文档介绍：Kerberos身份认证方案
身份认证概述
Kerberos是IETF发布的一种身份认证标准协议(目前最新版本为V5)。它采用对称密钥方案,也可以说是后面出现的非对称密钥方案的基础。Kerberos协议应用非常广泛,特别是在Windows系统中(包括在Windows系统的内部网络登录中,目前也主要采用的是Kerberos协议)。所以总体来说,Kerberos认证协议主要是在系统层中得到广泛应用,不过像交换机、路由器这些设备目前也有较多应用。但是目前的国内图书市场上还没有见到全面、系统地介绍这种得到广泛应用的身份认证协议工作原理,以及协议体系结构。
笔者在IETF和Microsoft英文官方网站上进行搜集和翻译,然后整理、扩展了该协议比较全面的第一手专业资料,非常感谢IETF和Microsoft公司为我们提供了如此全面、深入的第一手专业技术资料。本章重点
* Kerberos V5身份认证机制。
* Kerberos V5身份认证的优点与缺点。
* Kerberos SSP体系架构。
* Kerberos物理结构。
* Kerberos V5身份认证的3个子协议。
* AS、TGS、CS交换。
* Kerberos交换消息。
* Kerberos的本地登录、域用户的工作站登录、单域身份认证和用户到用户的身份认证原理。* Kerberos V5身份认证的启用与策略配置。
身份认证概述
在正式介绍Kerberos身份认证协议之前,先来了解一下什么是身份认证。这个概念同样适用于本书后面介绍的其他身份认证技术。
身份认证是系统安全的一个基础方面,它用来确认尝试登录域或访问网络资源的任何用户的身份。Windows服务器系统身份认证针对所有网络资源启用“单点登录”(Single Sign-on,SSO)。采用单点登录后,
1
用户可以使用一个密码或智能卡一次登录到域,然后向域中的任何计算机验证身份。身份认证的重要功能就是它对单点登录的支持。
单点登录是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在一个网络中自由访问,不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。Kerberos V5身份认证协议提供一个在客户端跟服务器端之间,或者服务器与服务器之间的双向身份认证机制。
单点登录在安全性方面提供了两个主要优点。
* 对用户而言,单个密码或智能卡的使用减少了混乱,提高了工作效率。
* 对管理员而言,由于管理员只需要为每个用户管理一个账户,因此域用户所要求的管理支持减少了。
单点登录身份认证执行方式
包括单点登录在内的身份认证,分两个过程执行:交互式登录和网络身份认证。成功的用户身份认证取决于这两个过程。
1. 交互式登录
交互式登录过程向域账户或本地计算机确认用户的身份。这一过程根据用户账户的类型而不同。* 使用域账户