Kerberos网络认证系统的关键技术分析.docVIP

Kerberos网络认证系统的关键技术分析 摘要：为了保证在开往网络中通信的安全性，认证机制是不可缺少的工具。该文围绕信息认证方式中的Kerberos认证系统，阐述了Kerberos协议的基本思想，实现目标，详细地介绍了Kerberos系统中所涉及到的相关概念，认证原理和流程，其认证流程包括3个子交换，分别是认证服务器交换，票据服务器交换，客户/服务器认证应用交换。此外，从单区域下的Kerberos认证扩展到多区域下的Kerberos协议工作方式，指出了其存在的局限性。Kerberos认证协议主要应用于网络环境中的身份识别，已经得到了广泛的使用。 关键词：Kerberos协议；认证；多区域Kerberos 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）16-0069-02 1 概述 伴随着网络和信息技术的高速发展，人类的生活变得更加的方便快捷，人类社会享受着网络提供的各类服务。与此同时，也在遭受着来自网络空间中的网络攻击，网络威胁等。 当越来越多的商业活动，事务处理通过开放不安全的通信网运行时，我们需要保证在开放网络中通信的安全性，完成网络安全系统的构造，加密，访问控制，数字签名以及认证等安全机制都必不可少[2]。 拥有一个良好的认证机制可以有效地防止攻击者假冒合法用户，对访问网络的用户进行必要的身份合法性验证，通过验证协议确认身份的用户将按照此身份所获得的权限在网络中访问所需要的资源。网络认证中非常有影响力的系统为Kerberos，它是一个在许多系统中获得广泛应用的认证协议，是Windows2000操作系统的网络认证基础。 2 Kerberos简介 Kerberos是一种网络认证协议，基于对称密码算法实现，密码设计基于Needham―Schroeder协议。其基本思想是使用可信第三方把某个用户引见给某个服务器，引见方法是在用户和服务器间分发会话密钥建立安全信道。其设计目标是通过密钥系统为客户端、服务器应用程序提供强大的认证服务。 该认证过程的实现依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传输的数据包可以被任意的读取，修改和插入数据。 Kerberos认证协议假定网络当中主机是不可信的，要求每个client对每次业务请求证明其身份，不要求用户每次业务请求都输入密码。Kerberos系统的应用广泛，比如：构造Windows网络中的身份认证，服务器和服务器之间的认证，网格计算，计算机联成网单点登录访问整个网络的资源，访问其他服务器不需要再次认证。 Kerberos中三方分别是认证服务器，用户，服务器。有相关一系列的设计准则： 1）用户必须在工作站会话开始的时候验证自己（登录会话）； 2）密码永远不在网络中明文传输或在存储器中存储； 3）每个用户有一个口令； 4）每个业务有一个口令； 5）知道所有口令的唯一实体是认证服务器。 Kerberos数据库中有Workstation的密码，Server密码以及票据服务器TGS的密码。 3 身份证明资源 3.1 Tickets（票据） 每个业务请求需要一个Ticket，一个票据只能用于单个用户访问单个服务器，Ticket由“Ticket Granting Server”（TGS）分发，TGS具备所有Server的加密密钥。Tickets对clients是无意义的，clients只是使用它们接入服务器。TGS用服务器的加秘密钥加密每个ticket，加密的tickets可在网上安全传输，只有对应的服务器可以解密。大量的用户每次申请票据会浪费资源而且加重TGS的工作负荷，所以每一个ticket拥有一定时间范围内的生存期，通常为几个小时，这样可以有效地减少适当的系统负担。 3.2 Ticket内容 ü Client名，即用户登录名 ü Server名（服务器） ü Client主机网络地址 ü Client和Server之间的会话密钥，用于加密client和server间的请求和响应 ü Ticket的生存期 ü 产生时戳（发放ticket的时间） TGS作为可信第三方，为client和server分配密钥，通过TGS来验证用户的身份。 用户在访问某服务器时，只凭借ticket是不能做到的。因为在网络环境中，存在很多的“坏人”，ticket可能会被窃取或重放，手持ticket的用户和ticket中对应的client名未必一致，为了访问服务器，用户除了ticket之外还需要提交认证符。 3.3 Authenticators（认证符） 认证符证明client身份，包括client用户名，client网络地址，时戳（访问服务器的时间）。认证符以session key加密（Tickets内的会话密钥）。攻击者可以截取票据，但