�D�d于:http://jingle.blogbus.com/logs/86700.html
摘要:
在用户所进行的操作和所传送的数据具有相当敏感性的网络环境中,能否准确的认证用户身份是非常重要的。Kerberos认证协议是目前比较完美的解决这一问题的方法之一。本文的前三部分对Kerberos(V5)进行了详细的描述和分析,并给出了一个应用实例,第四部分列出了它的一些不足。其中的应用实例来自于对Kerberos认证系统亲身的安装和使用。为了能够抓住主干,更加清楚的描述这个协议,本文略去了Kerberos(V5) 的一些细节,比如它对跨域(Inter-realm)认证的支持和对代理认证的支持。由于许多关于Kerberos的讨论还没有读过,本文一定存在很多缺陷,欢迎阅读者指正。
1.引言
Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的,是该校Athena计划的一部分。总的来说,Kerberos 是一种基于私钥加密算法的,需要可信任的第三方作为认证服务器的网络认证系统。它允许在网络上通讯的实体互相证明彼此的身份,并且能够阻止旁听和重放等手段的攻击。不仅如此,它还能够提供对通讯数据保密性和完整性的保护。
Kerberos从提出到今天,共经历了五个版本的发展[1]。其中版本1到版本3主要由该校内部使用。当它发展到版本4的时候,已经取得了在MIT校园外的广泛认同和应用。由于版本4的传播,人们逐渐发现了它的一些局限性和缺点(例如适用网络环境有限, 加密过程存在冗余等等).MIT充分吸收了这些意见,对版本4进行了修改和扩充,形成了今天非常完善的版本5。截止到2000年1月,MIT对Kerberos(V5)的最新实现是版本krb5-1.1,本文中提到的实现都是以它为依据的。
2.术语
Kerberos: 在希腊神话中,Kerberos是守护地域之门的三头狗。在计算机世界里,MIT把他们开发的这一网络认证系统命名为Kerberos。
Realm: 一个Kerberos的认证数据库所负责的一个网络范围称作一个Realm。这个数据库中存放有该网络范围内的所有Principal和它们的密钥,数据库的内容被Kerberos的认证服务器AS和TGS所使用。Realm通常用大写的字符串表示,并且在大多数Kerberos系统的配置中,Realm的范围和该网络环境的DNS域是一致的。
Principal: 在Kerberos中,Principal是参加认证的基本实体。一般来说,它有两种,一种用来代表网络服务使用者的身份,另一种用来代表某一特定主机上的某种网络服务,也就是说Principal是用来表示客户端和服务端身份的实体。为了使用方便,用户所见到的Principal是用一个字符串来表示的(而在网络传输中, Principal的格式采用ASN.1标准,即Abstract Syntax Notation One,来准确定义),用户所见的这个字符串共分为三个部分:
①Primary: 第一部分。在代表客户方的情况,它是一个用户名;
在代表服务方的情况,它是一种服务的名字。
②Instance: 第二部分。对Primary的进一步描述,例如Primary
所在的主机名或Primary的类型等,可省略。它与第一部分之间
用‘/’分隔。
③Realm: 第三部分。Principal所在的Realm。与第二部分之间用
‘@’分隔,缺省为本地的Realm。
比如,Principal ”bernie/ercist.iscas.ac.cn @ISCAS.AC.CN” 表示Realm “ISCAS.AC.CN”中主机ercist.iscas.ac.cn上的用户bernie,而Principal “host/ercist.iscas.ac.cn @ISCAS.AC.CN”则通常用来表示Realm”ISCAS.AC.CN”中主机ercist.iscas.ac.cn上的rlogin服务。
Credential: Ticket和与它相联系的会话密钥合在一起称为Credential。在下文中可以见到,之所以有这个概念是因为它们是客户端在向服务器证明自己的身份时必需的两样东西.在一个Ticket的生存期内客户端会将这两样东西以Credential为单位保存在一个Cache文件中。
Ticket: 一个Ticket是一个用于安全的传递用户身份所需要的信息的集合。它不仅包含该用户的身份,而且包含其它一些相关的信息。一般来说,它主要包括客户方Principal,目的服务方Principal,客户方IP地址,时间戳(分发该Ticket的时间),该Ticket的生存期,以及会话密钥等内容。它的格式亦用ASN.1来准确定义。
Authenticator: 在客户端向服务端进行认证时,伴随Ticket一起发送的另外一个部分,它的作用是证明发送Ticket 的用户就是拥有Ticket的用户,即防止重放攻击。它的主要内容是一个时间戳(客户端发送Ticket的时间),在rfc1510中有它的完整的ASN.1定义。
AS(Authentication Server): 为用户分发TGT(Ticket Granting Ticket)的服务器。
TGT(Ticket Granting Ticket): 用户向TGS(Ticket Granting Server)证明自己身份的Ticket.
TGS(Ticket Granting Server): 为用户分发到最终目的Ticket的服务器,用户使用这个Ticket向自己要求提供服务的服务器证明自己的身份。AS,TGT,TGS这三个概念在这里只能给出简单的叙述,它们确切的含义在下面的“协议描述”一节自然可以见到。在实现上,AS和TGS实际上是由同一程序完成的,因为它们的实现机制并没有太大的差别,只是在加密所发出的Ticket时所使用的密钥不同(AS使用用户的密钥,而TGS使用会话密钥)。
KDC(Key Distribution Center): 这个概念是历史遗留下来的,比较模糊.通常将AS和TGS统称为KDC,有时也把AS 单独称为KDC。
3. Kerberos(V5)认证协议描述
3.1 协议描述中用到的符号
请准确的记住这些符号,因为在下文中会经常用到它们:
c : 客户端的Principal
s : 服务器的Principal
addr : 客户端的IP地址
life : 该Ticket的生存期
n : nonce,一个随机串
TGS : Ticket Granting Server
AS : Authentication Server
: x的密钥
: x和y的会话密钥
: x向y申请服务所用的Ticket
{abc} : 用x的密钥加密abc后的结果
: x发出的authenticator
3.2 协议描述和分析
Kerberos V5认证协议主要由5步构成,叙述如下(见图1):
1. Client → AS : c, tgs , n
2. AS → Client: { ,n} ,{ }
3.Client → TGS: { } ,{ } , s , n
4.TGS → Client: { ,n} ,{ }
5.Client→Server: { } ,{ }
图1: Kerberos V5 认证协议
第一步:Client → AS : c, tgs , n
Client向AS申请TGT(即图中的 )。
解释:Client向AS发送的消息主要有:代表自己的Principal ”c”, 代表所申请服务的Principal ”tgs”,以及一个随机串 “n”,n的作用在下面可以见到。
第二步:AS → Client: { ,n} ,{ }
AS发送TGT(即 )和会话密钥 给Client。
解释:AS收到Client第一步发来的消息后,由Principal “tgs”知道Client是要申请TGT。在验证数据库中存在Principal “c”后,它首先产生能够证明Client身份的Ticket 和一个随机的会话密钥 。 中主要包含(详见rfc1510):
{ c ,tgs ,addr ,realm , timestamp,life , }
然后它发给Client下列消息:用c的密钥 加密的 和n,以及用TGS的密钥 加密的 。将Client发送过来的n加密后发回的作用是向client证明自己就是AS,从而防止第三方的欺骗. 因为 只有Client和AS两者知道,故{ ,n} 只能由AS发出。
第三步:Client → TGS: { } ,{ } , s , n
Client向TGS申请访问Server的Ticket(即图中的 )。
解释:Client在收到第二步AS发回的消息后,首先用自己的密钥 解密{ ,n} ,得到 和n,然后将这个n与第一步发出的n相比较,如不同则说明有错。如相同,则把 和{ } 保存在Credential的Cache文件中. 接下来,Client产生Authenticator ,并把它用 加密。在MIT 的实现中, 主要包含下列内容(详见rfc1510):
{ c , s , realm , timestamp }
最后Client向TGS发送消息,消息的内容有:照搬第二步收到的{ } ,用 加密的 ,代表要申请的服务的Principal “s”,还有一个新的随机串n(作用同第一步中的n)。
第四步: TGS → Client: { ,n} ,{ }
TGS 发送{ } 和会话密钥 给Client。
解释:TGS收到Client第三步发来的消息后,首先用自己的密钥 (只有TGS和AS知道 )解密{ } 得到 ,进一步可以从 中得到 ,然后便可以解密出 。接下来,它将 中的c和realm与 中的c和realm相比较,看它们是否一致。如果不一致,说明有错。如果一致,说明 是用 加密的。如果 中的时间戳不是最近的(例如5分钟以内,由系统配置),说明有可能是重放攻击。如果 中的三元组(c,s,timestamp)是最近见到过的,也说明有可能是重放攻击。如果不是最近见到过的,TGS会把这个三元组记录下来,作为以后比较用。除此之外,TGS还会检查 是否超过了它的生存期。如果这些检查都获得通过,TGS便相信Client知道 ,又因为 在客户端上只能用 解密得到,也即Client知道 ,那么Client的身份就是c。
在确认Client的身份后,TGS便产生随机的会话密钥 和票据 .然后它从数据库中取出s的密钥 ,进行一番加密过程之后,把{ ,n} 和{ } 发送给Client。
第五步:Client→Server: { } ,{ }
Client将 提交给Server。
解释:Client收到TGS第四步送到的消息后的处理与第三步中的描述基本相同,只不过是将解密的密钥由 换成了 ,加密的密钥由 换成了 。 最后,它把{ } 和{ } 发给Server。
Server辨别Client身份的方法与TGS辨别Client身份的方法相同,请参见第四步描述。如果Client反过来需要Server向它证明身份,那么Server便会将 中的timestamp用 加密并返回给Client,以证明自己就是Server。在以后的通讯中,双方就可以用 或用 协商的新的子会话密钥来加密通讯数据(用以保证数据的保密性),也可以用它们来计算通讯数据的校验和(用以保证数据的完整性)。
这里特别需要指出的是,Kerberos协议中要求用户经过AS和TGS两重认证的好处主要有两个:一是可以显著减少用户密钥的密文的暴露次数,因为这样就可以减少攻击者对有关用户密钥的密文的积累;二是使Kerberos认证过程具有“Single Sign-on”(即一次性认证)的优点,通过上面的介绍可以看到,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码。
3.3 一个应用实例
为了更清楚的说明Kerberos V5认证协议,本节特别给出一个实际应用中的例子:假设某一局域网A,它的DNS域为iscas.ac.cn;Realm为ISCAS.AC.CN;Kerberos的数据库,AS以及TGS服务器都在主机kerberos.iscas.ac.cn上。A中主机ercist.iscas.ac.cn上的用户bernie对应的Principal为bernie/ercist.iscas.ac.cn @ISCAS.AC.CN;A中的另一台主机server.iscas.ac.cn上的rlogin服务器对应的Principal为host/server.iscas.ac.cn @ISCAS.AC.CN。Rlogin的客户端程序krlogin和服务端程序krlogind都是Kerberos化的,即都支持Kerberos认证协议。某日,bernie想用rlogin远程登录到A中的另一台主机server.iscas.ac.cn上这时bernie所要完成的步骤是:
① 运行kinit程序。kinit程序的作用是向AS申请TGT,并将获得的TGT和会话密钥放在保存Credential的文件中。为此,bernie在命令行上键入:
bernie ercist$ kinit -p bernie/ercist.iscas.ac.cn
“-p”后面跟的Principal表示为谁申请TGT。kinit程序在收到AS发回的消息后,就提示bernie输入password:
bernie ercist$ kinit -p bernie/ercist.iscas.ac.cn
Password for bernie/ercist.iscas.ac.cn @ISCAS.AC.CN:
在bernie正确的输入password后,kinit程序将这个password用约定的算法转化为bernie的密钥,并用这个密钥解密从TGS发回的消息,从而获得下一步使用的Credential。到此,kinit程序结束。由此可见,bernie的password并没有在网上传输,在网上传输的只是由bernie的密钥加密后的东西。
② 运行rlogin的客户端程序krlogin,为此bernie在命令行上键入:
bernie ercist$ krlogin server.iscas.ac.cn
krlogin程序首先在保存Credential的文件中寻找未过期的TGT,并把它交给TGS,从而获得访问server.iscas.ac.cn上rlogin服务的Ticket。接下来,它把这个Ticket和Authenticator一起发送给server.iscas.ac.cn的服务器程序krlogind。Krlogind在验证了bernie的身份后,就搜索本地bernie主目录下的文件“.k5login”,在“.k5login”文件中放有允许用rlogin远程登录到bernie帐户下的Principal。在找到了bernie/ercist.iscas.ac.cn @ISCAS.AC.CN之后,krlogind就申请一个虚拟终端,并fork一个shell,这时在ercist.iscas.ac.cn的终端上就会显示:
bernie ercist$ krlogin server.iscas.ac.cn
Sun Microsystems Inc. SunOS 5.6 Generic August 1997
bernie server$
说明登录成功了。
4.Kerberos V5的不足
4.1 不能很好的防止口令猜测攻击
为了使用的方便, 用户的密钥都是由一个password按某种算法转化而成的。由于在网上传输的是{ ,n} ,其中的n是可以旁听到的,这样就给猜测 提供了可能。其实,大括号中的东西不止 和n,还有其它一些具有可读性的明文,这样猜测 就变得更为容易。由于同样的原因,猜测会话密钥也是可能的。
Kerberos V5的设计者也意识到了这一问题,在Kerberos V5中作了以下几点努力:
① Ticket具有生存期,在生存期内使用者不必再次申请Ticket,这样就大量减 少了攻击者可以积累的被用户密钥加密的密文。其次,这一点也是出于使用起来方便的考虑。
② 由于Ticket和会话密钥会被保存起来,以便以后再次使用,这样就使会话密钥被猜中的可能性增大。为了弥补这一不足,在每一次新的连接中,客户端和服务端可以商定一个新的子会话密钥,当连接关闭时,这个子会话密钥就会消失。
③ 在请求Ticket的时候,可以设置pre-authentication选项。这个选项可以用来指明认证需要使用另外一种手持设备,这种手持设备能够在 的基础上产生不断变化的密钥。这样,就可以几乎完全阻止猜测口令攻击,但缺点是需要使用额外的设备。
4.2 用时间戳来阻止重放攻击代价偏高
为了使用时间戳来阻止重放攻击,服务器程序必须做以下这些工作:
① 比较实际获得的客户端IP地址和Ticket中含有的客户端IP地址,看它们是否一致。
② 保存所有有效的三元组(c,s,timestamp)。
③ 每收到一个最近的(fresh)时间戳,都要把它和保存的所有三元组进行比较.如果发现有相同的,则说明是重放攻击.同时删除那些过期的三元组。
④ 由于可能有很多的服务进程同时运行,以上关于三元组的操作必须用某种机制来保持互斥。
由此可见,如果这种服务比较繁忙的话,那么它运行的速度将会有明显的降低。实际上,在Kerberos V4中就已经提出了这种解决方法,但是一直拖到Kerberos V5才给予实现,MIT对此的解释正是这种解决方法的代价比较高。
4.3 时间同步问题是一个薄弱环节
从以上的描述中可以看到,Kerberos V5在很多地方都要用到时间,比如Ticket具有生存期,Authenticator中含有时间戳等等。如果分布在各地的主机的时间很难保持一致,那么Kerberos认证系统就很难正常的运行。虽然Kerberos系统允许各个主机的时间有一定的偏差(最大偏差由系统管理员来定义),并在程序设计中把这个偏差考虑了进去,但是由于各台主机的时钟并不能很好的保持走时准确,这个偏差会越来越大。如果各主机的物理时钟实在差别比较大,则有必要采用某种时间同步协议,然而这不仅增加了Kerberos认证系统的复杂程度,而且带来了安全方面的新问题(即时钟同步协议带来的安全问题)。另外,如果某台主机的时间被更改,那么这台主机就无法使用Kerberos认证协议了;如果服务器的时间发生了错误,那么整个Kerberos认证系统将会瘫痪。
以上列出了Kerberos V5的一些不足,尽管Kerberos V5有以上这些不尽人意的地方,但它仍然不失为一个在安全与代价的协调方面处理得比较好的协议(即“安全/代价比”很理想),这也是它得到了广泛应用的原因之一。目前存在一些用公钥密码体制来加强Kerberos的方法,但由于公钥体制中的计算要比私钥体制慢很多,这些方法会增加Kerberos系统运行的代价。然而话又说回来,更高的安全要求必然需要付出更高的代价。
参考文献
1. John T. Kohl, Thd Evolution of the Kerberos Authentication Service, EurOpen Conference Proceedings,May 1991
2. Neuman C,Ts’o T. Kerberos: An authentication service for computer networks. IEEE Communication Magazine,1994,32(9):33-38
3. Bellovin S. M, Merritt M. Limitation of the Kerberos authentication systems. ACM SIGCOMM Computer Communication Review, 1990,20(5):119-132
4. John T. Kohl, C. Neuman : The Kerberos Network Authentication Service (V5)
RFC 1510, September 1993