kerberos认证.pptVIP

历史 80年代中期 是MIT(Massachusetts Institute of Technology )的Athena(雅典娜)项目的产物 版本 前三个版本仅用于内部 第四版得到了广泛的应用 第五版于1989年开始设计 RFC 1510, 1993年确定 标准Kerberos 解决的问题 认证、数据完整性、保密性 Realm(范围)：Kerberos的认证数据库所负责的一个网络范围称作一个realm。 Principal（主体）：在Kerberos协议中，主体是参加认证的基本实体。 Primary ：第一部分 Instance：第二部分 Realm：第三部分。Principal所在的realm。与第二部分通过@分割，默认值为本地realm。 例如，principal”john/@DEF.COM” Ticket(票据)：ticket是安全传递用户身份所需要的信息集合，包含身份和其他相关信息。 Credential（证书）：ticket及相关的会话密钥统称为credential。 Authenticator（认证符）：在客户端向服务端进行认证的时候，它伴随ticket一起发送。 Ticket granting server-TGS（票务发放服务器）：为用户发放ticket的服务器，用户使用这个ticket向要求提供服务的服务器证明自己的身份。 Ticket granting ticket-TGT（身份认证票据）：用户向TGS证明自己身份的ticket Authentication server-as（身份认证服务器）：为用户分发TGT的服务器。 Key distribution center-KDC（密钥分配中心）：通常将as和TGS统称为KDC，有时也指KDC所在的主机。 Ticket Granting Server Kerberos Database Authentication Server Kerberos Key Distribution Service Server Server Server Server Workstation 票据（ticket） ：Ticket用来安全的在认证服务器和用户请求的服务之间传递用户的身份，同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成，在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。 认证符（authenticator）：提供信息与Ticket中的信息进行比较，一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用，每当client向server申请服务时，必须重新生成Authenticator。 安全: 网络窃听者不能获得必要信息以假冒其它用户；Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。 可靠: Kerberos应高度可靠，并且应借助于一 个分布式服务器体系结构，使得一个系统能够备份另一个系统。 透明: 理想情况下，用户除了要求输入口令以外应感觉不到认证的发生。 可伸缩: 系统应能够支持大数量的客户和服务器。 C = Client 客户端模块 AS = authentication server 身份验证服务器 V = server 服务器 IDc = identifier of user on C 用户对C的标识符 IDv = identifier of V V的标识符 Pc = password of user on C 用户在C上的口令 ADc = network address of C C的网络地址 Kv = secret encryption key shared by AS an V AS和V共享的保密加密密钥 TS = timestamp 时间戳 || = concatenation 连接 TGS与S共享Ks AS与TGS共享Ktgs AS与C共享Kc 两种票据 服务许可票据（Service granting ticket） 是客户请求服务时需要提供的票据； 用 TicketS 表示访问应用服务器 S 的票据，TGS发放 TicketS 定义为 EKS [ IDC‖ADC‖IDS‖TS2‖LT4 ]。 票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； Tickettgs 定义为 EKtgs [ IDC‖