20[1].密钥管理与证书

第十三讲.Kerberos认证协议与X.509,上海交通大学计算机科学系,1.密钥管理,所有的密码系统都存在:如何安全可靠地分配密钥许多情况下,出现的安全问题不是因为密码算法被破,而是密钥分配系统被破理想的情况是,密钥分配协议应得到形式化验证,目前已有这方面的结果,2.PhysicalDelivery,传统的物理方法秘密传送,3.认证密钥服务器,第三方可信的在线服务器服务器与每个客户有个公享秘密钥向客户分发密钥可以利用对称密钥算法Kerberos,4.Kerberos认证服务协议,是一项鉴别协议解决的问题：在一个公开的分布式环境中，工作站上的用户希望访问分布在网络中的服务器上的服务服务器希望能够限制授权用户的访问，并能对服务请求进行鉴别。,5.Kerberos使用的加密体制,Kerberos不是为每一个服务器构造一个身份认证协议，而是提供一个中心认证服务器，提供用户到服务器和服务器到用户的认证服务。Kerberos采用传统加密算法（无公钥体制）常用版本：KerberosVersion4和Version5(RFC1510),6.Kerberos的解决方案,在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务。总体方案是提供一个可信第三方的认证服务。,7.Kerberos系统满足的要求,安全。网络窃听者不能获得必要信息以假冒其它用户；Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。可靠。Kerberos应高度可靠，并且应借助于一个分布式服务器体系结构，使得一个系统能够备份另一个系统。透明。理想情况下，用户除了要求输入口令以外应感觉不到认证的发生。可伸缩。系统应能够支持大数量的客户和服务器,8.KerberosVersion4,引入一个信任的第三方认证服务，采用一个基于Needham&Schroeder协议。采用DES，精心设计协议，提供认证服务。,9.一个简单的认证对话,引入认证服务器(AS)，它知道所有用户的口令并将它们存储在一个中央数据库中。另外，AS与每一个服务器共有一个唯一的保密密钥。这些密钥已经通过物理上或以更安全的手段分发,考虑以下假定的对话：,(1)CAS:IDC|PC|IDV(2)ASC:Ticket(3)CV:IDC|TicketTicket=EKVIDC|ADC|IDV,IDV:identifierofVPC:passwordofuseronCADC:networkaddressofCKV:AS与V共有的保密密钥,C,V,AS,(1),(2),(3),ADC防止何种攻击？,考虑以下假定的对话：,(1)CAS:IDC|PC|IDV(2)ASC:Ticket(3)CV:IDC|TicketTicket=EKVIDC|ADC|IDV,IDV:identifierofVPC:passwordofuseronCADC:networkaddressofCKV:AS与V共有的保密密钥,C,V,AS,(1),(2),(3),ADC防止何种攻击？,其中：C:clientAS:AuthenticationServerV:serverIDC:identifierofuseronC,10.上述对话存在的问题,两个主要问题希望用户输入口令的次数最少。口令以明文传送会被窃听。解决办法票据重用（ticketreusable）票据需可服务器（ticket-grantingserver，TGS）,改进后的假想的对话：,用户登录的每次对话:(1)CAS:IDC|IDtgs(2)ASC:EKCTickettgs每种服务类型一次：(3)CTGS:IDC|IDv|Tickettgs(4)TGSC:TicketV每种服务会话一次：(5)CV:IDC|TicketVTickettgs=EKtgsIDC|ADC|IDtgs|TS1|Lifetime1TicketV=EKVIDC|ADC|IDV|TS2|Lifetime2,C,V,AS,(1),(2),(3),TGS,(4),(5),Kerberos,11.方案的详细描述,用户向AS请求代表该用户的票据许可票据。AS发回加密的票据，密钥由口令导出(Why？)票据许可票据包含用户ID、网络地址、TGS的ID、时戳与生存期(Why?)。用户请求服务许可票据。TGS验证，如通过则发服务许可票据。用户使用服务许可票据请求服务。,改进方案仍存在的问题与TGS相关的生存期问题；太长则？太短则？如何应付票据的过期使用？需要服务器向客户进行认证其本身；假的服务器,12.KerberosV4的认证对话,解决方案会话密钥（sessionkey）AS用安全方式向用户和TGS各自提供一块秘密信息，然后用户也以安全方式向TGS出示该秘密来证明自己的身份。这个秘密就是会话密钥,13.KerberosV4报文交换总结（1）,认证服务交换：获得票据许可票据(1)CAS:IDC|IDtgs|TS1(2)ASC:EKCKc,tgs|IDtgs|TS2|Lifetime2|TickettgsTickettgs=EKtgsKc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2,KerberosV4报文交换总结（2）,票据许可服务交换：获得服务许可票据(3)CTGS:IDV|Tickettgs|Authenticatorc(4)TGSC:EKc,tgsKc,v|IDV|TS4|TicketvTickettgs=EKtgsKc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2Ticketv=EKVKc,v|IDC|ADC|IDv|TS4|Lifetime4Authenticatorc=EKc,tgsIDc|ADc|TS3,KerberosV4报文交换总结（3）,客户/服务器认证交换：获得服务(5)CV:Ticketv|Authenticatorc(6)VC:EKc,vTS5+1(formutualauthentication)Ticketv=EKVKc,v|IDc|ADc|IDv|TS4|Lifetime4Authenticatorc=EKc,vIDc|ADc|TS5,14.公开公证或证书机构,可信的离线服务器server有个公开的公钥server对每个用户签名公钥证书利用公钥加密,15.要素与基本原理,(a)认证服务交换Message(1)Client请求ticket-grantingticketIDC:告诉AS本client端的用户标识；IDtgs:告诉AS用户请求访问TGS；TS1:让AS验证client端的时钟是与AS的时钟同步的；Message(2)AS返回ticket-grantingticketEKC:基于用户口令的加密，使得AS和client可以验证口令，并保护Message(2)。Kc,tgs:sessionkey的副本，由AS产生，client可用于在AS与client之间信息的安全交换，而不必共用一个永久的key。IDtgs:确认这个ticket是为TGS制作的。TS2:告诉client该ticket签发的时间。Lifetime2:告诉client该ticket的有效期；Tickettgs:client用来访问TGS的ticket。,16.基本原理(续),(b)票据许可服务交换Message(3)client请求service-grantingticketIDv:告诉TGS用户要访问服务器V；Tickettgs:向TGS证实该用户已被AS认证；Authenticatorc:由client生成，用于验证ticket；Message(4)TGS返回service-grantingticketEKc,tgs:仅由C和TGS共享的密钥；用以保护Message(4)；Kc,tgs:sessionkey的副本，由TGS生成，供client和server之间信息的安全交换，而无须共用一个永久密钥。IDv:确认该ticket是为serverV签发的；TS4:告诉client该ticket签发的时间；TicketV:client用以访问服务器V的ticket；Tickettgs:可重用，从而用户不必重新输入口令；EKtgs:ticket用只有AS和TGS才知道的密钥加密，以预防篡改；Kc,tgs:TGS可用的sessionkey副本，用于解密authenticator,从而认证ticket；IDc:指明该ticket的正确主人；,17基本原理,客户/服务器鉴别交换:Message(5)client请求服务Ticketv:向服务器证实该用户已被AS认证；Authenticatorc:由客户生成，用于验证ticket有效；Message(6)客户对服务器的可选认证Ekc,v:使C确认报文来自V；TS51：使C确信这不使报文重放；TicketV:client用以访问服务器V的ticket；EKv:用只有AS和TGS才知道的密钥加密的票据，以预防篡改；Kc,v:用户的会话密钥副本；IDc：票据的合法用户；ADc：防止非法使用；IDv:使服务器确信解密正确；,18.Kerberos领域和多个域服务,一个完整的Kerberos环境（域）包括一个Kerberos服务器，一组工作站，和一组应用服务器，满足下列要求：Kerberos服务器必须在其数据库中拥有所有参与用户的ID(UID)和口令散列表。所有用户均在Kerberos服务器上注册。Kerberos服务器必须与每一个服务器之间共享一个保密密钥。所有服务器均在Kerberos服务器上注册。,19.不同域间的鉴别机制,条件：每一个辖区的Kerberos服务器与其它辖区内的Kerberos服务器之间共享一个保密密钥。两个Kerberos服务器互相注册。,20.获得另一领域中的认证服务,分三步骤：（1）获得本地TGS的访问权；（2）请求一张远程TGS的票据许可票据；（3）向远程TGS申请其领域内的服务许可票据,细节描述：(1)CAS:IDC|IDtgs|TS1(2)ASC:EKCKc,tgs|IDtgs|TS2|Lifetime2|Tickettgs(3)CTGS:IDtgsrem|Tickettgs|Authenticatorc(4)TGSC:EKc,tgsKc,tgsrem|IDtgsrem|TS4|Tickettgsrem(5)CTGSrem:IDvrem|Tickettgsrem|Authenticatorc(6)TGSC:EKc,tgsremKc,vrem|IDvrem|TSb|Ticketvrem(7)CVrem:Ticketvrem|Authenticatorc,C,AS,TGS,TGSrem,Vrem,(1),(2),(3),(4),(5),(6),(7),21.KerberosVersion5,改进version4的环境缺陷加密系统依赖性，需DESInternet协议依赖性，需IP地址消息字节次序（不明确字节顺序）Ticket的时效性（可能太短）认证转发，用户的认证不能转发到其它主机或用户。域间认证，,22.公钥证书,公钥管理包括公钥证书的使用证书将用户身份与公钥绑定也包括其他信息:有效期、使用权限所有内容有可信中心签名(CA)假设任何人可以得到或已知CA的公钥，并验证证书,23.X.509鉴别服务,CCITTX.500一部分，目录服务标准X.509定义了认证服务框架这种目录可以存储证书定义了利用证书的认证协议使用公钥密码与数字签名推荐使用RSA（不是标准）,24.X.509证书,由证书授权(CA)机构发送：eachcertificatecontains:version(1,2,or3)serialnumber(uniquewithinCA)identifyingcertificatesignaturealgorithmidentifierissuerX.500name(CA)periodofvalidity(from-todates)subjectX.500name(nameofowner)subjectpublic-keyinfo(algorithm,parameters,key)issueruniqueidentifier(v2+),25.X.509证书（续）,subjectuniqueidentifier(v2+)extensionfields(v3)signature(ofhashofallfieldsincertificate)notation:CAmeansCAhassignedcertificatedetailsforUser,26.证书扩展项,证书中，其它信息是有必要的如：emailaddress/URL,policydetails,usageconstraintsetc参见SSL的使用,27.证书性质,任何能够访问CA的用户，可以得到CA上的任何证书只有CA能够修改证书因为证书不能伪造，证书可以放在目录中,28.CA分层结构,如果两个用户享有一个共同的CA，他们可以得到CA的一个相同的公钥若不是一个CA，则需要CA分层利用证书链验证其它CA每个CA有对客户的证书和其上一级CA的证书每个用户相信更高层的CAS能够使得任何CA的用户验证其它CA签发的任何证书,29.CA分层,AacquiresBcertificatefollowingchain:XWVYZBacquiresAcertificatefollowingchain:ZYVWX,30.认证流程,X.509包括三种认证形式:单向认证（One-WayAuthentication）双向认证（Two-WayAuthentication）三向认证（Three-