Kerberos情景分析.ppt

Kerberos情景分析 问题： 　分时操作系统实在太慢了？ 解决： 　可以把系统软件放到服务器上。当登录到工作站的时候，工作站会通过网络与其中一台服务器上的系统软件联系。这样的设置让一组工作站都使用同一份系统软件，并且利于系统软件的升級。只需改动服务器就可以了。 问题： 　个人的文件怎到办呢？需要到工作站取文件吗？ 解决： 　可以用其它机器来存文件。 可以到任何一台机器上登录去取你的文件。 问题： 打印怎么办呢？每个工作站都要有自已的打印机吗？谁来付钱？电子邮件呢？怎么把邮件送到所有的工作站上去呢？ 解决： 　有专门的机器做打印服务。你把请求送到服务器，它就为你打印。邮件也可以这样做。专门有一台邮件服务器。你如果想要你的邮件，就联系邮件服务器，取走你的邮件。 问题： 　怎样保护一个开放的网络系统？确保信息的安全。 解决： 　在一个开放的网络环境中，提供服务的机器必须能够识别请求服务的实体的身份。如果我去邮件服务器申请我的邮件，服务程序必须能够验证我就是我所申明的那个人。（通过验证口令） Charon系统的描述 （１）用户向Charon请求认证，必须告诉Charon使用哪个服务 （２）Charon请用户证明身份，用户将密码送给Charon （３）Charon将密码与数据库中的密码想比较，如果相等，则通过验证 （注：Charon不能将邮件服务的密码给用户，否则下次用户想再次使用邮件服务时，就可以绕过Charon了） （４）Charon给用户一张票，票里有用户名，并且用邮件服务器的密码加密 （５）用户向邮件服务器提出请求，并用票来证明自己的身份 （６）服务器用自己的密码来解开票，如果能正确解密，并得到用户的名字，将这个名字与随票一起送上的用户名进行比较，相同则通过验证。 问题： 　当服务解密票据时，如何知道它是被正确地解密的呢？ 解决： 　应该在票据里包含有服务的名字 　当解开票后，通过找到自己的名字来判断解密的正确性。 　　票＝（用户名＋服务器名）用服务器的口令加密 问题： 　假设Charon在将用户的票传给用户过程中，被截取了，或复制了，然后伪造成用户，并用窃取的票向邮件服务器提出请求，则服务被盗用了。 解决： 　票＝用户名＋用户地址＋服务器名 　因为伪造的工作站用户名相同，而网络地址不匹配。 (1) C AS:IDc || Pc || IDs (2) AS C:Ticket (3) C S:IDc || Ticket Ticket=Eks[IDc || ADc || IDs ] 其中:C=客户机 AS=认证服务器 S=服务器 IDc=C上用户的标识符 IDs=S的标识符 Pc=C上用户的口令 ADc=C的网络地址 Ks=AS和S共享的加密密钥 ||=连接 问题： （１）用户每次想要得到服务都要取一张新票 （２）当用户每次向Charon认证时，密码以明文形式在网络上传输，如果口令被窃取，就可以伪造此用户来使用任何服务了。 解决的目标： （１）用户口令只输入一次 （２）口令不能在网络上进行明文传输 解决的方法： 引入票据授权TGS（Ticket-Granting Server)服务器 （１）用户与Charon通讯，用户向Charon证明自己的身份，并取得一张票据授权票，现在用户想从邮件服务器上取邮件，但没有邮件服务器的票，所以用户要用“票据授权”票去取邮件服务的票。 不需要使用口令去取新的服务票，票据授权票可以重复使用。 （２）用户取票据授权时，用户不将口令送给Charon，只是送用户名。 Charon用用户名去查找用户口令，然后将票据授权票的包用用户的口令去加密。 用户用自己的口令去解开包，就可以得到票据授权的票了。 问题： 假设用户已在用一个不安全的工作站，在用户登录各种服务后，无意中在退出时留下了这些票，假设被人登录了工作站，并发现了这些票，就可以骗取服务，并将票拷走，永远使用它们。 解决：写一个程序，在用户退出时将票销毁。 但销毁不是一个好的办法： 　因为当用户登录到工作站时，有人打开一个监视网络并拷贝别人服务票据的程序并拷贝一份用户的票，当用户退出并离开，将它的工作站地址调整为用户刚登录时的地址，就可以欺骗服务器了。（因为它已有了用户名，用户地址，票据） 解决：票不能永远合法，给每张票一个有效期 票＝用户名＋用户地址＋服务名＋有效期＋时间戳 (1)C AS:IDc || IDtgs (2)AS C:Ekc[Tickettgs] (3)C