【正文】 。 我們建議 ， 在 Kerberos引入序列號循環(huán)機(jī)制 ， 即讓傳送的消息帶上一定的序列號 ， 這些序列號在由系統(tǒng)循環(huán)地賦予消息 ， 再結(jié)合系統(tǒng)原有的生存期控制 ， 將有效地保證一定的時(shí)間段里只能存在唯一的合法消息 ， 從而消除了重放的可能性 。針對這種無序的狀況 ， 應(yīng)有規(guī)劃有目的地建立起全球一體化的分層 （ 樹狀 ） 結(jié)構(gòu) ， 形成良好的信任鏈條 。 第 5講 Kerberos認(rèn)證 3． 認(rèn)證域之間的信任問題：認(rèn)證域之間的多級跳躍過程復(fù)雜且不明確 ， 相互信任和協(xié)調(diào)不方便 。 第 5講 Kerberos認(rèn)證 Kerberos的局限性： 1． 時(shí)間同步問題： 因?yàn)檎麄€(gè) Kerberos的協(xié)議都嚴(yán)重地依賴于時(shí)鐘 ， 而實(shí)際證明 ， 要求在分步式系統(tǒng)環(huán)境中實(shí)現(xiàn)良好的時(shí)鐘同步 ， 是一個(gè)很難的課題 。 第 5講 Kerberos認(rèn)證 為了保證數(shù)據(jù)庫不被竊聽和篡改 ， Kerberos使用以下措施：數(shù)據(jù)庫中 principle的所有密碼在存儲時(shí)都用 Kerberos數(shù)據(jù)庫專用密鑰進(jìn)行加密 ， 這樣在傳輸過程中即使被偷聽 ， 偷聽者也無法得到想要的信息 。但維持?jǐn)?shù)據(jù)庫的多個(gè)副本帶來了如何保持各個(gè)副本間數(shù)據(jù)一致性的問題 。 第 5講 Kerberos認(rèn)證 3) 數(shù)據(jù)庫復(fù)制 為了提高系統(tǒng)的效率和可靠性 ， Kerberos在master上存放數(shù)據(jù)庫 ， 而在 slave上存放數(shù)據(jù)庫的只讀副本 。Kadmin運(yùn)行時(shí)會要求輸入超級用戶密碼 ， 當(dāng)一個(gè)用戶為 Kerberos超級用戶時(shí) ， 會在原來的用戶上創(chuàng)建一個(gè) admin實(shí)例 (instance)，admin實(shí)例的密碼可以與原來用戶的密碼不同 ，kadmin要求輸入 admin實(shí)例的密碼 。 KDBM存放所有請求的日志 ， 防止異常情況發(fā)生 。 當(dāng) KDBM收到請求時(shí) ， 比較請求的發(fā)出者和被操作者 ，當(dāng)兩者相同時(shí) ， 操作被允許 。 KDBM服務(wù)請求是獨(dú)一無二的 ， 所以請求 KDBM服務(wù)不需要向 tgs申請令牌 ，而采用認(rèn)證中的第一步和第三步 ， 直接向認(rèn)證服務(wù)器申請認(rèn)證 ， 這樣做的目的是為了要求用戶輸入原來的密碼 。 KDBM只能運(yùn)行在主 Kerberos服務(wù)器上 ， 機(jī)器上維護(hù)可寫的 Kerberos數(shù)據(jù)庫 ， 而其他的認(rèn)證服務(wù)程序則可運(yùn)行在從 Kerberos服務(wù)器上 ， 機(jī)器上維護(hù) Kerberos的只讀備份 ， 完成認(rèn)證工作 ，數(shù)據(jù)庫復(fù)制軟件用來完成從主機(jī)到從機(jī)的復(fù)制工作 。 Kerberos V5的改進(jìn) ? 加密算法的多樣化 ? 票據(jù)有效期延長 28*5分鐘 ?任意 ? 允許認(rèn)證轉(zhuǎn)發(fā) C可讓 V1代表自己訪問 V2 ? 多區(qū)域認(rèn)證關(guān)系簡化 第 5講 Kerberos認(rèn)證 Kerberos數(shù)據(jù)庫管理 認(rèn)證工作由 AS實(shí)現(xiàn) ， 它從 Kerberos數(shù)據(jù)庫中讀取用戶的信息來完成認(rèn)證工作 ， 對數(shù)據(jù)庫操作是只讀的 。 當(dāng) C也想驗(yàn)證 V的身份時(shí) ， V將收到的時(shí)間戳加 1，并用會話密鑰 Kc,v加密后發(fā)送給用戶 ， 用戶收到回答后 ， 用 Kc,v解密后對增加的時(shí)戳進(jìn)行驗(yàn)證 ，從而確定 V的身份 。 為防止重放攻擊 ， V通常保存一份最近收到的有效請求的列表 ，當(dāng)收到一份請求與已經(jīng)收到的某份請求的令牌和時(shí)間完全相同時(shí) ， 認(rèn)為此請求無效 。 比較得到的用戶名 ， 網(wǎng)絡(luò)地址 ， 時(shí)間等信息 ， 判斷 C的身份 ， 請求是否有效 。 第 5講 Kerberos認(rèn)證 (3) 客戶機(jī)與服務(wù)器之間認(rèn)證交換 。 TGS用 C和 TGS之間的會話密鑰 Kc,tgs 加密Ticketv和會話密鑰 Kc,v， 然后發(fā)送給用戶 C。 第 5講 Kerberos認(rèn)證 如果有效 ， TGS生成用于 C和 V之間通信的會話密鑰 Kc,v， 并生成用于 C申請得到 V服務(wù)的令牌 Ticketv， 其中包含 C和 V的名字 ， C的網(wǎng)絡(luò)地址 ， 當(dāng)前時(shí)間 ， 有效時(shí)間和會話密鑰 Kc,v 。 認(rèn)證符含有：用戶身份 、 網(wǎng)址 、 時(shí)戳 。 用戶程序首先向 TGS發(fā)出申請令牌的請求 。 第 5講 Kerberos認(rèn)證 2) C從 TGS得到所請求服務(wù)的令牌 Ticketv。 當(dāng)用戶的登錄時(shí)間超過了令牌的有效時(shí)間時(shí) ，用戶的請求就會失敗 ， 這時(shí)系統(tǒng)會要求用戶使用 kinit程序重新申請令牌 Tickettgs。 AS向C 發(fā)送加密過的令牌 Tickettgs 和會話密鑰Kc,tgs， 發(fā)送的消息用只有用戶和認(rèn)證服務(wù)器 A知道的 Kc來加密 ， Kc值基于用戶密碼 。 AS檢查用戶有效 ， 則隨機(jī)產(chǎn)生用戶和 TGS通信的會話密鑰 Kc,tgs， 并創(chuàng)建令牌 Tickettgs ， 令牌包含用戶名 ， 用戶地址 ， TGS服務(wù)名 ， 當(dāng)前時(shí)間 (時(shí)戳 TS2) ， 有效時(shí)間 ， 還有剛才創(chuàng)建的會話密鑰 。 AS TGS DB 用戶 C 服務(wù)器 V Kerberos 第 5講 Kerberos認(rèn)證 Kerberos工作原理 常用術(shù)語的簡寫： C：客戶機(jī) AS：認(rèn)證服務(wù)器 V：服務(wù)器 IDc、 IDv、 IDtgs 分別為 C、 V、 TGS的身份 ADc： 用戶的網(wǎng)絡(luò)地址 TSi：第 i個(gè)時(shí)戳 Lifetime： 第 I個(gè)有效期限 Pc： C上的用戶口令 第 5講 Kerberos認(rèn)證 Kc： C和 AS的共享密鑰 Kv： V和 TGS的共享密鑰 Ktgs： TGS 和 AS的共享密鑰 Kc,tgs： C與 TGS的共享密鑰 Kc,v： C與 V的共享密鑰 第 5講 Kerberos認(rèn)證 用戶 C請求服務(wù) S的整個(gè) Kerberos認(rèn)證過程 1)認(rèn)證服務(wù)交換 用戶 C向 AS發(fā)出請求 ， 以獲取訪問 TGS的令牌(票據(jù)許可證 )： Tickettgs 得到初始化令牌的工作在用戶登錄工作站時(shí)進(jìn)行 ， 在用戶看來和登錄分時(shí)系統(tǒng)是完全相同的 。 authenticator只能在一次服務(wù)請求中使用 ，每當(dāng) client向 server申請服務(wù)時(shí) ， 必須重新生成Authenticator。 第 5講 Kerberos認(rèn)證 Authenticator：提供信息與 ticket中的信息進(jìn)行比較 ， 一起保證發(fā)出 ticket的用戶就是 ticket中指定的用戶 。 Ticket的組成： C/S的標(biāo)識 ， client的地址 ， 時(shí)間戳 ， 生存時(shí)間 ，會話密鑰五部分組成 。 這兩種證書都要加密 ， 但加密的密鑰不同 。 整個(gè)系統(tǒng)將由四部分組成： AS， TGS，Client， Server。 應(yīng)用程序： 第 5講 Kerberos認(rèn)證 Kerberos的主要認(rèn)證模型如下： 出于實(shí)現(xiàn)和安全考慮， Kerberos認(rèn)證服務(wù)被分配到兩個(gè)相對獨(dú)立的服務(wù)器。 數(shù)據(jù)庫管理程序：管理 Kerberos數(shù)據(jù)庫 第 5講 Kerberos認(rèn)證 KDBM服務(wù)器 (數(shù)據(jù)庫管理服務(wù)器 )：接受客戶端的請求對數(shù)據(jù)庫進(jìn)行操作 。 加密 /解密庫： DES等 。 二、 Kerberos原理 第 5講 Kerberos認(rèn)證 Kerberos的組成 MIT為雅典娜 (Athena)計(jì)劃開發(fā)的認(rèn)證系統(tǒng) 。 3) 私有消息傳遞：不僅對每條消息進(jìn)行認(rèn)證 ，而且對每條消息進(jìn)行加密 。 認(rèn)證式網(wǎng)絡(luò)文件系統(tǒng) (Authenticated work file system) 使用此種安全等級 。 第 5講 Kerberos認(rèn)證 Kerberos提供三種安全等級 。 使 用 共 享 密 鑰 ，Kerberos可以創(chuàng)建消息使一個(gè)當(dāng)事人相信另一個(gè)當(dāng)事人的真實(shí)性 。 Kerberos保存當(dāng)事人及其密鑰的數(shù)據(jù)庫 。 Kerberos不依賴用戶的終端或請求服務(wù)的安全機(jī)制 ， 認(rèn)證工作由認(rèn)證服務(wù)器完成 。 在申請認(rèn)證時(shí) ， C和 S都是 Kerberos認(rèn)證服務(wù)的用戶 ， 為了和其它服務(wù)的用戶區(qū)別 ， Kerberos用戶統(tǒng)稱為當(dāng)事人 (principle)， principle可以是用戶或者某項(xiàng)服務(wù) 。 4.)可擴(kuò)展性：支持加入更多的服務(wù)器 。 2.)可靠性：認(rèn)證服務(wù)是其他服務(wù)的基礎(chǔ) ， 要可靠 ， 不能癱瘓 。 第 5講 Kerberos認(rèn)證 C) 在開放式系統(tǒng)中 ， 主機(jī)不能控制登錄它的每一個(gè)用戶 ， 另外有來自系統(tǒng)外部的假冒等情況發(fā)生 ， 以上兩種方法都不能保證用戶身份的真實(shí)性 ， 必須對每一個(gè)服務(wù)請求 ， 都要認(rèn)證用戶的身份 。半開放系統(tǒng)可用此方法 。 第 5講 Kerberos認(rèn)證 Kerberos的產(chǎn)生背景 在網(wǎng)絡(luò)系統(tǒng)中 ， 用戶