Kerberos与PKI
Kerberos是对称密钥,而PKI(Public Key Infrastructure,公共密钥基础设施)是非对称密钥,在使用Kerberos认证时,首先向密钥分发中心(KDC)发送初始票据TGT(ticket-granting ticket)来请求会话票据,以便获取服务器提供的服务。
Kerberos是由MIT发明的,为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如果是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。他采用可信任的第三方,密钥分发中心(KDC)保存与所有密钥持有者通信的保密密钥,其认证过程颇为复杂,下面简化叙之。
首先客户(C)向KDC发送初始票据TGT,申请访问服务器(S)的许可证。KDC确认客户合法后,临时生成一个C与S通信时用的保密密钥KCS,并用C的密钥KC加密KCS后传给C,并附上用S的密钥KS加密的“访问S的许可证TS,内含KCS"。当C收到上述两信件后,用他的KC解密获得KCS,而把TS原封不动地传给S,并附上用KCS加密的客户身份和时间。当S收到这两信件后,先用他的KS解密TS获得其中的KCS,然后用这KCS解密获得客户身份和时间,告之客户成功。之后C和S用KCS加密通信信息。
Kerberos系统在分布式计算环境中得到了广泛的应用是因为他具有以下的特点。
- 安全性高:Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息;
- 透明性高:用户在使用过程中,仅在登录时要求输入口令,与平常的操作完全一样,Kerberos的存在对于合法用户来说是透明的;
- 可扩展性好:Kerberos为每一个服务提供认证,确保应用的安全。
Kerberos系统和看电影的过程有些相似,不同的是只有事先在Kerberos系统中登录的客户才可以申请服务,并且Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器)去要求得到最终服务的客户。
Kerberos有其优点,也就有其缺点,主要是:
- Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
- AS与TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全。在AS和TGS前应该有访问控制,以增强AS和TGS的安全;
- 随着用户数的增加,密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值,AS与TGS负责用户间通信密钥的分配。当N个用户想同时通信时,仍需要N(N-1)/2个密钥。
PKI(Public Key Infrastructure,公共密钥基础设施)是CA安全认证体系的基础,为安全认证体系进行密钥管理提供了一个平台,他是一种新的网路安全技术和安全规范。他能够为所有网路应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI包括认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。
阅读(3542) | 评论(0) | 转发(0) |