收藏
下载资源

协议安全技术(认证协议)

上传人:san****019 文档编号:70425563 上传时间:2019-01-17 格式:PPT 页数:63 大小:818.51KB
返回 下载 相关 举报
协议安全技术(认证协议)_第1页
第1页 / 共63页
协议安全技术(认证协议)_第2页
第2页 / 共63页
协议安全技术(认证协议)_第3页
第3页 / 共63页
协议安全技术(认证协议)_第4页
第4页 / 共63页
协议安全技术(认证协议)_第5页
第5页 / 共63页
点击查看更多>>
资源描述

《协议安全技术(认证协议)》由会员分享,可在线阅读,更多相关《协议安全技术(认证协议)(63页珍藏版)》请在金锄头文库上搜索。

1、2019/1/17,电子科技大学 计算机科学与工程学院,计算系统与网络安全 Computer System and Network Security,2019/1/17,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2019/1/17,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2019/1/17,回顾:身份认证,身份认证的定义: 声称者向验证者出示自己的身份的证明过程 证实客户的真实身份与其所声称的身份是否相符的过程 身份认证又叫身份鉴别、实体认证、身份识别 认证目的: 使别的成员(验证

2、者)获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。,2019/1/17,回顾:身份认证(续),身份认证可以分为本地和远程两类。 本地:实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。 远程:连接远程设备、实体和环境的实体鉴别。 实体鉴别可以是单向的也可以是双向的。 单向认证是指通信双方中只有一方向另一方进行鉴别。 双向认证是指通信双方相互进行鉴别。,2019/1/17,回顾:身份认证(续),身份认证系统的组成: 认证服务器 认证系统用户端软件 认证设备 认证协议,2019/1/17,回顾:身份认证(续),常见的协议 PA

3、P CHAP Kerberos X.509,2019/1/17,口令认证协议PAP,PAP:Password Authentication Protocol 用于用户向PPP(Point-to Point Protocol )服务器证明自己的身份 仅在链路建立初期进行认证,一旦完成认证,以后即不再进行认证,2019/1/17,口令认证协议PAP(续),Client,Server,Usernames and Passwords Are Sent in the Clear,PAP的两次消息交换,2019/1/17,口令认证协议PAP(续),PPP中PAP的协议格式,2019/1/17,口令认证协议

4、PAP(续),Authenticate-Request,Code2:Authenticate-Ack Code3:Authenticate-Nak,PPP中PAP的协议格式,2019/1/17,口令认证协议PAP :总结,PAP采用两次消息交换完成认证过程,2019/1/17,挑战应答认证协议CHAP,CHAP: Challenge Handshake Authentication Protocol 用于用户与PPP服务器之间的认证 在链路建立初期进行认证 与PAP不同,以后可以再次进行认证,2019/1/17,挑战应答认证协议CHAP(续),CHAP Authentication,Clien

5、t,Server,Server computes hash of challenge message plus secret If equals the response message, authentication is successful,CHAP的三次消息交互,2019/1/17,挑战应答认证协议CHAP(续),CHAP协议格式,2019/1/17,挑战应答认证协议CHAP(续),CHAP协议格式,2019/1/17,挑战应答认证协议CHAP(续),CHAP协议格式,2019/1/17,挑战应答认证协议CHAP(续),CHAP协议格式,2019/1/17,挑战应答认证协议CHAP:总

6、结,2019/1/17,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2019/1/17,是美国麻省理工学院(MIT)开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 Kerberos建立的是一个实现身份认证的框架结构。 其实现采用的是对称密钥加密技术,而未采用公开密钥加密。 公开发布的Kerberos版本包括版本4和版本5。,Kerberos,2019/1/17,Kerberos设计目标,安全性

7、能够有效防止攻击者假扮成另一个合法的授权用户。 可靠性 分布式服务器体系结构,提供相互备份。 对用户透明性 可伸缩 能够支持大数量的客户和服务器。,2019/1/17,基本思路: 使用一个(或一组)独立的认证服务器(AS Authentication Server),来为网络中的用户(C)提供身份认证服务; 认证服务器 (AS),用户口令由 AS 保存在数据库中; AS 与每个服务器(V)共享一个惟一保密密钥(Kv)(已被安全分发)。 会话过程:,Kerberos设计思路,(1) C AS: IDC | PC | IDv (2) AS C: Ticket (3) C V : IDC | Tic

8、ket 其中: Ticket = EKvIDC | ADC | IDv,2019/1/17,会话过程:,Kerberos设计思路(续),Ticket = EKvIDC , ADC , IDv,C,AS,V,IDC:用户C的标识 PC :用户口令 IDv:服务器标识 ADC:用户网络地址,搜索数据库看用户是否合法 如果合法,验证用户口令是否正确 如果口令正确,检查是否有权限访问服务器V,用与AS共享密钥解密票据 检查票据中的用户标识与网络地址是否与用户发送的标识及其地址相同 如果相同,票据有效,认证通过,用户,认证服务器,应用服务器,2019/1/17,Kerberos设计思路(续),电影院,电

9、影院售票处,观众,2019/1/17,Kerberos设计思路(续),电影院,电影院售票处,观众,问题之一:信用卡问题,问题:如何买票 答案:出示信用卡卡号和密码,2019/1/17,Kerberos设计思路(续),电影院,电影院售票处,观众,问题之二:票的有效期问题,我要买票,这是我的信用卡密码,2019/1/17,Kerberos设计思路(续),电影院甲,电影院售票处,观众,问题之三:多个电影院问题,2019/1/17,Kerberos设计思路(续),上述协议的问题: (1)口令明文传送 (2)票据的有效性(多次使用) (3)访问多个服务器则需多次申请票据(即口令多次使用),如何解决,上述

10、协议问题?,2019/1/17,问题: 用户希望输入口令的次数最少。 口令以明文传送会被窃听。 解决办法 票据重用(ticket reusable)。 引入票据许可服务器(TGS - ticket-granting server) 用于向用户分发服务器的访问票据; 认证服务器 AS 并不直接向客户发放访问应用服务器的票据,而是由 TGS 服务器来向客户发放。,Kerberos设计思路(续),2019/1/17,Kerberos设计思路(续),电影院售票处,电影院乙,许可证部门,观众,问题:解决了重复使用信用卡问题,但是其他两个问题没有解决 引入了许可证可信问题,2019/1/17,两种票据 票

11、据许可票据(Ticket granting ticket) 客户访问 TGS 服务器需要提供的票据,目的是为了申请某一个应用服务器的 “服务许可票据”; 票据许可票据由 AS 发放; 用 Tickettgs 表示访问 TGS 服务器的票据; Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用; 服务许可票据(Service granting ticket) 是客户时需要提供的票据; 用 TicketV 表示访问应用服务器 V 的票据。,Kerberos的票据,2019/1/17,Kerberos设计思路(续),电影院售票处,电影院,共享信用卡信息:不用向许可证部门初始信用卡密码

12、,初始电影票,共享“购票许可证”信息:不用出示信用卡及密码,共享“电影票” 信息:不用多次购买许可证,许可证部门,观众,购买电影票,最后一个问题:票的有效期问题,电影院,电影院,解决方法:时间,2019/1/17,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),2019/1/17,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),2019/1/17,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),可能被盗用,2019/1/17,K

13、erberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),Kc,tgs,问题:单向认证,Kc,Kc,Ktgs,Kv,Ktgs,Kv,2019/1/17,Kerberos设计思路(续),票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),Kc,tgs,Kc,v,Kc,Kc,Ktgs,Kv,Ktgs,Kv,2019/1/17,Kerberos V4协议描述:第一阶段,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,K

14、c,tgs,2019/1/17,Kerberos V4协议描述:第二阶段,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4,AUCEKC,tgsIDC, ADC, TS3,Kc,v,2019/1/17,Kerberos V4协议描述:第三阶段,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2,

15、 LT2,TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4,AUCEKc,vIDC, ADC, TS5,2019/1/17,Kerberos V4协议描述:共享密钥及会话密钥,票据许可服务器(TGS),服务器(V),Kc,认证服务器(AS),用户(C),Kc,tgs,KC,V,2019/1/17,Kerberos设计思路,票据许可服务器(TGS),服务器(V),认证服务器(AS),用户(C),TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2,TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4

16、,AUCEKC,tgsIDC, ADC, TS3,Kc,tgs,Kc,v,AUCEKcvIDC, ADC, TS5,2019/1/17,Kerberos(V4)协议交互过程,2019/1/17,依赖性 加密系统的依赖性(DES)、对 IP 协议的依赖性和对时间依赖性。 字节顺序:没有遵循标准 票据有效期 有效期最小为5分钟,最大约为21小时, 往往不能满足要求 认证转发能力 不允许签发给一个用户的鉴别证书转发给其他工作站或其他客户使用,Kerberos(V4)协议的缺陷,2019/1/17,Kerberos(V4)协议的缺陷(续),领域间的鉴别 管理起来困难 加密操作缺陷 非标准形式的 DES 加密(传播密码分组链接 PCBC)方式,易受攻击 会话密钥 存在着攻击者重放会话报文进行攻击的可能 口令攻击 未对口令提供额外的保护,攻击者有机会进行口令攻击,2019/1/17,加密系统 支持使用任何加密技术。 通信协议

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号