數(shù)字身份認證技術(shù)第五章_第1頁
數(shù)字身份認證技術(shù)第五章_第2頁
數(shù)字身份認證技術(shù)第五章_第3頁
數(shù)字身份認證技術(shù)第五章_第4頁
數(shù)字身份認證技術(shù)第五章_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、第五章 Kerberos認證KerberosKerberos數(shù)字認證數(shù)字認證學(xué)習(xí)目標: 學(xué)會分析Kerberos身份認證技術(shù)特點、用途 學(xué)會分析Kerberos認證技術(shù)的工作原理 熟練操作Kerberos中主要配置文件KDC的配置步驟 學(xué)會分析Kerberos的缺陷以及改進技術(shù)KerberosKerberos數(shù)字認證數(shù)字認證5.1 基本概念與術(shù)語5.1.1 Kerberos產(chǎn)生背景Kerberos是20世紀80年代美國麻首理工學(xué)院(MIT)設(shè)計的一種基于對稱算法密碼體制的一種為網(wǎng)絡(luò)通信提供可信第三方服務(wù)的面向開放系統(tǒng)的認證機制. Kerberos這一名詞來源于希臘神話“三個頭的狗地獄之門守護者

2、”。MIT 之所以將其認證協(xié)議命名為Kerberos,是因為他們計劃通過認證、清算和審計三個方面來建立完善的完全認證機制。KerberosKerberos數(shù)字認證數(shù)字認證Kerberos的設(shè)計針對以下幾個方面: 安全性:網(wǎng)絡(luò)中的竊聽者不能獲得必要的信息來假冒網(wǎng)絡(luò)的用戶。 可靠性:kerberos應(yīng)該具有高度的可靠性,并采用一個系統(tǒng)支持另一個系統(tǒng)的分布式服務(wù)結(jié)構(gòu)。 透明性:用戶除了被要求輸入密碼外,不會覺察出認證的進行過程。 可擴展性:系統(tǒng)應(yīng)能夠支持更多的用戶和服務(wù)器,具有較好的伸縮性。KerberosKerberos數(shù)字認證數(shù)字認證Kerberos的設(shè)計目的主要包括三類: 認證 授權(quán) 記賬Ke

3、rberosKerberos數(shù)字認證數(shù)字認證5.1.2 Kerberos 專有術(shù)語KerberosKerberos數(shù)字認證數(shù)字認證KerberosKerberos數(shù)字認證數(shù)字認證5.1.3 Kerberos應(yīng)用環(huán)境與組成結(jié)構(gòu)Kerberos 協(xié)議中共涉及到三個服務(wù)器: 認證服務(wù)器(AS) 票據(jù)授予服務(wù)器(TGS) 應(yīng)用服務(wù)器。KerberosKerberos數(shù)字認證數(shù)字認證 5.2 Kerberos工作原理5.2.1 Kerberos認證服務(wù)請求和響應(yīng)這一部分所涉及的協(xié)議包內(nèi)容:CAS:IDCIDTGSTS1,客戶端向認證服務(wù)器請求授權(quán)服務(wù)器訪問的憑證票據(jù)TicketTGS,其中的TS1和下面

4、出現(xiàn)的TS2、TS3等表示對應(yīng)的票據(jù)的有效期限。ASC:EKC(KC,TGSIDTGSTS2LIFETIME2TicketTGS),其中TickerTGS=ETGS(KC,TGSIDCADCIDTGSTS2LIFETIME2)KerberosKerberos數(shù)字認證數(shù)字認證5.2.2 應(yīng)用服務(wù)請求和響應(yīng)這一部分所涉及的協(xié)議包內(nèi)容:CTGS:IDVTicketTGSAuthenticatorC,其中AuthenticatorC =EKC, TGS(IDCADCTS3)TGSC:EKC,TGS(KC,VIDVTS4ticketV),其中:ticketV =EKV(KC,V) IDCADCIDVTS

5、4LIFETIME4KerberosKerberos數(shù)字認證數(shù)字認證5.2.3 Kerberos最終服務(wù)請求與響應(yīng)這一部分所涉及的協(xié)議包內(nèi)容:CV:TicketVAuthenticatorV,其中AuthenticatorV=EKC,V(IDCADCTS5)VC:EKC,V(TS5+1)KerberosKerberos數(shù)字認證數(shù)字認證 Kerberos完整認證過程KerberosKerberos數(shù)字認證數(shù)字認證 5.3 Kerberos安裝與配置 主要包含以下幾個步驟: 1編輯配置文件krb5.conf,kdc.conf。 2創(chuàng)建數(shù)據(jù)庫 3將管理員加入ACL文件 4將管理員加入Kerberos

6、數(shù)據(jù)庫 5啟動Kerberos守護程序KerberosKerberos數(shù)字認證數(shù)字認證 5.4 Kerberos局限與改進技術(shù)5.4.1 Kerberos局限性1單點連接,服務(wù)效率下降2受中心服務(wù)器影響3口令猜測攻擊問題4時鐘同步攻擊問題5密鑰存儲問題6KDC安全問題7惡意軟件攻擊問題KerberosKerberos數(shù)字認證數(shù)字認證5.4.2 改進的Kerberos協(xié)議1.對稱密鑰與不對稱密鑰的結(jié)合使用2針對口令猜測攻擊,取消認證過程中的相應(yīng)口令,改由ECC進行認證。3 3針對重放攻擊,在針對重放攻擊,在KerberosKerberos中引入序列號循環(huán)機制。中引入序列號循環(huán)機制。4使用密鑰長度1024bits以上的RSA算法在當前是安全的5使用用戶公鑰加密而不是用原有口令生成的密鑰加密,避免了猜測口令攻擊;6由于在身份認證的各個環(huán)節(jié)中采用隨機數(shù).攻擊者無法冒充,該協(xié)議可承受重放攻擊(r

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論