信息安全导论课程-ch14-认证应用系统

B密码编码学与网络安全电子工业出版社2006-2007B第14章认证应用系统•14.1Kerberos↓•14.2X.509/CA↓•14.3公钥基础设施PKI↓*14.aPKIinWindows↓*14.bEJBCA↓*14.cOpenCA↓*14.dCAwithOpenSSL↓B认证系统•Kerberos主要是局域网上的认证系统，它早期基于对称算法，封装了加密、鉴别等安全服务，提供了统一的用户接口。后期Kerberos也开始支持公钥，使用证书。•PKI/CA好像是解决电子商务安全的正确道路。CA是一个离线中心，因此适合互联网这种分布式又管理松散的环境。但是维护一个CA(不管是商用CA或自己独立的CA)给人的感觉是过于复杂。B14.1Kerberos•LAN上的安全•Kerberos•KerberosinWindows•KerberosinLinuxBLAN上安全•服务器、工作站、用户–用户使用工作站访问服务器资源•局域网上安全问题–窃听导致泄密–重放攻击–假冒用户，用户盗用工作站–假冒工作站，工作站地址被盗用•对应的可能安全方法–工作站核认用户身份工作站向服务器证实自己的身份(信任用户身份)–用户和服务器相互认证/鉴别BKerberos动机•目标–防窃听，防假冒–透明，只要输入一个口令–可靠，合法性的唯一标识依据就是获得KB访问–可扩展伸缩性，适应模块化和分布式•服务–鉴别Authentication–授权Authorization–记帐AccountingBKerberos•TheNetworkAuthenticationProtocol–Kerberosisanetworkauthenticationprotocol.–Itisdesignedtoprovidestrongauthenticationforclient/serverapplicationsbyusingsecret-keycryptography.–AfreeimplementationofthisprotocolisavailablefromtheMIT.Kerberosisavailableinmanycommercialproductsaswell.––阅读•DesigninganAuthenticationSystem:aDialogueinFourScenes–的启发协议•V4核心举例–C是客户、V是服务器、AS是鉴别服务器–C－AS：IDc＋Pc＋IDv，Pc是c的口令–C－AS：Ticket＝Ekv(IDc＋ADc＋IDv)•ADc是C的网络地址，kv是AS和V的共享密钥–C－V：IDc＋Ticket•问题–Pc的明文传输–用户口令的一次输入，重复使用–票据的生存周期–对服务器的鉴别BKerberosv4Overview•BKerberosv4•请求域间服务BKerberosv4Message•BKerberosv5•改进–不仅依赖于DES–不仅使用IP协议–使用ASN.1/BER数据编码规则–扩展了票据有效期–鉴别的转发(代理/转让)–加强了领域间的鉴别能力–省去了不必要的双重加密–PCBC－CBC–增强了抗口令攻击的能力–增加了一票据对会话密钥的能力BKerberosv5MessageBKerberos中的passwd、key、enc•passwdkeyn个字符的串7n个比特序列往返56b折叠并xor•56bitDESkey－PCBC–Cn＝Ek(Cn-1XORPn-1XORPn)BKerberosDistribution•TheMITKerberosTeam–•KerberosinLinux–#rpm-qa|grepkrb–ConfiguringaKerberos5Server–ConfiguringaKerberos5Client–•密钥发行中心(KDC)–一种网络服务，提供在KerberosV5身份验证协议中使用的会话票证和临时会话密钥。•票证–用于安全原则的标识数据集，是为了进行用户身份验证而由域控制器发行的。Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。•票证授予式票证(TGT)–用户登录时，Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时，用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的，它有时称为“用户票证”。•票证授予服务(TGS)–由“KerberosV5密钥分发中心(KDC)”服务提供的一种KerberosV5服务，它在域中发行允许用户验证服务的服务票证。BKerberosinWindows(2k3)•KerberosV5身份验证–KerberosV5是在域中进行身份验证的主要安全协议；同时要验证用户的身份和网络服务。•KerberosV5工作原理概述–KerberosV5身份验证机制颁发用于访问网络服务的票证。这些票证包含加密的数据，其中包括加密的密码，用于向请求的服务确定用户的身份。–除了输入密码或智能卡凭据，整个身份验证过程对用户都是不可见的。–KerberosV5中的一项重要服务是密钥发行中心(KDC)。KDC作为ActiveDirectory目录服务的一部分在每个域控制器上运行，它存储了所有客户端密码和其他帐户信息。B-–KerberosV5身份验证过程按如下方式工作：(1)客户端上的用户使用密码或智能卡向KDC进行身份验证。(2)KDC为此客户颁发一个特别的票证授予式票证。客户端系统使用TGT访问票证授予服务(TGS)，这是域控制器上的KerberosV5身份验证机制的一部分。(3)TGS接着向客户颁发服务票证。(4)客户向请求的网络服务出示服务票证。服务票证向此服务证明用户的身份，同时也向该用户证明服务的身份。–KerberosV5服务安装在每个域控制器上，每个域控制器作为KDC使用。域控制器在用户登录会话中作为该用户的首选KDC运行。–Kerberos客户端安装在每个工作站和服务器上。客户端使用域名服务(DNS)定位最近的可用域控制器。如果首选KDC不可用，系统将定位备用的KDC来提供身份验证。BWindows域•了解以下概念–WindowsServer–Domain/ActiveDirectory–WorkstationjointheDomain–LoginintoaDomain–ResourceinaDomain•并练习验证相关概念–使用虚拟机VmwareBKerberosinLinux•KerberosInfrastructureHOWTO–•InFedoraCorebasedGNU/Linux–thepackagesrequiredtoprovideKerberosserviceare:•“#rpm-qagrepkrb”krb5-serverkrb5-libs•AboutchoosingarealmnameBKerberosinLinux•/etc/krb5.conf•default_realm=GNUD.IE•[realms]•GNUD.IE={•kdc=kerberos1.gnud.ie:88•kdc=kerberos2.gnud.ie:88•admin_server=kerberos1.gnud.ie:749•default_domain=gnud.ie•}•[domain_realm]•.gnud.ie=GNUD.IE•gnud.ie=GNUD.IEBKerberosinLinux•ToinitializeandcreatetheKerberosdatabase:#/usr/Kerberos/sbin/kdb5_utilcreate-s•edittheaclfiletograntadministrativeaccess–/etc/krb5.conf–/var/Kerberos/krb5kdc/kdc.conf/var/Kerberos/krb5kdc/kadm5.acl•anyaccountwhichendswitha/adminintheGNUD.IErealmisgrantedfullaccessprivileges:*/admin@GNUD.IE*BKerberosinLinux•Createadministrativeuser#/usr/Kerberos/sbin/kadmin.local-qaddprincadmin/admin•Tostartautomatically#/sbin/chkconfigkrb5kdcon#/sbin/chkconfigkadminon•Startupmanually#/etc/rc.d/init.d/krb5kdcstart#/etc/rc.d/init.d/kadminstart•Createtheuserprincipal#kadmin.localBKerberosinLinux•TimeSynchronization•TheNetworkTimeProtocol(NTP)•NTPpackage•/etc/ntp.conf–servertime.nist.govBKerberosinLinux•Clientpackagekrb5-workstation•/etc/krb5.conf•/var/Kerberos/krb5kdc/kdc.conf•TestKerberosauthenticationusingthekinit$kinitusername•theKDClog(serverside)/var/log/Kerberos/krb5kdc.logBKerberosinLinux•PAM-PluggableAuthenticationModule•/usr/share/doc/pam_krb5-1.55/pam.d•authrequired/lib/security/pam_krb5.souse_first_pass•ApacheWebServer•Directory/home/httpd/htdocs/content•AllowOverrideNone•AuthTypeKerberosV5•AuthNameKerberosLogin•KrbAuthRealmGNUD.IE•requirevalid-user•/Directory•vs.wins–•RFC1510(2942/3244)–•KerberosFAQ–•FermilabKerberos––•