5-4 认证协议（1）-Kerberos协议

第五章安全协议技术-Kerberos协议计算机系统与网络安全技术是美国麻省理工学院（MIT）开发的一种身份鉴别服务。Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。其实现采用的是对称密钥加密技术，而未采用公开密钥加密。公开发布的Kerberos版本包括版本4和版本5。KerberosKerberos协议安全协议技术Kerberos设计目标安全性能够有效防止攻击者假扮成另一个合法的授权用户可靠性分布式服务器体系结构，提供相互备份对用户透明性对各类用户提供认证服务可扩展性能够支持大数量的客户和服务器Kerberos协议安全协议技术基本思路：使用一个（或一组）独立的认证服务器（AS），来为网络中的用户（C）提供身份认证服务用户口令由AS保存在数据库中AS与每个应用服务器（V）共享一个对称密钥（Kv）Kerberos设计思路Kerberos协议安全协议技术会话过程：Kerberos设计思路（续）Ticket=EKv[IDC,ADC,IDv]CASV

(1)IDC,PC,IDvTicket

IDC,TicketIDC：用户C的标识PC

：用户口令IDv：服务器标识ADC：用户网络地址搜索数据库看用户是否合法如果合法，验证用户口令是否正确如果口令正确，检查是否有权限访问服务器V用与AS共享密钥解密票据检查票据中的用户标识与网络地址是否与用户发送的标识及其地址相同如果相同，票据有效，认证通过用户认证服务器应用服务器Kerberos协议安全协议技术Kerberos设计思路（续）电影院我要买票你的电影票这是我的电影票电影院售票处观众Kerberos协议安全协议技术Kerberos设计思路（续）电影院我要买票，这是我的信用卡密码你的电影票这是我的电影票电影院售票处观众问题之一：信用卡问题问题：如何买票答案：出示信用卡卡号和密码Kerberos协议安全协议技术Kerberos设计思路（续）电影院你的电影票这是我的电影票电影院售票处这是我的电影票这是我的电影票观众问题之二：票的有效期问题我要买票，这是我的信用卡密码Kerberos协议安全协议技术Kerberos设计思路（续）电影院甲你的电影票这是我的电影票电影院售票处电影院乙这是我的电影票？？？观众问题之三：多个电影院问题我要买票，这是我的信用卡密码Kerberos协议安全协议技术Kerberos设计思路（续）上述协议的问题：（1）口令明文传送（2）票据的有效性（多次使用）（3）访问多个服务器则需多次申请票据（即口令多次使用）如何解决？Kerberos协议安全协议技术问题：用户希望输入口令的次数最少。口令以明文传送会被窃听。解决办法票据重用（ticketreusable）引入票据许可服务器（TGS-ticket-grantingserver）用于向用户分发服务器的访问票据认证服务器AS并不直接向客户发放访问应用服务器的票据，而是由TGS服务器来向客户发放Kerberos设计思路（续）Kerberos协议安全协议技术Kerberos设计思路（续）电影院售票处电影院乙购票许可证这是我的购票许可证你的电影票这是我的电影票许可证部门观众我要买票，这是我的信用卡密码问题：解决了重复使用信用卡问题，但是其他两个问题没有解决引入了许可证可信问题Kerberos协议安全协议技术客户端（C，即用户）请求服务的用户应用服务器（V，即提供某种服务器的服务器）向用户提供服务的一方认证服务器（AS：AuthenticationServer）负责验证用户的身份，如果通过了认证，则向用户提供访问票据准许服务器的票据许可票据（Ticket-GrantingTicket）票据准许服务器（TGS：Ticket-GrantingServer）负责验证用户的票据许可票据，如果验证通过，则为用户提供访问服务器的服务许可票据（Service-GrantingTicket）在Kerberos认证协议中，存在四个角色Kerberos协议安全协议技术两种票据票据许可票据（Ticketgrantingticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”票据许可票据由AS发放用Tickettgs表示访问TGS服务器的票据Tickettgs在用户登录时向AS申请一次，可多次重复使用服务许可票据（Servicegrantingticket）是客户访问应用服务器时需要提供的票据；用TicketV表示访问应用服务器V的票据。Kerberos的票据Kerberos协议安全协议技术Kerberos设计思路（续）电影院售票处电影院共享信用卡信息：不用向许可证部门初始信用卡密码初始电影票共享“购票许可证”信息：不用出示信用卡及密码共享“电影票”信息：不用多次购买许可证许可证部门观众购买电影票最后一个问题：票的有效期问题电影院电影院解决方法：时戳Kerberos协议安全协议技术Kerberos设计思路（续）票据许可服务器（TGS）服务器（V）具有有效期的Ticket共享对称密钥Ktgs共享对称密钥Kv认证服务器（AS）用户（C）共享用户口令Kc购买具有有效期的TicketKerberos协议安全协议技术Kerberos设计思路（续）票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）我想看电影EKc{Ektgs{购票许可证}}Ektgs{购票许可证}Ekv{票}Ekv{票}共享对称密钥Ktgs共享对称密钥Kv共享用户口令KcKcKcKtgsKvKtgsKvKerberos协议安全协议技术Kerberos设计思路（续）票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）我想看电影EKc{Ektgs{购票许可证，时间限制}}Ektgs{购票许可证，时间限制}Ekv{票,时间限制}Ekv{票，时间限制}共享对称密钥Ktgs共享对称密钥Kv共享用户口令Kc可能被盗用KcKcKtgsKvKtgsKvKerberos协议安全协议技术Kerberos设计思路（续）票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）我想看电影EKc{Kc,tgs,Ektgs{含Kc,tgs的购票许可证，时间限制}}Ektgs{含Kc,tgs的购票许可证，时间限制}EKc,tgs{Ekv{票,时间限制}}Ekv{票，时间限制}共享对称密钥Ktgs共享对称密钥Kv共享用户口令KcKc,tgs问题：单向认证KcKcKtgsKvKtgsKvKerberos协议安全协议技术Kerberos设计思路（续）票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）我想看电影EKc{Kc,tgs,Ektgs{含Kc,tgs的购票许可证，时间限制}}Ektgs{含Kc,tgs的购票许可证，时间限制}EKc,tgs{Kc,v,Ekv{含Kc,v的票,时间限制}}Ekv{含Kc,v的票，时间限制}共享对称密钥Ktgs共享对称密钥Kv共享用户口令KcKc,tgsKc,vEkc,v{时间限制}KcKcKtgsKvKtgsKvKerberos协议安全协议技术KerberosV4协议描述：第一阶段票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）IDC,IDtgs,TS1EKc{Kc,tgs,IDtgs,TS2,LT2,Tickettgs}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}KcKcKtgsKvKtgsKvKc,tgsKerberos协议安全协议技术KerberosV4协议描述：第二阶段票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）IDV,Tickettgs,AUCEKC,tgs{KC,V,IDV,TS4,TicketV}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}TicketV＝EKV{KC,V,IDC,ADC,IDV,TS4,LT4}AUC＝EKC,tgs{IDC,ADC,TS3}KcKcKtgsKvKtgsKvKc,tgsKc,vKerberos协议安全协议技术KerberosV4协议描述：第三阶段票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）TicketV,AUCEKC,V{TS5+1}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}TicketV＝EKV{KC,V,IDC,ADC,IDV,TS4,LT4}AUC＝EKc,v{IDC,ADC,TS5}KcKcKtgsKvKtgsKvKc,tgsKc,vKerberos协议安全协议技术共享密钥及会话密钥票据许可服务器（TGS）服务器（V）Kc认证服务器（AS）用户（C）Kc,tgsKC,VKcKcKtgsKvKtgsKvKc,tgsKc,vKerberos协议安全协议技术Kerberos设计思路票据许可服务器（TGS）服务器（V）认证服务器（AS）用户（C）IDC,IDtgs,TS1EKc{Kc,tgs,IDtgs,TS2,LT2,Tickettgs}IDV,Tickettgs,AUCEKc,tgs{Kc,V,IDV,TS4,TicketV}TicketV,AU’CEKC,V{TS5+1}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}TicketV＝EKV{KC,V,IDC,ADC,IDV,TS4,LT4}AUC＝EKC,tgs{IDC,ADC,TS3}KcKcKtgsKvKtgsKvKc,tgsKc,vAU‘C＝EKcv{IDC,ADC,TS5}Kerberos协议安全协议技术Kerberos（V4）协议交互过程Kerberos协议安全协议技术（1）第一步：认证服务交换（AuthenticationServiceExchange）：用户向认证服务器证明自己的身份，以便获得票据许可票据（Ticket-GrantingTicket）。（2）第二步：票据许可服务交换（Ticket-GrantingServiceExchange）：用户向票据许可服务器TGS索取访问服务器的服务许可票据（Service-GrantingTicket）。（3）第三步：用户与服务器交换（AuthenticationExchange）：使用所需服务。总结起来，Kerberos认证协议可分为三大步骤：认证三步总结Kerberos协议安全协议技术依赖性加密系统的依赖性（DES）、对IP协议的依赖性和对时间依赖性。字节顺序：没有遵循标准票据有效期有效期最小为5分钟，最大约为21小时,往往不能满足要求认证转发能力不允许签发给一个用户的鉴别证书转发给其他工作站或其他客户使用Kerberos（V4）协议的缺陷Kerberos协议安全协议技术Kerberos（V4）协议的缺陷（续）领域间的鉴别管理起来困难加密操作缺陷非标准形式的DES加密（传播密码分组链接PCBC）方式，易受攻击会话密钥存在着攻击者重放会话报文进行攻击的可能口令攻击未对口令提供额外的保护，攻击者有机会进行口令攻击Kerberos协议安全协议技术加密系统支持使用任何加密技术。通信协议IP协议外，还提供了对其他协议的支持。报文字节顺序采用抽象语法表示（ASN.1）和基本编码规则（BER）来进行规范。Kerberos（