2007jsjxtaq_Computer_System_Security_PPT_inChinese14Kerberos认证

1,Kerberos认证曹天杰中国矿业大学计算机学院,2,身份认证协议Kerberos,MIT开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。其实现采用的是对称密钥加密技术,3,Kerberos系统,AS：认证服务器AS（AuthenticatorServer）TGS：票据许可服务器TGS（TicketGrantingServer）Client：客户Server：服务器,4,Server,Server,Server,Server,TicketGrantingServer,AuthenticationServer,Workstation,KerberosKeyDistributionService,5,记号,6,共享的密钥,TGS与S共享KsAS与TGS共享KtgsAS与C共享Kc,7,Kerberos凭证,票据（ticket）：Ticket用来安全的在认证服务器和用户请求的服务之间传递用户的身份，同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成，在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。鉴别码（authenticator）：提供信息与Ticket中的信息进行比较，一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用，每当client向server申请服务时，必须重新生成Authenticator。,8,Kerberos中的票据,两种票据服务许可票据（Servicegrantingticket）是客户请求服务时需要提供的票据；用TicketS表示访问应用服务器S的票据，TGS发放TicketS定义为EKSIDCADCIDSTS2LT4。票据许可票据（Ticketgrantingticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由AS发放；用Tickettgs表示访问TGS服务器的票据；Tickettgs在用户登录时向AS申请一次，可多次重复使用；Tickettgs定义为EKtgsIDCADCIDtgsTS1LT2。,9,KerberosV4认证过程示意图,10,KerberosV4认证过程(1),第一阶段，认证服务器的交互，用于获取票据许可票据：(1)CAS：IDCIDtgsTS1(2)ASC：EKcKC,tgsIDtgsTS2LT2Tickettgs其中：Tickettgs=EKtgsKC,tgsIDCADCIDtgsTS2LT2,11,KerberosV4认证过程(2),第二阶段，票据许可服务器的交互，用于获取服务许可票据：(3)CTGS：IDSTickettgsAUC(4)TGSC：EKc,tgsKC,SIDSTS4TicketS其中：Tickettgs=EKtgsKC,tgsIDCADCIDtgsTS2LT2TicketS=EKSKC,SIDCADCIDSTS4LT4AUC=EKc,tgsIDCADCTS3,12,KerberosV4认证过程(3),第三阶段，客户与应用服务器的交互，用于获得服务：(5)CS：TicketSAUC(6)SC：EKc,STS5+1其中：TicketS=EKSKC,SIDCADCIDSTS4LT4AUC=EKc,SIDCADCTS5,13,Kerberos域(realm),构成：一个完整的Kerberos环境包括一个Kerberos服务器，一组工作站和一组应用服务器。Kerberos服务器数据库中拥有所有参与用户的UID和口令散列表。Kerberos服务器必须与每一个服务器之间共享一个保密密钥。所有用户均在Kerberos服务器上注册。所有服务器均在Kerberos服务器上注册。领域的划分是根据网络的管理边界来划定的。,14,Kerberos域间的互通,跨域的服务访问一个用户可能需要访问另一个Kerberos领域中应用服务器；一个应用服务器也可以向其他领域中的客户提供网络服务。域间