安全协议分析与设计 教学课件 作者 卫剑钒 陈钟 安全协议 第7章 上.pptVIP

安全协议分析与设计第七章（上） 卫剑钒 实用安全协议设计 Kerberos X.509 TLS（SSL） IKE PPP RADIUS WEP WPA GSM 3G Kerberos Kerberos是一项认证服务，是MIT为Athena项目而开发的。它提供了一种验证用户身份的方法。它的实现不依赖于主机操作系统的认证，不基于主机的地址，也不需要有主机物理安全性的保证，并假设网络上传输的包都可以被任意地读取、修改和插入。 Kerberos提供一个集中的认证服务器来实现服务器和客户之间的相互认证，即通过使用常规的密码算法，在上述条件下作为一个可信第三方进行认证服务。Kerberos假定了一个分布式的客户端/服务器结构，使用一个或多个Kerberos服务器来提供认证服务。 基本概念 Kerberos的实现由客户（C）、服务器（V）、认证服务器（AS）以及票据提供服务器（TGS）组成。 客户最终从服务器（本节中的服务器指的都是应用服务器）获得所需的服务，AS和TGS是Kerberos服务器的主要内容，AS提供对客户的认证，TGS颁发客户所需服务的一个服务许可证，也即服务票据，记作TicketV。值得注意的是，AS也颁发票据，名为TGS票据，记作Tickettgs，客户可以拿着这个Tickettgs向TGS索取TicketV。 认证过程 客户登录工作站所位于的域（realm，每个组织或机构所拥有的网络范围）后，首先向AS认证自己（这个过程要求用户输入口令），AS会返回一个Tickettgs给客户，票据被AS和TGS共享的密钥加密，这个认证过程在整个登录期间（从登入到登出）只发生一次。 客户需要服务时，向TGS发送这个TGS票据，以从TGS获得一个服务票据TicketV，这个过程在登录期间，根据所需服务种类的需要，每种服务会发生一次，如客户需要邮件服务，会向TGS要一张邮件服务票据；需要FTP服务时，会向TGS要一张FTP服务票据。 认证过程 最后，客户向服务器发送票据TicketV，服务器查看票据，确认无误后，向客户提供服务。这个过程在登录期间会发生多次，每次提供服务前都要发生一次，如客户一天中多次检查收取邮件时，每次都会提供票据TicketV。整个过程中，除了登录时需要客户输入口令外，剩下的认证过程都不需要客户了解和参与。 上述过程中省略了一个重要的内容，即认证符。它的作用是验证客户的身份，客户不仅要传输票据，还需要发送额外的信息来证明自己确实是票据的合法拥有者，这个信息就是认证符（authenticator），它使用会话密钥加密，并包含了用户名和时间戳。 过程的加密 AS发给C票据的同时，还发送客户C和TGS之间的会话密钥Kc-tgs，这个会话密钥本身由客户口令衍生而得的密钥加密；C发给TGS的认证符则由Kc-tgs加密，TGS发给C票据的同时，还发送C和V之间的会话密钥KCV，这个会话密钥也由Kc-tgs加密，C发给V的认证符由KCV加密。 跨域操作 Kerberos协议被设计为可用来跨组织边界进行操作。一个组织中（如一个部门或一个单位）的客户可以被授权获得另一个组织中服务器的服务。从网络角度讲，每一个运行Kerberos服务器的子网都是一个域。 通过建立“域间密钥”，一个客户不仅可以从他本地域的TGS获得TicketV，还可获得一个远程域的Tickettgsrem。然后客户在需要使用远程域的服务时，将Tickettgsrem发送给远程域的TGS，远程的TGS使用域间密钥来解密Tickettgsrem，验证它是否是由客户所在域的TGS颁发的。如果验证通过，远程TGS颁发远程服务票据TicketVrem。 域通常是分层组织的。每个域分别和它的每个子域共享不同的密钥，而和它的父域共享一个密钥。如果一个域间密钥不是被两个域直接共享，那么分层组织允许一个认证路径很简单地被建立起来。如果没有使用分层组织，就有必要考虑采用某种方式来在域间建立认证路径。 环境假设 Kerberos所运行的环境是基于以下假设的。 （1）Kerberos不能解决“拒绝服务”攻击。 （2）Kerberos不能解决“口令猜测”攻击。 （3）网络中的任何一台主机必须拥有一个和其他主机时间“松同步”的时钟，时钟同步协议本身必须是安全的。 报文交换 Kerberos（v5）认证过程的报文交换有6条，分为3个阶段。 第1阶段 第1阶段由Msg1和Msg2组成，是C和AS之间的交互。 Msg1是客户请求报文，其中options包括一些与票据相关的细节信息，RealmC指明客户所属的域，Times用于客户请求票据中的时间设置，Nonce1是C提供的一个现时值。 Msg2是AS返回的内容，主要包含了票据Tickettgs，Flags反映这张票据的一些属性，如该票据