Kerberos协议原理及其的应用.docVIP

Kerberos协议原理及其的应用 　　摘 要：Kerberos协议是一个被广泛采用的,基于可信任第三方提供安全认证服务的网络认证协议。利用共享的通话秘钥，Kerberos协议保证了通讯的机密性和完整性。描述了Kerberos协议实现的版本和基本原理。分析了Kerberos协议在Windows系统以及在Windows和Unix的混合系统中的应用。?? 　　关键词：Kerberos协议；网络安全; 认证?? 　　中图分类号：TP301 文献标识码：A 文章编号：1672-7800（2011）011-0022-03?お? 　　 　　1 Kerberos协议简介?? 　　Kerberos协议是80年代由MIT(麻省理工学院)开发的公开源代码的网络认证协议，是一种第三方认证协议。其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗Cerberus而来的。该命名是贴切的，因为Kerberos协议由以下3个部分组成：①密钥分发中心（Key Distribution Center）。KDC服务器有两个部件：一个KEBEROS 认证服务器（Authentication Server, 简称AS）和一个授票服务器（Ticket Granting Server，简称TGS）；②客户端（Client）；③客户端需要访问的服务器（Server）。?? 　　由此可见，KERBEROS是一种3路处理方法，根据KDC提供的第三方服务来验证客户端和服务器之间相互的身份，并建立密钥以保证计算机间安全连接。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。 ?? 　　RFC1244(目前被RFC2196所取代)对Kerberos进行了说明, ”Kerberos, 其名称来自于神话传说中守卫地狱大门的狗, 它是一种可在大型网络中使用的软件集, 用于验证用户所声称的身份,该系统由麻省理工大学(MIT)开发, 使用了加密技术和分布式数据库技术, 这样位于校园中的某个用户能够从校园网中的任何计算机上登录并启动会话, 在那些具有大量的潜在用户, 并且这些用户可能希望从许多工作站中的任意一个建立到服务器的连接环境下, 使用Kerberos具有明显的好处。”?? 　　由该RFC可以看出Kerberos的应用场景为局域网。 Kerberos协议往往用于一个组织的内部， 使其应用场景不同于X.509 PKI。PKI公钥证书体制是Internet上跨网络认证数据和认证用户身份的有效方法。但是使用公钥证书不能没有证书机构，且证书机构通常要收费的。此外，执行公钥密码算法比执行常规加密算法耗时。对于局域网而言，由于每个用户都必须登记注册和设立登录密码，所以在局域网内无须使用公钥证书。Kerberos协议就是一个不使用公钥证书而使用常规对称加密算法进行身份认证的协议。Microsoft 自 Windows 2000起使用Kerberos 5.0 验证域登录。?? 　　它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户；如果是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。他采用可信任的第三方，密钥分发中心（KDC）保存与所有密钥持有者通信的保密密钥。?? 　　Kerberos 机制最大的特点是采用相互认证机制, 即客户端不仅要证明自己是合法用户, 服务器也要向客户端证明自己是值得信赖的合法服务提供者, 加之每次会话的密钥都不相同, 大大提高了系统的安全性。?? 　　2 Kerberos协议的版本?? 　　Kerberos从提出到今天，共经历了五个版本的发展。其中版本1到版本3主要由该校内部使用。当它发展到版本4的时候，已经取得了在MIT校园外的广泛认同和应用。由于版本4的传播，人们逐渐发现了它的一些局限性和缺点（例如适用网络环境有限, 加密过程存在冗余等等）。MIT充分吸收了这些意见，对版本4进行了修改和扩充，形成了今天非常完善的版本5。?? 　　3 Kerberos协议的实现?? 　　Kerberos目前有以下主要3种实现:?? 　　（1）MIT Kerberos。MIT Kerberos Consortium提供了对Kerberos协议的开源实现，这一实现成为在包括Apple的Mac OS X，Sun Solaris和Redhat Linux等一系列平台上Kerberos协议实现的基础。MIT Kerberos也已经移植到像Vxworks这样的平台上用于嵌入式应用。MIT也提供了称作“Kerberos For Windows”的开源产品用于各种Windows平台。?? 　　（2）Heimdal。Heimdal是在美国之外的Ke