网络安全_kerberos－金锄头文库

资源描述

《网络安全_kerberos》由会员分享，可在线阅读，更多相关《网络安全_kerberos（34页珍藏版）》请在金锄头文库上搜索。

1、第七章第七章网络中的认证网络中的认证网络安全网络安全技术与实践技术与实践信息系统资源保护的动机信息系统资源保护的动机单用户单机系统。用户资源和文件受到物理上的安全保护；多用户分时系统。操作系统提供基于用户标识的访问控制策略，并用logon过程来标识用户。 Client/Server网络结构。由一组工作站和一组分布式或中心式服务器组成。三种可能的安全方案三种可能的安全方案相信每一个单独的客户工作站可以保证对其用户的识别，并依赖于每一个服务器强制实施一个基于用户标识的安全策略。要求客户端系统将它们自己向服务器作身份认证，但相信客户端系统负责对其用户的识别。要求每一

2、个用户对每一个服务证明其标识身份，同样要求服务器向客户端证明其标识身份。身份认证实例身份认证实例- -KerberosKerberos 引言引言 Kerberos: part of Project Athena at MIT Greek Kerberos: 希腊神话故事中一种三个头的狗，还有一个蛇形尾巴。是地狱之门的守卫。 Modern Kerberos: 意指有三个组成部分的网络之门的保卫者。“三头”包括：认证(authentication) 簿记(accounting) 审计(audit) 问题问题 l在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务。服

3、务器应能够限制非授权用户的访问并能够认证对服务的请求。工作站存在三种威胁。 l一个工作站上一个用户可能冒充另一个用户操作； l一个用户可能改变一个工作站的网络地址，从而冒充另一台工作站工作； l一个用户可能窃听他人的信息交换，并用回放攻击获得对一个服务器的访问权或中断服务器的运行。 KerberosKerberos要解决的问题要解决的问题所有上述问题可以归结为一个非授权用户能够获得其无权访问的服务或数据。不是为每一个服务器构造一个身份认证协议，Kerberos提供一个中心认证服务器，提供用户到服务器和服务器到用户的认证服务。 Kerberos采用传统加密算法。 Kerber

4、os Version4和Version5 (RFC1510) v4已得到广泛应用，v5进一步对v4中的某些安全缺陷做了改进。 KerberosKerberos的解决方案的解决方案在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务。 KerberosKerberos系统应满足的要求系统应满足的要求安全。网络窃听者不能获得必要信息以假冒其它用户；Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。可靠。Kerberos应高度可靠，并且应借助于一个分布式服务器体系结构，使得一个系统能够备份另一个系统。透明。理想情

5、况下，用户除了要求输入口令以外应感觉不到认证的发生。可伸缩。系统应能够支持大数量的客户和服务器。 Kerberos Version4Kerberos Version4 引入一个信任的第三方认证服务器，采用一个基于Needham & Schroeder协议。采用DES，精心设计协议，提供认证服务。一个简单的认证对话引入认证服务器(AS)，它知道所有用户的口令并将它们存储在一个中央数据库中。 AS与每一个服务器共有一个唯一的保密密钥。这些密钥已经物理上或以更安全的手段分发。考虑以下假定的对话： (1) C AS: IDC | PC | IDV (2) AS C: Ticket

6、 (3) C V : IDC | Ticket Ticket = EKVIDC | ADC | IDV 其中：C: client AS : Authentication Server V : server IDC: identifier of user on C IDV: identifier of V PC: password of user on C ADC: network address of C KV: AS与V共有的保密密钥 CV AS (1) (2) (3) 更安全的认证对话更安全的认证对话两个主要问题希望用户输入口令的次数最少。口令以明文传送会被窃听。解决办法 tick

7、et reusable ticket-granting server 改进后的假想的对话：用户从AS获取票据许可票据: (1) C AS : IDC | Idtgs (2) AS C : EKCTickettgs 用户从TGS获取票据许可票据： (3) C TGS : IDC | IDv | Tickettgs (4) TGS C : TicketV 用户从服务器获取服务： (5) C V : IDC | TicketV Tickettgs = EKtgsIDC|ADC|IDtgs|TS1|Lifetime1 TicketV = EKVIDC|ADC|IDV|TS2|Lifetime2 CV

8、 AS (1)(2)(3) TGS (4) (5) Kerberos Kerberos V4 Authentication DialogueKerberos V4 Authentication Dialogue 两个问题(p163) 与ticket-granting ticket相关的Lifetime问题；需要服务器向客户进行认证；解决方案 session key Rationale for the Elements of the Kerberos Version 4 Protocol (p163) (a)认证服务交换:用户从AS获得票据许可票据 Message(1)Client 请求 t

9、icket-granting ticket IDC :告诉AS本client端的用户标识； IDtgs :告诉AS用户请求访问TGS； TS1 :让AS验证client端的时钟是与AS的时钟同步的； Message(2)AS返回ticket-granting ticket EKC :基于用户口令的加密，使得AS和client可以验证口令，并保护Message(2)。 Kc,tgs :session key的副本，由AS产生，client可用于在AS与 client之间信息的安全交换，而不必共用一个永久的key。 IDtgs :确认这个ticket是为TGS制作的。 TS2 :告诉client

10、该ticket签发的时间。 Lifetime2:告诉client该ticket的有效期； Tickettgs:client用来访问TGS的ticket。 (b) 票据许可服务交换：用户从TGS获取服务许可票据： Message(3)client 请求service-granting ticket IDv:告诉TGS用户要访问服务器V； Tickettgs :向TGS证实该用户已被AS认证； Authenticatorc:由client生成，用于验证ticket； Message(4)TGS返回service-granting ticket EKc,tgs :仅由C和TGS共享的密钥；用以保护M

11、essage(4)； Kc,tgs:session key的副本，由TGS生成，供client和server之间信息的安全交换，而无须共用一个永久密钥。 IDv :确认该ticket是为server V签发的； TS4 :告诉client该ticket签发的时间； TicketV :client用以访问服务器V的ticket； Tickettgs:可重用，从而用户不必重新输入口令； EKtgs :ticket用只有AS和TGS才知道的密钥加密，以预防篡改； Kc,tgs :TGS可用的session key副本，用于解密authenticator,从而认证ticket； IDc :指明该t

13、Dv | Tickettgs | Authenticatorc (4) TGS C : EKc,tgsKc,v | IDV | TS4 | Ticketv Tickettgs = EKtgsKc,tgs| IDC| ADC| IDtgs | TS2 | Lifetime2 Ticketv = EKvKc,v|IDC|ADC| IDv|TS4|Lifetime4 Authenticatorc = EKc,tgsIDc|ADc|TS3 C V AS (1) (2) (3) TGS (4) (5) Kerberos (6) (c) 客户机-服务器的认证交换：用户从服务器获取服务 (5) C V :

14、Ticketv | Authenticatorc (6) V C : EKc,vTS5+1 ( for mutual authentication) Ticketv = EKVKc,v|IDc|ADc|IDv|TS4|Lifetime4 Authenticatorc = EKc,vIDc|ADc|TS5 C V AS (1) (2) (3) TGS (4) (5) Kerberos (6) KerberosKerberos处理过程概要处理过程概要 C V AS (1) (2) (3) TGS (4) (5) Kerberos (6) KerberosKerberos管辖范围与多重服务管辖范围与

展开阅读全文

网络安全_kerberos

最新文档