概念
基于第三方验证的鉴别协议
产生原因
- 用户进入不同系统都必须输入登录密码进行验证
- 服务器对此还要存储和维护用户登录密码,增加系统管理负担
认证机制
单点登录:用户只需在网络中进行一次身份认证,便可访问其授权的所有网络应用,无需一一认证,即把分散的用户认证信息集中化管理。
产生过程
由麻省理工学院Athena计划的一部分,基于对称密码算法的网络认证协议,利用集中式认证取代分散认证,减轻应用服务器负担
角色
客户端:请求服务
应用服务器:提供服务
认证服务器:验证用户身份
票据准许服务器:验证用户票据许可证
票据
票据许可证:服务许可票据
服务许可证:可访问服务器票据
工作过程
- 第一步: 认证服务交换,用户向服务器证明自己的身份,获得票据许可证票据
- 第二步:票据许可证服务交换,用户向票据许可证服务器TGS索取访问向服务器的服务许可票据
- 第三步:用户与服务器交换,使用所需服务
Kerberos缺陷
- 依赖性: 加密系统依赖DES,ip依赖和时间依赖(严格的时间同步)
- 字节顺序:没有遵循标准
- 票据有效期:最小为5分钟 最大为21小时 不能满足要求
- 认证转发能力:不允许签发给一个用户鉴别证书转发给其他工作站或其他客户使用
- 领域间的鉴别:管理起来困难
- 加密操作缺陷:非标准形式的DES加密(传播面膜分组链接PCBC),易受攻击
- 会话密钥 存在攻击者重放会话报文的可能
- 口令攻击:未对口令进行额外的保护,攻击者有机会进行口令攻击
- 通信双方无条件信任KDC: 一旦kdc收到攻击,代价惨重
改进
- 加密系统:支持任何加密技术
- 通信协议:ip协议外,还提供其他协议的支持
- 报文字节顺序:采用(ASN.1)和基本编码规则(BER)来进行规范
- 票据有效期:允许任意大小的有效期,有效期定义为一个开始时间和一个结束时间
- 鉴别转发能力:更有效的方法来解决领域间的认证问题
- 口令攻击:提供预鉴别机制,使口令攻击更加困难
Kerberos领域
- 构成:一个Kerberos服务器+一组工作站和一组应用服务器
- Kerberos服务器:拥有所有参与用户的uid和口令散列表,且必须与每一个服务器之间共享一个保密密钥
- 所有用户、服务器均在Kerberos服务器上注册
- 领域的划分是根据网络的管理来划定的
Kerberos领域间的互通
概念:即一个用户或服务器可以访问另一个Kerberos领域的服务器、用户进行交互
前提
- 支持不同领域间的用户进行身份鉴别
- 互通领域Kerberos服务器之间必须共享一个密钥
- 两个Kerberos服务器也必须相互注册
