《Kerberos课件资料讲解》由会员分享,可在线阅读,更多相关《Kerberos课件资料讲解(11页珍藏版)》请在金锄头文库上搜索。
1、Kerberos介绍,Kerberos是MIT为Tthena计划的认证服务而开发的。 阐述了这样一个问题:假设有一个开放的分布式环境,工作站用户想要通过网络对分布在网络中的各种服务提出请求,那么希望服务器能够只对授权用户提供服务,并能鉴别服务请求的种类。,存在三种威胁: 用户可能通过某种途径进入工作站并假装成其他用户操作工作站 用户可以通过变更工作站的网络地址,从该机上发送伪造的请求。 用户可以监听信息交换或者使用重放该机,以获得服务或破坏正常操作,背景情况,Kerberos 是什么?,Kerberos是基于可信赖的第三方的高效认证机制。它提供了一种在开放式网络环境下进行身份认证的方法,使网络
2、上的用户可以相互证明自己的身份,并且用户登录一次之后,访问所有网络上的资源时的认证过程由系统自动完成。Kerberos采用对称密钥体制对信息进行加密,通过提供一个集中的认证服务器来负责用户对服务器的认证和服务器对用户的认证,而不是为每个服务器提供一个详细的认证协议。 基本思想:能正确对信息进行解密的用户就是合法用户。当用户进行登录时,Kerberos对用户进行初始认证,通过认证的用户可以在整个登录期间得到相应的服务。Kerberos既不依赖用户登录的终端,也不依赖用户所请求的服务的安全机制,它本身提供的认证服务器来完成用户的认证。,服务认证交换:获得票据授权票据,服务授权票据交换:获取服务授权
3、票据,客户/服务器认证交换:获取服务,Kerberos协议严重的依赖于一个验证技术共享密钥。基本的共享密钥的概念十分简单:如果一个秘密只有两个人知道,任何一个人都可以通过他们之间共享的秘密来确定对方的身份。 Kerberos消息被多种加密密钥加密以确保没人能够篡改客户的票据或者Kerberos消息中的其他数据。,密钥分类,长期密钥(Long-term key) 一个密钥(只有目标服务器和KDC知道),并用来加密客户端访问这个目标服务器票据的密钥。 Client/server会话密钥(session key) 一个短期的、单此会话的密钥,是在用户的身份和权限已经被确认后由KDC建立的用于这个用户
4、的跟某个服务器之间的加密往来信息使用的密钥 KDC/用户 会话密钥(session key). 是KDC跟用户共享的一个密钥,被用于加密这个用户跟KDC之间的消息。,应用环境,Kerberos协议本身并不是无限安全的而且也不能自动地提供安全它是建立在一些特定基础之上的只有在满 足一些特定的环境中它才能正常运行: 1.不存在拒绝服务Denial 0f serrice1攻击 2.主体必须保证他们的私钥的安全。 3.KerbeFOS无法应付口令猜(Password guessing)攻击 4.网络上每个主机的时钟必须是松散同步的(1oosely synchronized) 5.主体的标识不能频繁地循
5、环使用。由于访问控制的典型模式是使用访问控制列表(ACLs)来对主体进行授权,Kerberos工程上的组成 Kerberos应用程序库:应用程序接口,包括创建和读取认证请求,以及创建safe message 和private message的子程序。 加密/解密库:DES等。 Kerberos数据库:记载了每个Kerberos 用户的名字,私有密钥,截止信息(记录的 有效时间,通常为几年)等信息。 数据库管理程序:管理Kerberos数据库 KDBM服务器(数据库管理服务器):接受客户端的请求对数据库进行操作。 认证服务器(AS):存放一个Kerberos数据库的只读的副本,用来完成princ
6、iple的 认证,并生成会话密钥 数据库复制软件:管理数据库从KDBM服务所在的机器,到认证服务器所在的 机器的复制工作,为了保持数据库的一致性,每隔一段时间就需要进行复制工作 用户程序:登录Kerberos,改变Kerberos密码,显示和破坏Kerberos标签 (ticket)等工作。 Microsoft Windows Server 2003操作系统上实现了Kerberos5身份验证。WindowsServer2003总是使用扩展公钥身份验证机制 。KerBeros身份验证客户端作为SSP(Security Support Provider)通过访问SSPI (Security Support Provider Interface)来实现身份验证。用户身份验证初始化过 程被集成在Winlogon这SSO(Single Sign-On)体系中。,
