第三章 Kerberos身份认证协议.pptVIP

第三章 Kerberos身份认证协议 单钥体制密钥分配的基本方法 两个用户在使用单钥体制进行通信时，必须预先共享秘密密钥，并且应当时常更新，用户A和B共享密钥的方法主要有 A选取密钥并通过物理手段发送给B 第三方选取密钥并通过物理手段发送给A和B A,B事先已有一密钥，其中一方选取新密钥，用已有密钥加密新密钥发送给另一方 A和B分别与第三方C有一必威体育官网网址信道，C为A，B选取密钥，分别在两个必威体育官网网址信道上发送给A和B 这些方法的比较 如果有n个用户，需要两两拥有共享密钥，一共需要n(n-1)/2的密钥 采用第4种方法，只需要n个密钥 Kerberos的本质 是一个身份认证系统，鉴别用户的身份 是一个密钥分发系统，向用户分发服务器的密钥 是一个单点登录系统，允许用户输入一次口令访问很多台应用服务器 网络环境 Kerberos要解决的问题 在一个开放的网络环境中，提供服务的服务器必须能够识别请求服务的实体的身份。如果我去邮件服务器申请我的邮件，服务程序必须能够验证我就是我所申明的那个人 如果我要获得1000台服务器提供的服务，那么我要记住1000台服务器的口令，每访问一台服务器都要输一次口令，如果要修改口令，要修改一千次 解决方案 设置一台单独的认证服务器，通过认证后，可访问所有的应用服务器，认证服务器保存所有用户的口令和权限。 不光人有口令，服务器也有口令。每个用户知道他们自已的口令，每个服务器也知道它自已的口令。而认证服务器知道所有的口令，用户的和服务器的。 Kerberos基本思想 所有应用服务器和用户的口令都保存在认证服务器， 用户需要访问某一台应用服务器时，需要向认证服务器提出申请，应用服务器通过用户名和口令验证出用户的身份后，将用户欲访问的某台应用服务器的“口令”传递给他，用户就可以使用这个口令去访问应用服务器了 为什么引入票据 问题是，AS不能直接给你邮件服务器的口令，因为你会知道它。下次你想要邮件服务的时候，你就会绕过AS使用邮件服务而不需要认证。 所以不是直接给你邮件服务器的口令，AS给你一张邮件服务的“票”。这张票含有你的id、网络地址和邮件服务器的id ，并把它们是用邮件服务器的口令加密。拿到票，你不能解密而知道邮件服务器的口令 应用服务器验票的过程 但你可以把票传送给邮件服务器，用来证明你的身份。 邮件服务用它自己的口令来把票解密，如果票能被正确的解密，服务器将票里的用户id取出。服务器把这个id和随票一起送上的用户id进行比较。如果相符，服务器就认为你通过了验证，就把你的邮件发给你 Kerberos主要创新点 AS与服务器间共享密钥，形成票据，防止用户以后直接访问服务器绕过AS 双头（AS与TGS），实现单点登录 会话密钥：防止重放攻击，网络上的嗅探者获得票据之后重放也没有用 * * * * Web Server File server Email server . . . User 1 User 2 . . . Attacker