安全基础2PPT文档格式.ppt
- 文档编号:14648423
- 上传时间:2022-10-23
- 格式:PPT
- 页数:64
- 大小:1.15MB
安全基础2PPT文档格式.ppt
《安全基础2PPT文档格式.ppt》由会员分享,可在线阅读,更多相关《安全基础2PPT文档格式.ppt(64页珍藏版)》请在冰豆网上搜索。
KDCOptionsIDc:
principalsnameRealmc:
clientsrealmIDtgs:
TGSsnameTimes(from,till,rtime)Nonce1可选的扩展信息,Kerberos消息
(2),AuthenticationServer(KDC)-ClientRealmcIDcTickettgsEncryptedData(withKc)Kc,tgsTimes(LastReq,Key-expiration*,Authtime,Starttime*,Endtime,Renew-till*)Nonce1RealmtgsIDtgs,Tickettgs信息,EncryptedwithKtgsFlagsKc,tgsRealmcIDcADcTimes,Kerberos消息(3),C-TGSOptions:
KDCOptionsIDv:
ServersnameTimes(from*,till,rtime*)Nonce2TickettgsAuthenticatorc,Authenticator,EncryptedwithKc,tgsIDcRealmcTS1用途是服务器可用来认证Ticket的有效性TS可告诉服务器客户机当前的时间,Kerberos消息(4),TGS-CRealmcIDcTicketvEncryptedData(withKc,tgs)Kc,vTimesNonce2RealmvIDv,Ticketv信息,EncryptedwithKvFlagsKc,vRealmcIDcADcTimes,Kerberos消息(5),C-ServerOptionsTicketvAuthenticatorcAuthenticaor:
EncryptedwithKc,vRealmcIDcTS2SubkeySeq#,Kerberos消息(6),Server-C(optional)仅用于双向认证EncryptedData(withKc,v)TS2SubkeySeq#,Ticket交换中的flags,INITIAL是由AS发出的ticketRENEWABLE告诉TGS,当这个ticket过期之后,它可以用来获得一个新的ticketMAY-POSTDATE告诉TGS,以后可以根据这个ticket(TGT),发出一个postdate的ticketPOSTDATED表示这个ticket已经被postdated,ticket中的flags(续),INVALIDTicket已经无效,用之前必须先使它有效PROXIABLE告诉TGS,根据所出示的ticket,发出一个地址不同的新ticketPROXY表示这是一个proxyticketFORWARDABLE告诉TGS,根据这个TGT,发出一个地址不同的新ticketFORWARDED表明这个ticket是一个forwardedticket,INITIAL,表明一个ticket是由AS发出的有的应用服务要求客户必须知道password,那么它可以要求只接受包含INITIAL标记的ticket例如,修改口令的应用服务,PRE-AUTHENT&
HW-AUTHENT,AS可以要求在发出ticket之前,先认证客户,因此,客户必须提供一个预认证数据块,比如,包含随机数、时间戳,等,然后用客户的私钥加密如果客户没有提供AS所要求的预认证数据,则AS返回一个KDC_ERR_PREAUTH_FAILE消息如果AS在认证的时候,要求硬件认证支持,则可以指定HW-AUTHEN标记,RENEWABLE,如果一个ticket设置了RENEWABLE,则它包含两个过期时间一个是当前ticket的过期时间另一个是最终的过期时间客户可以请求一个新的ticket,只要在最终的过期时间之内,TGS都可以发出新的ticket,其中过期时间往后延长好处如果一个ticket被偷,TGS可以拒绝发出新的ticket,POSTDATED和INVALID,客户可以先用MAY-POSTDATE向AS请求一个TGT然后,客户利用这个TGT,可以申请一些同时包含POSTDATED和INVALID的tickets,用于以后的会话过程客户在使用之前,通过VALIDATEoption,先请求TGS使INVALIDticket有效用处:
比如在一个处理时间很长的任务中,PROXIABLE和PROXY,PROXIABLE告诉TGS,根据所出示的ticket,发出一个地址不同的新ticketPROXY表示这是一个proxyticket用处允许客户把一个proxy传递给server,让这个proxy代替自己完成特定的任务原理通过网络地址来认证客户,FORWARDABLE&
FORWARDED,告诉TGS,根据这个TGT,发出一个地址不同的新ticketFORWARDED表明这个ticket是一个forwardedticket其实也是proxy的一种情形可以完全代替客户的身份一个用途在跨域认证的时候,客户可以把这样的ticket出示给其他域的TGS,这使得客户可以访问其他域的服务器,Cross-realm认证,Kerberos4支持跨realm认证,Cross-realm认证(续),Kerberos5支持跨realm认证提供了可伸缩能力,Kerberos数据库,KDC必需一个数据库,保存以下基本信息Name:
principalsidentifierKey:
principalssecretkeyP_kvno:
principalskeyversionMax_life:
maximumlifetimeforticketsMax_renewable_life:
其他的扩展fields数据库的实现取决于具体的Kerberos实现,它可以与KDC位于不同的服务器,但是要保证安全性,Kerberos:
数据完整性和私有性,完整性对每一个包计算检验和,并加密HMAC算法私有性既然客户和服务器已经有了共享随机密钥,那么私有性就很容易保证,Kerberos中加密算法规范,具体的算法可以在参数中指定NULLEncryptionsystemDESinCBCmodewithaCRC-32checksumDESinCBCmodewithaMD4checksumDESinCBCmodewithaMD5checksum,关于Kerberos的一些讨论,重放攻击Cachingauthenticators时间服务口令猜测攻击数据加密算法的分离,参考:
Bel90.S.M.BellovinandM.Merritt,LimitationsoftheKerberosAuthenticationSystem,ComputerCommunicationsReview20(5),pp.119-132(October1990).,Kerberos的实现MITrelease,MIT提供了完整的Kerberos实现目前的最新版本为1.2源码开放是其他厂商的重要参考支持各种平台(包括Windows)同时提供了各种工具(k系列),kadmin,管理Kerberos数据库,功能有显示principal的属性获得principal列表增加、删除或者修改principal修改口令策略管理,Kadmin举例,shell%kadminkadmin:
getprincjennifer/rootPrincipal:
jennifer/rootATHENA.MIT.EDUKeyversion:
3Maximumlife:
1day00:
00:
00Maximumrenewablelife:
7days00:
00Masterkeyversion:
1Expires:
MonJan1822:
14:
07EDT2038Passwordexpires:
MonSep1914:
40:
00EDT1996Passwordlastchanged:
MonJan3102:
06:
40EDT1996Lastmodified:
byjoeadmin/adminATHENA.MIT.EDUonWedJul1318:
27:
08EDT1996Attributes:
DISALLOW_FORWARDABLE,DISALLOW_PROXIABLE,REQUIRES_HW_AUTHSalttype:
DEFAULTkadmin:
kdb5_util,功能把kerberos数据库dump出来恢复kerberos数据库创建或者删除一个kerberos数据库,kinit,kinit获得一个ticket例如,shell%kinitPasswordforjenniferATHENA.MIT.EDU:
-Typejenniferspasswordhere.shell%如果口令不正确,则:
shell%kinitPasswordforjenniferATHENA.MIT.EDU:
-Typethewrongpasswordhere.kinit:
Passwordincorrectshell%,klist,列出所有的tickets,shell%klistTicketcache:
/tmp/krb5cc_ttypaDefaultprincipal:
jenniferATHENA.MIT.EDUValidstartingExpiresServiceprin
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 基础
![提示](https://static.bdocx.com/images/bang_tan.gif)