Kerberos：網(wǎng)絡(luò)認(rèn)證協(xié)議

1、Kerberos ：網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos 這一名詞來源于希臘神話“三個(gè)頭的狗 地獄之門守護(hù)者”Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過密 鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。 該 認(rèn)證過程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無需基于主 機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定 網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。 在以上情況下， Kerberos 作為一種可信任的第三方認(rèn)證服 務(wù)，是通過傳統(tǒng)的密碼技術(shù)（如：共享密鑰）執(zhí)行認(rèn)證服務(wù) 的。認(rèn)證過程具體如下： 客戶機(jī)向認(rèn)證服務(wù)器 （AS ）發(fā)送請 求，要求得到某服務(wù)器的證書， 然后 A

2、S 的響應(yīng)包含這些用 客戶端密鑰加密的證書。證書的構(gòu)成為： 1） 服務(wù)器 “ ticket ； 2） 一個(gè)臨時(shí)加密密鑰（又稱為會話密鑰 “ session key ”。） 客戶機(jī)將 ticket （包括用服務(wù)器密鑰加密的客戶機(jī)身份和一 份會話密鑰的拷貝）傳送到服務(wù)器上。會話密鑰可以（現(xiàn)已 經(jīng)由客戶機(jī)和服務(wù)器共享）用來認(rèn)證客戶機(jī)或認(rèn)證服務(wù)器， 也可用來為通信雙方以后的通訊提供加密服務(wù)，或通過交換 獨(dú)立子會話密鑰為通信雙方提供進(jìn)一步的通信加密服務(wù)。上述認(rèn)證交換過程需要只讀方式訪問 Kerberos 數(shù)據(jù) 庫。但有時(shí)，數(shù)據(jù)庫中的記錄必須進(jìn)行修改，如添加新的規(guī) 則或改變規(guī)則密鑰時(shí)。修改過程通過客戶機(jī)和

3、第三方 Kerberos 服務(wù)器（ Kerberos 管理器 KADM ）間的協(xié)議完 成。有關(guān)管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維 護(hù)多份 Kerberos 數(shù)據(jù)庫的拷貝，這可以認(rèn)為是執(zhí)行過程中 的細(xì)節(jié)問題，并且會不斷改變以適應(yīng)各種不同數(shù)據(jù)庫技術(shù)。Kerberos 又指麻省理工學(xué)院為這個(gè)協(xié)議開發(fā)的一套計(jì) 算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。系統(tǒng)設(shè)計(jì)上采用客戶端 /服務(wù)器結(jié)構(gòu)與 DES 加密技術(shù)， 并且能夠進(jìn)行相互認(rèn)證， 即客戶端和服務(wù)器 端均可對對方進(jìn)行身份認(rèn)證。 可以用于防止竊聽、 防止 replay 攻擊、保護(hù)數(shù)據(jù)完整性等場合，是一種應(yīng)用對稱密鑰體制進(jìn) 行密鑰管理的系統(tǒng)。 Kerberos 的擴(kuò)展產(chǎn)

4、品也使用公開密鑰加 密方法進(jìn)行認(rèn)證。編輯本段協(xié)議結(jié)構(gòu)Kerberos 信息 * 客戶機(jī) / 服務(wù)器認(rèn)證交換信息方向 信息類型客戶機(jī)向 Kerberos KRB_AS_REQKerberos 向客戶機(jī) KRB_AS_REP 或 KRB_ERROR* 客戶機(jī) /服務(wù)器認(rèn)證交換信息方向 信息類型 客戶機(jī)向應(yīng)用服務(wù)器 KRB_AP_REQ可選項(xiàng) 應(yīng)用服務(wù)器向客戶機(jī) KRB_AP_REP 或KRB_ERRORR* 票證授予服務(wù)（ TGS ）交換信息方向 信息類型客戶機(jī)向 Kerberos KRB_TGS_REQKerberos 向客戶機(jī) KRB_TGS_REP 或 KRB_ERROR* KRB_SAFE

5、 交換* KRB_PRIV 交換* KRB_CRED 交換Kerberos 的是 MIT 為雅典娜 （Athena） 計(jì)劃開發(fā)的認(rèn)證 系統(tǒng)。Kerberos 的組成 Kerberos 應(yīng)用程序庫： 應(yīng)用程序接口， 包括創(chuàng)建和讀取認(rèn)證請求，以及創(chuàng)建 safe message 和 private message 的子程序。加密 /解密庫： DES 等。Kerberos 數(shù)據(jù)庫：記載了每個(gè) Kerberos 用戶的名字， 私有密鑰， 截止信息 （記錄的有效時(shí)間， 通常為幾年 ）等信息。數(shù)據(jù)庫管理程序：管理 Kerberos 數(shù)據(jù)庫KDBM 服務(wù)器 （數(shù)據(jù)庫管理服務(wù)器 ）：接受客戶端的請求 對數(shù)據(jù)庫進(jìn)

6、行操作。認(rèn)證服務(wù)器 （AS） ：存放一個(gè) Kerberos 數(shù)據(jù)庫的只讀的 副本，用來完成 principle 的認(rèn)證，并生成會話密鑰數(shù)據(jù)庫復(fù)制軟件： 管理數(shù)據(jù)庫從 KDBM 服務(wù)所在的機(jī)器， 到認(rèn)證服務(wù)器所在的機(jī)器的復(fù)制工作，為了保持?jǐn)?shù)據(jù)庫的一 致性，每隔一段時(shí)間就需要進(jìn)行復(fù)制工作用戶程序：登錄 Kerberos ，改變 Kerberos 密碼，顯示 和破壞 Kerberos 標(biāo)簽( ticket )等工作。Microsoft Windows Server 2003 操作系統(tǒng)上實(shí)現(xiàn)了 Kerberos5 身份驗(yàn)證協(xié)議。 Windows Server2003 總是使用 擴(kuò)展公鑰身份驗(yàn)證機(jī)制。

7、KerBeros 身份驗(yàn)證客戶端作為 SSP (Security Support Provider )通過訪問 SSPI ( Security Support Provider Interface )來實(shí)現(xiàn)身份驗(yàn)證。用戶身份驗(yàn) 證初始化過程被集成在 Winlogon 這 SSO( Single Sign-On ) 體系中。編輯本段 Kerberos 缺陷 1.失敗于單點(diǎn)： 它需要中心服務(wù) 器的持續(xù)響應(yīng)。當(dāng) Kerberos 服務(wù)結(jié)束前，沒有人可以連接 到服務(wù)器。這個(gè)缺陷可以通過使用復(fù)合 Kerberos 服務(wù)器和 缺陷認(rèn)證機(jī)制彌補(bǔ)。2. Kerberos 要求參與通信的主機(jī)的時(shí)鐘同步。 票據(jù)具有 一定有效期，因此，如果主機(jī)的時(shí)鐘與 Kerberos 服務(wù)器的 時(shí)鐘不同步，認(rèn)證會失敗。默認(rèn)設(shè)置要求時(shí)鐘的時(shí)間相差不 超過 10 分鐘。在實(shí)踐中，通常用網(wǎng)絡(luò)