第五章安全協(xié)議技術(shù)-Kerberos協(xié)議計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)是美國麻省理工學(xué)院（MIT）開發(fā)的一種身份鑒別服務(wù)。Kerberos提供了一個(gè)集中式的認(rèn)證服務(wù)器結(jié)構(gòu)，認(rèn)證服務(wù)器的功能是實(shí)現(xiàn)用戶與其訪問的服務(wù)器間的相互鑒別。其實(shí)現(xiàn)采用的是對(duì)稱密鑰加密技術(shù)，而未采用公開密鑰加密。公開發(fā)布的Kerberos版本包括版本4和版本5。KerberosKerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)目標(biāo)安全性能夠有效防止攻擊者假扮成另一個(gè)合法的授權(quán)用戶可靠性分布式服務(wù)器體系結(jié)構(gòu)，提供相互備份對(duì)用戶透明性對(duì)各類用戶提供認(rèn)證服務(wù)可擴(kuò)展性能夠支持大數(shù)量的客戶和服務(wù)器Kerberos協(xié)議安全協(xié)議技術(shù)基本思路：使用一個(gè)（或一組）獨(dú)立的認(rèn)證服務(wù)器（AS），來為網(wǎng)絡(luò)中的用戶（C）提供身份認(rèn)證服務(wù)用戶口令由AS保存在數(shù)據(jù)庫中AS與每個(gè)應(yīng)用服務(wù)器（V）共享一個(gè)對(duì)稱密鑰（Kv）Kerberos設(shè)計(jì)思路Kerberos協(xié)議安全協(xié)議技術(shù)會(huì)話過程：Kerberos設(shè)計(jì)思路（續(xù)）Ticket=EKv[IDC,ADC,IDv]CASV

(1)IDC,PC,IDvTicket

IDC,TicketIDC：用戶C的標(biāo)識(shí)PC

：用戶口令I(lǐng)Dv：服務(wù)器標(biāo)識(shí)ADC：用戶網(wǎng)絡(luò)地址搜索數(shù)據(jù)庫看用戶是否合法如果合法，驗(yàn)證用戶口令是否正確如果口令正確，檢查是否有權(quán)限訪問服務(wù)器V用與AS共享密鑰解密票據(jù)檢查票據(jù)中的用戶標(biāo)識(shí)與網(wǎng)絡(luò)地址是否與用戶發(fā)送的標(biāo)識(shí)及其地址相同如果相同，票據(jù)有效，認(rèn)證通過用戶認(rèn)證服務(wù)器應(yīng)用服務(wù)器Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）電影院我要買票你的電影票這是我的電影票電影院售票處觀眾Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）電影院我要買票，這是我的信用卡密碼你的電影票這是我的電影票電影院售票處觀眾問題之一：信用卡問題問題：如何買票答案：出示信用卡卡號(hào)和密碼Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）電影院你的電影票這是我的電影票電影院售票處這是我的電影票這是我的電影票觀眾問題之二：票的有效期問題我要買票，這是我的信用卡密碼Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）電影院甲你的電影票這是我的電影票電影院售票處電影院乙這是我的電影票？？？觀眾問題之三：多個(gè)電影院問題我要買票，這是我的信用卡密碼Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）上述協(xié)議的問題：（1）口令明文傳送（2）票據(jù)的有效性（多次使用）（3）訪問多個(gè)服務(wù)器則需多次申請(qǐng)票據(jù)（即口令多次使用）如何解決？Kerberos協(xié)議安全協(xié)議技術(shù)問題：用戶希望輸入口令的次數(shù)最少?？诹钜悦魑膫魉蜁?huì)被竊聽。解決辦法票據(jù)重用（ticketreusable）引入票據(jù)許可服務(wù)器（TGS-ticket-grantingserver）用于向用戶分發(fā)服務(wù)器的訪問票據(jù)認(rèn)證服務(wù)器AS并不直接向客戶發(fā)放訪問應(yīng)用服務(wù)器的票據(jù)，而是由TGS服務(wù)器來向客戶發(fā)放Kerberos設(shè)計(jì)思路（續(xù)）Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）電影院售票處電影院乙購票許可證這是我的購票許可證你的電影票這是我的電影票許可證部門觀眾我要買票，這是我的信用卡密碼問題：解決了重復(fù)使用信用卡問題，但是其他兩個(gè)問題沒有解決引入了許可證可信問題Kerberos協(xié)議安全協(xié)議技術(shù)客戶端（C，即用戶）請(qǐng)求服務(wù)的用戶應(yīng)用服務(wù)器（V，即提供某種服務(wù)器的服務(wù)器）向用戶提供服務(wù)的一方認(rèn)證服務(wù)器（AS：AuthenticationServer）負(fù)責(zé)驗(yàn)證用戶的身份，如果通過了認(rèn)證，則向用戶提供訪問票據(jù)準(zhǔn)許服務(wù)器的票據(jù)許可票據(jù)（Ticket-GrantingTicket）票據(jù)準(zhǔn)許服務(wù)器（TGS：Ticket-GrantingServer）負(fù)責(zé)驗(yàn)證用戶的票據(jù)許可票據(jù)，如果驗(yàn)證通過，則為用戶提供訪問服務(wù)器的服務(wù)許可票據(jù)（Service-GrantingTicket）在Kerberos認(rèn)證協(xié)議中，存在四個(gè)角色Kerberos協(xié)議安全協(xié)議技術(shù)兩種票據(jù)票據(jù)許可票據(jù)（Ticketgrantingticket）客戶訪問TGS服務(wù)器需要提供的票據(jù)，目的是為了申請(qǐng)某一個(gè)應(yīng)用服務(wù)器的“服務(wù)許可票據(jù)”票據(jù)許可票據(jù)由AS發(fā)放用Tickettgs表示訪問TGS服務(wù)器的票據(jù)Tickettgs在用戶登錄時(shí)向AS申請(qǐng)一次，可多次重復(fù)使用服務(wù)許可票據(jù)（Servicegrantingticket）是客戶訪問應(yīng)用服務(wù)器時(shí)需要提供的票據(jù)；用TicketV表示訪問應(yīng)用服務(wù)器V的票據(jù)。Kerberos的票據(jù)Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）電影院售票處電影院共享信用卡信息：不用向許可證部門初始信用卡密碼初始電影票共享“購票許可證”信息：不用出示信用卡及密碼共享“電影票”信息：不用多次購買許可證許可證部門觀眾購買電影票最后一個(gè)問題：票的有效期問題電影院電影院解決方法：時(shí)戳Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）具有有效期的Ticket共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰Kv認(rèn)證服務(wù)器（AS）用戶（C）共享用戶口令Kc購買具有有效期的TicketKerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）我想看電影EKc{Ektgs{購票許可證}}Ektgs{購票許可證}Ekv{票}Ekv{票}共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰Kv共享用戶口令KcKcKcKtgsKvKtgsKvKerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）我想看電影EKc{Ektgs{購票許可證，時(shí)間限制}}Ektgs{購票許可證，時(shí)間限制}Ekv{票,時(shí)間限制}Ekv{票，時(shí)間限制}共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰Kv共享用戶口令Kc可能被盜用KcKcKtgsKvKtgsKvKerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）我想看電影EKc{Kc,tgs,Ektgs{含Kc,tgs的購票許可證，時(shí)間限制}}Ektgs{含Kc,tgs的購票許可證，時(shí)間限制}EKc,tgs{Ekv{票,時(shí)間限制}}Ekv{票，時(shí)間限制}共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰Kv共享用戶口令KcKc,tgs問題：單向認(rèn)證KcKcKtgsKvKtgsKvKerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路（續(xù)）票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）我想看電影EKc{Kc,tgs,Ektgs{含Kc,tgs的購票許可證，時(shí)間限制}}Ektgs{含Kc,tgs的購票許可證，時(shí)間限制}EKc,tgs{Kc,v,Ekv{含Kc,v的票,時(shí)間限制}}Ekv{含Kc,v的票，時(shí)間限制}共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰Kv共享用戶口令KcKc,tgsKc,vEkc,v{時(shí)間限制}KcKcKtgsKvKtgsKvKerberos協(xié)議安全協(xié)議技術(shù)KerberosV4協(xié)議描述：第一階段票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）IDC,IDtgs,TS1EKc{Kc,tgs,IDtgs,TS2,LT2,Tickettgs}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}KcKcKtgsKvKtgsKvKc,tgsKerberos協(xié)議安全協(xié)議技術(shù)KerberosV4協(xié)議描述：第二階段票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）IDV,Tickettgs,AUCEKC,tgs{KC,V,IDV,TS4,TicketV}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}TicketV＝EKV{KC,V,IDC,ADC,IDV,TS4,LT4}AUC＝EKC,tgs{IDC,ADC,TS3}KcKcKtgsKvKtgsKvKc,tgsKc,vKerberos協(xié)議安全協(xié)議技術(shù)KerberosV4協(xié)議描述：第三階段票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）TicketV,AUCEKC,V{TS5+1}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}TicketV＝EKV{KC,V,IDC,ADC,IDV,TS4,LT4}AUC＝EKc,v{IDC,ADC,TS5}KcKcKtgsKvKtgsKvKc,tgsKc,vKerberos協(xié)議安全協(xié)議技術(shù)共享密鑰及會(huì)話密鑰票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）Kc認(rèn)證服務(wù)器（AS）用戶（C）Kc,tgsKC,VKcKcKtgsKvKtgsKvKc,tgsKc,vKerberos協(xié)議安全協(xié)議技術(shù)Kerberos設(shè)計(jì)思路票據(jù)許可服務(wù)器（TGS）服務(wù)器（V）認(rèn)證服務(wù)器（AS）用戶（C）IDC,IDtgs,TS1EKc{Kc,tgs,IDtgs,TS2,LT2,Tickettgs}IDV,Tickettgs,AUCEKc,tgs{Kc,V,IDV,TS4,TicketV}TicketV,AU’CEKC,V{TS5+1}Tickettgs＝EKtgs{KC,tgs,IDC,ADC,IDtgs,TS2,LT2}TicketV＝EKV{KC,V,IDC,ADC,IDV,TS4,LT4}AUC＝EKC,tgs{IDC,ADC,TS3}KcKcKtgsKvKtgsKvKc,tgsKc,vAU‘C＝EKcv{IDC,ADC,TS5}Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos（V4）協(xié)議交互過程Kerberos協(xié)議安全協(xié)議技術(shù)（1）第一步：認(rèn)證服務(wù)交換（AuthenticationServiceExchange）：用戶向認(rèn)證服務(wù)器證明自己的身份，以便獲得票據(jù)許可票據(jù)（Ticket-GrantingTicket）。（2）第二步：票據(jù)許可服務(wù)交換（Ticket-GrantingServiceExchange）：用戶向票據(jù)許可服務(wù)器TGS索取訪問服務(wù)器的服務(wù)許可票據(jù)（Service-GrantingTicket）。（3）第三步：用戶與服務(wù)器交換（AuthenticationExchange）：使用所需服務(wù)。總結(jié)起來，Kerberos認(rèn)證協(xié)議可分為三大步驟：認(rèn)證三步總結(jié)Kerberos協(xié)議安全協(xié)議技術(shù)依賴性加密系統(tǒng)的依賴性（DES）、對(duì)IP協(xié)議的依賴性和對(duì)時(shí)間依賴性。字節(jié)順序：沒有遵循標(biāo)準(zhǔn)票據(jù)有效期有效期最小為5分鐘，最大約為21小時(shí),往往不能滿足要求認(rèn)證轉(zhuǎn)發(fā)能力不允許簽發(fā)給一個(gè)用戶的鑒別證書轉(zhuǎn)發(fā)給其他工作站或其他客戶使用Kerberos（V4）協(xié)議的缺陷Kerberos協(xié)議安全協(xié)議技術(shù)Kerberos（V4）協(xié)議的缺陷（續(xù)）領(lǐng)域間的鑒別管理起來困難加密操作缺陷非標(biāo)準(zhǔn)形式的DES加密（傳播密碼分組鏈接PCBC）方式，易受攻擊會(huì)話密鑰存在著攻擊者重放會(huì)話報(bào)文進(jìn)行攻擊的可能口令攻擊未對(duì)口令提供額外的保護(hù)，攻擊者有機(jī)會(huì)進(jìn)行口令攻擊Kerberos協(xié)議安全協(xié)議技術(shù)加密系統(tǒng)支持使用任何加密技術(shù)。通信協(xié)議IP協(xié)議外，還提供了對(duì)其他協(xié)議的支持。報(bào)文字節(jié)順序采用抽象語法表示（ASN.1）和基本編碼規(guī)則（BER）來進(jìn)行規(guī)范。Kerberos（