále bylo za pomocí technologií Apache, PHP a MySQL vytvořeno front-endové rozhraní pro administrátora systému, kde má možnost snadno zkoumat a vyhodnocovat podezřelé bezpečnostní události v síti, o kterých je rovněž zpravován v reálném čase pomocí emailu. Vytvořený projekt je koncipován jako bezpečnostní platforma pro správu sítě, lze tedy na základě vyplynuvších potřeb například zpřístupnit další služby pro Single Sign-On či přidávat další mechanismy pro vyhodnocování podezřelých událostí v síti., The master thesis is divided into two parts. In the first part, identity management is described on theoretical basis. Particular domains of identity management including authentication, authorization and audit are explained as well as Single Sign-On concept, i.e. using single credentials and entering them just once for access to multiple independent systems or services. In the second part, which forms the main part of this thesis, a practical project was implemented on the infrastructure of the Department of Telecommunications within the Faculty of Electrical Engineering and Communication, Brno University of Technology. The goal of this project was to create an environment for central 4 authentication and Single Sign-On using only open source technologies within a computer laboratory used for teaching OS Linux. The project is based on OS Linux Debian, Kerberos as a protocol for secure authentication and LDAP server OpenLDAP. For the Single Sign-On demonstration, NFS services for accessing data on the network were chosen. Using NFS services, users can sign-on to any workstation and access all their data. Administration of users and their import from central FEEC databases was implemented using scripts developed in Python. Next, using Apache, PHP and MySQL, a front-end audit interface for the network administrator was developed in order to inspect and evaluate security events in the network. Messages about suspicious events are delivered to administrator’s mailbox in real time. The project is intended as a security platform which means that other services can be implemented for Single Sign-On as well as new mechanisms for evaluation of suspicious events.

809. Implementace externích autentizačních modulů pro nginx

Author

Rychlý, Marek, Očenášek, Pavel, Kameníčková, Petra, Rychlý, Marek, Očenášek, Pavel, and Kameníčková, Petra

Abstract

Tato bakalářská práce se věnuje návrhu a vývoji autentizačních modulů pro webový server nginx, tak aby bylo možné aplikace a služby běžící na tomto serveru používat v rámci FreeIPA domény. V první části práce jsou vysvětleny základy architektur FreeIPA a serveru nginx a princip autentizace pomocí Kerberos a PAM. Druhá část řeší praktickou stránku problému - analýzu již existujícího řešení pro webový server Apache, návrh řešení pro nginx a popis postupu práce na vlastních modulech. V závěru jsou probrány možnosti konfi gurace těchto modulů a návrhy na zlepšení., This bachelor's thesis describes the process of design and development of authentication modules for nginx web server. These modules are used for enrollment of nginx-based applications and services into FreeIPA environment. The first part of the thesis explains the basics of FreeIPA and nginx architectures and principles of Kerberos and PAM authentication mechanisms as well. The second part of the thesis solves the practical problems - existing Apache modules analysis, nginx design description and implementation details. The last part describes confi guration requirements and possible enhancements.

810. Analýza provozu protokolů Kerberos, NTLM, SAML 2.0

Author

Tisovčík, Peter, Orsák, Michal, Krůl, Michal, Tisovčík, Peter, Orsák, Michal, and Krůl, Michal

Abstract

Tato práce se zabývá problematikou analýzy a detekce napadení bezpečnostních protokolů v prostředí síťových architektur, jaké se vyskytují například ve velkých firmách. V práci je k problému přistupováno z hlediska analýzy síťového provozu. Hlavní náplní práce je simulace útoků na síťové architektury, kde autentizaci obsluhují zmíněné protokoly, a snaha o jejich detekci pomocí sledování síťového toku. Výsledkem práce je návrh, jak automaticky detekovat útoky v síťových strukturách a plugin pro exportém Flowmon sondy, produktu firmy Flowmon Networks, který bude data potřebná pro provedení této detekce sbírat., This thesis engages the problem consisting of analysis and detection of the attacks carried out on the authentication protocols in the environment of network structures, like those used in big corporations. In~this thesis, the problem is examined in the light of the netflow analysis. Main content of the thesis is a simulation of the attacks targeting network architectures, where the authentication is served by mentioned protocols, and effort to detect these attack by the netflow monitoring. The outcome of this thesis is a draft, how to automatically detect the attacks carried out in the network structures, and plugin for the exporter of the Flowmon sond, the product of Flowmon Networks company, which will be extracting the information needed for the performance of the detection.

811. Automatická rotace Kerberos klíčů

Author

Zelený, Jan, Henzl, Martin, Kos, Ondřej, Zelený, Jan, Henzl, Martin, and Kos, Ondřej

Abstract

Práce je zaměřena na autentizační systém Kerberos a jeho správu, převážne v oblasti Keytab souborů. Práce popisuje základní součásti celého systému, které jsou v těchto operacích zapojeny, a jejich hlavní vlastnosti. Částečně je také popsán administrační systém FreeIPA, jenž pro autentizaci uživatelů Kerberos využívá. Hlavním cílem bylo vytvořit aplikaci schopnou automaticky a bez uživatelova přičinění rotovat klíče Kerbera a zvýšit tak úroveň zabezpečení celého systému pro případy odposlechů komunikace., This thesis is focused on the Kerberos authentication system and itsmanagement, primarily in the area of the Keytab files. The thesis describes the basic components of the whole system which are involved in these operations and their main properties. The FreeIPA administration system is partly described as well. It uses the Kerberos for the users' authentication. The main objective of this work was to develop an application capable of ,automatically and without user's effort, rotation of the Kerberos keys and thus enhance the security level of the whole system in cases of the communication eavesdropping.

812. Single sign-on v J2EE webových aplikacích založené na protokolu SPNEGO/Kerberos

Author

Ryšavý, Ondřej, Ráb, Jaroslav, Nečas, Tomáš, Ryšavý, Ondřej, Ráb, Jaroslav, and Nečas, Tomáš

Abstract

Diplomová práce se zabývá potřebou, analýzou, popisem a integrací řešení Single Sign-On postaveném na protokolu SPNEGO/Kerberos. Práce přináší přehled o základních principech a konceptech Single Sign-On a podrobněji se zabývá autentizačním mechanismem Kerberos. Po popisu základů protokolu Kerberos, příslušné terminologie a běžných implementací je pohled zaměřen na služby a nastavení Microsoft implementace Kerbera v prostředí Windows 2000/2003. Demonstrace řešení autentizace je provedena na platformě J2EE prostřednictvím autentizačního filtru a ověřovacího pluginu. Součástí práce je stručný přehled integrace řešení Single Sign-On do různých architektur podnikových informačních systémů a popis procesu implementace takového řešení. Závěr práce obsahuje rozbor použitelnosti řešení Kerberos Single Sign-On v dnešní podnikové sféře., The dissertation deals with requirements, analysis, description and integration of Single Sign-On solution based on SPNEGO/Kerberos protocol. The thesis provides an overview of the Single Sign-On basic principles and concepts and deals with the Kerberos authentication mechanism in more detail. After introducing the fundaments of the Kerberos protocol, its terminology and common implementations, attention is focused on the services and settings of Microsoft Kerberos implementation in Windows 2000/2003 environment. An authentication solution demonstration is performed on J2EE platform using the authentication filter and plug-in. The thesis also includes a brief overview of integrating the Single Sign-On solution into different architectures of corporate information systems and describes the implementation process of this solution. In conclusion, the usability of Kerberos Single Sign-On solution in today's business sector is analysed.

813. Implementace autentizace Cosign v PHP

Author

Lampa, Petr, Skokanová, Jana, Kovářík, Jiří, Lampa, Petr, Skokanová, Jana, and Kovářík, Jiří

Abstract

Diplomová práce je zaměřena na problematiku centrální autentizace webových serverů pomocí technologie cookie. Popsány jsou současné metody poskytující jednotné přihlášení. Podrobně je prozkoumána specifikace single sign-on mechanismu Cosign a jeho autentizačního filtru. Popsány jsou kryptografické algoritmy filtru a možnost jejich realizace v jazyce PHP. Práce se dále zabývá samotnou implementací autentizačního filtru, jeho testováním a možným využitím., Master's thesis deals with issue of cookie-based central authentication services. Present-day methods of single sign-on are described. The specification of single sign-on mechanism Cosign and its authentication filter is closely viewed. Cryptographic algorithms needed by this filter are described, as well as their possible realization in PHP. Next, the implementation of Cosign authentication filter is described. Performance of the filter is tested and its future use is analysed.

814. Systémy jednotného přihlášení

Author

Morský, Ondřej, Vajsar, Pavel, Takács, Endre, Morský, Ondřej, Vajsar, Pavel, and Takács, Endre

Abstract

Bakalárna práca sa zaoberá s jednotným prihlásením . Opisuje vyskitujúce sa systémy používané v rozsiahlych počítačových sietiach, zabezpečovacie možnosti, integráciu do operačného systému Microsoft Windows. Druhá časť sa zaoberá s webovým rozhraním pre jednotné prihlásenie, kde sú uvedené základné pojmy a princípi fungovania. Zameriava sa na technológiu OAuth, ktorá je využitá pri vytvorení praktickej časti bakalárskej práce., The subject of this bachelor thesis is the so-called single sign-on technology in context of access control methods. It describes the solutions used in wide computer systems, options of implementing security and integration into the Microsoft Windows operating system. The next part specifies the web interface of this technology, where the explanation of the basic terms and principals are also included. It is focused on the Oauth, which will be used in the practical part of work.

815. Single sign-on v J2EE webových aplikacích založené na protokolu SPNEGO/Kerberos

Author

Ryšavý, Ondřej, Ráb, Jaroslav, Nečas, Tomáš, Ryšavý, Ondřej, Ráb, Jaroslav, and Nečas, Tomáš

Abstract

Diplomová práce se zabývá potřebou, analýzou, popisem a integrací řešení Single Sign-On postaveném na protokolu SPNEGO/Kerberos. Práce přináší přehled o základních principech a konceptech Single Sign-On a podrobněji se zabývá autentizačním mechanismem Kerberos. Po popisu základů protokolu Kerberos, příslušné terminologie a běžných implementací je pohled zaměřen na služby a nastavení Microsoft implementace Kerbera v prostředí Windows 2000/2003. Demonstrace řešení autentizace je provedena na platformě J2EE prostřednictvím autentizačního filtru a ověřovacího pluginu. Součástí práce je stručný přehled integrace řešení Single Sign-On do různých architektur podnikových informačních systémů a popis procesu implementace takového řešení. Závěr práce obsahuje rozbor použitelnosti řešení Kerberos Single Sign-On v dnešní podnikové sféře., The dissertation deals with requirements, analysis, description and integration of Single Sign-On solution based on SPNEGO/Kerberos protocol. The thesis provides an overview of the Single Sign-On basic principles and concepts and deals with the Kerberos authentication mechanism in more detail. After introducing the fundaments of the Kerberos protocol, its terminology and common implementations, attention is focused on the services and settings of Microsoft Kerberos implementation in Windows 2000/2003 environment. An authentication solution demonstration is performed on J2EE platform using the authentication filter and plug-in. The thesis also includes a brief overview of integrating the Single Sign-On solution into different architectures of corporate information systems and describes the implementation process of this solution. In conclusion, the usability of Kerberos Single Sign-On solution in today's business sector is analysed.

816. Návrh zabezpečeného síťového modelu

Author

Babnič, Patrik, Rosenberg, Martin, Kis, Matej, Babnič, Patrik, Rosenberg, Martin, and Kis, Matej

Abstract

Cieľom práce bolo navrhnúť zabezpečenú sieť s popisom zabezpečenia na vrstvách ISO/OSI modelu. Popis protokolov, ktoré je možné využiť k dosiahnutiu požadovanej bezpečnosti sieťovej infraštruktúry. V teoretickej časti bola pozornosť venovaná rozboru celej problematiky, ktorá sa následne uplatní v praktickej časti. Praktická časť obsahuje návrh sieťového modelu, simulačného riešenia, konfiguráciu zariadení a následné testovanie bezpečnosti., The goal of this work was to create a design of a secured network infrastructure with decribing different ways of securing at ISO/OSI layers. Create a list of protocols which can be used to achieve a secured network design. In the theoretical part of this work the attention was placed to analyze possible solutions, which can be appllied in a practical part of the work. The practical part involves a design of a network topology and simulation. The part of the simulation was device configuration and network security testing.

817. Ochrana soukromí v síti internet

Author

Rosenberg, Martin, Babnič, Patrik, Lučenič, Lukáš, Rosenberg, Martin, Babnič, Patrik, and Lučenič, Lukáš

Abstract

V bakalárskej práci sú analyzované sociálne siete a ich bezpečnosť, metódy získavania informácií od užívateľov internetu a príklady internetovej kriminality. V druhej časti sú popísané metódy autentizácie a autentizačné protokoly. V záverečnej časti je popísaný vlastný principiálny návrh anonymného autentizačného protokolu., In this bachelor thesis are analyzed social networks and their security, methods of obtaining information from users and examples of Internet crime. The second part describes authentication methods and authentication protocols. The final section describes a principled own proposal anonymous authentication protocol.

818. Vylepšení architektury systému správy identit ve firmě

Author

Ondrák, Viktor, MBA, Igor Gricinko, Nop, Dominik, Ondrák, Viktor, MBA, Igor Gricinko, and Nop, Dominik

Abstract

Tato diplomová práce je zaměřena na posouzení stávající podoby systému správy identit ve firmě a navržení nové podoby za účelem zvýšení úrovně stability a informační bezpečnosti ve společnosti, primárně ve vztahu k systémům zpracovávajícím finanční data. V teoretické části jsou vymezeny základní oborové pojmy a popsány složky a princip fungování systému správy identit. V praktické části je provedena analýza současného stavu. Na základě analýzy jsou navrženy organizační i technické změny, včetně návrhu implementace a provedeno ekonomické zhodnocení celého návrhu., The master thesis focuses on assessment of current implementation of identity management system and proposal of a new implementation to increase level of stability and information security in the company, primarily regarding the systems that process financial data. In first part, basic theoretical knowledge related to identity management systems is defined. In second part, an analysis of current system state is performed. Based on this analysis, new organizational and technical solutions are proposed to the company. Finally, an implementation project proposal as well as with risk analysis and economic evaluation is completed in the end of this thesis.

819. Systémy jednotného přihlášení

Author

Morský, Ondřej, Vajsar, Pavel, Takács, Endre, Morský, Ondřej, Vajsar, Pavel, and Takács, Endre

Abstract

Bakalárna práca sa zaoberá s jednotným prihlásením . Opisuje vyskitujúce sa systémy používané v rozsiahlych počítačových sietiach, zabezpečovacie možnosti, integráciu do operačného systému Microsoft Windows. Druhá časť sa zaoberá s webovým rozhraním pre jednotné prihlásenie, kde sú uvedené základné pojmy a princípi fungovania. Zameriava sa na technológiu OAuth, ktorá je využitá pri vytvorení praktickej časti bakalárskej práce., The subject of this bachelor thesis is the so-called single sign-on technology in context of access control methods. It describes the solutions used in wide computer systems, options of implementing security and integration into the Microsoft Windows operating system. The next part specifies the web interface of this technology, where the explanation of the basic terms and principals are also included. It is focused on the Oauth, which will be used in the practical part of work.

820. Softwarová podpora výuky kryptografických protokolů

Author

Burda, Karel, Lambertová, Petra, Marek, Tomáš, Burda, Karel, Lambertová, Petra, and Marek, Tomáš

Abstract

Dokument obsahuje informace o autentizaci, šifrování, integritě dat, autentičnosti dat. Dále je zde popis známých kryptografických protokolů a jejich funkce, popřípadě jejich slabiny. Všechny tyto informace vedly k návrhu a realizaci softwaru pro podporu výuky kryptografických protokolů spustitelného na běžném webovém prohlížeči. Proto byla aplikace navržena jako webové stránky v PHP za využití i JavaSriptu a AJAXu. Tím je zajištěna i multiplatformnost a nezávislost na architektuře OS. Krom popisné a ilustrativní části aplikace obsahuje i interaktivní části a animace. V závěru textové části se nachází popis obsahu a funkcí výukového softwaru. Zdrojové kódy je možné nalézt na přiloženém CD., Document contains informations about authentication, encryption, data integrity and data authenticity. Next part includes description of well know cryptography protocols, their functions and also their weaknesses. All of these acquired informations were used in concept and final software support for teaching of cryptography protocols, which is able to run on clasic web-browser. Thats why the application was designed as web PHP pages using JavaScript and AJAX, which ensures plaform and OS architecture independency. Besides the descripted and ilustrated part of application there are also interactive parts and animations. The last period contains description of education software and its functions. Source code can be found on the appended CD.

821. Formální analýza kryptografických protokolů

Author

Člupek, Vlastimil, Martinásek, Zdeněk, Petrovský, Peter, Člupek, Vlastimil, Martinásek, Zdeněk, and Petrovský, Peter

Abstract

Táto diplomová práca sa zaoberá kryptografiou. Popisuje sa jej základné rozdelenie a problémy teórie čísel, ktoré musí riešiť. Taktiež sa zaoberá metódami, ktoré sa použí- vajú k ohodnoteniu formálnej bezpečnosti kryptografických protokolov z matematického hľadiska. Nakoniec sa analyzujú nástroje využívané k automatickému a poloautomatic- kému vyhodnoteniu bezpečnosti kryptografických protokolov. Popisuje sa spôsob práce s týmito nástrojmi a nakoniec sa otestuje bezpečnosť protokolov Kerberos, EKE a protokolov jednosmernej autentizácie využívajúcich symetrickú kryptografiu, funkciu HMAC a hashovaciu funkciu postupne v nástrojoch AVISPA, ProVerif a Scyther. Na záver je porovnanie výsledkov., This diploma thesis deals with cryptography. It describes its basic allocation and problems of number theory that needs to be addressed. It also deals with methods used to review the formal security of cryptographic protocols from a mathematical point of view. It analyse the tools used to automatic and semi-automatic evaluation of the safety of cryptographic protocols. It describes the process of working with these tools and finally test the security of protocols Kerberos, EKE and Unilateral authentication using symmetric cryptography, HMAC function and hash function. These tests are in tools AVISPA, ProVerif and Scyther. At the end is comparison of results.

822. Formální analýza kryptografických protokolů

Author

Člupek, Vlastimil, Martinásek, Zdeněk, Petrovský, Peter, Člupek, Vlastimil, Martinásek, Zdeněk, and Petrovský, Peter

Abstract

Táto diplomová práca sa zaoberá kryptografiou. Popisuje sa jej základné rozdelenie a problémy teórie čísel, ktoré musí riešiť. Taktiež sa zaoberá metódami, ktoré sa použí- vajú k ohodnoteniu formálnej bezpečnosti kryptografických protokolov z matematického hľadiska. Nakoniec sa analyzujú nástroje využívané k automatickému a poloautomatic- kému vyhodnoteniu bezpečnosti kryptografických protokolov. Popisuje sa spôsob práce s týmito nástrojmi a nakoniec sa otestuje bezpečnosť protokolov Kerberos, EKE a protokolov jednosmernej autentizácie využívajúcich symetrickú kryptografiu, funkciu HMAC a hashovaciu funkciu postupne v nástrojoch AVISPA, ProVerif a Scyther. Na záver je porovnanie výsledkov., This diploma thesis deals with cryptography. It describes its basic allocation and problems of number theory that needs to be addressed. It also deals with methods used to review the formal security of cryptographic protocols from a mathematical point of view. It analyse the tools used to automatic and semi-automatic evaluation of the safety of cryptographic protocols. It describes the process of working with these tools and finally test the security of protocols Kerberos, EKE and Unilateral authentication using symmetric cryptography, HMAC function and hash function. These tests are in tools AVISPA, ProVerif and Scyther. At the end is comparison of results.

823. Identity management

Author

Pelka, Tomáš, Polívka, Michal, Kefer, Daniel, Pelka, Tomáš, Polívka, Michal, and Kefer, Daniel

Abstract

Diplomová práce je rozdělena do dvou částí. V první z nich je na teoretické úrovni zpracována oblast Identity Managementu. Jsou zde popsány jednotlivé oblasti Identity Managementu, kam patří autentizace, autorizace a audit. Dále se tato část zabývá problematikou Single Sign-On, tedy využití jednoho přihlášení k přístupu k více nezávislým systémům či službám. Ve druhé části, která je stěžejním prvkem této diplomové práce, bylo přistoupeno k praktické realizaci projektu v prostředí infrastruktury Ústavu telekomunikací na Fakultě elektrotechniky a komunikačních technologií VUT v Brně, jehož cílem bylo implementovat v rámci počítačové učebny sloužící k výuce OS Linux prostředí pro centrální autentizaci a Single Sign-On pro studenty a vyučující za využití výhradně open source technologií. Hlavními prvky tohoto řešení je OS Linux Debian, protokol pro bezpečnou autentizaci Kerberos a LDAP server OpenLDAP. Pro demonstraci Single Sign-On byla zvolena služba NFS, která slouží k přístupu k souborům po síti a díky které jsou uživatelé nezávislí na použití konkrétní stanice pro práci. Správa uživatelů a jejich import z centrální databáze FEKT VUT je řešena pomocí skriptů vyvinutých v jazyce Python. Dále bylo za pomocí technologií Apache, PHP a MySQL vytvořeno front-endové rozhraní pro administrátora systému, kde má možnost snadno zkoumat a vyhodnocovat podezřelé bezpečnostní události v síti, o kterých je rovněž zpravován v reálném čase pomocí emailu. Vytvořený projekt je koncipován jako bezpečnostní platforma pro správu sítě, lze tedy na základě vyplynuvších potřeb například zpřístupnit další služby pro Single Sign-On či přidávat další mechanismy pro vyhodnocování podezřelých událostí v síti., The master thesis is divided into two parts. In the first part, identity management is described on theoretical basis. Particular domains of identity management including authentication, authorization and audit are explained as well as Single Sign-On concept, i.e. using single credentials and entering them just once for access to multiple independent systems or services. In the second part, which forms the main part of this thesis, a practical project was implemented on the infrastructure of the Department of Telecommunications within the Faculty of Electrical Engineering and Communication, Brno University of Technology. The goal of this project was to create an environment for central 4 authentication and Single Sign-On using only open source technologies within a computer laboratory used for teaching OS Linux. The project is based on OS Linux Debian, Kerberos as a protocol for secure authentication and LDAP server OpenLDAP. For the Single Sign-On demonstration, NFS services for accessing data on the network were chosen. Using NFS services, users can sign-on to any workstation and access all their data. Administration of users and their import from central FEEC databases was implemented using scripts developed in Python. Next, using Apache, PHP and MySQL, a front-end audit interface for the network administrator was developed in order to inspect and evaluate security events in the network. Messages about suspicious events are delivered to administrator’s mailbox in real time. The project is intended as a security platform which means that other services can be implemented for Single Sign-On as well as new mechanisms for evaluation of suspicious events.

824. Návrh řešení autentizace uživatelů pro malé a střední počítačové sítě

Author

Burda, Karel, Pust, Radim, Hajný, Jan, Burda, Karel, Pust, Radim, and Hajný, Jan

Abstract

Práce se zabývá problematikou autentizace uživatelů v počítačové síti a souvisejícím řízením přístupu k prostředkům. Je v ní provedena stručná analýza modelu TCP/IP v souvislosti s bezpečností, dále jsou popsány základní stavební prvky autentizačních protokolů (především hashe) a následuje analýza vlastních protokolů pro ověření klienta. Pro srovnání bezpečnosti jsou uvedeny zastaralé protokoly, především LANMAN. Dále jsou popsány aktuální protokoly NTLM, Kerberos a Radius. Důraz je kladen především na Kerberos, který je také zvolen jako hlavní protokol k implementaci. Z tohoto důvodu je popsána také jeho modifikace, která se používá při přihlášení do domény sítě využívající řadič Active Directory. V praktické části jsou zmíněné mechanizmy implementovány a ověřeny v reálném nasazení. Při realizaci je použita virtualizace pro přehlednější a efektivnější konfiguraci. Výsledkem je model sítě, která vyžaduje ověření identity uživatele a ve které jsou minimalizovány možnosti zneužití prostředků neoprávněnými klienty., The main focus of this Master’s thesis is user authentication and access control in a computer network. I analyze the TCP/IP model in connection with security and describe main stepping stones of authentication protocols (mainly hash functions). The authentication protocol analysis follows. I begin with LANMAN protocol analysis for the reason of a security comparison. The NTLM, Kerberos and Radius follows. The focus is on the Kerberos which is chosen as a main authentication protocol. This is also a reason why the modification used in MS domains is described. The implementation and functional verification is placed in the second part which is more practical. The virtualization technology is used for an easier manipulation. The result is a computer network model requiring user authentication and minimizing the possibility of an attack by unauthorized clients.

825. Kryptografické protokoly využívané v počítačových sítích

Author

Doležel, Radek, Hajný, Jan, Lúdik, Michal, Doležel, Radek, Hajný, Jan, and Lúdik, Michal

Abstract

Táto práca sa zaoberá rozborom základných kryptografických protokolov, princípom autentizácie a overením ich bezpečnosti. V prvej časti práce je krátke zoznámenie s problematikou - kryptografiou, ďalej niektoré typy útokov, autentizácia a autorizácia. V druhej časti je to rozbor protokolov SSH, SSL, IPsec a Kerberos a overenie ich funkčnosti a bezpečnosti v laboratórnych podmienkach., This work deals with the analysis of basic cryptographic protocols, principle of the authentication and verification of their safety. In the first part of the work is a short introduction to the issue - cryptography, some types of attacks, authentication and authorisation. In the second part is the analysis of protocols SSH, SSL, IPSec, and Kerberos, authentication and verification of their functionality and security under laboratory conditions.

826. Specifying Kerberos 5 Cross-Realm Authentication

Author

Iliano Cervesato, Andre Scedrov, Christopher Walstad, and Aaron D. Jaggard

Subjects

FOS: Computer and information sciences, Property (philosophy), Computer science, computer.internet_protocol, Generic Security Service Algorithm for Secret Key Transaction, Specification language, Computer security, computer.software_genre, Authentication (law), Component (UML), Ticket, Confidentiality, 89999 Information and Computing Sciences not elsewhere classified, Kerberos, computer

Abstract

Cross-realm authentication is a useful and interesting component of Kerberos aimed at enabling secure access to services astride organizational boundaries. We present a formalization of Kerberos 5 cross-realm authentication in MSR, a specification language based on multiset rewriting. We also adapt the Dolev-Yao intruder model to the cross-realm setting and prove an important property for a critical field in a cross-realm ticket. Finally, we document several failures of authentication and confidentiality in the presence of compromised intermediate realms. Although the current Kerberos specifications disclaim responsibility for these vulnerabilities, the associated security implications must be highlighted for system administrators to decide whether to adopt this technology and to aid designers with future development.

Published

1977

827. Safe authentication method for security communication in ubiquitous

Author

Hayoung Park, Bangyong Sohn, Hoon Ko, and Yong-Tae Shin

Subjects

Authentication, Ubiquitous computing, computer.internet_protocol, Computer science, Generic Security Service Algorithm for Secret Key Transaction, Mobile computing, Multi-factor authentication, Computer security, computer.software_genre, Certificate, NTLMSSP, Chip Authentication Program, Authentication protocol, Lightweight Extensible Authentication Protocol, Kerberos, Challenge–response authentication, computer

Abstract

Ubiquitous computing environment has a lot of different things as for applying existing security technical. It needs authentication method which is different kinks of confidence level or which satisfies for privacy of user’s position. Using range localizes appoint workstation or it uses assumption which is satify environment of client in Kerberos authentication method which is representation of existing authentication method but it needs new security mechanism because it is difficult to offer the condition in ubiquitous computing environment. This paper want to prove the result which is authentication method for user authentication and offering security which are using wireless certificate from experiment in ubiquitous environment. Then I propose method which is offering security and authentication in ubiquitous environment.

828. Performance analysis of the Kerberos protocol in a distributed environment

Author

Mahmoud T. El-Hadidi, N.H. Hegazi, and Heba K. Aslan

Subjects

Distributed Computing Environment, computer.internet_protocol, business.industry, Computer science, Distributed computing, Server, Generic Security Service Algorithm for Secret Key Transaction, Kerberized Internet Negotiation of Keys, Cryptography, Kerberos, business, computer, Computer network

Abstract

A computer network employing multiple Kerberos servers in a client-server environment, is considered. By using appropriate queueing models for the various network entities, namely, the client the server the Kerberos server and the physical network, formulas for the average transfer time are derived. The effect of exchanging one or more messages for each access to the Kerberos server is considered. Plots of performance curves for a typical distributed environment have shown that the system can be either encryption-limited or network-limited. It is concluded that improved throughput and delay characteristics can be achieved by using efficient implementations of the Kerberos protocol, together with multiple sessions for each access to the Kerberos server.

829. Distributed authentication in Kerberos using public key cryptography

Author

Marvin A. Sirbu and John Chuang

Subjects

business.industry, computer.internet_protocol, Computer science, Generic Security Service Algorithm for Secret Key Transaction, Key distribution center, Ticket Granting Ticket, Computer security, computer.software_genre, Public-key cryptography, Kerberized Internet Negotiation of Keys, Message authentication code, Computational trust, Kerberos, business, computer, Computer network

Abstract

The authors describe a method for fully distributed authentication using public key cryptography within the Kerberos ticket framework. By distributing most of the authentication workload away from the trusted intermediary and to the communicating parties, significant enhancements to security and scalability can be achieved as compared to Kerberos V5. Privacy of Kerberos clients is also enhanced. A working implementation of this extended protocol has been developed, and a migration plan is proposed for a transition from traditional to public key based Kerberos.

830. A kerberos-based authentication architecture for wireless LANs

Author

Farouk Kamoun, Davor Males, Mohamed Ali Kâafar, and Lamia Benazzouz

Subjects

Wi-Fi array, computer.internet_protocol, Computer science, Generic Security Service Algorithm for Secret Key Transaction, Cryptography, Network interface, Computer security, computer.software_genre, Authentication server, NTLMSSP, law.invention, Distributed System Security Architecture, Generic Bootstrapping Architecture, law, Wireless lan, Lightweight Extensible Authentication Protocol, Wireless, Wi-Fi, Data Authentication Algorithm, Network architecture, Authentication, Wireless network, business.industry, ComputerSystemsOrganization_COMPUTER-COMMUNICATIONNETWORKS, Mutual authentication, WLAN Authentication and Privacy Infrastructure, Authentication protocol, Kerberos, IEEE 802.1X, Challenge–response authentication, Extensible Authentication Protocol, business, computer, Computer network

Abstract

This work addresses the issues related to authentication in wireless LAN environments, with emphasis on the IEEE 802.11 standard. It proposes an authentication architecture for Wireless networks. This architecture called Wireless Kerberos (W-Kerberos), is based on the Kerberos authentication server and the IEEE 802.1 X-EAP model, in order to satisfy both security and mobility needs. It then, provides a mean of protecting the network, assuring mutual authentication, thwarts cryptographic attack risks via a key refreshment mechanism and manages fast and secure Handovers between access points.

831. Practical security systems with smartcards

Author

N. Itoi and Peter Honeyman

Subjects

business.industry, Computer science, computer.internet_protocol, Information technology, Cryptography, Information security, Computer security, computer.software_genre, law.invention, law, Internet Protocol, ComputerSystemsOrganization_SPECIAL-PURPOSEANDAPPLICATION-BASEDSYSTEMS, The Internet, Smart card, Kerberos, User interface, business, Hardware_REGISTER-TRANSFER-LEVELIMPLEMENTATION, computer

Abstract

Secure hardware is a useful tool for enhancing computer system security. Traditionally, researchers have attempted to build secure operating systems by creating secure hardware and developing on top of it. Our approach is to integrate commodity secure hardware, i.e., smartcards, into existing operating systems. The paper describes three projects aimed at practical secure operating systems based on smartcards: smartcard integration with Kerberos V5, a UNIX file system for smartcards, and Internet Protocol on smartcards. The first two are implemented and indicate satisfactory performance, while the last is under development.

832. Misplaced trust: Kerberos 4 session keys

Author

B. Dole, Steven W. Lodin, and Eugene H. Spafford

Subjects

Source code, Computer science, computer.internet_protocol, Computer Sciences, media_common.quotation_subject, Generic Security Service Algorithm for Secret Key Transaction, Computer security, computer.software_genre, Software quality, Kerberized Internet Negotiation of Keys, Software design, Message authentication code, Session (computer science), Kerberos, computer, media_common

Abstract

One of the commonly accepted principles of software design for security is that making the source code openly available leads to better security. The presumption is that the open publication of source code will lead others to review the code for errors, however this openness is no guarantee of correctness. One of the most widely published and used pieces of security software in recent memory is the MIT implementation of the Kerberos authentication protocol. In the design of the protocol, random session keys are the basis for establishing the authenticity of service requests. Because of the way that the Kerberos Version 4 implementation selected its random keys, the secret keys could easily be guessed in a matter of seconds. This paper discusses the difficulty of generating good random numbers, the mistakes that were made in implementing Kerberos Version 4, and the breakdown of software engineering that allowed this flaw to remain unfixed for ten years. We discuss this as a particularly notable example of the need to examine security-critical code carefully, even when it is made publicly available.