数字身份认证技术第五章

1、第五章 Kerberos认证KerberosKerberos数字认证数字认证学习目标： 学会分析Kerberos身份认证技术特点、用途 学会分析Kerberos认证技术的工作原理 熟练操作Kerberos中主要配置文件KDC的配置步骤 学会分析Kerberos的缺陷以及改进技术KerberosKerberos数字认证数字认证5.1 基本概念与术语5.1.1 Kerberos产生背景Kerberos是20世纪80年代美国麻首理工学院（MIT）设计的一种基于对称算法密码体制的一种为网络通信提供可信第三方服务的面向开放系统的认证机制. Kerberos这一名词来源于希腊神话“三个头的狗地狱之门守护者

2、”。MIT 之所以将其认证协议命名为Kerberos，是因为他们计划通过认证、清算和审计三个方面来建立完善的完全认证机制。KerberosKerberos数字认证数字认证Kerberos的设计针对以下几个方面： 安全性：网络中的窃听者不能获得必要的信息来假冒网络的用户。 可靠性：kerberos应该具有高度的可靠性，并采用一个系统支持另一个系统的分布式服务结构。 透明性：用户除了被要求输入密码外，不会觉察出认证的进行过程。 可扩展性：系统应能够支持更多的用户和服务器，具有较好的伸缩性。KerberosKerberos数字认证数字认证Kerberos的设计目的主要包括三类： 认证 授权 记账Ke

3、rberosKerberos数字认证数字认证5.1.2 Kerberos 专有术语KerberosKerberos数字认证数字认证KerberosKerberos数字认证数字认证5.1.3 Kerberos应用环境与组成结构Kerberos 协议中共涉及到三个服务器： 认证服务器（AS） 票据授予服务器（TGS） 应用服务器。KerberosKerberos数字认证数字认证 5.2 Kerberos工作原理5.2.1 Kerberos认证服务请求和响应这一部分所涉及的协议包内容：CAS:IDCIDTGSTS1，客户端向认证服务器请求授权服务器访问的凭证票据TicketTGS，其中的TS1和下面

4、出现的TS2、TS3等表示对应的票据的有效期限。ASC:EKC(KC,TGSIDTGSTS2LIFETIME2TicketTGS)，其中TickerTGS=ETGS(KC,TGSIDCADCIDTGSTS2LIFETIME2)KerberosKerberos数字认证数字认证5.2.2 应用服务请求和响应这一部分所涉及的协议包内容：CTGS:IDVTicketTGSAuthenticatorC，其中AuthenticatorC =EKC, TGS(IDCADCTS3)TGSC：EKC,TGS(KC,VIDVTS4ticketV)，其中：ticketV =EKV(KC,V) IDCADCIDVTS

5、4LIFETIME4KerberosKerberos数字认证数字认证5.2.3 Kerberos最终服务请求与响应这一部分所涉及的协议包内容：CV:TicketVAuthenticatorV，其中AuthenticatorV=EKC,V(IDCADCTS5)VC:EKC,V(TS5+1)KerberosKerberos数字认证数字认证 Kerberos完整认证过程KerberosKerberos数字认证数字认证 5.3 Kerberos安装与配置 主要包含以下几个步骤： 1编辑配置文件krb5.conf,kdc.conf。 2创建数据库 3将管理员加入ACL文件 4将管理员加入Kerberos

6、数据库 5启动Kerberos守护程序KerberosKerberos数字认证数字认证 5.4 Kerberos局限与改进技术5.4.1 Kerberos局限性1单点连接，服务效率下降2受中心服务器影响3口令猜测攻击问题4时钟同步攻击问题5密钥存储问题6KDC安全问题7恶意软件攻击问题KerberosKerberos数字认证数字认证5.4.2 改进的Kerberos协议1.对称密钥与不对称密钥的结合使用2针对口令猜测攻击，取消认证过程中的相应口令，改由ECC进行认证。3 3针对重放攻击，在针对重放攻击，在KerberosKerberos中引入序列号循环机制。中引入序列号循环机制。4使用密钥长度1024bits以上的RSA算法在当前是安全的5使用用户公钥加密而不是用原有口令生成的密钥加密，避免了猜测口令攻击;6由于在身份认证的各个环节中采用随机数.攻击者无法冒充，该协议可承受重放攻击（r