网络与信息安全安全基础（二）.ppt

Kerberos数据库 KDC必需一个数据库，保存以下基本信息 Name: principal’s identifier Key: principal’s secret key P_kvno: principal’s key version Max_life: maximum lifetime for tickets Max_renewable_life: 其他的扩展fields 数据库的实现取决于具体的Kerberos实现 ，它可以与KDC位于不同的服务器，但是要保证安全性 Kerberos: 数据完整性和私有性 完整性 对每一个包计算检验和，并加密 HMAC算法 私有性 既然客户和服务器已经有了共享随机密钥，那么私有性就很容易保证 Kerberos中加密算法规范 具体的算法可以在参数中指定 NULL Encryption system DES in CBC mode with a CRC-32 checksum DES in CBC mode with a MD4 checksum DES in CBC mode with a MD5 checksum …… 关于Kerberos的一些讨论 重放攻击 Caching authenticators 时间服务 口令猜测攻击 数据加密算法的分离 …… 参考：Bel90. S. M. Bellovin and M. Merritt, ‘‘Limitations of the Kerberos Authentication System,’’ Computer Communications Review 20(5), pp. 119-132 (October 1990). Kerberos的实现——MIT release MIT提供了完整的Kerberos实现 目前的必威体育精装版版本为1.2 源码开放 是其他厂商的重要参考 支持各种平台(包括Windows) 同时提供了各种工具（k系列） kadmin 管理Kerberos数据库，功能有 显示principal的属性 获得principal列表 增加、删除或者修改principal 修改口令 策略管理 Kadmin举例 shell% kadmin kadmin: getprinc jennifer/root Principal: jennifer/root@ATHENA.MIT.EDU Key version: 3 Maximum life: 1 day 00:00:00 Maximum renewable life: 7 days 00:00:00 Master key version: 1 Expires: Mon Jan 18 22:14:07 EDT 2038 Password expires: Mon Sep 19 14:40:00 EDT 1996 Password last changed: Mon Jan 31 02:06:40 EDT 1996 Last modified: by joeadmin/admin@ATHENA.MIT.EDU on Wed Jul 13 18:27:08 EDT 1996 Attributes: DISALLOW_FORWARDABLE, DISALLOW_PROXIABLE, REQUIRES_HW_AUTH Salt type: DEFAULT kadmin: kdb5_util 功能 把kerberos数据库dump出来 恢复kerberos数据库 创建或者删除一个kerberos数据库 kinit kinit 获得一个ticket 例如 shell% kinit Password for jennifer@ATHENA.MIT.EDU: -- [Type jennifers password here.] shell% ? 如果口令不正确，则: ? shell% kinit Password for jennifer@ATHENA.MIT.EDU: -- [Type the wrong password here.] kinit: Password incorrect shell% klist 列出所有的tickets shell% klist Ticket cache: /tmp/krb5cc_ttypa Default principal: jennifer@ATHENA.MIT.EDU ? Valid starting Expires Service principal 06/07/96 19:49:21 06/08/96 05:49:19 krbtgt/ATHENA.MIT.EDU@ATHENA.MIT.EDU 06/07/