admin 管理员组文章数量: 887021
1.Kerberos&LDAP 简介
(1)Kerberos 是安全认证的概念,该系统设计上采用客户端/服务器结构与 DES、 AES 等加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止 reply 攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos 基本概念:
票据授权票据 (TGT Ticket-Granting Ticket) :用于应用程序与 KDC(Key Distribution Center 密钥分发中心)服务器建立安全会话的票据,票据授权票据存在有效期,当票据授权票据失效后,应用侧需要重新建立与 KDC 服务器的安全会话。会话有效期为 24 小时,不可配置。
服务票据(STServiceTicket):用于应用程序与服务端建立安全会话的票据,服务票据存在有效期,当服务票据失效后,应用侧需要重新建立与服务端的安全会话。默认有效期为 5 分钟,不可配置。
(2) Ldap(LightweightDirectoryAccessProtocol),轻量目录访问协议,提供被称为目录服务的信息服务,特别是基于 X.500(构成全球分布式的目录服务系统的协议)的目录服务。Ldap 运行在 TCP/IP 或其他面向连接的传输服务之上。 Authentication 解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行 Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于 A 和 B,那么有个人对 B 声称自己就是 A,B 通过让 A 提供这个秘密来证明这个人就是他或她所声称的 A。这个过程实际上涉及到 3 个重要的关于 Authentication 的方面:
(1)Secret 如何表示。
(2)A 如何向 B 提供 Secret。
(3)B 如何识别 Secret。
基于这 3 个方面,我们把 KerberosAuthentication 进行最大限度的简化:整个过程涉及到 Client 和 Server,他们之间的这个 Secret 我们用一个 Key (KServer-Client)来表示。Client 为了让 Server 对自己进行有效的认证,向对方提供如下两组信息:
代表 Client 自身 Identity 的信息,为了简便,它以明文的形式传递。将 Client 的 Identity 使用 KServer-Client 作为 PublicKey、并采用对称加密算法进行加密。由于 KServer-Client 仅仅被 Client 和 Server 知晓,所以被 Client 使用 KServer-Client 加密过的 ClientIdentity 只能被 Client 和 Server 解密。同理,Server 接收到 Client 传送的这两组信息,先通过 KServer-Client 对后者进行解密,随后将机密的数据同前者进行比较,如果完全一样,则可以证明Client 能过提供正确的 KServer-Client,而这个世界上,仅仅只有真正的 Client和自己知道 KServer-Client,所以可以对方就是他所声称的那个人。Keberos 大体上就是按照这样的一个原理来进行 Authentication 的。但是 Kerberos 远比这个复杂。
2.LDAP 文件结构
LDAP 信息模型是基于条目来组织的,一个条目是一组属性的集合,有一个全球唯一的识别名(DN,DomainName)。
DN 用于标识条目。每个条目的属性有一个类型和一个或多个值。该类型通常是可记忆的字符串,如“cn”就是标识通用名称,或者“电子邮件”就是电子邮件地址。该类型值的语法依赖于属性类型。
树也可以根据互联网域名组织。这种命名方式目前在业界非常普遍,因为它允许使用 DNS 为目录服务定位。
3.
版权声明:本文标题:12、kerberos&LDAP 安全密钥管理技术 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726394742h952017.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论