Kerberos协议简介 - 中国科学院高能物理研究所

《Kerberos协议简介 - 中国科学院高能物理研究所》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、IntroductionofKerberosWhatisKerberos?Kerberosisanetworkauthenticationprotocol.Itisdesignedtoprovidestrongauthenticationforclient/serverapplicationsbyusingsecret-keycryptography.WhyneedsKerberos?TheInternetisaninsecureplace.ManyInternetprotocols~nosecurity.malicioushackers~"sniff"pa

2、sswordsApplicationSendingunencryptedpasswords~extremelyvulnerable.Client/server~theclientprogramtobe"honest"Client/server~theclienttorestrictitsactivitiestothosewhichitisallowedtodoFirewall~securityproblems?Averybadassumptionthat"thebadguys"areontheoutside~Mostofthereallydamagingin

3、cidentsofcomputercrimearecarriedoutbyinsiders.Asignificantdisadvantage~RestricthowyouruserscanusetheInternet.Inmanyplaces,theserestrictionsaresimplyunrealisticandunacceptable.Who~Kerberos?1988,MIT,asasolutiontothesenetworksecurityproblems.TheKerberosprotocolusesstrongcryptographyso

4、thataclientcanproveitsidentitytoaserver(andviceversa)acrossaninsecurenetworkconnection.Afterthis,theycanalsoencryptalloftheircommunicationstoassureprivacyanddataintegrityastheygoabouttheirbusiness.TheWholeAuthentication？SimplifiedPrincipleTwoConceptsLong-termKey/MasterKey：使用原则：被Lon

5、g-termKey加密的数据不应该在网络上传输。但是密码却又是证明身份的凭据，所以必须通过基于你密码的派生的信息来证明用户的真实身份，在这种情况下，一般将你的密码进行Hash运算得到一个Hashcode,这叫做MasterKey。由于HashAlgorithm是不可逆的，同时保证密码和MasterKey是一一对应的，这样既保证了你密码的保密性，又同时保证你的MasterKey和密码本身在证明你身份的时候具有相同的效力。Short-termKey/SessionKey：WhereKey？Short-termKeySessionKey（SServer-Clie

6、nt）KerberosDistributionCenter(KDC)所有帐户的AccountDatabase~MasterKeyKDCSServer-ClientSessionTicket↑~Authenticator只要通过一个双方知晓的Key就可以对对方进行有效的认证，但是在一个网络的环境中，这种简单的做法是具有安全漏洞，为此,Client需要提供更多的证明信息，我们把这种证明信息称为AuthenticatorAuthenticator=ClientInfo+TimestampSessionTicket=被Server的MasterKey加密过的(Cl

7、ientInfo+SessionKey)SomeAdvantagesWhyTimestamp？MutualAuthentication(双向认证)AuthenticationHowKey?Kerberos实际上一个基于Ticket的认证方式超强的防伪标识：它是被Server的MasterKey加密的而该Ticket应由合法的Ticket颁发机构获得Client和Server双方信任的KDCTGTTGT：TicketGrantingTicket前面从大体上说明了KDC向Client分发Ticket的过程，而在Kerberos中真正的TicketDistrib

8、ution要复杂一些。Client在从KDC那边获得