Kerberos概述.docxVIP

Kerberos概述 Kerberos 是一种计算机网络授权协议，是一套应用对称密钥的管理系统，并需要一个值得信赖的第三方, 它使用一个由两个独立的逻辑部分:认证服务器AS和票据授权服务器TGS组成的可信赖第三方KDC，KDC持有所有的无论是客户还是服务器共享的一套只有实体本身和KDC知道的密钥，密钥用于证实实体身份，KDC会在实体间交互信息中产生一个会话密钥来加密这些交互信息。在win server 2003中它扮演的是一个安全支持提供方的角色（ssp），可用于在非安全网络中对客户端和服务器端进行身份验证的一个机制，也就是说为互相不认识的通讯双方提供安全认证工作，并且可以相互认证，即客户端和服务端，客户和客户间或服务端与服务端之间，当有N个用户在使用该系统时，任意两人间的对话都有共享密码，所以所需的最少会话密钥数为N*(N-1) /2个。它 对防止窃听，replay攻击，和保护数据的完整性提供保护。Kerberos V5中还有许多新特性。用户可以在另一个网络中安全的提交他们的票；并且，用户可以把他们的一部分认证权转给服务器，这样服务器就可以作为用户的代理proxy。其它的新特性包括：用更好的加密算法替换了DES加密算法，三重DES-CBC-MD5加密。 Kerberos交互流程 第一步 kerberos认证服务请求： 用户登陆后，发送票据请求到KDC请求一个短周期票据叫做TGT（包含用户身份信息）。 第二步 Kerberos认证服务响应： AS构造TGT并创建一个会话密钥用于加密客户和TGS通讯。TGT的生命周期是有限的。当客户收到TGT时，他还没有被授予使用任何资源，哪怕是本地计算机上的资源。 为何要使用一个TGT，可以让AS直接发布票据给目标服务器吗？是可以，但是如果AS直接发布票据，那用户每请求新服务或者服务器的时候需要输入一次登陆密码。 发布一个短周期的（10hours）TGT给予用户一个有效的票据用于票据授予服务TGS，可以依次发布目标服务器的票据。TGT最主要的好处是用户只需在登陆时输入一次用户密码。 第三步kerberos 票据授予服务请求： 客户想要访问本地和网络资源时， 他需要先发送票据请求道TGS。 这个票据可以被看作是服务票据和绘画票据。 取票时，客户需出示TGT，authenticator， 和目标服务器名（Server Principal Name）。 第四步kerberos 票据授予服务响应： TGS会检验TGT和authenticator， 如果他们被接受，TGS会提供一个service ticket。 客户身份是从TGT处提取，并且复制到service ticket 上。然后该票据发回客户端。TGS只负责认证客户，并不意味着客户最终能否访问到目标服务器。 第五步应用服务请求： 客户拿到服务票据后，发送票据还有一个新的认证证书到目标服务器，请求服务。 服务器会解密票据，验证认证信息， windows服务会创建一个token给用户基于在票据中的SID信息。 第六步kerberos应用服务响应： 客户可选择目标服务验证它自己的身份，这就是所谓的相互认证。 如果被客户要求，目标服务器将从认证器中提取客户端计算机中的时间戳，用TGS提供用于客户端/目标服务器端的会话密钥加密时间戳，发送回给客户端。认证后双方开始通讯，提供服务。 缺陷 单点失败：K需要KDC服务器的持续响应，当K的服务结束前，没人可以连接到服务器，该缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。 K要求参与通讯的实体主机时钟同步，因为票据具有时间戳，因此如果主机与K服务器的时钟不同步，认证将失败，默认时钟差不超过10分钟，实践中通过网络时间协议的后台程序来保持同步。 所有用户的密钥都储存于KDC服务器中，如果有服务器安全问题将印象所有用户的密钥。 Kerberos Security Support Provider 构架 Win server 2003 把kerberos协议实现为一个能够通过SSPI的SSP， win server 2003 还可通过smart card的公共密钥证书进行身份验证来扩展kerberos协议。 在Windows Server 2003中提供了一个通过认证令牌在现有的通信信道的客户端和服务器之间的机制。当双方需要认证以便他们能安全地进行通信，用于身份验证的请求路由到SSPI，完成认证过程，无论网络协议正在使用。SSPI返回透明二进制大对象，然后由应用程序传递到连接的另一边，在这一点上，他们可以通过sspi层在那边。因此，SSPI使应用程序能够使用各种安全模型在计算机或网络不改变接口的安全系统。 下表描述了插入SSPI SSP组件。表中每个协议是用不同的方式在Windows Server2