第7章 身份验证——Kerberos认证
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
Kerberos中的票据
两种票据
服务许可票据(Service granting ticket)
是客户请求服务时需要提供的票据; 用 TicketS 表示访问应用服务器 S 的票据,TGS发放 TicketS 定义为 EKS [ IDC‖ADC‖IDS‖TS2‖LT4 ].
票据许可票据(Ticket granting ticket)
2
Kerberos 系统
AS:认证服务器AS(Authenticator Server) TGS:票据许可服务器TGS(Ticket Granting Server Server) Client:客户 Server:服务器
3
Ticket Granting Server
Server Server Server Server
Kerberos认证 认证
刘 林 西安欧亚学院信息工程学院
1
身份认证协议 —— Kerberos
MIT开发的一种身份鉴别服务. "Kerberos"的本意是希腊神话中守护地狱 之门的守护者. Kerberos提供了一个集中式的认证服务器结 构,wenku.baidu.com证服务器的功能是实现用户与其访 问的服务器间的相互鉴别. 其实现采用的是对称密钥加密技术
5
共享的密钥
TGS与S共享Ks AS与TGS共享Ktgs AS与C共享Kc
6
Kerberos凭证
票据(ticket) :Ticket用来安全的在认证服务器和用 户请求的服务之间传递用户的身份,同时也传递附加 信息.用来保证使用ticket的用户必须是Ticket中指 定的用户.Ticket一旦生成,在生存时间指定的时间 内可以被client多次使用来申请同一个server的服务. 鉴别码(authenticator):提供信息与Ticket中的信 息进行比较,一起保证发出Ticket的用户就是Ticket 中指定的用户.Authenticator只能在一次服务请求中 使用,每当client向server申请服务时,必须重新生 成Authenticator.
客户访问 TGS 服务器需要提供的票据,目的是为了申请 某一个应用服务器的 "服务许可票据"; 票据许可票据由 AS 发放; 用 Tickettgs 表示访问 TGS 服务器的票据; Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用; Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT2 ].
10
Kerberos V4认证过程(2)
第二阶段,票据许可服务器的交互,用 于获取服务许可票据:
(3) C → TGS :IDS‖Tickettgs‖AUC (4) TGS → C :EKc,tgs [ KC,S‖IDS‖TS4‖TicketS ] 其中: Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] TicketS = EKS [ KC,S‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,tgs [ IDC‖ADC‖TS3]
Kerberos Database
Workstation
Authentication Server
Kerberos Key Distribution Service
4
记号
Kerberos的记号 C S ADc Lifetime TS Kx Kx,y Kx[m] Ticketx Authenticatorx 客户 服务器 客户的网络地址 票据的生存期 时间戳 x的秘密密钥 x与y的会话密钥 以x的秘密密钥加密的m x的票据 x的鉴别码
12
Kerberos 域(realm)
构成:一个完整的 Kerberos 环境包括一个 Kerberos 服务器,一组工作站和一组应用服务 器. Kerberos 服务器数据库中拥有所有参与用户的 UID 和口令散列表. Kerberos服务器必须与每一个服务器之间共享 一个保密密钥. 所有用户均在 Kerberos 服务器上注册. 所有服务器均在 Kerberos 服务器上注册. 领域的划分是根据网络的管理边界来划定的.
11
Kerberos V4认证过程(3)
第三阶段,客户与应用服务器的交互,用于获 得服务:
(5) C → S :TicketS‖AUC (6) S → C :EKc,S [ TS5 + 1] 其中: TicketS = EKS [ KC,S‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,S [ IDC‖ADC‖TS5]
8
Kerberos V4认证过程示意图
9
Kerberos V4认证过程(1)
第一阶段,认证服务器的交互,用于获取票据许可 票据:
(1) C → AS :IDC‖IDtgs‖TS1 (2) AS → C :EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ] 其中:Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2]
14
远程服务访问的认证过程
15
�
13
Kerberos 域间的互通
跨域的服务访问
一个用户可能需要访问另一个 Kerberos 领域中应 用服务器; 一个应用服务器也可以向其他领域中的客户提供网 络服务.
域间互通的前提
支持不同域之间进行用户身份鉴别的机制; 互通域中的 Kerberos 服务器之间必须共享一个密 钥; 同时两个 Kerberos 服务器也必须进行相互注册.