返回
kerberos协议详情详情及安全系统系统性分析报告材料

kerberos协议详情详情及安全系统系统性分析报告材料

ID:28698662

大小:44.00 KB

页数:4页

时间:2018-12-13

kerberos协议详情详情及安全系统系统性分析报告材料_第1页
kerberos协议详情详情及安全系统系统性分析报告材料_第2页
kerberos协议详情详情及安全系统系统性分析报告材料_第3页
kerberos协议详情详情及安全系统系统性分析报告材料_第4页
资源描述:

《kerberos协议详情详情及安全系统系统性分析报告材料》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用标准文案Kerberos协议及其安全性分析一、概况:Kerberos协议是20世纪80年代由MIT开发的一种协议。Kerberos主要是为TCP/IP网络设计的可信第三方鉴别协议,允许客户以一种安全的方式来访问网络资源。Kerberos的基础是NS协议。他与NS协议不同在于:kerberos认为所有的时钟已经同步好了。Kerberos基于对称密钥体质,通常采用的DES,但也可用其他算法替代。他与网络上的每个实体共享一个不用的密钥,是否知道共享密钥便是实体的身份证明。Kerberos的基本原理:在一个分布式的Client/Server体制机构中采用一个或多个kerbero

2、s服务器提供一个鉴别服务。客户端想请求应用服务器Server上的资源时,首先客户端向kerberos认证服务器请求一张身份证明,然后将身份证明交给Server进行验证,Server在验证通过后,即为客户端分配请求资源。二、票据:票据是kerberos中一个重要概念。票据是kerberos协议中用来记录信息、密钥等得数据结构,客户端用它向Server证明身份,包括了客户端身份标识、会话密钥、时间戮和其他信息。所有内容都是用Server密钥加密,因此只有认证服务器和合法验证者知道密钥,而客户端是不知道这个密钥的,故无法篡改票据内容。根据党情对认证服务器的请求和客户端获得票据的方

3、式,kerberos服务器自动设置标志:(1)初始化表示(2)认证前标志(3)非法标志(4)更新标志(5)延期标志(6)代理和代理标志(7)前趋标志三、域:域指一个kerberos服务器直接提供认证服务的有效范围。通常kerberos系统使用领域来控制一个由认证服务器进行认证的区域,每个认证服务器建立和维护自己的区域,并且支持跨域认证,即一个域中的客户端能够被另一个域的服务器认证。四、Kerberos的工作过程:精彩文档实用标准文案Kerberos协议分为两个部分:1.Client向KDC发送自己的身份信息,KDC从TicketGrantingService得到TGT(ti

4、cket-grantingticket),并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT。(此过程避免了Client直接向KDC发送密码,以求通过验证的不安全方式)2.Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。Kerberos协议的重点在于第二部分,简介如下:1.Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC,KDC中的TicketGrantingServic

5、e将为Client和Service之间生成一个Session精彩文档实用标准文案Key用于Service对Client的身份鉴别。然后KDC将这个SessionKey和用户名,用户地址(IP),服务名,有效期,时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service,不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service.所以有了第二步。2.此时KDC将刚才的Ticket转发给Client。由于这个Ticket是要给Service的,不能让Client看到,所以KD

6、C用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的SessionKey),KDC用Client与它之间的密钥将SessionKey加密随加密的Ticket一起返回给Client。3.为了完成Ticket的传递,Client将刚才收到的Ticket转发到Service.由于Client不知道KDC与Service之间的密钥,所以它无法算改Ticket中的信息。同时Client将收到的SessionKey解密出来,然后将自己的用户名,用户地址(IP)打包成Au

7、thenticator用SessionKey加密也发送给Service。4.Service收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来,从而获得SessionKey和用户名,用户地址(IP),服务名,有效期。然后再用SessionKey将Authenticator解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较从而验证Client的身份。5.如果Service有返回结果,将其返回给Client。四、Kerberos协议的安全性分析:Ke

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。