网络层kerberos身份认证方案

网络层kerberos身份认证方案

ID:21414148

大小:49.50 KB

页数:4页

时间:2018-10-21

网络层kerberos身份认证方案 _第1页
网络层kerberos身份认证方案 _第2页
网络层kerberos身份认证方案 _第3页
网络层kerberos身份认证方案 _第4页
资源描述:

《网络层kerberos身份认证方案 》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络层Kerberos身份认证方案周振波吉林化工学院信息中心吉林吉林132022【文章】Kerberos是IETF发布的一种身份认证标准协议,目前最新的版本是V5。它采用对称密钥方案,该协议应用非常广泛,特别是在soNormal>【关键词】身份认证机制;物理结构;交换消息;身份认证的启用和策略配置身份认证是系统安全的一个基础方面,它用来确认尝试登录域或访问X络资源的任何用户的身份。Kerberos可用来为X络上的各种服务器提供认证服务,使得口令不再是以明文方式在X络上传输,并且连接之间的通信时加密的。Kerberos是对

2、称加密机制,它运行在独立于任何客户机或服务器的服务器之上。对称式加密机制的定义为加密与解密时使用的是相同secretkey,非对称加密机制中加密与解密时使用的是不同的secretkey。对称加密机制中的密钥必须在事前透过其他的安全管道来交换,唯有在通信双方共享密钥的条件下,才能进行对称式密钥的认证。无论使用何种X络系统,X管人员需要以X络以外的安全途径告知新使用者的账号和密码,使用者才能使用此账号和密码来登入X络进行认证。Kerberos身份认证机制主要体现在其用于访问X络服务的票证,其中包含认证符,经过加密的数据,同时

3、包括加密的密码。除了输入密码或智能卡凭据外,整个身份认证过程对用户都是不可见的。Kerberos中一项重要服务是密钥分布中心,它是作为通信双方信任的第三方,身份认证的任务就是由它负责的。Kerberos中主要有两类密钥,即长期密钥和短期密钥。长期密钥通常是指密码,一般来说不会经常更改密码;短期密钥一般是指具体会话过程中使用的会话密码。长期密钥可能长期内保持不变,其使用是有原则的,那就是被长期密钥加密的数据不应该在X络上传输,原因很简单,一旦这些被长期密钥加密的数据包被恶意的X络监听者截获,则黑客就可能通过计算获得你用于加

4、密的长期密钥,因为任何加密算法都不可能做到绝对保密。另一种短效密钥来加密需要进行X络传输的数据,由于这种密钥只在一段时间内有效,即使加密的数据包被黑客截获,等他把Key计算出来的时候,这个Key早就已经过期了,相对来说安全很多。票证是Kerberos身份认证的主要组成部分,Kerberos消息用来请求和释放票证。在其身份认证中包括两种类型的票证,票证许可票证TGT和服务器票证ST。TGT是指密钥分发中心KDC在接收到请求后提供身份认证服务,验证请求者是否有资格获取票证。ST是指KDC在接收到请求后提供票证许可服务,验证请

5、求者是否有访问对应服务或服务器的资格。票证请求内容包括以下两个即请求属性,如票据证是否可更新的和请求加密和方法。KDC仅简单提供票证许可服务,但它不保证信息准确到达目标地址。即使KDC消息进行了错误的质询,也没有任何影响,仅知道客户端密钥的人才能可以解密客户端会话密钥副本,知道服务器密钥的人可以读取票证中的信息。服务器并不存储与客户端通信的会话密钥,会话密钥是由客户端在其凭证缓存中为服务器管理的,而且在每次需要访问服务器时,都是以会话密钥向服务器提供票证,当服务器接收到来自客户端的服务票证时,服务器可以使用KDC与服务器

6、共享的密钥来解密票证,取出会话密钥,当服务器不再需要会话密钥时,则可以丢弃它。客户端不需要在每次访问同一个服务器时返回去向KDC索要票证,因为服务票证可以重复使用。为了预防有人非法复制票证,KDC会在票证的数据结构中为服务票证设定有效期限。票证的有效期是多长,要视领域中的策略设置而定,尽管RFC建议最大的票证有效期为一天,但在有些系统的Kerberos协议功能中,默认的最长票证时间是十个小时,满足了最普通的单次登录时间长度,因为当用户注销登录后,凭证缓存中就会自动清除所有与之有关的票证,包括会话密钥。客户端/服务器身份认

7、证交换包括应用服务器请求和应用服务器响应两条消息。在客户端已经请示并且从AS中接收到了TGT,请求并从TGS中接收到了服务器票证后,客户端准备发送这个服务票证给目标服务器,如果目标服务器需要用户到用户身份认证,则原来的服务票证连同目标服务器的TGT一起被拒收,客户端将发送新的一条客户端和目标服务器共享的会话密钥加密的认证符(KRB_AP_REQ)消息来包含目标服务器的TGT,并请求一个新的服务票证,并用包括目标服务器的TGT的会话密钥加密,替代原来用来加密的目标服务器的保密密钥。应用服务器响应这条消息是可选的,仅在需要进

8、行相互身份认证时发送,如果被请求了,则目标服务器将从认证符中取出客户端计算机时间戳,并用TGS为客户端和目标服务器消息中提供的会话密钥进行加密,然后发送到客户端。大多数soNormal>发送相互身份认证消息的目的就是为了使客户端验证服务器身份。相互身份认证过程如下:服务器通过KRB_AP_REQ消息接收服务票证和认证

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。