返回
kerberos认证

kerberos认证

ID:20465549

大小:514.50 KB

页数:18页

时间:2018-10-12

kerberos认证_第1页
kerberos认证_第2页
kerberos认证_第3页
kerberos认证_第4页
kerberos认证_第5页
资源描述:

《kerberos认证》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Kerberos认证1问题引出Internet安全一个问题在于用户口令明文传输,认证仅限于IP地址和口令。入侵者通过截获可获得口令,IP地址可以伪装,这样可远程访问系统。此外,系统处于用户控制之下,网络服务不能依靠工作站执行可靠认证。Kerboros是一种网上服务,其实体是客户、服务器,客户可以是主机,也可是处理事务的应用程序。2身份认证协议——KerberosMIT(麻省理工学院)开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。其实现采用的是对称

2、密钥加密技术3Kerboros构成Kerboros由认证服务器,授予票据服务器,管理服务器,数据库传播软件、用户程序等构成。Kerboros是KDC(密钥分配中心),拥有所有客户机及其密钥的数据库。客户机首先要在该数据库中注册身份信息和秘密密钥4Kerberos系统AS:认证服务器AS(AuthenticatorServer)(起KDC的作用)TGS:票据许可服务器TGS(TicketGrantingServer)Client:客户Server:服务器5ServerServerServerServerKerberosDatabaseTicketGrantingServerAuthenti

3、cationServerWorkstationKerberosKeyDistributionService6记号Kerberos的记号C客户S服务器ADc客户的网络地址Lifetime票据的生存期TS时间戳Kxx的秘密密钥Kx,yx与y的会话密钥Kx[m]以x的秘密密钥加密的mTicketxx的票据Authenticatorxx的鉴别码7共享的密钥TGS与S共享KsAS与TGS共享KtgsAS与C共享Kc8Kerberos凭证票据(ticket):Ticket用来安全的在认证服务器和用户请求的服务之间传递用户的身份,同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指

4、定的用户。Ticket一旦生成,在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。鉴别码(authenticator):提供信息与Ticket中的信息进行比较,一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用,每当client向server申请服务时,必须重新生成Authenticator。9Kerberos中的票据两种票据服务许可票据(Servicegrantingticket)是客户请求服务时需要提供的票据;用TicketS表示访问应用服务器S的票据,TGS发放TicketS定义为EKS[ID

5、C‖ADC‖IDS‖TS2‖LT4]。票据许可票据(Ticketgrantingticket)客户访问TGS服务器需要提供的票据,目的是为了申请某一个应用服务器的“服务许可票据”;票据许可票据由AS发放;用Tickettgs表示访问TGS服务器的票据;Tickettgs在用户登录时向AS申请一次,可多次重复使用;Tickettgs定义为EKtgs[IDC‖ADC‖IDtgs‖TS1‖LT2]。10KerberosV4认证过程示意图11KerberosV4认证过程(1)第一阶段,认证服务器的交互,用于获取票据许可票据:(1)C→AS:IDC‖IDtgs‖TS1(2)AS→C:EKc[KC,

6、tgs‖IDtgs‖TS2‖LT2‖Tickettgs]其中:Tickettgs=EKtgs[KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2]12KerberosV4认证过程(2)第二阶段,票据许可服务器的交互,用于获取服务许可票据:(3)C→TGS:IDS‖Tickettgs‖AUC(4)TGS→C:EKc,tgs[KC,S‖IDS‖TS4‖TicketS]其中:Tickettgs=EKtgs[KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2]TicketS=EKS[KC,S‖IDC‖ADC‖IDS‖TS4‖LT4]AUC=EKc,tgs[IDC‖ADC‖TS3]注:

7、C用自己的密钥可以解密EKc[KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs],获得Kctgs等。13KerberosV4认证过程(3)第三阶段,客户与应用服务器的交互,用于获得服务:(5)C→S:TicketS‖AUC(6)S→C:EKc,S[TS5+1]其中:TicketS=EKS[KC,S‖IDC‖ADC‖IDS‖TS4‖LT4]AUC=EKc,S[IDC‖ADC‖TS5]14Kerboros的不足它解决了连接窃

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。