Kerberos：網(wǎng)絡(luò)認(rèn)證協(xié)議.doc

1、Kerberos ：網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos這一名詞來源于希臘神話“三個頭的狗地獄之門守護(hù)者”Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī)/ 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過程的實現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下，Kerberos作為一種可信任的第三方認(rèn)證服務(wù)，是通過傳統(tǒng)的密碼技術(shù)（如：共享密鑰）執(zhí)行認(rèn)證服務(wù)的。認(rèn)證過程具體如下：客戶機(jī)向認(rèn)證服務(wù)器（ AS ）發(fā)送請求，要求得到某服務(wù)器的證書，然后AS的響應(yīng)包含這些用客戶端密鑰加密的證

2、書。證書的構(gòu)成為：1) 服務(wù)器“ ticket ；”2) 一個臨時加密密鑰（又稱為會話密鑰“ session key”。）客戶機(jī)將ticket （包括用服務(wù)器密鑰加密的客戶機(jī)身份和一份會話密鑰的拷貝）傳送到服務(wù)器上。會話密鑰可以（現(xiàn)已經(jīng)由客戶機(jī)和服務(wù)器共享）用來認(rèn)證客戶機(jī)或認(rèn)證服務(wù)器，也可用來為通信雙方以后的通訊提供加密服務(wù)，或通過交換獨(dú)立子會話密鑰為通信雙方提供進(jìn)一步的通信加密服務(wù)。上述認(rèn)證交換過程需要只讀方式訪問Kerberos數(shù)據(jù)庫。但有時，數(shù)據(jù)庫中的記錄必須進(jìn)行修改，如添加新的規(guī)則或改變規(guī)則密鑰時。修改過程通過客戶機(jī)和第三方Kerberos服務(wù)器（ Kerberos管理器KADM ）間

3、的協(xié)議完成。有關(guān)管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維護(hù)多份Kerberos數(shù)據(jù)庫的拷貝，這可以認(rèn)為是執(zhí)行過程中的細(xì)節(jié)問題，并且會不斷改變以適應(yīng)各種不同數(shù)據(jù)庫技術(shù)。Kerberos又指麻省理工學(xué)院為這個協(xié)議開發(fā)的一套計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。系統(tǒng)設(shè)計上采用客戶端/服務(wù)器結(jié)構(gòu)與DES 加密技術(shù)， 并且能夠進(jìn)行相互認(rèn)證， 即客戶端和服務(wù)器端均可對對方進(jìn)行身份認(rèn)證。 可以用于防止竊聽、 防止 replay 攻擊、保護(hù)數(shù)據(jù)完整性等場合，是一種應(yīng)用對稱密鑰體制進(jìn)行密鑰管理的系統(tǒng)。 Kerberos 的擴(kuò)展產(chǎn)品也使用公開密鑰加密方法進(jìn)行認(rèn)證。編輯本段協(xié)議結(jié)構(gòu)Kerberos信息* 客戶機(jī) /服務(wù)器認(rèn)證交換

4、信息方向信息類型客戶機(jī)向Kerberos KRB_AS_REQKerberos向客戶機(jī)KRB_AS_REP或 KRB_ERROR* 客戶機(jī) /服務(wù)器認(rèn)證交換信息方向 信息類型客戶機(jī)向應(yīng)用服務(wù)器KRB_AP_REQ可選項 應(yīng)用服務(wù)器向客戶機(jī)KRB_AP_REP或KRB_ERRORR* 票證授予服務(wù)（TGS ）交換信息方向信息類型客戶機(jī)向Kerberos KRB_TGS_REQKerberos向客戶機(jī)KRB_TGS_REP或 KRB_ERROR* KRB_SAFE 交換* KRB_PRIV 交換* KRB_CRED 交換Kerberos的是 MIT 為雅典娜 (Athena) 計劃開發(fā)的認(rèn)證系統(tǒng)。

5、Kerberos 的組成 Kerberos 應(yīng)用程序庫：應(yīng)用程序接口，包括創(chuàng)建和讀取認(rèn)證請求，以及創(chuàng)建 safe message 和private message的子程序。加密 /解密庫： DES 等。Kerberos 數(shù)據(jù)庫：記載了每個 Kerberos 用戶的名字，私有密鑰，截止信息 (記錄的有效時間， 通常為幾年 ) 等信息。數(shù)據(jù)庫管理程序：管理Kerberos數(shù)據(jù)庫KDBM 服務(wù)器 (數(shù)據(jù)庫管理服務(wù)器)：接受客戶端的請求對數(shù)據(jù)庫進(jìn)行操作。認(rèn)證服務(wù)器 (AS) ：存放一個Kerberos數(shù)據(jù)庫的只讀的副本，用來完成principle 的認(rèn)證，并生成會話密鑰數(shù)據(jù)庫復(fù)制軟件： 管理數(shù)據(jù)庫從K

6、DBM 服務(wù)所在的機(jī)器，到認(rèn)證服務(wù)器所在的機(jī)器的復(fù)制工作，為了保持?jǐn)?shù)據(jù)庫的一致性，每隔一段時間就需要進(jìn)行復(fù)制工作用戶程序：登錄Kerberos ，改變 Kerberos密碼，顯示和破壞 Kerberos標(biāo)簽（ ticket ）等工作。Microsoft Windows Server 2003操作系統(tǒng)上實現(xiàn)了Kerberos5身份驗證協(xié)議。WindowsServer2003總是使用擴(kuò)展公鑰身份驗證機(jī)制。 KerBeros 身份驗證客戶端作為SSP（ Security Support Provider ）通過訪問 SSPI （ Security Support Provider Interface ）來實現(xiàn)身份驗證。用戶身份驗證初始化過程被集成在 Winlogon 這 SSO（ Single Sign-On ）體系中。編輯本段 Kerberos 缺陷 1. 失敗于單點：它需要中心服務(wù)器的持續(xù)響應(yīng)。當(dāng) Kerberos 服務(wù)結(jié)束前，沒有人可以連接到服務(wù)器。這個缺陷可以通過使用復(fù)合 Kerberos 服務(wù)器和缺陷認(rèn)證機(jī)制彌補(bǔ)。2.Kerberos要求參與通信的主機(jī)的時鐘同步。票據(jù)具有一定有效期，因此，如果主機(jī)的時鐘與Kerberos服務(wù)器的時鐘不同步，認(rèn)證會失敗。默認(rèn)設(shè)置要求時鐘的時間相差不超過 10 分鐘。在實踐中，通常用網(wǎng)絡(luò)時