4认证协议3Kerberos认证.ppt

  1. 1、本文档共15页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
4认证协议3Kerberos认证要点

Kerberos认证 身份认证协议 —— Kerberos MIT开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 其实现采用的是对称密钥加密技术 Kerberos 系统 AS:认证服务器AS(Authenticator Server) TGS:票据许可服务器TGS(Ticket Granting Server) Client:客户 Server:服务器 记号 共享的密钥 TGS与S共享长期密钥Ks AS与TGS共享长期密钥Ktgs AS与C共享长期密钥Kc 会话密钥Kc,tgs, Kc,s Kerberos凭证 票据(ticket) :Ticket用来安全的在认证服务器和用户请求的服务器之间传递用户的身份,同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成,在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。 鉴别码(authenticator):提供信息与Ticket中的信息进行比较,一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用,每当client向server申请服务时,必须重新生成Authenticator。 Kerberos中的票据 两种票据 服务许可票据(Service granting ticket) 是客户请求服务时需要提供的票据; 用 TicketS 表示访问应用服务器 S 的票据,TGS发放 TicketS 定义为 EKS [ IDC‖ADC‖IDS‖TS2‖LT4 ]。 票据许可票据(Ticket granting ticket) 客户访问 TGS 服务器需要提供的票据,目的是为了申请某一个应用服务器的 “服务许可票据”; 票据许可票据由 AS 发放; 用 Tickettgs 表示访问 TGS 服务器的票据; Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用; Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT2 ]。 Kerberos V4认证过程示意图 Kerberos V4认证过程(1) 第一阶段,认证服务器的交互,用于获取票据许可票据: (1) C → AS :IDC‖IDtgs‖TS1 (2) AS → C :EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ] 其中:Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] Kerberos V4认证过程(2) 第二阶段,票据许可服务器的交互,用于获取服务许可票据: (3) C → TGS :IDS‖Tickettgs‖AUC (4) TGS → C :EKc,tgs [ KC,S‖IDS‖TS4‖TicketS ] 其中: Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] TicketS = EKS [ KC,S‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,tgs [ IDC‖ADC‖TS3] Kerberos V4认证过程(3) 第三阶段,客户与应用服务器的交互,用于获得服务: (5) C → S :TicketS‖AUC (6) S → C :EKc,S [ TS5 + 1] 其中: TicketS = EKS [ KC,S‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,S [ IDC‖ADC‖TS5] Kerberos 域(realm) 构成:一个完整的 Kerberos 环境包括一个 Kerberos 服务器,一组工作站和一组应用服务器。 Kerberos 服务器数据库中拥有所有参与用户的 UID 和口令散列表。 Kerberos服务器必须与每一个服务器之间共享一个必威体育官网网址密钥。 所有用户均在 Kerberos 服务器上注册。 所有服务器均在 Kerberos 服务器上注册。 领域的划分是根据网络的管理边界来划定的。 Kerberos 域间的互通 跨域的服务访问 一个用户可能需要访问另一个 Kerberos 领域中应用服务器; 一个应用服务器也可以向其他领域中的客户提供网络服务。 域间互通的前提 支持不同域之间进行用户身份鉴别的机制; 互通域中的 Kerberos 服务器之间必须共享一个密钥; 同时两个 Kerberos 服务器也必须进行相互注册。 远程服务

文档评论(0)

dajuhyy + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档