Kerberos.pptVIP

* 第14章 Kerberos认证 认证的依据： 1.something the user knows(所知) 密码、口令等 2.something the user possesses(所拥有) 身份证、护照、密钥盘等 3.something the user use(how he behaves) 指纹、笔记、虹膜、DNA、声音等 常用的认证协议： PAP：Password Authentication Protocol(PPP使用) CHAP:Challenge Authentication Protocol(PPP使用) Kerberos：基于对称密码体制的认证协议 X.509:基于公钥密码体制的认证标准（证书标准） Kerberos协议:基于对称密码体制的认证协议。1988年由MIT开发，用于开放环境下客户端与服务器的相互认证。 思想：引入可信第三方来实现客户端和服务器认证。 应用层协议，端口号88，可以基于UDP，也可以基于TCP。 Kerberos解决的问题: 1. 服务器应能够限制非授权用户的访问 2. 一个客户端上的用户不能假冒另一个用户操作 3. 一个工作站不能改变IP地址,假冒另一个工作站操作 4. 防止信息截获和重放 Kerberos名字来源：是希腊神话中守卫冥王大门的看门狗。 三头： 认证:Authentication 簿计:Accounting 审计:Audit 目标：守卫网络之门。目前仅实现了第一头。 * 发展历史: 1. 1988年，由MIT开发，Athena项目的产物。 2. 目前已经由v1发展到v5，前三个版本仅用于实验室内部，v4得到了广泛的应用。 3. v5从1989年开始设计，到1993年确定成为标准的kerberos（RFC1510）。 应用: 1. v5是Windows2000/2003中最基本的安全协议。 2. 用户登录Windows 2000/2003系统时，采用的默认认证方式是Kerberos，如果没有KDC，使用NTLM。具体细节见： /archive/index.php/t-232.html 3. Linux和Unix也支持该协议。 * Kerberos 4参数列表 C = Client AS = authentication server V = server IDc = identifier of user on C IDv = identifier of V Pc = password of user on C ADc = network address of C Kv = secret encryption key shared by TGS an V TS = timestamp || = concatenation Lifetime = 有效期 * Kerberos的基本认证过程 思想： 引入可信任的第三方（Kerberos服务器），在客户端访问服务器之前，必须从Kerberos获得许可证。 基本步骤： kerberos AS 1 客户端 服务器 1.C-AS:IDc || Pc || IDv 2 3 3. C -S : IDc|| Ticket 2. AS - C : Ticket Ticket=E(Kv,[IDc||ADc||IDv]) 问题: 1. 用户每次访问一个新的服务就需要一个新的票据 2. 多次使用Pc容易造成Pc泄露。 解决: 1. 引入TGS（票据授权服务器），向已经通过TGS认证的用户发放服务票据。C首先向AS请求访问TGS的TGT(票据授权票据)，之后用这个票据向TGS请求访问S的票据。 1 客户端 服务器 2 5 kerberos AS TGS 3 4 2. 票据可重用， 设置生命期 客户端 服务器 kerberos AS TGS 1. C ? AS : IDc || IDtgs 1 2 2. AS ? C : E(Kc ,Tickettgs ] 3 3. C ? TGS: IDc||IDv||Tickettgs 4 4. TGS?C: Ticketv 5 5. C?V: IDc || Ticketv Tickettgs = E(Ktgs，[ IDc || ADc || IDtgs || TS1 || Lifetime1]) TicketV = E(Kv， [ IDc || ADc || IDs || TS2 || Lifetime2]) kc的生成:为了验证用户身份，通常由用户口令生成kc。 * (1) 客户通过向AS发送用户ID、TGS ID来请求一张代表该用户的TGT。 (2) AS发回一张加密过的票据作为响应，加密密钥是由用户口令导出的散列码。 (3) 响应到达客户端后，客户端提示用户输入口令，产