返回
kerberos协议分析.doc

kerberos协议分析.doc

ID:49408149

大小:70.00 KB

页数:6页

时间:2020-03-01

kerberos协议分析.doc_第1页
kerberos协议分析.doc_第2页
kerberos协议分析.doc_第3页
kerberos协议分析.doc_第4页
kerberos协议分析.doc_第5页
资源描述:

《kerberos协议分析.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Kerberos协议分析1.1Kerberos协议概述Kerberos协议是20世纪80年代由MIT开发的一种协议。Kerberos协议主要是为TCP/IP网络设计的可信第三方鉴别协议,允许客户以一种安全的方式来访问网络资源。网络上的Kerberos服务器起着可信仲裁者的作用。Kerberos的基础是NS协议。它与NS协议不同之处在于:Kerberos认为所有的时钟已经同步好了。Kerberos协议有4个参与者,通信主体客户A,应用服务器以及认证服务器AS,票据服务器TGS。认证服务器的作用是对登录的每个主体进行认证;票据服务器的作用在于向网络上的服务器证明客户的真实身

2、份。Kerberos协议的基本原理如下:在一个分布式的Client/Server体系机构中采用一个或多个Kerberos服务器提供一个鉴别服务。客户端想请求应用服务器Server上的资源时,首先客户端向Kerberos认证服务器请求一张身份证明,然后将身份证明交给Server进行验证,Server在验证通过后,即为客户端分配请求的资源。1.2Kerberos协议的详细描述工作站端运行着一个票据授权的服务,叫Kinit,专门用做工作站同认证服务器Kerberos间的身份认证的服务。1.用户开始登录,输入用户名,验证服务器收到用户名,在用户数据库中查找这个用户,结果发现了这

3、个用户。1.验证服务器生成一个验证服务器跟这个登录用户之间共享的一个会话口令(Sessionkey),这个口令只有验证服务器跟这个登录用户之间使用,用来做相互验证对方使用。同时验证服务器给这个登录用户生成一个票据授权票(ticket-grantingticket),X作站以后就可以凭这个票据授权票来向验证服务器请求其他的票据,而不用再次验证自己的身份了。验证服务器把{Sessionkey+ticket-grantingticket}用登录用户的口令加密后发回到工作站。2.工作站用自己的门令解密验证服务器返回的数据包,如果解密正确则验证成功。解密后能够获得登录用户与验证服

4、务器共亨的Sessionkey和一张ticket-grantingticketo到此,登录用户没有在网络上发送口令,通过验证服务器使用用户口令加密验证授权票的方法验证了用户,用户跟验证服务器之间建立了关系,在工作站上也保存来相应的身份证明,以后要是用网络中的其他服务,可以通过这个身份证明向验证服务器屮请相应服务器的服务票,来获得相应服务身份验证。3.如果用户第一次访问IIS服务器,工作站的kinit查看本机上没有访问IIS服务器的验证票,于是kinit会向验证服务器发出请求,请求访问【IS服务的验证票。Kinit先要生成一个验证器,验证器是这样的:{用户名:工作站地址}

5、用跟验证服务器间的Sessionkey加密。Kinit将验证器、票据授权票、你的名字、你的工作站地址、IIS服务名字发送的验证服务器,验证服务器验证验证授权票真实有效,然后用跟你共享的Sessionkey解开验证器,获取其中的用户名和地址,与发送这个请求的用户和地址比较,如果相符,说明验证通过,这个请求合法。1.验证服务器先生成这个用户跟IIS服务器之间的Sessionkey会话口令,之后根据用户请求生成IIS服务器的验证票,是这个样子的:{会话口令:用户名:用户机器地址:服务名:有效期:时间戳},这个验证票用IIS服务器的密码(验证服务器知道所有授权服务的密码)进行加

6、密形成最终的验证票。最后,验证服务器{会话口令+加好密的验证票}用用户口令加密后发送给用户。2.工作站收到验证服务器返回的数据包,用自己的口令解密,获得跟IIS服务器的Sessionkey和IIS服务器的验证票。3.工作站kinit同样要生成一个验证器,验证器是这样的:{用户名:工作站地址}用跟IIS服务器间的Sessionkey加密。将验证器和IIS验证票一起发送到【IS服务器。4.IIS服务器先用自己的服务器密码解开IIS验证票,如果解密成功,说明此验证票真实有效,然后查看此验证票是否在有效期内,在有效期内,用验证票屮带的会话口令去解密验证器,获得其屮的用户名和工作

7、站地址,如果跟验证票中的用户名和地址相符则说明发送此验证票的用户就是验证票的所有者,从而验证本次请求有效。1.1Kerberos的工作过程在Kerberos认证系统中使用了一系列加密的消息提供认证,使得正在运行的客户端能够代表一个特定的用户来向验证者证明身份。Kerberos协议的部分是基于NS的,但针对它所用的环境作了一些修改。主要包括:使用了时间戳来减少需要做基本认证的消息数目;增加了票据授予服务使得不用重新输入主体的口令就能支持后面的认证;用不同的方式实现域间认证。131认证请求和响应客户端和每个验证者之间都需要…个独立的票据会话密

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。