1、1X.509四种密钥分发方式KDC、分布式密钥控制、控制密钥的使用简单方式确保保密性和身份认证混合方案公开发布可访问公开目录公钥授权公钥证书证书内容交叉认证及获取证书证书撤销列表公钥基础设施2p 远程用户认证远程用户认证p 基于对称加密的远程用户认证基于对称加密的远程用户认证p Kerberosp 基于非对称加密的远程用户认证基于非对称加密的远程用户认证p 联合身份管理联合身份管理p 个人身份验证个人身份验证3远程用户远程用户认证的意义认证的意义4远程用户远程用户认证的意义认证的意义p 身份认证:身份认证:p 又称为身份识别、身份鉴别。它是证实客户的真实身份与其所声称的身份是否相符的过程。 p
2、 用户的身份识别是许多应用系统的第一道防线,身份认证对确保系统和数据的安全保密是极其重要的。 5远程用户远程用户认证的原理认证的原理p 鉴定阶段鉴定阶段p 核实阶段核实阶段 p 认证方式认证方式p 知道什么p 拥有什么p 静态生物特征p 动态生物特征p 基于网络的最重要的认证方式是基于网络的最重要的认证方式是p 加密密钥p 用户口令6认证协议认证协议p 用于确认通信的参与者,并交换会话密钥。用于确认通信的参与者,并交换会话密钥。p 认证可以是单向的也可以是相互的。认证可以是单向的也可以是相互的。p 已已认证密钥主要关注两个问题:认证密钥主要关注两个问题:p 保密的 保护会话密钥p 有时间性 防
3、止重放攻击p 发布的协议往往发现有缺陷需要修订发布的协议往往发现有缺陷需要修订7认证协议面临的威胁认证协议面临的威胁p 重放攻击:当有效的签名消息被拷贝,之后又重新被发送重放攻击:当有效的签名消息被拷贝,之后又重新被发送p 简单重放p 可检测的重放p 不可检测的重放p 不加修改的逆向重放(对称密码)p 解决办法包括:解决办法包括:p 序列号 (通常不可行)p 时间戳(需要同步时钟)p 随机数/响应 (目前的常用方法)8单向认证单向认证p 当收发双方不能在同一时间在线时当收发双方不能在同一时间在线时 (eg. email)p 有明确的头信息以被邮件系统转发有明确的头信息以被邮件系统转发p 希望对
4、内容进行保护和希望对内容进行保护和认证认证9双向认证双向认证p 分布式环境中往往需要可信的分布式环境中往往需要可信的KDC参与参与p 需要需要两层两层密钥密钥p 可信的可信的KDC, Key Distribution Centerp 每个用户与KDC共享一个主密钥p KDC产生通信方之间所用的会话密钥p 主密钥用于分发会话密钥10双向认证双向认证AB密钥分配中心KDCA, B, KABKB用户专用主密钥用户 主密钥 A KA B KB A, B, KABKABKBKA,A, B11双向认证双向认证:Needham-Schroeder 协议协议有第三方参与的密钥分发协议有第三方参与的密钥分发协议
5、p KDC作为作为AB会话的中介会话的中介p 协议协议:1. A - KDC: IDA | IDB | N12. KDC - A: EKa Ks | IDB | N1 | EKb Ks | IDA 3. A - B: EKb Ks | IDA4. B - A: EKsN25. A - B: EKs f (N2) 12双向认证双向认证:Needham-Schroeder 协议协议p 用于安全地分发用于安全地分发AB之间通信所用的会话密钥之间通信所用的会话密钥p 存在重放攻击的风险,如果一个过时的会话密钥被掌握存在重放攻击的风险,如果一个过时的会话密钥被掌握p 则消息3可以被重放以欺骗B使用旧会话
6、密钥,使B遭到破坏p 解决的办法解决的办法:p 时间戳 (Denning 81)p 使用一个额外的临时会话号 (Neuman 93)13双向认证:双向认证:Denning 81 协议协议p 添加添加时间戳时间戳:1. A - KDC: IDA | IDB 2. KDC - A: EKa Ks | IDB | T | Eb Ks | IDA|T3. A - B: EKb Ks | IDA |T4. B - A: EKsN15. A - B: EKs f (N1) p抑制重放抑制重放攻击攻击14双向认证:双向认证:Neuman 93 协议协议p 防止防止抑制重放攻击抑制重放攻击1. A - B:
7、IDA | Na 2. B-KDC: IDB|Nb|E(Kb,IDA|Na|Tb)3. KDC-A: EKa IDB |Na|Ks| Tb | EKb IDA| Ks | Tb|Nb4. A - B: EKb IDA | Ks | Tb|EKsNbp时间限制被再次通话时间限制被再次通话15单单向认证向认证p 可以变化对可以变化对KDC的使用,但是不能使用临时交互号的使用,但是不能使用临时交互号:1. A-KDC: IDA | IDB | N12. KDC - A: EKaKs | IDB | N1 | EKbKs|IDA 3. A - B: EKbKs|IDA | EKsMp 不能抗重放不能抗
8、重放攻击攻击p 可以引入时间戳到信息中但email的处理中存在大量延时,使得时间戳用途有限。p 是美国麻省理工学院(是美国麻省理工学院(MIT)开发的一种身份鉴别服务。)开发的一种身份鉴别服务。 p “Kerberos”的本意是希腊神话中守护地狱之门的守护者的本意是希腊神话中守护地狱之门的守护者。p Kerberos提供了一个集中式的认证服务器结构,认证服务提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。器的功能是实现用户与其访问的服务器间的相互鉴别。 p Kerberos建立的是一个实现身份认证的框架结构。建立的是一个实现身份认证的框架结构。 p 其
9、实现采用的是对称密钥加密技术,而未采用公开密钥加其实现采用的是对称密钥加密技术,而未采用公开密钥加密。密。 p 公开发布的公开发布的Kerberos版本包括版本版本包括版本4和版本和版本5。 16Kerberos设计动机设计动机 p 独立计算机数据可以物理保护独立计算机数据可以物理保护p 分时系统依赖操作系统验证用户身份分时系统依赖操作系统验证用户身份p 分布式系统中可以采用三种方案之一:分布式系统中可以采用三种方案之一:1.客户端工作站确保用户身份2.客户端系统向服务器提供身份认证3.用户与服务器双向认证p 小型、封闭的环境应选择前两种小型、封闭的环境应选择前两种p 互联网应选择第三种互联网
10、应选择第三种17Kerberos的要求的要求 p 第一份第一份Kerberos的需求报告的需求报告:p 安全性p 能够有效防止攻击者假扮成另一个合法的授权用户。p 可靠性p 分布式服务器体系结构,提供相互备份。p 透明性p 可伸缩性p 能够支持大数量的客户和服务器。p 用基于用基于Needham-Schroeder的认证协议实现的认证协议实现18Kerberos p 依然是利用一个类似于依然是利用一个类似于KDC的可信认证中心(的可信认证中心(AS)p 认证服务器认证服务器 (AS) p 用户初始与AS对话以标识自身p AS 发放一个高度可信的认证证书 (ticket granting tic
11、ket, TGT) p 先考虑一个简单的认证会话先考虑一个简单的认证会话19(1) C AS: IDC | PC | IDv(2) AS C: Ticket(3) C V : IDC | Ticketl其中: Ticket = EKvIDC | ADC | IDvKerberos 20(1) C AS: IDC | PC | IDv(2) AS C: Ticket(3) C V : IDC | Ticketl其中: Ticket = EKvIDC | ADC | IDv上述协议的问题:上述协议的问题:(1)口令明文传送)口令明文传送(2)票据的有效性(多次使用)票据的有效性(多次使用)(3)访
12、问多个服务器则需多次申请)访问多个服务器则需多次申请票据(即口令多次使用)票据(即口令多次使用)如何解决如何解决上述协议问题?Kerberos p 问题:问题:p 用户希望输入口令的次数最少。p 口令以明文传送会被窃听。p 解决办法解决办法p 票据重用(ticket reusable)。p 引入票据许可服务器(TGS - ticket-granting server)p 用于向用户分发服务器的访问票据;p 认证服务器 AS 并不直接向客户发放访问应用服务器的票据,而是由 TGS 服务器来向客户发放。21Kerberos p 认证服务器认证服务器 (AS) p 用户初始与AS对话以标识自身p A
13、S 发放一个高度可信的认证证书 (ticket granting ticket, TGT) p 票据授权服务器票据授权服务器 (TGS)p 用户接着从TGS以TGT为依据得到其它访问服务p 客户端客户端(C)p 应用应用(V)22Kerberos p 两种两种票据票据p 票据许可票据(Ticket granting ticket)p 客户访问 TGS 服务器需要提供的票据,目的是为了申请某一个应用服务器的 “服务许可票据”;p 票据许可票据由 AS 发放;p 用 Tickettgs 表示访问 TGS 服务器的票据;p Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用;p 服务
14、许可票据(Service granting ticket)p 是客户时需要提供的票据;p 用 TicketV 表示访问应用服务器 V 的票据。23一一个更加安全的认证会话个更加安全的认证会话1. 从从AS得到授权票据得到授权票据(TGT)每个会话进行一次2. 从从TGT获得服务授权票据获得服务授权票据对每个不同的服务请求一次3. 客户客户/服务器交换信息以获得服务服务器交换信息以获得服务每次服务时24一一个更加安全的认证会话个更加安全的认证会话1. 从从AS得到授权票据得到授权票据(TGT)每个会话进行一次2. 从从TGT获得服务授权票据获得服务授权票据对每个不同的服务请求一次3. 客户客户/
15、服务器交换信息以获得服务服务器交换信息以获得服务每次服务时25问题:问题:p 票据周期的选择票据周期的选择p 对服务器的认证对服务器的认证Kerberos V4:第一阶段:第一阶段26票据许可服务器(TGS)服务器(V)认证服务器(AS)用户(C)IDC, IDtgs,TS1EKcKc,tgs,IDtgs,TS2, LT2, TickettgsTickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2KcKcKtgsKvKtgsKvKc,tgsKerberos V4:第一阶段:第一阶段27pASAS 同时产生一个随机会话密钥供同时产生一个随机会话密钥供cli
16、ent client 和和TGSTGS 使用使用K Kc,tgsc,tgs. .p会话密钥和加密的会话密钥和加密的Ticket Ticket 以用户的秘密密钥加密以用户的秘密密钥加密. .TGS session keyTicket:login nameTGS namenet addressTGS session keyKerberos V4:第二阶段:第二阶段28票据许可服务器(TGS)服务器(V)认证服务器(AS)用户(C)KcKcKtgsKvKtgsKvKc,tgsIDV,Tickettgs, AUCEKC,tgsKC,V,IDV,TS4, TicketVTickettgsEKtgsKC,
17、tgs, IDC, ADC, IDtgs, TS2, LT2TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4AUCEKC,tgsIDC, ADC, TS3Kc,vKerberos V4:第一阶段:第一阶段29p当当clientclient想开始使用服务想开始使用服务,client,client必须首先获得一个必须首先获得一个 ticketticketV V. .pClientClient构造一个请求发送给构造一个请求发送给TGSTGS: :TGS Ticket认证符Server Name以会话密钥加密Kerberos V4:共享密钥与会话密钥:共享密钥与会话密钥3
18、0票据许可服务器(TGS)服务器(V)Kc认证服务器(AS)用户(C)Kc,tgsKC,VKcKcKtgsKvKtgsKvKc,tgsKc,vKerberos V4:设计思路:设计思路31票据许可服务器(TGS)服务器(V)认证服务器(AS)用户(C)IDC, IDtgs,TS1EKcKc,tgs,IDtgs,TS2, LT2, TickettgsIDV,Tickettgs, AUCTicketV, AUCEKC,VTS5+1TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT
19、4AUCEKC,tgsIDC, ADC, TS3KcKcKtgsKvKtgsKvKc,tgsKc,vAUCEKcvIDC, ADC, TS5Kerberos V432Kerberos 域和多重域和多重kerberip 一个一个Kerberos环境的构成环境的构成:p 一个Kerberos服务器p 客户,都在AS中已经注册p 应用服务器,与AS共享密钥p 环境术语称为:域,环境术语称为:域,realmp 典型地都是一个单一的行政区域p 如果有多个域,如果有多个域,Kerberos 服务器之间必须相互信任且共享服务器之间必须相互信任且共享密钥密钥33Kerberos 域和多重域和多重kerberi
20、p 一个一个Kerberos环境的构成环境的构成:p 一个Kerberos服务器p 客户,都在AS中已经注册p 应用服务器,与AS共享密钥p 环境术语称为:域,环境术语称为:域,realmp 典型地都是一个单一的行政区域p 如果有多个域,如果有多个域,Kerberos 服务器之间必须相互信任且共享服务器之间必须相互信任且共享密钥密钥34Kerberos V4 协议的设计缺陷协议的设计缺陷p 依赖性p 加密系统的依赖性(DES)、对 IP 协议的依赖性和对时间依赖性。p 字节顺序:没有遵循标准p 票据有效期p 有效期最小为5分钟,最大约为21小时, 往往不能满足要求p 认证转发能力p 不允许签发
21、给一个用户的鉴别证书转发给其他工作站或其他客户使用p 域间认证域间认证p 管理起来困难35Kerberos V4 协议的技术缺陷协议的技术缺陷p 加密操作缺陷p 非标准形式的 DES 加密(传播密码分组链接 PCBC)方式,易受攻击p 会话密钥p 存在着攻击者重放会话报文进行攻击的可能p 口令攻击p 未对口令提供额外的保护,攻击者有机会进行口令攻击36Kerberos V5 协议的协议的改进改进p 加密系统p 支持使用任何加密技术。p 通信协议p IP 协议外,还提供了对其他协议的支持。p 报文字节顺序p 采用抽象语法表示(ASN.1)和基本编码规则(BER)来进行规范。37Kerberos
22、V5 协议的协议的改进改进p 票据的有效期p 允许任意大小的有效期,有效期定义为一个开始时间和结束时间。p 鉴别转发能力p 更有效的方法来解决领域间的认证问题p 口令攻击p 提供了一种预鉴别(preauthentication)机制,使口令攻击更加困难。38Kerberos V5 协议协议过程过程39Kerberos V5 标志标志40Kerberos 小结小结41p 条 件 :条 件 : C l i e n t 与与K D C , K D C 与与Service 在协议工作前在协议工作前已经有了各自的共享已经有了各自的共享密钥,并且由于协议密钥,并且由于协议中的消息无法穿透防中的消息无法穿透
23、防火墙,这些条件就限火墙,这些条件就限制了制了Kerberos协议往协议往往用于一个组织的内往用于一个组织的内部,部, 使其应用场景不使其应用场景不同于同于X.509 PKI。条件条件 - 过程过程 - 总结总结Kerberos 总结总结概括起来说概括起来说Kerberos协议主要做了两件事协议主要做了两件事 1Ticket的安全传递。的安全传递。 2Session Key的安全发布。的安全发布。 再加上时间戳的使用就很大程度上的保证了用户鉴别的安再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用全性。并且利用Session Key,在通过鉴别之后,在通过鉴别之后Client和和Service之间传递的消息也可以获得之间传递的消息也可以获得Confidentiality(机密性机密性), Integrity(完整性完整性)的保证。不过由于没有使用非对称密钥自然的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性,这也限制了它的应用。相对而言它也就无法具有抗否认性,这也限制了它的应用。相对而言它比比X.509 PKI的身份鉴别方式实施起来简单。的身份鉴别方式实施起来简单。4243
