文档介绍:该【《数字身份认证技术》第五章Kerberos认证 】是由【胜利的喜悦】上传分享,文档一共【16】页,该文档可以免费在线阅读,需要了解更多关于【《数字身份认证技术》第五章Kerberos认证 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。第五章
Kerberos认证
Kerberos数字认证
学习目标:
•学会分析Kerberos身份认证技术特点、用途
•学会分析Kerberos认证技术的工作原理
•熟练操作Kerberos中主要配置文件KDC的配置步骤
•学会分析Kerberos的缺陷以及改进技术
Kerberos数字认证
基本概念与术语
Kerberos产生背景
Kerberos是20世纪80年代美国麻首理工学院(MIT)设计的
一种基于对称算法密码体制的一种为网络通信提供可信第三
方服务的面向开放系统的认证机制. Kerberos这一名词来源
于希腊神话“三个头的狗——地狱之门守护者”。MIT 之所
以将其认证协议命名为Kerberos,是因为他们计划通过认证、
清算和审计三个方面来建立完善的完全认证机制。
Kerberos数字认证
Kerberos的设计针对以下几个方面:
①安全性:网络中的窃听者不能获得必要的信息来假冒网
络的用户。
②可靠性:kerberos应该具有高度的可靠性,并采用一个
系统支持另一个系统的分布式服务结构。
③透明性:用户除了被要求输入密码外,不会觉察出认证
的进行过程。
④可扩展性:系统应能够支持更多的用户和服务器,具有
较好的伸缩性。
Kerberos数字认证
Kerberos的设计目的主要包括三类:
•认证
•授权
•记账
Kerberos数字认证
Kerberos 专有术语
Kerberos数字认证
Kerberos是20世纪80年代美国麻首理工学院(MIT)设计的
Kerberos数字认证
系统支持另一个系统的分布式服务结构。
清算和审计三个方面来建立完善的完全认证机制。
⑤C→V:TicketV‖AuthenticatorV,其中
③C→TGS:IDV‖TicketTGS‖AuthenticatorC,其中AuthenticatorC
的凭证票据TicketTGS,其中的TS1和下面出现的TS2、TS3等表示对应
2 Kerberos工作原理
Kerberos数字认证
Kerberos数字认证
系统支持另一个系统的分布式服务结构。
,避免了
.
Kerberos协议中共涉及到三个服务器:
Kerberos数字认证
Kerberos应用环境与组成结构
Kerberos协议中共涉及到三个服务器:
认证服务器(AS)
票据授予服务器(TGS)
应用服务器。
Kerberos数字认证
• Kerberos工作原理
•
Kerberos认证服务请求和响应
这一部分所涉及的协议包内容:
①C→AS:IDC‖IDTGS‖TS1,客户端向认证服务器请求授权服务器访问
的凭证票据TicketTGS,其中的TS1和下面出现的TS2、TS3等表示对应
的票据的有效期限。
②ASC:EKC(KC,TGS‖IDTGS‖TS2‖LIFETIME2‖TicketTGS),其中
TickerTGS=ETGS(KC,TGS‖IDC‖ADC‖IDTGS‖TS2‖LIFETIME2)
•
•
•
Kerberos数字认证
•
应用服务请求和响应
这一部分所涉及的协议包内容:
③C→TGS:IDV‖TicketTGS‖AuthenticatorC,其中AuthenticatorC
=EKC, TGS(IDC‖ADC‖TS3)
④TGS→C:EKC,TGS(KC,V‖IDV‖TS4‖ticketV),其中:ticketV
=EKV(KC,V) ‖IDC‖ADC‖IDV‖TS4‖LIFETIME4
•
•
•