返回
kerberos概述

kerberos概述

ID:22583267

大小:627.45 KB

页数:12页

时间:2018-10-30

kerberos概述_第1页
kerberos概述_第2页
kerberos概述_第3页
kerberos概述_第4页
kerberos概述_第5页
资源描述:

《kerberos概述》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Kerberos概述Kerberos是一种计算机网络授权协议,是一套应用对称密钥的管理系统,并需要一个值得信赖的第三方,它使用一个巾两个独立的逻辑部分:认证服务器AS和票据授权服务器TGS组成的可信赖第三方KDC,KDC持有所有的无论是客户还是服务器共卓的一套只有实体木身和KDC知道的密钥,密钥川•丁•证实实体身份,KDC会在实体间交互信息屮产生一个会话密糾米加密这些交且信息。在winserver2003屮它扮谪的是一个安全支持提供方的角色(ssp),可用于在非安全网络屮对客户端和服务器端进行身份验证的一个机制,也就是说

2、为互相不认识的通讯双方提供安全认证丄作,丼且可以相互认证,即客户端和服务端,客户和客户间或服务端与服务端之间,当有N个用户在使用该系统时,任意两人间的对话都冇共享密码,所以所需的最少会话密钥数为N*(N-l)/2个。仑对防止窃听,replay攻击,和保护数掘的克整性提供保护。KerberosV5中还有许多新特件。用户可以在另一个网络中安全的提交他们的票;并且,用户可以把他们的一部分认证权转给服务器,这样服务器就可以作为用户的代理proxy。M:它的新特性包栝:用更好的加密算法替换了DES加密算法,三重DES-CBC-MD

3、5加密。Kerberos交互流程策一步kerberos认证服务请求:川户登陆后,发送票据请求到KDC请求一个短周期票据叫做TGT(包含用广身份信息)。第二iUKerberos认证服务响应:AS构造TGT并创建一个会话密钥用于加密客户和TGS通讯。TGT的生命周期是冇限的。当容户收到TGT时,他还没存被授予使用任何资源,哪怕是本地汁算机上的资源。为何要使用一个TGT,可以让AS直接发布票据给0标服务器吗?是可以,但是如果AS直接发布票据,那用户毎请求新服务或者服务器的时候需要输入一次登陆密码。发布一个短周期的(lOhour

4、s)TGT给予川P—个有效的票据用于票据授予服务TGS,可以依次发布目标服务器的票据。TGT最主要的好处是用户只需在登陆时输入一次用户密码。第三步kerberos票据授了服务请求:客户想要访问本地和网络资源时,他需要先发送票据谘求道TGS。这个票据可以被看作是服务票据和绘画票据。取票时,客户需出示TGT,authenticator,和目标服务器名(ServerPrincipalName)o第四步kerberos票据授予服务响应:TGS会检验TGT和authenticator,如果他们被接受,TGS会提供一个service

5、ticket。客户身份是从TGT处提取,并且复制到serviceticket上。然后该票据发冋客户端。TGS只负责汄证客户,并不意味着客户谅终能否访问到0标服务器。第五步应川服务请求:客户拿到服务票据后,发送票据还有一个新的认证证书到目标服务器,请求服务。服务器会解密票据,验证认证信息,windows服务会创建一个token给用户基于在票掘屮的SID信息。第人少kerberos松用服务响皮:客户可选择目标服务验证它向己的身份,这就是所谓的相互认证。如災被客户要求,目紐服务器将从认证器屮提取客户端计算机屮的时间戳,用TGS

6、提供用于客户端/0标服务器端的会话密钥加密时间戳,发送回给客户端。认证后双方开始通讯,提供服务。KERBEROSTICKETEXCHANGEKEYDISTRIBUTIONCENTER(KDC)3HereismyTCLflrvcmeaServiceTicketAuthertficdlfooService(AS)TlctelGranfingServ»ct(TGS)NetworkServicesUSERLOGINSTOGAINNETWOKACCESSHrrei«yoorSerwicrTicket5MerekntySeivite

7、Tidtcl,Auih摩hhc滅tnw6CrienWServerSession缺陷单点失败:K需要KDC服务器的持续响应,当K的服务结朿前,没人可以连接到服务器,该缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。K要求参与通讯的实体主机时钟同步,冈为票据具冇时间戳,冈此如果主机与K服务器的时钟不同步,认证将失败,默汄时钟差不超过10分钟,实践中通过网络时间协议的后台程序来保持同步。所有川户的密钥都储存丁KDC服务器中,如果有服务器安全问题将印象所有川户的密钥。KerberosSecuritySupportP

8、rovider构架Winserver2003把kerberos协议实现力一个能够通过SSPI的SSP,winserver2003还可通过smartcard的公井密钢证书进行身份验证来扩展kerberos协议。ApplicationRPC.NETApplication.NETFrameworkInternetExplo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。