文档介绍：Kerberos认证
1
身份认证协议—— Kerberos
MIT开发的一种身份鉴别服务。
“Kerberos”的本意是希腊神话中守护地狱之门的守护者。
Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。
其实现采用的是对称密钥加密技术
2
Kerberos 系统
AS:认证服务器AS(Authenticator Server)
TGS:票据许可服务器TGS(Ticket Granting Server)
Client:客户
Server:服务器
3
Server
Server
Server
Server
Kerberos
Database
Ticket Granting
Server
Authentication
Server
Workstation
Kerberos Key Distribution Service
4
记号
Kerberos的记号
C
客户
S
服务器
ADc
客户的网络地址
Lifetime
票据的生存期
TS
时间戳
Kx
x的秘密密钥
Kx,y
x与y的会话密钥
Kx[m]
以x的秘密密钥加密的m
Ticketx
x的票据
Authenticatorx
x的鉴别码
5
共享的密钥
TGS与S共享长期密钥Ks
AS与TGS共享长期密钥Ktgs
AS与C共享长期密钥Kc
会话密钥Kc,tgs, Kc,s
6
Kerberos凭证
票据(ticket) :Ticket用来安全的在认证服务器和用户请求的服务器之间传递用户的身份,同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成,在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。
鉴别码(authenticator):提供信息与Ticket中的信息进行比较,一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用,每当client向server申请服务时,必须重新生成Authenticator。
7
Kerberos中的票据
两种票据
服务许可票据(Service granting ticket)
是客户请求服务时需要提供的票据;
用 TicketS 表示访问应用服务器 S 的票据,TGS发放
TicketS 定义为 EKS [ IDC‖ADC‖IDS‖TS2‖LT4 ]。
票据许可票据(Ticket granting ticket)
客户访问 TGS 服务器需要提供的票据,目的是为了申请某一个应用服务器的“服务许可票据”;
票据许可票据由 AS 发放;
用 Tickettgs 表示访问 TGS 服务器的票据;
Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用;
Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT2 ]。
TS:时间戳
LT:生存时间
8
Kerberos V4认证过程示意图
9
Kerberos V4认证过程(1)
第一阶段,认证服务器的交互,用于获取票据许可票据:
(1) C → AS :IDC‖IDtgs‖TS1
(2) AS → C :EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ]
其中:Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2]
10