- Kerberos解决的问题:分布式用户身份认证。主要是在分布式的网络环境中,工作站(客户端,client)请求访问分布在网络各处的服务器上的服务。
- 基本思路:利用集中的认证服务器,实现用户和服务器之间的双向认证。
- 基于票据的认证服务:认证服务器提供一种不能伪造、不能重放、已经鉴别的票据对象。
- 基于对称秘钥的加密体系。
- 术语:
- 域:域是一种计算网络形式,域中的主体(主要是用户的账户、计算机、打印机等)被注册到域控制器(Domain Controller)中的数据库中(Account Database)。域控制器可以被部署到一台活多态域内的计算机中。
- 委托人(principal):通过KDC颁发的票据来进行通信的主体,具有唯一的标识,分为两类用户和服务。
- 用户的标识通过:UserName@REALM(大写)来表示。如:cx@ALIBABA.COM表示alibaba.com域中的cx用户。
- 永久密钥(Long-term key):能够被长期保存的密钥,不会轻易改变,一般是用户的登陆密码。由于密码学的算法不能保证100%安全,基于暴力破解的方法破解的密钥只是时间问题,因此,长期密钥加密的数据不宜在网络上传输。
- 主密钥(Master key):主密钥是长期密钥的派生物,一般有永久密钥经过单向散列函数得到。
- 主密钥的两个特性:
- 单向性:确保在知道主密钥的情况下不能计算得到其对应的长期密钥,这样可以保证长期密码的机密性
- 对应性:良好的哈希算法保证了永久密钥及其派生的主密钥间是一一对应的关系,这确保了长期密钥及其对应的主密钥具有同等的效力。
- 主密钥的两个特性:
- 会话密钥(Session key):用于某次会话的密钥,属于短期密钥(short-term key)。会话密钥在一次会话结束后将作废,因此,其加密的数据适合在网络上传输。
- kerboers中的会话密钥包括:
Kerberos是一种分布式安全解决方案,主要用于解决分布式网络环境中的用户身份验证。它采用集中的认证服务器,实现双向认证,并使用基于票据的认证服务和对称密钥加密体系。Kerberos的主要组件包括域、委托人、主密钥和会话密钥,以及KDC(Key Distribution Center),其中KDC包含AS和TGS。认证过程涉及多个子协议,包括Authentication Service Exchange和TGS Exchange,以确保安全性。尽管Kerberos具备防止重放攻击和双向验证等优势,但也存在Master key传输风险、KDC存储开销大以及时间同步问题等挑战。
最低0.47元/天 解锁文章
扫一扫
1364
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
