禹水琴

摘要：Kerberos是University of Massachusetts設計開發(fā)的一種認證。本Kerberos系統由六臺主機組成，其中一臺作為Kerberos系統的服務器兼主KDC，兩臺作為從KDC，另外三臺分別作為telnet服務器、FTP服務器和客戶機。部署Kerberos基礎結構涉到安裝KDC，為主機創(chuàng)建密鑰以及遷移用戶。重新配置Kerberos部署與執(zhí)行初始部署一樣困難，因此要認真規(guī)劃部署以避免必須進行重新配置。

關鍵詞：Kerberos；認證協議；KDC

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）24-0037-03

Design and Analysis of Kerberos Experimental System

YU Shui-qin

（Department of Computer Science， Sichuan Post and Telecommunication College， Chengdu 610067， China）

Abstract： Kerberos is a kind of authentication for the design and development of of Massachusetts University. The Kerberos system is made up of six hosts， one of which is the server and master Kerberos system as the KDC system， two as from KDC， and the other three as telnet server， FTP server and client. The deployment of the Kerberos infrastructure involves the installation of KDC， creating keys for the host， and migrating users. Reconfiguration of Kerberos is as difficult as the implementation of the initial deployment， and therefore must be carefully planned to avoid the need to be re configured.

Key words： Kerberos； authentication protocol； KDC

所謂認證協議就是指在網絡實體之間秘密進行發(fā)送、接收、確認等操作的非否認性或安全認證。哪怕是討論最基本的，只有3-4個實體，交換的消息只有4-6條，要設計，認證一個這樣的協議也非常麻煩。事實證明要開發(fā)，設計一個認證協議是非常復雜的一項工作，現在很多組織結構，大型公司致力于這項工作。

在一個分布式的client/server體系結構中采用一個或多個Kerberos服務器提供一個認證服務。從用戶的角度來看，啟動Kerberos會話后，Kerberos服務通常不可見。一些命令（如telnet或ftp）也是如此。初始化Kerberos會話通常僅包括登錄和提供Kerberos口令。

1 Kerberos驗證過程

Kerberos驗證分為兩個階段：允許進行后續(xù)驗證的初始驗證以及所有后續(xù)驗證自身。

1.1 初始驗證—票證授予票證

客戶機（用戶或應用服務器）通過從密鑰分發(fā)中心（KeyDistributionCenter，KDC）請求票證授予票證（Ticket-GrantingTicket，TGT）開始Kerberos會話。此請求通常在登錄時自動完成。

KDC可創(chuàng)建票證授予票證，并采用加密形式將其發(fā)送回客戶機?？蛻魴C使用其口令來解密票證授予票證。

擁有有效的TGT（票證授予票證）后，只要該TGT未到期，客戶機便可以請求所有類型的網絡操作（如rlogin或telnet）的票證。此票證的有效期通常為幾個小時。每次客戶機執(zhí)行唯一的網絡操作時，都將從KDC請求該操作的票證。

1.2 啟動Kerberos驗證

1）客戶機通過向KDC發(fā)送其票證授予票證作為其身份證明，從KDC請求特定服務（例如，遠程登錄到另一臺計算機）的票證。

2）KDC將該特定服務的票證發(fā)送到客戶機。

例如，假定用戶joe在服務器boston上使用rlogin。因為這個用戶早已通過驗證（也就是說這個用戶已經拿到票證授予票證），所以當運行到rlogin時，這個用戶會自動透明地獲得票證。這個用戶利用這個票證可任何時候遠程登錄到boston，一直到票證期限結束為止。假如joe想遠程登錄到電腦denver，就要按上面步驟獲得另一個票證。

3）客戶機將票證發(fā)送到服務器。

使用網絡應用服務時服務器會自動透明地將服務器的票證發(fā)送到應用服務器。

4）服務器允許此客戶機進行訪問。

2 規(guī)劃Kerberos部署

在安裝Kerberos服務之前，必須解決幾個配置問題。雖然在初始安裝后可以更改配置，但每向系統中添加一臺新客戶機便會增加執(zhí)行此操作的難度。而且某些更改可能需要進行完全重新安裝，所以在規(guī)劃Kerberos配置時最好應考慮長期目標。

2.1 Kerberos領域

領域是一個類似于域的邏輯網絡，用于定義一組系統，這些系統位于同一主KDC下。與建立DNS域名一樣，在配置Kerberos服務之前，應解決以下問題以便進行跨領域驗證：領域名稱、領域數和每個領域的大小以及各領域之間的關系。

2.2 Kerberos領域和服務器

每個領域都必須包括一臺用于維護主體數據庫的主副本的服務器。此服務器稱為主KDC服務器。此外，每個領域還應至少包含一臺從KDC服務器，該服務器包含主體數據庫的多個副本。主KDC服務器和從KDC服務器都可創(chuàng)建用于建立驗證的票證。

領域還可以包含兩種其他類型的Kerberos服務器。Kerberos網絡的應用程序服務器是用于提供對基于Kerberos的應用程序（如ftp、telnet和rsh）的訪問的服務器。領域還可以包括NFS服務器，該服務器使用Kerberos驗證來提供NFS服務。

2.3 Kerberos術語

下表列舉了Kerberos認證技術中相關的一些關鍵的術語。

[術語＼&概念解釋＼&領域

（realm）＼&Kerberos的認證數據庫所負責的一個網絡范圍稱作一個realm。該數據庫中存放該網絡范圍內的所有主體（principal）及其密鑰，數據庫的內容被Kerberos的ticket分發(fā)服務器as和TGS訪問。Realm通常用大寫的字符串表示，并且在大多數Kerberos系統的配置中，realm和該網絡環(huán)境的DNS域是一致的。＼&主體

（principal）＼&在Kerberos協議中，主體是參加認證的基本實體。通常，主體有兩種類型，一種表示網絡服務使用者的身份，另一種表示某一特定主機上的某種網絡服務，即主體是表示客戶端和服務端身份的實體。用戶所見到的主體用一個字符串表示，其結構如下：

主名（Primaryname）

實例（Instance）

領域（Realm）

故一個Kerberos主體可以表示為：Primaryname/Instance@Realm，一個在LILAC.HIT.EDU.CN域內的用戶名為hyw，實例為管理員admin的主體名可以表示為：hyw/admin@LILAC.HIT.EDU.CN。

再如，principal“john/abc.def.com@DEF.COM”表示域“def.com”中主機abc.def.com上的用戶john。＼&票據

（ticket）＼&Ticket是安全傳遞用戶身份所需要的信息集合，包含身份和其他相關信息。通常，它包括客戶方principal、服務方principal、客戶方IP地址、時間戳（分發(fā)ticket的時間）、ticket的生存期、會話密鑰等。＼&會話密鑰

（SessionKey）＼&在兩個主體之間使用的一個暫時的加密密鑰，它的生存時間僅局限在一次通信會話過程中。＼&證書

（credential）＼&在一次認證交換中為了成功使用門票所需的信息，它包含一張門票和一個會話密鑰。在票據的生存期內，客戶端將證書保存在cache文件中。＼&認證符

（authenticator）＼&在客戶端向服務端進行認證時，它伴隨ticket一直發(fā)送。其作用是證明ticket的用戶就是擁有ticket的用戶，用于防止重放攻擊。它的主要內容是時間戳（客戶端發(fā)送ticket的時間）。＼&TGS

（票據發(fā)送服務器，Ticketgrantingserver）＼&為用戶分發(fā)ticket的服務器，用戶使用這個ticket向要求提供服務的服務器證明自己的身份。＼&TGT

（票據認證票據，Ticketgrantingticket）＼&用戶向TGS證明自己身份的ticket。＼&As

（身份證證服務器，Authenticationserver）＼&為用戶分發(fā)TGT的服務器。＼&KDC

（密鑰分配中心，Keydistributioncenter）＼&通常as和TGS統稱為KDC，有時也指KDC所在的主機。＼&]

3 Kerberos實驗系統設計

3.1 Kerberos系統組成

本Kerberos系統由六臺主機組成，其中一臺作為Kerberos系統的服務器兼主KDC，兩臺作為從KDC，另外三臺分別作為telnet服務器、FTP服務器和客戶機。

上圖中各角色在實驗中的參數設置如下：

領域名稱：XNJTDX. LAB DNS域名：xnjtdx.lab 主KDC：kdc1. xnjtdx.lab

從KDC1：kdc2. xnjtdx.lab 從KDC2：kdc3. xnjtdx.lab 客戶機：ct. xnjtdx.lab

telnet服務器：tlt. xnjtdx.lab FTP服務器：ftp. xnjtdx.lab admin主體：adn. xnjtdx.lab

3.2 Kerberos組件

Kerberos服務也包括以下內容：

1）密鑰分發(fā)中心（主KDC）

2）從KDC。

3）數據庫管理程序-kadmin和kadmin.local。

4）數據庫傳播軟件-kprop。

5）用于獲取、查看和銷毀票證的用戶程序-kinit、klist和kdestroy。

6）用于更改Kerberos口令的用戶程序-kpasswd。

7）遠程應用程序-ftp、rcp、rdist、rlogin、rsh、ssh和telnet。

8）遠程應用程序守護進程-ftpd、rlogind、rshd、sshd和telnetd。

3.3 必要命令

3.3.1 KDC服務命令

krb5kdc

這是啟動基于KerberosV5的KDC服務的命令，只有KDC主機才可以啟動這一服務。它的原始地址是在/optr/kerberos/sbin/krb5kdc。

kadmind

這一命令可以啟動KDC上的密鑰管理服務，只有KDC主機才可以啟動這一服務。它的原始地址是在/usr/kerberos/sbin/kadmin。

3.3.2 kdb5_util命令

這一命令把Kerberos數據庫作為一個整體進行操作，通過輸入：kdb5_util可以查看它的命令格式和參數信息，這里只介紹實驗中用到的幾個命令。

在EXAMPLE.COM域中創(chuàng)建Kerberos數據庫：kdb5_utilcreate–rEXAMPLE.COM-s

在本機創(chuàng)建一個數據庫備份文件：kdb5_utildumpslave文件

在本機創(chuàng)建一個用于鑒別KDC的stash文件：kdb5_utilstash

3.3.3 kadmin.local/kadmin命令

這兩個命令都是修改數據庫中單個個體的函數，前者是主KDC管理本地的Kerberos數據庫的命令，直接輸入即可進入數據庫管理界面；后者是遠程管理Kerberos數據庫的命令，需要一個存在于數據庫中的主體及其密碼才可以進入。例如已經數據庫中的一個主體名為host/abc.example.com，它的密碼是：1234，那么命令形式如下圖：首先輸入：kadmin-phost/abc.example.com，系統會檢查是否有這個主體，如果存在，它會提示客戶輸入密碼，如果也正確，就登入成功了。這時系統會出現”kadmin：”字樣的提示符。

3.4 Kerberos應用（ekrb5-telnet和gssftp）

應用Kerberos使我們能夠設計一個基本的Kerberos認證及應用服務系統，該系統運行在操作系統為Linux的主機上，它提供基本的Kerberos認證服務，并提供Kerberos化的遠程登錄和文件傳輸安全服務。我們也把遠程登錄和文件傳輸系統的Kerberos化稱為Kerberizedtelnet和Kerberizedftp。通常我們也把Kerberos化的應用服務系統簡稱為Kerberos應用服務系統。

參考文獻：

[1] 網絡信息安全綜合實驗系統v3.5（實驗篇）.

[2] 網絡信息安全綜合實驗系統v3.5（原理篇）.

[3] 文鐵華，谷士文.增強Kerberos協議安全性的改進[J].通信學報，2004（06）.

[4] 巨瑜芳.Kerberos協議簡介及安全性分析[J].科技傳播，2010（16）.