source: http://www.cnitpm.com/pm1/40088.html
信息安全技術知識:Kerberos協議的工作過程
Kerberos協議的工作過程
·Kerberos基本思想
採用對稱密鑰體制對信息進行加密,能正確對信息進行解密的用戶就是合法用戶。用戶在對應用服務器進行訪問之前,必須先從第三方(Kerberos 服務器)獲取該應用服務器的訪問許可證(ticket)。
·認證服務器AS(Authentication Server)
·許可證頒發服務器TGS(Ticket Granting Server
![]()
圖7.3 Kerberos的認證過程
①用戶想要獲取訪問某一應用服務器的許可證時,先以明文方式向認證服務器AS發出請求,要求獲得訪問TGS的許可證。
②AS以證書(credential)作爲響應,證書包括訪問TGS的許可證和用戶與TGS間的會話密鑰。會話密鑰以用戶的密鑰加密後傳輸。
③用戶解密得到TGS的響應,然後利用TGS的許可證向TGS申請應用服務器的許可證,該申請包括TGS的許可證和一個帶有時間戳的認證符(authenticator)。認證符以用戶與TGS間的會話密鑰加密。
④TGS從許可證中取出會話密鑰、解密認證符,驗證認證符中時間戳的有效性,從而確定用戶的請求是否合法。TGS確認用戶的合法性後,生成所要求的應用服務器的許可證,許可證中含有新產生的用戶與應用服務器之間的會話密鑰。TGS將應用服務器的許可證和會話密鑰傳回到用戶。
⑤用戶嚮應用服務器提交應用服務器的許可證和用戶新產生的帶時間戳的認證符(認證符以用戶與應用服務器之間的會話密鑰加密)。
⑥應用服務器從許可證中取出會話密鑰、解密認證符,取出時間戳並檢驗有效性。然後向用戶返回一個帶時間戳的認證符,該認證符以用戶與應用服務器之間的會話密鑰進行加密。據此,用戶可以驗證應用服務器的合法性。
Kerberos的主要優點:
通過對實體和服務的統一管理實現單一註冊,也就是說用戶通過在網絡中的一個地方的一次登錄就可以使用網絡上他可以獲得的所有資源。
Kerberos存在的問題:
①Kerberos服務器的損壞將使得整個安全系統無法工作;
②AS在傳輸用戶與TGS間的會話密鑰時是以用戶密鑰加密的,而用戶密鑰是由用戶口令生成的,因此可能受到口令猜測的攻擊;
③Kerberos使用了時間戳,因此存在時間同步問題;
④要將Kerberos用於某一應用系統,則該系統的客戶端和服務器端軟件都要作一定的修改。
·Kerberos基本思想
採用對稱密鑰體制對信息進行加密,能正確對信息進行解密的用戶就是合法用戶。用戶在對應用服務器進行訪問之前,必須先從第三方(Kerberos 服務器)獲取該應用服務器的訪問許可證(ticket)。
·認證服務器AS(Authentication Server)
·許可證頒發服務器TGS(Ticket Granting Server
圖7.3 Kerberos的認證過程
①用戶想要獲取訪問某一應用服務器的許可證時,先以明文方式向認證服務器AS發出請求,要求獲得訪問TGS的許可證。
②AS以證書(credential)作爲響應,證書包括訪問TGS的許可證和用戶與TGS間的會話密鑰。會話密鑰以用戶的密鑰加密後傳輸。
③用戶解密得到TGS的響應,然後利用TGS的許可證向TGS申請應用服務器的許可證,該申請包括TGS的許可證和一個帶有時間戳的認證符(authenticator)。認證符以用戶與TGS間的會話密鑰加密。
④TGS從許可證中取出會話密鑰、解密認證符,驗證認證符中時間戳的有效性,從而確定用戶的請求是否合法。TGS確認用戶的合法性後,生成所要求的應用服務器的許可證,許可證中含有新產生的用戶與應用服務器之間的會話密鑰。TGS將應用服務器的許可證和會話密鑰傳回到用戶。
⑤用戶嚮應用服務器提交應用服務器的許可證和用戶新產生的帶時間戳的認證符(認證符以用戶與應用服務器之間的會話密鑰加密)。
⑥應用服務器從許可證中取出會話密鑰、解密認證符,取出時間戳並檢驗有效性。然後向用戶返回一個帶時間戳的認證符,該認證符以用戶與應用服務器之間的會話密鑰進行加密。據此,用戶可以驗證應用服務器的合法性。
Kerberos的主要優點:
通過對實體和服務的統一管理實現單一註冊,也就是說用戶通過在網絡中的一個地方的一次登錄就可以使用網絡上他可以獲得的所有資源。
Kerberos存在的問題:
①Kerberos服務器的損壞將使得整個安全系統無法工作;
②AS在傳輸用戶與TGS間的會話密鑰時是以用戶密鑰加密的,而用戶密鑰是由用戶口令生成的,因此可能受到口令猜測的攻擊;
③Kerberos使用了時間戳,因此存在時間同步問題;
④要將Kerberos用於某一應用系統,則該系統的客戶端和服務器端軟件都要作一定的修改。