《计算系统与网络安全ppt教学课件第7章协议安全技术(认证协议)》由会员分享,可在线阅读,更多相关《计算系统与网络安全ppt教学课件第7章协议安全技术(认证协议)(63页珍藏版)》请在金锄头文库上搜索。
1、2018/9/10,电子科技大学 计算机科学与工程学院,计算系统与网络安全 Computer System and Network Security,2018/9/10,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2018/9/10,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2018/9/10,回顾:身份认证,身份认证的定义: 声称者向验证者出示自己的身份的证明过程 证实客户的真实身份与其所声称的身份是否相符的过程 身份认证又叫身份鉴别、实体认证、身份识别 认证目的: 使别的成员(验证
2、者)获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。,2018/9/10,回顾:身份认证(续),身份认证可以分为本地和远程两类。 本地:实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。 远程:连接远程设备、实体和环境的实体鉴别。 实体鉴别可以是单向的也可以是双向的。单向认证是指通信双方中只有一方向另一方进行鉴别。双向认证是指通信双方相互进行鉴别。,2018/9/10,回顾:身份认证(续),身份认证系统的组成: 认证服务器 认证系统用户端软件 认证设备 认证协议,2018/9/10,回顾:身份认证(续),常见的协议 PAP
3、CHAP Kerberos X.509,2018/9/10,口令认证协议PAP,PAP:Password Authentication Protocol用于用户向PPP(Point-to Point Protocol )服务器证明自己的身份 仅在链路建立初期进行认证,一旦完成认证,以后即不再进行认证,2018/9/10,口令认证协议PAP(续),Client,Server,Usernames and Passwords Are Sent in the Clear,PAP的两次消息交换,2018/9/10,口令认证协议PAP(续),C023表示PAP,Code 1 Authenticate-Re
4、quest 2 Authenticate-Ack 3 Authenticate-Nak,Identifier: one octet唯一标识消息,Length: two octets 包含Code, Identifier, Length and Data fields 的长度,Data: 具体格式取决于Code取值,PPP中PAP的协议格式,2018/9/10,口令认证协议PAP(续),Authenticate-Request,Code2:Authenticate-Ack Code3:Authenticate-Nak,PPP中PAP的协议格式,2018/9/10,口令认证协议PAP :总结,PA
5、P采用两次消息交换完成认证过程,Authentication-Request Messages (Send Until Response),Authentication-Response Message,Client,Server,Usernames and Passwords Are Sent in the Clear,2018/9/10,挑战应答认证协议CHAP,CHAP: Challenge Handshake Authentication Protocol 用于用户与PPP服务器之间的认证 在链路建立初期进行认证 与PAP不同,以后可以再次进行认证,2018/9/10,挑战应答认证协议
6、CHAP(续),CHAP Authentication,Client,Server,Server computes hash of challenge message plus secret If equals the response message, authentication is successful,CHAP的三次消息交互,2018/9/10,挑战应答认证协议CHAP(续),CHAP协议格式,2018/9/10,挑战应答认证协议CHAP(续),CHAP协议格式,2018/9/10,挑战应答认证协议CHAP(续),CHAP协议格式,2018/9/10,挑战应答认证协议CHAP(续),
7、Message: 取决于具体实现,一般为可读字符,Code : 3 Success 4 Failure,CHAP协议格式,2018/9/10,挑战应答认证协议CHAP:总结,2018/9/10,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2018/9/10,是美国麻省理工学院(MIT)开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 Kerberos建立的是一个实现身份认证的框架结构。 其实现采用
8、的是对称密钥加密技术,而未采用公开密钥加密。 公开发布的Kerberos版本包括版本4和版本5。,Kerberos,2018/9/10,Kerberos设计目标,安全性 能够有效防止攻击者假扮成另一个合法的授权用户。 可靠性 分布式服务器体系结构,提供相互备份。 对用户透明性 可伸缩 能够支持大数量的客户和服务器。,2018/9/10,基本思路: 使用一个(或一组)独立的认证服务器(AS Authentication Server),来为网络中的用户(C)提供身份认证服务; 认证服务器 (AS),用户口令由 AS 保存在数据库中; AS 与每个服务器(V)共享一个惟一保密密钥(Kv)(已被安全
9、分发)。 会话过程:,Kerberos设计思路,(1) C AS: IDC | PC | IDv (2) AS C: Ticket (3) C V : IDC | Ticket 其中: Ticket = EKvIDC | ADC | IDv,2018/9/10,会话过程:,Kerberos设计思路(续),Ticket = EKvIDC , ADC , IDv,C,AS,V,IDC:用户C的标识 PC :用户口令 IDv:服务器标识 ADC:用户网络地址,搜索数据库看用户是否合法 如果合法,验证用户口令是否正确 如果口令正确,检查是否有权限访问服务器V,用与AS共享密钥解密票据 检查票据中的用户
10、标识与网络地址是否与用户发送的标识及其地址相同 如果相同,票据有效,认证通过,用户,认证服务器,应用服务器,2018/9/10,Kerberos设计思路(续),电影院,电影院售票处,观众,2018/9/10,Kerberos设计思路(续),电影院,电影院售票处,观众,问题之一:信用卡问题,问题:如何买票 答案:出示信用卡卡号和密码,2018/9/10,Kerberos设计思路(续),电影院,电影院售票处,观众,问题之二:票的有效期问题,我要买票,这是我的信用卡密码,2018/9/10,Kerberos设计思路(续),电影院甲,电影院售票处,观众,问题之三:多个电影院问题,2018/9/10,K
11、erberos设计思路(续),上述协议的问题: (1)口令明文传送 (2)票据的有效性(多次使用) (3)访问多个服务器则需多次申请票据(即口令多次使用),如何解决,上述协议问题?,2018/9/10,问题: 用户希望输入口令的次数最少。 口令以明文传送会被窃听。 解决办法票据重用(ticket reusable)。引入票据许可服务器(TGS - ticket-granting server) 用于向用户分发服务器的访问票据; 认证服务器 AS 并不直接向客户发放访问应用服务器的票据,而是由 TGS 服务器来向客户发放。,Kerberos设计思路(续),2018/9/10,Kerberos设计
12、思路(续),电影院售票处,电影院乙,许可证部门,观众,问题:解决了重复使用信用卡问题,但是其他两个问题没有解决 引入了许可证可信问题,2018/9/10,两种票据 票据许可票据(Ticket granting ticket) 客户访问 TGS 服务器需要提供的票据,目的是为了申请某一个应用服务器的 “服务许可票据”; 票据许可票据由 AS 发放; 用 Tickettgs 表示访问 TGS 服务器的票据; Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用; 服务许可票据(Service granting ticket) 是客户时需要提供的票据; 用 TicketV 表示访问应用
13、服务器 V 的票据。,Kerberos的票据,2018/9/10,Kerberos设计思路(续),电影院售票处,电影院,共享信用卡信息:不用向许可证部门初始信用卡密码,初始电影票,共享“购票许可证”信息:不用出示信用卡及密码,共享“电影票” 信息:不用多次购买许可证,许可证部门,观众,购买电影票,最后一个问题:票的有效期问题,电影院,电影院,解决方法:时间,2018/9/10,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),2018/9/10,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户
14、(C),2018/9/10,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),可能被盗用,2018/9/10,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),Kc,tgs,问题:单向认证,Kc,Kc,Ktgs,Kv,Ktgs,Kv,2018/9/10,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),Kc,tgs,Kc,v,Kc,Kc,Ktgs,Kv,Ktgs,Kv,2018/9/10,Kerberos V4协议描述:第一阶段,票据
15、许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,Kc,tgs,2018/9/10,Kerberos V4协议描述:第二阶段,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4,AUCEKC,tgsIDC, ADC, TS3,Kc,v,2018/9/10,Kerberos V4协议描述:第
16、三阶段,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4,AUCEKc,vIDC, ADC, TS5,2018/9/10,Kerberos V4协议描述:共享密钥及会话密钥,票据许可服务器(TGS),服务器(V),Kc,认证服务器(AS),用户(C),Kc,tgs,KC,V,2018/9/10,Kerberos设计思路,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4,
