1、概況:
kerberos協議是20世紀80年代由mit開發的一種協議。kerberos主要是為tcp/ip網路設計的可信第三方鑑別協議,允許客戶以一種安全的方式來訪問網路資源。kerberos的基礎是ns協議。
他與ns協議不同在於:kerberos認為所有的時鐘已經同步好了。
kerberos基於對稱金鑰體質,通常採用的des,但也可用其他演算法替代。他與網路上的每個實體共享乙個不用的金鑰,是否知道共享金鑰便是實體的身份證明。
kerberos的基本原理:在乙個分布式的client/server體制機構中採用乙個或多個kerberos伺服器提供乙個鑑別服務。客戶端想請求應用伺服器server上的資源時,首先客戶端向kerberos認證伺服器請求一張身份證明,然後將身份證明交給server進行驗證,server在驗證通過後,即為客戶端分配請求資源。
2、票據:
票據是kerberos中乙個重要概念。票據是kerberos協議中用來記錄資訊、金鑰等得資料結構,客戶端用它向server證明身份,包括了客戶端身份標識、會話金鑰、時間戮和其他資訊。所有內容都是用server金鑰加密,因此只有認證伺服器和合法驗證者知道金鑰,而客戶端是不知道這個金鑰的,故無法篡改票據內容。
根據黨情對認證伺服器的請求和客戶端獲得票據的方式,kerberos伺服器自動設定標誌:
(1) 初始化表示
(2) 認證前標誌
(3) 非法標誌
(4) 更新標誌
(5) 延期標誌
(6) **和**標誌
(7) 前趨標誌
三、域:
域指乙個kerberos伺服器直接提供認證服務的有效範圍。通常kerberos系統使用領域來控制乙個由認證伺服器進行認證的區域,每個認證伺服器建立和維護自己的區域,並且支援跨域認證,即乙個域中的客戶端能夠被另乙個域的伺服器認證。
4、kerberos的工作過程:
kerberos協議分為兩個部分:
1、 client向kdc傳送自己的身份資訊,kdc從ticket granting service得到tgt(ticket-granting ticket),並用協議開始前client與kdc之間的金鑰將tgt加密回覆給client。此時只有真正的client才能利用它與kdc之間的金鑰將加密後的tgt解密,從而獲得tgt。(此過程避免了client直接向kdc傳送密碼,以求通過驗證的不安全方式)
2、 client利用之前獲得的tgt向kdc請求其他service的ticket,從而通過其他service的身份鑑別。kerberos協議的重點在於第二部分,簡介如下:
1、 client將之前獲得tgt和要請求的服務資訊(服務名等)傳送給kdc,kdc中的ticket granting service將為client和service之間生成乙個session key用於service對client的身份鑑別。然後kdc將這個session key和使用者名稱,使用者位址(ip),服務名,有效期, 時間戳一起包裝成乙個ticket(這些資訊最終用於service對client的身份鑑別)傳送給service,不過kerberos協議並沒有直接將ticket傳送給service,而是通過client**給service.所以有了第二步。
2、此時kdc將剛才的ticket**給client。由於這個ticket是要給service的,不能讓client看到,所以kdc用協議開始前kdc與service之間的金鑰將ticket加密後再傳送給client。同時為了讓client和service之間共享那個秘密(kdc在第一步為它們建立的session key), kdc用client與它之間的金鑰將session key加密隨加密的ticket一起返回給client。
3、 為了完成ticket的傳遞,client將剛才收到的ticket**到service. 由於client不知道kdc與service之間的金鑰,所以它無法算改ticket中的資訊。同時client將收到的session key解密出來,然後將自己的使用者名稱,使用者位址(ip)打包成authenticator用session key加密也傳送給service。
4、 service 收到ticket後利用它與kdc之間的金鑰將ticket中的資訊解密出來,從而獲得session key和使用者名稱,使用者位址(ip),服務名,有效期。然後再用session key將authenticator解密從而獲得使用者名稱,使用者位址(ip)將其與之前ticket中解密出來的使用者名稱,使用者位址(ip)做比較從而驗證client的身份。
5、如果service有返回結果,將其返回給client。
5、kerberos協議的安全性分析:
kerberos協議擁有不少優點,如:密碼不易被竊聽、密碼不在網上傳輸,相比其他協議更安全、密碼猜測更困難、對於使用者而言更便捷:一次使用口令登入,可以獲得多個服務。
但是,kerberos協議本身並不是無限安全的,而且也不能自動提供安全。其安全威脅存在於以下幾個方面:
1、 kerberos不能解決拒絕服務攻擊
2、 入侵者通過某種方法竊取了主體的私鑰,他就能冒充身份
3、 kerberos無法應付口令猜測攻擊
4、 要保證網路上每個主機時鐘都是鬆散同步的
5、 要保證主體的標識不能頻繁地迴圈使用。
針對kerberos的安全弱點,我們可以使用tpm增強kerberos安全性:
1、建立乙個信任根:信任根的可信性由物理安全和管理安全確保。
2、建立一條信任鏈:從信任根開始到硬體平台、到bios、到作業系統,一級測量認證一級,一級信任一級,從而把這種信任擴充套件到整個計算機系統。此過程中的日誌將會被儲存到儲存器中,每一步的測量值將會儲存到tpm中。
3、把日誌及tpm中的各種測量值報告給作業系統(os),由作業系統綜合日誌及測量值判斷此平台是否符合可信標準,若可信,再把這種信任傳遞到應用,最後傳遞到kerberos認證的網路中。
通過向kerberos認證中心嵌入tpm,使得通過kerberos認證的使用者平台進入網路時都是可信的。
這樣就加強了kerberos認證時無條件信任的第三方kerberos認證中心的安全性。
ARP協議分析
杜垠萱完成時間 2010 年4 月10日 實驗目的 分析arp address resolution protocol 報文首部格式 分析arp 協議在同一網段內和不同網段間的解析過程 實驗內容 1.在本機上分別執行ping 172.16.52.1 命令和ping 命令,並用wireshark 軟體...
hart 協議分析
1 引言 hart highway addressable remote transducer,可定址遠端感測器通路 通訊協議用於為過程控制裝置提供與可定址現場儀表通訊的服務,被認為是事實上的工業標準。儘管hart只是現場匯流排的過渡性協議 hart協議支援雙向數字通訊,並與4 20ma模擬控制訊號...
ARP協議原理分析
arp,全稱address resolution protocol,中文名為位址解析協議,它工作在資料鏈路層,在本層和硬體介面聯絡,同時對上層提供服務。ip資料報常通過乙太網傳送,乙太網裝置並不識別32位ip位址,它們是以48位乙太網位址傳輸乙太網資料報。因此,必須把ip目的位址轉換成乙太網目的位址...