1. Kerberos安全认证介绍
在安全认证中,完成身份认证后,还需进行最后的认证识别。这一过程主要通过用户名和密码来验证数据库用户的合法性。openGauss采用了基于RFC5802协议的口令认证方案,该方案不仅提供了服务器和客户端的双向认证,还确保了用户身份的安全性。
在认证过程中,客户端首先将用户名发送至服务端,服务端随后检索与该用户名相关的认证信息,如盐值、存储密钥、服务器密钥及迭代次数。接着,服务端将盐值和迭代次数发送给客户端。客户端在接收到这些信息后,会进行一系列计算,生成ClientProof认证信息并发送回服务端。服务端通过ClientProof对客户端进行认证,并生成ServerSignature发送给客户端。最终,客户端再通过ServerSignature对服务端进行认证,从而完成整个认证过程。
具体的密钥计算过程如下:首先,使用Hi函数(本质上为PBKDF2算法)结合密码、盐值和迭代次数生成SaltedPassword。接着,通过HMAC函数和“Client Key”生成ClientKey,并通过sha256哈希函数生成StoredKey。然后,再次使用HMAC函数结合SaltedPassword和“Sever Key”生成ServerKey。
1.1 ❒ 认证流程概述
在认证过程中,双方通过详细的信息交换来确保身份的合法性和安全性。具体流程包括:客户端发送用户名,服务端检索并验证认证信息,双方生成和验证各自的身份标记以确认彼此的身份合法。通过这些步骤,实现了基于双向认证的安全连接。
022. 密钥计算与验证过程
2.1 ❒ 密钥计算步骤
通过Hi函数结合密码、盐值和迭代次数,生成SaltedPassword。利用HMAC函数和“Client Key”生成ClientKey,并通过sha256哈希函数生成StoredKey。同样地,利用HMAC函数结合SaltedPassword和“Sever Key”生成ServerKey。这些计算步骤确保了双方密钥的安全性和唯一性,从而减少了被恶意截获的可能。
https://ibaotu.com/tupian/liuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/zhongyuanliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/xinbanliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/2026liuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/gangaoliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/2025liuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/2025xinliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/2026xinliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/2027xinliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/2024xinliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/hesuibanliuzipingtaichuzudian14709652714weitongbu.html
2.2 ❒ 客户端和服务端验证
在服务器端,我们存储着StoredKey和ServerKey,它们分别扮演着不同的角色。StoredKey用于验证客户端用户的身份,而ServerKey则用于证明服务端的身份。服务端虽然能够计算出ClientKey,但一旦验证完成,这个ClientKey就可以被丢弃而无需存储。这一设计有助于防止服务端伪造认证信息ClientProof,从而仿冒客户端。当客户端认证请求发送给服务端时,服务端会计算ClientSignature并与客户端发来的ClientProof进行异或运算,以恢复出ClientKey。随后,通过HMAC运算验证与StoredKey的匹配性。
033. 认证协议实现细节
3.1 ❒ 认证信息交换
在开放的认证会话期间,客户端和服务端之间会详细交换信息。整个过程通过相应的函数实现,以确保每次信息的交换都是经过安全认证的。这种详细的交换流程确保了数据在传递过程中的安全性和完整性,防止了未授权访问和数据篡改。
具体过程如下:客户端首先向服务端发送其用户名,服务端接收到用户名后生成随机的字符串token,并返回给客户端。同时附带盐值salt、迭代次数以及通过ServerKey和token计算得到的ServerSignature。在完成信息的验证后,双方通过异或运算生成ClientProof和ServerSignature,实现了双向的安全认证。
044. 数据库系统中的Kerberos应用
4.1 ❒ Kerberos认证流程
在Kerberos协议中,各角色的职责明确,如KDC负责密钥分发和服务启动,Client为需要访问服务的用户,Service为目标服务器,AS用于身份校验,TGS负责票据分发。这些角色协同工作,通过标准的认证流程,为用户提供安全的访问环境。
当Kerberos服务在系统中部署完成并启动后,用户可以通过直观的方式进行访问,而不需要了解Kerberos协议的具体实现细节。通过KDC的交互,用户可以透明地进行认证,而系统管理员可以通过OM工具进行Kerberos的初始化。
4.2 ❒ 数据库内核认证交互
数据库内核通过封装GSS-API数据结构,实现与外部API的交互认证。关键数据结构源代码文件为“src\include\libpq\auth.h”,其中定义了GssConn、GssClientAuth和GssServerAuth等结构及函数,为数据库系统与Kerberos协议之间的交互提供了基础。内核通过这些接口,实现了透明的认证机制,使数据库能够无缝融入Kerberos环境。
通过这些机制,openGauss等数据库系统能够有效利用Kerberos协议实现高安全性的身份认证和信息保护,结合双方优势为用户提供高效可靠的服务。
https://ibaotu.com/tupian/wendingbanliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/liuziwendingxitongchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/liuzizhongyuanxitongchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/liuzixinbanxitongchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/xinyongliuzipingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/liuzixinyongpingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/liuzizhizunpingtaichuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/zhongyuangangaoxitongchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/liuziguanlixitongchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/xinzhongyuanliuzixitongpankouchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/zhongyuanliuzixitongpankouchuzudian14709652714weitongbu.html
https://ibaotu.com/tupian/zhongyuanliuzixitongpankouzuyongdian14709652714weitongbu.html
https://ibaotu.com/tupian/zhongyuanliuzixitongpanzuyongdian14709652714weitongbu.html
https://ibaotu.com/tupian/zhongyuanliuzixitongzuyongdian14709652714weitongbu.html
https://ibaotu.com/tupian/liuzixitongpingtaizuyongdian14709652714weitongbu.html
https://ibaotu.com/tupian/liuzidailipingtaizuyongdian14709652714weitongbu.html
https://ibaotu.com/tupian/dianweiliuzidailipingtaizuyong14709652714.html
https://ibaotu.com/tupian/dianweiliuzixitongpingtaizuyong14709652714.html
https://ibaotu.com/tupian/dianweiliuziguanlipingtaizuyong14709652714.html
