大数据课程11.安全认证框架Kerberos.pptxVIP

第十一章安全认证框架Kerberos

Kerberos简介和工作机制1Kerberos的认证原理2Kerberos的应用案例3课程目录

第一部分Kerberos简介和工作机制PART0101

1.1问题的引入Internet安全一个问题在于用户口令明文传输，认证仅限于IP地址和口令。入侵者通过截获可获得口令，IP地址可以伪装，这样可远程访问系统。此外，系统处于用户控制之下，网络服务不能依靠工作站执行可靠认证。Kerboros是一种网上服务，其实体是客户、服务器，客户可以是主机，也可是处理事务的应用程序。问题引入：

1.2身份认证协议：KerberosKerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。其实现采用的是对称密钥加密技术。MIT（麻省理工学院）开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。

1.3Kerberos的构成Kerboros由认证服务器，授予票据服务器，管理服务器，数据库传播软件、用户程序等构成。Kerboros是KDC（密钥分配中心)，拥有所有客户机及其密钥的数据库。客户机首先要在该数据库中注册身份信息和秘密密钥。

1.4Kerberos系统组成认证服务器AS（AuthenticatorServer）(起KDC的作用）AS服务器Server票据许可服务器TGS（TicketGrantingServer）TGS客户Client1234

第二部分Kerberos的认证原理PART0202

2.1什么是Keboros的记号

2.2共享密钥TGS与S共享KsAS与TGS共享KtgsAS与C共享Kc

2.3Kerboros的凭证Ticket用来安全的在认证服务器和用户请求的服务之间传递用户的身份，同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成，在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。票据（ticket）：提供信息与Ticket中的信息进行比较，一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用，每当client向server申请服务时，必须重新生成Authenticator。鉴别码（authenticator）：

2.4Kerboros的票据：两种票据是客户请求服务时需要提供的票据；用TicketS表示访问应用服务器S的票据，TGS发放;TicketS定义为EKS[IDC‖ADC‖IDS‖TS2‖LT4]。服务许可票据（Servicegrantingticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由AS发放；用Tickettgs表示访问TGS服务器的票据；Tickettgs在用户登录时向AS申请一次，可多次重复使用；Tickettgs定义为EKtgs[IDC‖ADC‖IDtgs‖TS1‖LT2]。票据许可票据（Ticketgrantingticket）

2.5Kerboros的认证过程认证服务器的交互，用于获取票据许可票据票据许可服务器的交互，用于获取服务许可票据客户与应用服务器的交互，用于获得服务第一阶段第二阶段第三阶段

2.5Kerboros的不足它解决了连接窃听和用户身份认证问题，但有不足：必须维护Kerboros服务器，增加复杂度Kerboros遭到入侵，网络安全被破坏无法阻止拒绝服务的攻击无法防止口令破解程序攻击维护困难

第三部分Kerberos的应用案例PART0303

3.1Kerberos的典型应用：Hadoop安全管家问题引入：我们都知道hadoop有很多不同的发行版，比如：ApacheHadoop，CDH，HDP，MapR，EMR等等，我们使用这些组件部署的hdfs分布式文件系统时，都会面临很直接的一个安全问题，比如:Java大数据开发工程师可以在java源代码中使用“System.setProperty(HADOOP_USER_NAME,yinzhengjie);”来提权操作，只要client能够连接上hadoop集群就能或得hadoop集群上“yinzhengjie”这个用户对应的权限。这样做是很不安全的！而实行Kerberos后，任意机器的任意用户都必须现在Kerberos的KDC中有记录，才允许和集群中其它的模块进行通信。

3.2Hadoop的安全问题用户到服务器的认证问题NameNoder上没有用户认证：用户可以伪装成其他用户入侵到