- 1、本文档共87页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
8.5.1 Kerberos V4 Kerberos认证系统设置了两个服务器:认证服务器(Authentication Server, AS)和票据许可服务器(Ticket-Granting Server, TGS)。 当客户C想要某业务服务器V给他提供服务并提出请求时,首先由AS对该客户进行身份认证,AS将收到的客户口令和数据库存储的口令进行比较验证。如果验证通过,则AS向客户发放访问TGS的许可票据TicketTGS,客户可根据这一票据去获取服务器V的服务。TGS的作用是向已经过AS认证的客户发放用于获取业务服务器V所提供的服务的票据。Kerberos认证框图如下图8-5所示。 图8-5 Kerberos认证框图 1.Kerberos V4的认证过程 Kerberos V4的认证过程分为三个阶段六个步骤: 阶段1:认证服务交换,C从AS获得访问TGS的许可票据。 阶段2:票据许可服务交换,C从TGS获得访问业务服务器V的许可票据。 阶段3:客户与业务服务器的认证交换,客户最终从业务服务器获得服务。 通过上面三个阶段六个步骤以后,客户C和服务器V之间相互验证了彼此的身份,且交换了共享的会话密钥KC,V,以后可用KC,V来安全通信了。 2.Kerberos V4的安全性 Kerberos V4的安全性分析,可以归纳为以下几点: (1) 使用时戳防止重放攻击。 (2) 使用DES对称密码体制加密,提高了抗攻击能力。 (3) Kerberos依靠值得信赖的AS和TGS为客户及其他服务器做认证服务。 (4) 密钥存储问题。Kerberos使用对称密码算法,这样需要在客户机C、AS、TGS和V之间建立和维护共享密钥。 8.5.2 Kerberos V5 1.Kerberos V5在Kerberos V4基础上的改进 (1) KerberosV4使用DES加密算法,但DES的安全强度受到了人们的怀疑。 (2) Kerberos V4中每张票据包括一个会话密钥。在Kerberos V5中,客户和服务器协商一个仅用于特定连接的子会话密钥,客户进行新的访问时将使用新的子会话密钥。 (3) Kerberos V5中取消了Kerberos V4对提供给客户的票据的第二次加密,即用客户密钥的加密,减少了不必要的加密。 (4) 在Kerberos V4中有效期的值是用8个bit表示,每个单位是5分钟,这样最长的有效期可表示为28×5=1280分钟。在Kerberos V5中对票据的有效期不设限制。 (5) 在Kerberos V4中,不允许发给一个客户的票据被转发到其他主机或被其他客户使用。Kerberos V5提供了这种功能,可以使一个客户访问某服务器时,该服务器能以这个客户的名义访问另一个服务器。 (6) Kerberos V5提供了预认证机制,使口令攻击比在Kerberos V4中变得更加困难,但不能完全避免口令攻击。 (7) Kerberos V4只需要使用网络协议IP地址,不提供其他地址类型,如ISO网络地址。在Kerberos V5中,网络地址加上了类型和长度标记,允许使用任何类型的网络地址。 2.Kerberos V5的认证过程 Kerberos V5的认证过程也分为三个阶段六个步骤: 阶段1:认证服务交换,C从AS获得访问TGS的许可票据。 阶段2:票据许可服务交换,C从TGS获得访问业务服务器V的许可票据。 阶段3:客户与业务服务器的认证交换,客户最终从业务服务器获得服务。 8.5.3 多领域的Kerberos认证系统 多领域的Kerberos认证系统要求在两个领域间,第1个领域的Kerberos服务器信任第2领域的Kerberos服务器对本领域中客户的认证,而且第2领域的业务服务器也应信任第1领域的Kerberos服务器。图8-6是两个领域的Kerberos认证框图,其中领域1中的客户C希望得到领域2中业务服务器V的服务。 具体认证过程描述如下: ① C向本地AS申请访问本领域TGS的票据。 ② AS向C发放访问本领域TGS的票据。 ③ C向本领域TGS申请访问远程TGS的票据。 ④ TGS向C发放访问远程TGS的票据。 ⑤ C向远程TGS申请获得访问业务服务器V的许可票据。 C→TGSrem:IDvrem‖Tickettgsrem‖Authenticatorc ⑥ 远程TGS向C发放访问业务服务器V的许可票据。 ⑦ C向远程业务服务器V请求服务。 C→Vrem:Ticketvrem‖Authenticatorc。 ⑧ V提供服务器认证信息。 图8-6 两个领域的Kerberos认证框图 8.6 X.509认证业务 X.509的基础是
文档评论(0)