Kerberos身份认证方案

Kerberos身份认证方案

5.1 身份认证概述

Kerberos是IETF发布的一种身份认证标准协议（目前最新版本为V5）。它采用对称密钥方案，也可以说是后面出现的非对称密钥方案的基础。Kerberos协议应用非常广泛，特别是在Windows系统中（包括在Windows系统的内部网络登录中，目前也主要采用的是Kerberos协议）。所以总体来说，Kerberos认证协议主要是在系统层中得到广泛应用，不过像交换机、路由器这些设备目前也有较多应用。但是目前的国内图书市场上还没有见到全面、系统地介绍这种得到广泛应用的身份认证协议工作原理，以及协议体系结构。

笔者在IETF和Microsoft英文官方网站上进行搜集和翻译，然后整理、扩展了该协议比较全面的第一手专业资料，非常感谢IETF和Microsoft公司为我们提供了如此全面、深入的第一手专业技术资料。

本章重点

* Kerberos V5身份认证机制。

* Kerberos V5身份认证的优点与缺点。

* Kerberos SSP体系架构。

* Kerberos物理结构。

* Kerberos V5身份认证的3个子协议。

* AS、TGS、CS交换。

* Kerberos交换消息。

* Kerberos的本地登录、域用户的工作站登录、单域身份认证和用户到用户的身份认证原理。

* Kerberos V5身份认证的启用与策略配置。

5.1 身份认证概述

在正式介绍Kerberos身份认证协议之前，先来了解一下什么是身份认证。这个概念同样适用于本书后面介绍的其他身份认证技术。

身份认证是系统安全的一个基础方面，它用来确认尝试登录域或访问网络资源的任何用户的身份。Windows服务器系统身份认证针对所有网络资源启用“单点登录”（Single Sign-on，SSO）。采用单点登录后，

用户可以使用一个密码或智能卡一次登录到域，然后向域中的任何计算机验证身份。身份认证的重要功能就是它对单点登录的支持。

单点登录是一种方便用户访问多个系统的技术，用户只需在登录时进行一次注册，就可以在一个网络中自由访问，不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文（Security Context）或凭证（Credential）在多个应用系统之间的传递或共享。当用户登录系统时，客户端软件根据用户的凭证（例如用户名和密码）为用户建立一个安全上下文，安全上下文包含用于验证用户的安全信息，系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。Kerberos V5身份认证协议提供一个在客户端跟服务器端之间，或者服务器与服务器之间的双向身份认证机制。

单点登录在安全性方面提供了两个主要优点。

* 对用户而言，单个密码或智能卡的使用减少了混乱，提高了工作效率。

* 对管理员而言，由于管理员只需要为每个用户管理一个账户，因此域用户所要求的管理支持减少了。

5.1.1 单点登录身份认证执行方式

包括单点登录在内的身份认证，分两个过程执行：交互式登录和网络身份认证。成功的用户身份认证取决于这两个过程。

1. 交互式登录

交互式登录过程向域账户或本地计算机确认用户的身份。这一过程根据用户账户的类型而不同。

* 使用域账户：用户可以通过存储在Active Directory目录服务中的单一注册凭据使用密码或智能卡登录到网络。如果使用域账户登录，被授权的用户可以访问该域及任何信任域中的资源；如果使用密码登录到域账户，将使用Kerberos V5进行身份认证；如果使用智能卡，则将结合使用Kerberos V5身份认证和证书。

* 使用本地计算机账户：用户可以通过存储在安全账户管理器（本地安全账户数据库，SAM）中的凭据登录到本地计算机。任何工作站或成员服务器均可以存储本地用户账户，但这些账户只能用于访问该本地计算机。

2. 网络身份认证

网络身份认证向用户尝试访问的任何网络服务确认用户的身份证明。为了提供这种类型的身份认证，安全系统支持多种不同的身份认证机制，包括Kerberos V5、安全套接字层/传输层安全性（SSL/TLS），以及为了与Windows NT 4.0兼容而提供的NTLM。

网络身份认证对于使用域账户的用户来说不可见。使用本地计算机账户的用户每次访问网络资源时，必须提供凭据（如用户名和密码），而使用域账户，则用户就具有了可用于单一登录的凭据。

5.1.2 主要的身份认证类型

5.2 Kerberos身份认证基础

Kerberos其实是希腊神话中看守地狱大门的三头猛犬的名字，这只猛犬除了比一般的狗多出两个头外，还有喷火与喷硫酸的特异功能。传说中，除非是像海格力士这样的超级肌肉男，否则一般寻常人绝非是Kerberos的对手。由于Kerberos象征着看门、守卫的意思，因此当初MIT（Massachusetts Institute of Technology，麻省理工学院）阿西娜小组便以此来命名他们所开发的认证协议。

Kerberos身份认证协议是10年前由MIT开发的。第一个公开发行的是Kerberos V4身份认证协议，在得到广泛的工业应用和重视后，又开发了Kerberos V5身份认证协议。

Kerberos可用来为网络上的各种服务器提供认证服务，使得口令不再是以明文方式在网络上传输，并

且连接之间的通信是加密的。但它与我们将在本书后面介绍的PKI认证原理不一样：PKI使用公钥机制（非对称加密机制），kerberos则基于私钥机制（对称加密机制）。Kerberos称为可信的第三方验证协议，这就意味着它运行在独立于任何客户机或服务器的服务器之上。

对称式加密机制的定义为加密与解密时使用的是相同的密钥（secret key）。显然，非对称加密机制中

加密与解密时使用的是不同的密钥。

对称加密机制中的密钥必须在事前透过其他的安全管道来交换。唯有在通信双方共享密钥的条件下，

才能进行对称式加密法的认证。例如，在一般的企业网络中，无论使用何种网络系统，网管人员势必需要

以网络以外的安全途经（直接告之或传小纸条等），来告知新使用者的账号和密码。之后，使用者才能使

用此账号和密码来登入网络进行认证。

5.2.1 Kerberos V5身份认证机制

Kerberos身份认证协议的当前版本是Kerberos V5。Kerberos V5是域内主要的安全身份认证协议。Kerberos V5协议可验证请求身份认证的用户标识（也就是对客户端身份进行认证），以及提供请求身份认证的服务器（也就是可选对服务器身份进行认证）。这种双重认证也就是通常所说的"相互身份认证"（在