14.9 元
下载资源

协议安全技术认证协议.ppt

上传人:tian****1990 文档编号:7970223 上传时间:2020-03-26 格式:PPT 页数:63 大小:735.05KB
返回 下载 相关 举报
协议安全技术认证协议.ppt_第1页
第1页 / 共63页
协议安全技术认证协议.ppt_第2页
第2页 / 共63页
协议安全技术认证协议.ppt_第3页
第3页 / 共63页
点击查看更多>>
资源描述
2020 3 26 电子科技大学计算机科学与工程学院 计算系统与网络安全ComputerSystemandNetworkSecurity 2020 3 26 X 509认证协议 Kerberos认证协议 第7章协议安全技术 认证协议 身份认证技术回顾 2020 3 26 X 509认证协议 Kerberos认证协议 第7章协议安全技术 认证协议 身份认证技术回顾 2020 3 26 回顾 身份认证 身份认证的定义 声称者向验证者出示自己的身份的证明过程证实客户的真实身份与其所声称的身份是否相符的过程身份认证又叫身份鉴别 实体认证 身份识别认证目的 使别的成员 验证者 获得对声称者所声称的事实的信任 身份认证是获得系统服务所必须的第一道关卡 2020 3 26 回顾 身份认证 续 身份认证可以分为本地和远程两类 本地 实体在本地环境的初始化鉴别 就是说 作为实体个人 和设备物理接触 不和网络中的其他设备通信 远程 连接远程设备 实体和环境的实体鉴别 实体鉴别可以是单向的也可以是双向的 单向认证是指通信双方中只有一方向另一方进行鉴别 双向认证是指通信双方相互进行鉴别 2020 3 26 回顾 身份认证 续 身份认证系统的组成 认证服务器认证系统用户端软件认证设备认证协议 2020 3 26 回顾 身份认证 续 常见的协议PAPCHAPKerberosX 509 2020 3 26 口令认证协议PAP PAP PasswordAuthenticationProtocol用于用户向PPP Point toPointProtocol 服务器证明自己的身份仅在链路建立初期进行认证 一旦完成认证 以后即不再进行认证 2020 3 26 口令认证协议PAP 续 Client Server UsernamesandPasswordsAreSentintheClear PAP的两次消息交换 2020 3 26 口令认证协议PAP 续 PPP中PAP的协议格式 2020 3 26 口令认证协议PAP 续 Authenticate Request Code 2 Authenticate AckCode 3 Authenticate Nak PPP中PAP的协议格式 2020 3 26 口令认证协议PAP 总结 PAP采用两次消息交换完成认证过程 2020 3 26 挑战 应答认证协议CHAP CHAP ChallengeHandshakeAuthenticationProtocol用于用户与PPP服务器之间的认证在链路建立初期进行认证与PAP不同 以后可以再次进行认证 2020 3 26 挑战 应答认证协议CHAP 续 CHAPAuthentication Client Server ServercomputeshashofchallengemessageplussecretIfequalstheresponsemessage authenticationissuccessful CHAP的三次消息交互 2020 3 26 挑战 应答认证协议CHAP 续 CHAP协议格式 2020 3 26 挑战 应答认证协议CHAP 续 CHAP协议格式 2020 3 26 挑战 应答认证协议CHAP 续 CHAP协议格式 2020 3 26 挑战 应答认证协议CHAP 续 CHAP协议格式 2020 3 26 挑战 应答认证协议CHAP 总结 2020 3 26 X 509认证协议 Kerberos认证协议 第7章协议安全技术 认证协议 身份认证技术回顾 2020 3 26 是美国麻省理工学院 MIT 开发的一种身份鉴别服务 Kerberos 的本意是希腊神话中守护地狱之门的守护者 Kerberos提供了一个集中式的认证服务器结构 认证服务器的功能是实现用户与其访问的服务器间的相互鉴别 Kerberos建立的是一个实现身份认证的框架结构 其实现采用的是对称密钥加密技术 而未采用公开密钥加密 公开发布的Kerberos版本包括版本4和版本5 Kerberos 2020 3 26 Kerberos设计目标 安全性能够有效防止攻击者假扮成另一个合法的授权用户 可靠性分布式服务器体系结构 提供相互备份 对用户透明性可伸缩能够支持大数量的客户和服务器 2020 3 26 基本思路 使用一个 或一组 独立的认证服务器 AS AuthenticationServer 来为网络中的用户 C 提供身份认证服务 认证服务器 AS 用户口令由AS保存在数据库中 AS与每个服务器 V 共享一个惟一保密密钥 Kv 已被安全分发 会话过程 Kerberos设计思路 1 C AS IDC PC IDv 2 AS C Ticket 3 C V IDC Ticket其中 Ticket EKv IDC ADC IDv 2020 3 26 会话过程 Kerberos设计思路 续 Ticket EKv IDC ADC IDv C AS V IDC 用户C的标识PC 用户口令IDv 服务器标识ADC 用户网络地址 搜索数据库看用户是否合法如果合法 验证用户口令是否正确如果口令正确 检查是否有权限访问服务器V 用与AS共享密钥解密票据检查票据中的用户标识与网络地址是否与用户发送的标识及其地址相同如果相同 票据有效 认证通过 用户 认证服务器 应用服务器 2020 3 26 Kerberos设计思路 续 电影院 电影院售票处 观众 2020 3 26 Kerberos设计思路 续 电影院 电影院售票处 观众 问题之一 信用卡问题 问题 如何买票答案 出示信用卡卡号和密码 2020 3 26 Kerberos设计思路 续 电影院 电影院售票处 观众 问题之二 票的有效期问题 我要买票 这是我的信用卡密码 2020 3 26 Kerberos设计思路 续 电影院甲 电影院售票处 观众 问题之三 多个电影院问题 2020 3 26 Kerberos设计思路 续 上述协议的问题 1 口令明文传送 2 票据的有效性 多次使用 3 访问多个服务器则需多次申请票据 即口令多次使用 如何解决 上述协议问题 2020 3 26 问题 用户希望输入口令的次数最少 口令以明文传送会被窃听 解决办法票据重用 ticketreusable 引入票据许可服务器 TGS ticket grantingserver 用于向用户分发服务器的访问票据 认证服务器AS并不直接向客户发放访问应用服务器的票据 而是由TGS服务器来向客户发放 Kerberos设计思路 续 2020 3 26 Kerberos设计思路 续 电影院售票处 电影院乙 许可证部门 观众 问题 解决了重复使用信用卡问题 但是其他两个问题没有解决引入了许可证可信问题 2020 3 26 两种票据票据许可票据 Ticketgrantingticket 客户访问TGS服务器需要提供的票据 目的是为了申请某一个应用服务器的 服务许可票据 票据许可票据由AS发放 用Tickettgs表示访问TGS服务器的票据 Tickettgs在用户登录时向AS申请一次 可多次重复使用 服务许可票据 Servicegrantingticket 是客户时需要提供的票据 用TicketV表示访问应用服务器V的票据 Kerberos的票据 2020 3 26 Kerberos设计思路 续 电影院售票处 电影院 共享信用卡信息 不用向许可证部门初始信用卡密码 初始电影票 共享 购票许可证 信息 不用出示信用卡及密码 共享 电影票 信息 不用多次购买许可证 许可证部门 观众 购买电影票 最后一个问题 票的有效期问题 电影院 电影院 解决方法 时间 2020 3 26 Kerberos设计思路 续 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C 2020 3 26 Kerberos设计思路 续 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C 2020 3 26 Kerberos设计思路 续 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C 可能被盗用 2020 3 26 Kerberos设计思路 续 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C Kc tgs 问题 单向认证 Kc Kc Ktgs Kv Ktgs Kv 2020 3 26 Kerberos设计思路 续 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C Kc tgs Kc v Kc Kc Ktgs Kv Ktgs Kv 2020 3 26 KerberosV4协议描述 第一阶段 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C Tickettgs EKtgs KC tgs IDC ADC IDtgs TS2 LT2 Kc tgs 2020 3 26 KerberosV4协议描述 第二阶段 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C Tickettgs EKtgs KC tgs IDC ADC IDtgs TS2 LT2 TicketV EKV KC V IDC ADC IDV TS4 LT4 AUC EKC tgs IDC ADC TS3 Kc v 2020 3 26 KerberosV4协议描述 第三阶段 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C Tickettgs EKtgs KC tgs IDC ADC IDtgs TS2 LT2 TicketV EKV KC V IDC ADC IDV TS4 LT4 AUC EKc v IDC ADC TS5 2020 3 26 KerberosV4协议描述 共享密钥及会话密钥 票据许可服务器 TGS 服务器 V Kc 认证服务器 AS 用户 C Kc tgs KC V 2020 3 26 Kerberos设计思路 票据许可服务器 TGS 服务器 V 认证服务器 AS 用户 C Tickettgs EKtgs KC tgs IDC ADC IDtgs TS2 LT2 TicketV EKV KC V IDC ADC IDV TS4 LT4 AUC EKC tgs IDC ADC TS3 Kc tgs Kc v AU C EKcv IDC ADC TS5 2020 3 26 Kerberos V4 协议交互过程 2020 3 26 依赖性加密系统的依赖性 DES 对IP协议的依赖性和对时间依赖性 字节顺序 没有遵循标准票据有效期有效期最小为5分钟 最大约为21小时 往往不能满足要求认证转发能力不允许签发给一个用户的鉴别证书转发给其他工作站或其他客户使用 Kerberos V4 协议的缺陷 2020 3 26 Kerberos V4 协议的缺陷 续 领域间的鉴别管理起来困难加密操作缺陷非标准形式的DES加密 传播密码分组链接PCBC 方式 易受攻击会话密钥存在着攻击者重放会话报文进行攻击的可能口令攻击未对口令提供额外的保护 攻击者有机会进行口令攻击 2020 3 26 加密系统支持使用任何加密技术 通信协议IP协议外 还提供了对其他协议的支持 报文字节顺序采用抽象语法表示 ASN 1 和基本编码规则 BER 来进行规范 Kerberos V5 协议的改进 2020 3 26 Kerberos V5 协议的改进 续 票据的有效期允许任意大小的有效期 有效期定义为一个开始时间和结束时间 鉴别转发能力更有效的方法来解决领域间的认证问题口令攻击提供了一种预鉴别 preauthentication 机制 使口令攻击更加困难 2020 3 26 Kerberos领域 realm 构成 一个完整的Kerberos环境包括一个Kerberos服务器 一组工作站和一组应用服务器 Kerberos服务器数据库中拥有所有参与用户的UID和口令散列表 Kerberos服务器必须与每一个服务器之间共享一个保密密钥 所有用户均在Kerberos服务器上注册 所有服务器均在Kerberos服务器上注册 领域的划分是根据网络的管理边界来划定的 2020 3 26 Kerberos领域间的互通 跨领域的服务访问一个用户可能需要访问另一个Kerberos领域中应用服务器 一个应用服务器也可以向其他领域中的客户提供网络服务 领域间互通的前提支持不同领域之间进行用户身份鉴别的机制 互通领域中的Kerberos服务器之间必须共享一个密钥 同时两个Kerberos服务器也必须进行相互注册 2020 3 26 远程服务访问的认证过程 2020 3 26 X 509认证协议 Kerberos认证协议 第7章协议安全技术 认证协议 身份认证技术回顾 2020 3 26 由ITU T制定的X 509是ITU T的X 500 目录服务 系列建议中的一部分X 500是一套有关目录服务的建议 而X 509定义了目录服务中向用户提供认证服务的框架 X 509协议的实现基于公开密钥加密算法和数字签名技术 X 509认证 2020 3 26 证书由可信证书权威机构 CA CertficateAuthority 创建用户或CA将证书存放在目录服务器中 表示法 证书机构Y颁发给用户X的证书表示为Y CA 表示CA颁发给用户A的证书 CA用其私有密钥对证书进行了签名用户可用CA的公开密钥验证证书的有效性 任何拥有CA公开密钥的用户都可以从证书中提取被该证书认证的用户的公开密钥 除了CA外 任何用户都无法伪造证书或篡改证书的内容 由于证书是不可伪造的 可将证书存放数据库 即目录服务 中 而无需进行特殊的保护 X 509认证协议中的证书 2020 3 26 X 509认证协议中的证书格式 2020 3 26 X 509认证协议中的证书的获得 通信双方A和B如何获得对方的证书小型网络中 共同信任同一个CA 通过访问公共目录服务获取对方的证书 或直接传递 大型网络 多个CA 层次化管理 CA之间交换公开密钥 即交换证书 2020 3 26 撤销的情况 证书过期 在证书过期之前申请将其作废 例如 用户密钥被泄露 CA的密钥被泄露 或者用户不再使用某一个CA颁发的证书等 X 509认证协议中的证书的吊销 2020 3 26 X 509认证协议的消息交互过程 单向认证 Alice Bob 可选 2020 3 26 X 509认证协议中的证书格式 双向认证 Alice Bob 2020 3 26 X 509认证协议中的证书格式 续 三向认证 Alice Bob 2020 3 26 X 509认证协议V3的功能扩展 密钥和策略信息这类扩展用于指示有关主体和颁发者的附加信息和与证书相关的策略 证书主体和颁发者的属性这类扩展支持可选主体名字或颁发者名字 证书路径约束这类扩展字段用于在签发给CA的证书中包含一定的约束 2020 3 26 教材与参考书 教材 张世永 网络安全原理与应用 科学出版社 2003参考书阙喜戎等编著 信息安全原理及应用 清华大学出版社ChristopherM King CuritisE Dalton T ErtemOsmanoglu 常晓波等译 安全体系结构的设计 部署与操作 清华大学出版社 2003 ChristopherM King etal SecurityArchitecture design deployment Operations WilliamStallings 密码编码学与网络安全 原理与实践 第三版 电子工业出版社 2004StephenNorthcutt 深入剖析网络边界安全 机械工业出版社 2003冯登国 计算机通信网络安全 2001BruceSchneier AppliedCryptography Protocols algorithms andsourcecodeinC 2ndEdition 应用密码学 协议 算法与C源程序 吴世忠 祝世雄 张文政等译 蔡皖东 网络与信息安全 西北工业大学出版社 2004 2020 3 26 AnyQuestion Q A
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!