第09章 身份认证.ppt

(5) Kerberos V4协议过程 Kerberos中的两种票据 1）服务许可票据（Service granting ticket） 是客户访问服务时需要提供的票据； 用 TicketV 表示访问应用服务器 V 的票据。 TicketV 定义为 EKv [ IDC‖ADC‖IDV‖TS2‖LT2 ]。 2）票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT1 ]。 第一阶段： 客户与认证服务器AS的交互，用于获取票据许可票据Tickettgs： (1) C → AS ：IDC‖IDtgs‖TS1 (2) AS → C ：EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ] 其中：Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] 第二阶段： 客户C与票据许可服务器tgs交互,用于获取服务许可票Ticketv： (3) C → TGS ：IDV‖Tickettgs‖AUC (4) TGS → C ：EKc,tgs [ KC,V‖IDV‖TS4‖TicketV ] 其中： Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] TicketV = EKv [ KC,V‖IDC‖ADC‖IDV‖TS4‖LT4] AUC = EKc,tgs [ IDC‖ADC‖TS3] 第三阶段: 客户与应用服务器的交互，用于获得服务： (5) C → V ：TicketV‖AUC (6) V → C ：EKc,v [ TS5 + 1] 其中： TicketV = EKv [ KC,V‖IDC‖ADC‖IDV‖TS4‖LT4] AUC = EKc,v [ IDC‖ADC‖TS5] 1) 构成： 一个 Kerberos 服务器+一组工作站+一组应用服务器 2) Kerberos 服务器数据库中拥有所有参与用户的 UID 和口令散列表 3) Kerberos 服务器必须与每个参与用户共享一个必威体育官网网址密钥 4) 所有参与用户均在 Kerberos 服务器上注册。 5) 领域的划分是根据网络的管理边界来划定的。 (6) Kerberos 领域(realm) 跨领域的服务访问 一个用户可能需要访问另一个 Kerberos 领域中的应用 一个应用服务器也可以向其他领域中的客户提供网络服务 领域间互通的前提 支持不同领域之间进行用户身份鉴别的机制； 互通领域中的 Kerberos 服务器之间必须共享一个密钥； 同时两个Kerberos 服务器也必须进行相互注册。 (7)Kerberos v4 的缺陷 1)依赖性 加密系统的依赖性(DES)、对 IP 协议的依赖性和对时间依赖性。 2)字节顺序 3)票据有效期 有效期最小为5分钟,最大约为21小时, 往往不能满足要求。 4)认证转让能力 不允许签发给一个用户的鉴别证书转让给其他客户使用 5)领域间的鉴别管理起来困难 6)加密操作缺陷 非标准形式的DES加密(传播密码分组链接 PCBC)方式，易受攻击。 7)会话密钥 存在着攻击者重放会话报文进行攻击的可能。 8)口令攻击 未对口令提供额外的保护，攻击者有机会进行口令攻击。 (8) Kerberos v5的改进 1）加密系统 支持使用任何加密技术。 2）通信协议 IP 协议外，还提供了对其他协议的支持。 3）报文字节顺序 采用抽象语法表示(ASN.1)和基本编码规则(BER)来进行规范。 4）票据的有效期 允许任意大小的有效期，有效期定义为一个开始时间和结束时间 5）鉴别转让能力 6）更有效的方法来解决领域间的认证问题 7）口令攻击