4认证协议3Kerberos认证.ppt

 Kerberos认证 身份认证协议 —— Kerberos MIT开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 其实现采用的是对称密钥加密技术 Kerberos 系统 AS：认证服务器AS（Authenticator Server） TGS：票据许可服务器TGS（Ticket Granting Server） Client：客户 Server：服务器 记号 共享的密钥 TGS与S共享长期密钥Ks AS与TGS共享长期密钥Ktgs AS与C共享长期密钥Kc 会话密钥Kc,tgs, Kc,s Kerberos凭证 票据（ticket） ：Ticket用来安全的在认证服务器和用户请求的服务器之间传递用户的身份，同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成，在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。 鉴别码（authenticator）：提供信息与Ticket中的信息进行比较，一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用，每当client向server申请服务时，必须重新生成Authenticator。 Kerberos中的票据 两种票据 服务许可票据（Service granting ticket） 是客户请求服务时需要提供的票据； 用 TicketS 表示访问应用服务器 S 的票据，TGS发放 TicketS 定义为 EKS [ IDC‖ADC‖IDS‖TS2‖LT4 ]。 票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT2 ]。 Kerberos V4认证过程示意图 Kerberos V4认证过程(1) 第一阶段，认证服务器的交互，用于获取票据许可票据： (1) C → AS ：IDC‖IDtgs‖TS1 (2) AS → C ：EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ] 其中：Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] Kerberos V4认证过程(2) 第二阶段，票据许可服务器的交互，用于获取服务许可票据： (3) C → TGS ：IDS‖Tickettgs‖AUC (4) TGS → C ：EKc,tgs [ KC,S‖IDS‖TS4‖TicketS ] 其中： Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] TicketS = EKS [ KC,S‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,tgs [ IDC‖ADC‖TS3] Kerberos V4认证过程(3) 第三阶段，客户与应用服务器的交互，用于获得服务： (5) C → S ：TicketS‖AUC (6) S → C ：EKc,S [ TS5 + 1] 其中： TicketS = EKS [ KC,S‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,S [ IDC‖ADC‖TS5] Kerberos 域(realm) 构成：一个完整的 Kerberos 环境包括一个 Kerberos 服务器，一组工作站和一组应用服务器。 Kerberos 服务器数据库中拥有所有参与用户的 UID 和口令散列表。 Kerberos服务器必须与每一个服务器之间共享一个必威体育官网网址密钥。 所有用户均在 Kerberos 服务器上注册。 所有服务器均在 Kerberos 服务器上注册。 领域的划分是根据网络的管理边界来划定的。 Kerberos 域间的互通 跨域的服务访问 一个用户可能需要访问另一个 Kerberos 领域中应用服务器； 一个应用服务器也可以向其他领域中的客户提供网络服务。 域间互通的前提 支持不同域之间进行用户身份鉴别的机制； 互通域中的 Kerberos 服务器之间必须共享一个密钥； 同时两个 Kerberos 服务器也必须进行相互注册。 远程服务