收藏
下载资源

协议安全技术(认证协议).ppt

上传人:新** 文档编号:571353419 上传时间:2024-08-10 格式:PPT 页数:63 大小:818.50KB
返回 下载 相关 举报
协议安全技术(认证协议).ppt_第1页
第1页 / 共63页
协议安全技术(认证协议).ppt_第2页
第2页 / 共63页
协议安全技术(认证协议).ppt_第3页
第3页 / 共63页
协议安全技术(认证协议).ppt_第4页
第4页 / 共63页
协议安全技术(认证协议).ppt_第5页
第5页 / 共63页
点击查看更多>>
资源描述

《协议安全技术(认证协议).ppt》由会员分享,可在线阅读,更多相关《协议安全技术(认证协议).ppt(63页珍藏版)》请在金锄头文库上搜索。

1、电子科技大学电子科技大学 计算机科学与工程学院计算机科学与工程学院 计算系统与网络安全计算系统与网络安全Computer System and Network SecurityComputer System and Network Security2024/8/10X.509认证协议认证协议Kerberos认证协议认证协议第第7章章协议安全技术(认证协议)协议安全技术(认证协议)身份认证技术回顾身份认证技术回顾2024/8/10X.509认证协议认证协议Kerberos认证协议认证协议第第7章章协议安全技术(认证协议)协议安全技术(认证协议)身份认证技术回顾身份认证技术回顾2024/8/10回

2、顾:身份认证回顾:身份认证l身份认证的定义:身份认证的定义:l声称者向验证者出示自己的身份的证明过程声称者向验证者出示自己的身份的证明过程l证实客户的真实身份与其所声称的身份是否相符的证实客户的真实身份与其所声称的身份是否相符的过程过程l身份认证又叫身份鉴别、实体认证、身份识别身份认证又叫身份鉴别、实体认证、身份识别l认证目的:认证目的: 使别的成员(使别的成员(验证者验证者)获得对声称者所声称的事实)获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关的信任。身份认证是获得系统服务所必须的第一道关卡。卡。2024/8/10回顾:身份认证(续)回顾:身份认证(续)l身份认证可

3、以分为身份认证可以分为本地本地和和远程远程两类。两类。l本地:实体在本地环境的初始化鉴别(就是说,本地:实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的作为实体个人,和设备物理接触,不和网络中的其他设备通信)。其他设备通信)。l远程:连接远程设备、实体和环境的实体鉴别。远程:连接远程设备、实体和环境的实体鉴别。l实体鉴别可以是实体鉴别可以是单向的单向的也可以是也可以是双向的双向的。l 单向认证单向认证是指通信双方中只有一方向另一方进行是指通信双方中只有一方向另一方进行鉴别。鉴别。l 双向认证双向认证是指通信双方相互进行鉴别。是指通信双方相互进行鉴别。2024/8/

4、10回顾:身份认证(续)回顾:身份认证(续)l身份认证系统的组成:身份认证系统的组成:l认证服务器认证服务器l认证系统用户端软件认证系统用户端软件l认证设备认证设备l认证协议认证协议示证者示证者可信第三方可信第三方验证验证者者APAPAP攻击者攻击者2024/8/10回顾:身份认证(续)回顾:身份认证(续)l常见的协议常见的协议lPAPlCHAPlKerberoslX.5092024/8/10口令认证协议口令认证协议PAPlPAP:PasswordAuthenticationProtocoll用于用户向用于用户向PPP(Point-toPointProtocol)服务器服务器证明自己的身份证明

5、自己的身份l仅在链路建立初期进行认证,一旦完成认证,以后仅在链路建立初期进行认证,一旦完成认证,以后即不再进行认证即不再进行认证2024/8/10口令认证协议口令认证协议PAP(续)(续)Authentication-RequestMessages(SendUntilResponse)Authentication-ResponseMessageClientServerUsernamesandPasswordsAreSentintheClearPAP的两次消息交换的两次消息交换2024/8/10口令认证协议口令认证协议PAP(续)(续)C023表示表示PAPCode1Authenticate-R

6、equest2Authenticate-Ack3Authenticate-NakIdentifier:oneoctet唯一标识消息唯一标识消息Length:twooctets包含包含Code,Identifier,LengthandDatafields的的长度长度Data:具体格式取决于具体格式取决于Code取值取值PPP中中PAP的协议格式的协议格式2024/8/10口令认证协议口令认证协议PAP(续)(续)Authenticate-RequestCode2:Authenticate-AckCode3:Authenticate-NakPPP中中PAP的协议格式的协议格式2024/8/10口令

7、认证协议口令认证协议PAP:总结:总结lPAP采用两次消息交换完成认证过程采用两次消息交换完成认证过程Authentication-RequestMessages(SendUntilResponse)Authentication-ResponseMessageClientServerUsernamesandPasswordsAreSentintheClear2024/8/10挑战应答认证协议挑战应答认证协议CHAPlCHAP:ChallengeHandshakeAuthenticationProtocoll用于用户与用于用户与PPP服务器之间的认证服务器之间的认证l在链路建立初期进行认证在链路

8、建立初期进行认证l与与PAP不同,以后可以再次进行认证不同,以后可以再次进行认证2024/8/10挑战应答认证协议挑战应答认证协议CHAP(续)(续)CHAPAuthenticationChallengeMessageResponseMessageHash(ChallengeMessage+Secret)ClientServerServercomputeshashofchallengemessageplussecretIfequalstheresponsemessage,authenticationissuccessfulResponseMessageSuccessorfailuresecre

9、tsecretCHAP的三次消息交互的三次消息交互2024/8/10挑战应答认证协议挑战应答认证协议CHAP(续)(续)C223:Challenge-HandshakeAuthenticationProtocolAlgorithm:0-4unused(reserved)5MD53CHAP协议格式协议格式2024/8/10挑战应答认证协议挑战应答认证协议CHAP(续)(续)Data:取决于取决于Code的内容的内容Code:1Challenge2Response3Success4FailureCHAP协议格式协议格式2024/8/10挑战应答认证协议挑战应答认证协议CHAP(续)(续)Value

10、:对于对于Challenge,其值为一随机数,其值为一随机数对于对于Response:是哈希函数运算结果:是哈希函数运算结果Code:1Challenge2ResponseName:系统名系统名用户查找用户查找“Secrete”CHAP协议格式协议格式2024/8/10挑战应答认证协议挑战应答认证协议CHAP(续)(续)Message:取决于具体实现,一般为可取决于具体实现,一般为可读字符读字符Code:3Success4FailureCHAP协议格式协议格式2024/8/10挑战应答认证协议挑战应答认证协议CHAP:总结:总结CHAPAuthenticationChallengeMessag

11、eResponseMessageHash(ChallengeMessage+Secret)ClientServerServercomputeshashofchallengemessageplussecretIfequalstheresponsemessage,authenticationissuccessfulResponseMessageSuccessorfailuresecretsecret2024/8/10X.509认证协议认证协议Kerberos认证协议认证协议第第7章章协议安全技术(认证协议)协议安全技术(认证协议)身份认证技术回顾身份认证技术回顾2024/8/10l是美国麻省理工学

12、院(是美国麻省理工学院(MIT)开发的一种身份鉴)开发的一种身份鉴别服务。别服务。l“Kerberos”的本意是希腊神话中守护地狱之门的本意是希腊神话中守护地狱之门的守护者。的守护者。lKerberos提供了一个集中式的认证服务器结构,提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。间的相互鉴别。lKerberos建立的是一个实现身份认证的框架结构。建立的是一个实现身份认证的框架结构。l其实现采用的是对称密钥加密技术,而未采用公其实现采用的是对称密钥加密技术,而未采用公开密钥加密。开密钥加密。l公开发布的公开发

13、布的Kerberos版本包括版本版本包括版本4和版本和版本5。Kerberos2024/8/10Kerberos设计目标设计目标l安全性安全性l能够有效防止攻击者假扮成另一个合法的授权用户。能够有效防止攻击者假扮成另一个合法的授权用户。l可靠性可靠性l分布式服务器体系结构,提供相互备份。分布式服务器体系结构,提供相互备份。l对用户透明性对用户透明性l可伸缩可伸缩l能够支持大数量的客户和服务器。能够支持大数量的客户和服务器。2024/8/10l基本思路:基本思路:l使用一个(或一组)独立的使用一个(或一组)独立的认证服务器认证服务器(ASAuthenticationServer),来为网络中的)

14、,来为网络中的用户(用户(C)提供身份认证服务;提供身份认证服务;l认证服务器认证服务器(AS),用户口令由,用户口令由AS保存在数据库中;保存在数据库中;lAS与每个与每个服务器(服务器(V)共享一个惟一共享一个惟一保密密钥(保密密钥(Kv)(已被安全分发)。(已被安全分发)。l会话过程会话过程:Kerberos设计思路设计思路(1)CAS:IDC|PC|IDv(2)ASC:Ticket(3)CV:IDC|Ticketl其中:其中:Ticket=EKvIDC|ADC|IDv2024/8/10l会话过程会话过程:Kerberos设计思路(续)设计思路(续)Ticket=EKvIDC,ADC,I

15、DvCASV(1)IDC,PC,IDvTicketIDC,TicketIDC:用户:用户C的标识的标识PC:用户口令:用户口令IDv:服务器标识:服务器标识ADC:用户网络地址:用户网络地址搜索数据库看用户是否合法搜索数据库看用户是否合法如果合法,验证用户口令是否如果合法,验证用户口令是否正确正确如果口令正确,检查是否有权如果口令正确,检查是否有权限访问服务器限访问服务器V用与用与AS共享密钥解密票据共享密钥解密票据检查票据中的用户标识与网络检查票据中的用户标识与网络地址是否与用户发送的标识及地址是否与用户发送的标识及其地址相同其地址相同如果相同,票据有效,认证通如果相同,票据有效,认证通过过

16、用户用户认证服务器认证服务器应用服务器应用服务器2024/8/10Kerberos设计思路(续)设计思路(续)电影院电影院我要买票我要买票你的电影票你的电影票这是我的电影票这是我的电影票电影院售票处电影院售票处观众观众2024/8/10Kerberos设计思路(续)设计思路(续)电影院电影院我要买票,我要买票,这是我的信这是我的信用卡密码用卡密码你的电影票你的电影票这是我的电影票这是我的电影票电影院售票处电影院售票处观众观众问题之一:信用卡问题问题之一:信用卡问题问题:如何买票问题:如何买票答案:出示信用卡卡号和密码答案:出示信用卡卡号和密码2024/8/10Kerberos设计思路(续)设计

17、思路(续)电影院电影院你的电影票你的电影票这是我的电影票这是我的电影票电影院售票处电影院售票处这是我的电影票这是我的电影票这是我的电影票这是我的电影票观众观众问题之二:票的有效期问题问题之二:票的有效期问题我要买票,我要买票,这是我的信这是我的信用卡密码用卡密码2024/8/10Kerberos设计思路(续)设计思路(续)电影院甲电影院甲你的电影票你的电影票这是我的电影票这是我的电影票电影院售票处电影院售票处电影院乙电影院乙这是我的电影票?这是我的电影票?观众观众问题之三:多个电影院问问题之三:多个电影院问题题我要买票,我要买票,这是我的信这是我的信用卡密码用卡密码2024/8/10Kerbe

18、ros设计思路(续)设计思路(续)上述协议的问题:上述协议的问题:(1)口令明文传送)口令明文传送(2)票据的有效性(多次使用)票据的有效性(多次使用)(3)访问多个服务器则需多次申请)访问多个服务器则需多次申请票据(即口令多次使用)票据(即口令多次使用)如何解决如何解决上述协议问题?上述协议问题?2024/8/10l问题:问题:l用户希望输入口令的次数最少。用户希望输入口令的次数最少。l口令以明文传送会被窃听。口令以明文传送会被窃听。l解决办法解决办法l票据重用(票据重用(ticketreusable)。)。l引入票据许可服务器(引入票据许可服务器(TGS-ticket-grantingse

19、rver)l用于向用户分发服务器的访问票据;用于向用户分发服务器的访问票据;l认证服务器认证服务器AS并不直接向客户发放访问应用服务器的并不直接向客户发放访问应用服务器的票据,而是由票据,而是由TGS服务器来向客户发放。服务器来向客户发放。Kerberos设计思路(续)设计思路(续)2024/8/10Kerberos设计思路(续)设计思路(续)电影院售票处电影院售票处电影院乙电影院乙购票许可证购票许可证这是我的购票这是我的购票许可证许可证你的电影票你的电影票这是我的电影票这是我的电影票许可证部门许可证部门观众观众我要买票,我要买票,这是我的信这是我的信用卡密码用卡密码问题:解决了重复使用信问题

20、:解决了重复使用信用卡问题,但是其他两个用卡问题,但是其他两个问题没有解决问题没有解决引入了许可证可信问题引入了许可证可信问题2024/8/10l两种票据两种票据l票据许可票据(票据许可票据(Ticketgrantingticket)l客户访问客户访问TGS服务器需要提供的票据,目的是为了申服务器需要提供的票据,目的是为了申请某一个应用服务器的请某一个应用服务器的“服务许可票据服务许可票据”;l票据许可票据由票据许可票据由AS发放;发放;l用用Tickettgs表示访问表示访问TGS服务器的票据;服务器的票据;lTickettgs在用户登录时向在用户登录时向AS申请一次,可多次重复使申请一次,

21、可多次重复使用;用;l服务许可票据(服务许可票据(Servicegrantingticket)l是客户时需要提供的票据;是客户时需要提供的票据;l用用TicketV表示访问应用服务器表示访问应用服务器V的票据。的票据。Kerberos的票据的票据2024/8/10Kerberos设计思路(续)设计思路(续)电影院售票处电影院售票处电影院电影院共享信用卡信息:共享信用卡信息:不用向许可证部不用向许可证部门初始信用卡密门初始信用卡密码码初始电影票初始电影票共享共享“购票许可证购票许可证”信息:信息:不用出示信用卡及密码不用出示信用卡及密码共享共享“电影票电影票” 信息:信息:不用多次购买许可证不用

22、多次购买许可证许可证部门许可证部门观众观众购买电影票购买电影票最后一个问题:票的有最后一个问题:票的有效期问题效期问题电影院电影院电影院电影院解决方法:时间解决方法:时间2024/8/10Kerberos设计思路(续)设计思路(续)票据许可服务器票据许可服务器(TGS)服务器(服务器(V)具有有效期的具有有效期的Ticket共享对称密钥共享对称密钥Ktgs共享对称密钥共享对称密钥Kv认证服务器(认证服务器(AS)用户(用户(C)共享用户口令共享用户口令Kc购买具有有效期的购买具有有效期的Ticket2024/8/10Kerberos设计思路(续)设计思路(续)票据许可服务器票据许可服务器(TG

23、S)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)我想看电影我想看电影EKcEktgs购票许可证购票许可证Ektgs购票许可证购票许可证Ekv票票Ekv票票共享对称密钥共享对称密钥Ktgs共享对称密钥共享对称密钥Kv共享用户口令共享用户口令KcKcKcKtgsKvKtgsKv2024/8/10Kerberos设计思路(续)设计思路(续)票据许可服务器票据许可服务器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)我想看电影我想看电影EKcEktgs购票许可证,时间购票许可证,时间限制限制Ektgs购票许可证,时购票许可证,时间限制间限制Ekv票票,

24、时间限制时间限制Ekv票,时间限制票,时间限制共享对称密钥共享对称密钥Ktgs共享对称密钥共享对称密钥Kv共享用户口令共享用户口令Kc可能被盗用可能被盗用KcKcKtgsKvKtgsKv2024/8/10Kerberos设计思路(续)设计思路(续)票据许可服务器票据许可服务器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)我想看电影我想看电影EKcKc,tgs,Ektgs含含Kc,tgs的购的购票许可证,时间限制票许可证,时间限制Ektgs含含Kc,tgs的购票许的购票许可证,时间限制可证,时间限制EKc,tgsEkv票票,时间限时间限制制Ekv票,时间限制票,时间

25、限制共享对称密钥共享对称密钥Ktgs共享对称密钥共享对称密钥Kv共享用户口令共享用户口令KcKc,tgs问题:单向认证问题:单向认证KcKcKtgsKvKtgsKv2024/8/10Kerberos设计思路(续)设计思路(续)票据许可服务器票据许可服务器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)我想看电影我想看电影EKcKc,tgs,Ektgs含含Kc,tgs的购的购票许可证,时间限制票许可证,时间限制Ektgs含含Kc,tgs的购票许的购票许可证,时间限制可证,时间限制EKc,tgsKc,v,Ekv含含Kc,v的票的票,时间限制时间限制Ekv含含Kc,v的票

26、,时间限制的票,时间限制共享对称密钥共享对称密钥Ktgs共享对称密钥共享对称密钥Kv共享用户口令共享用户口令KcKc,tgsKc,vEkc,v时间限制时间限制KcKcKtgsKvKtgsKv2024/8/10KerberosV4协议描述:第一阶段协议描述:第一阶段票据许可服务器票据许可服务器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)IDC,IDtgs,TS1EKcKc,tgs,IDtgs,TS2,LT2,TickettgsTickettgsEKtgsKC,tgs,IDC,ADC,IDtgs,TS2,LT2KcKcKtgsKvKtgsKvKc,tgs2024/8

27、/10KerberosV4协议描述:第二阶段协议描述:第二阶段票据许可服务器票据许可服务器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)IDV,Tickettgs,AUCEKC,tgsKC,V,IDV,TS4,TicketVTickettgsEKtgsKC,tgs,IDC,ADC,IDtgs,TS2,LT2TicketVEKVKC,V,IDC,ADC,IDV,TS4,LT4AUCEKC,tgsIDC,ADC,TS3KcKcKtgsKvKtgsKvKc,tgsKc,v2024/8/10KerberosV4协议描述:第三阶段协议描述:第三阶段票据许可服务器票据许可服务

28、器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)TicketV,AUCEKC,VTS5+1TickettgsEKtgsKC,tgs,IDC,ADC,IDtgs,TS2,LT2TicketVEKVKC,V,IDC,ADC,IDV,TS4,LT4AUCEKc,vIDC,ADC,TS5KcKcKtgsKvKtgsKvKc,tgsKc,v2024/8/10KerberosV4协议描述:共享密钥及会话密钥协议描述:共享密钥及会话密钥票据许可服务器票据许可服务器(TGS)服务器(服务器(V)Kc认证服务器(认证服务器(AS)用户(用户(C)Kc,tgsKC,VKcKcKtgs

29、KvKtgsKvKc,tgsKc,v2024/8/10Kerberos设计思路设计思路票据许可服务器票据许可服务器(TGS)服务器(服务器(V)认证服务器(认证服务器(AS)用户(用户(C)IDC,IDtgs,TS1EKcKc,tgs,IDtgs,TS2,LT2,TickettgsIDV,Tickettgs,AUCEKc,tgsKc,V,IDV,TS4,TicketVTicketV,AUCEKC,VTS5+1TickettgsEKtgsKC,tgs,IDC,ADC,IDtgs,TS2,LT2TicketVEKVKC,V,IDC,ADC,IDV,TS4,LT4AUCEKC,tgsIDC,ADC,

30、TS3KcKcKtgsKvKtgsKvKc,tgsKc,vAUCEKcvIDC,ADC,TS52024/8/10Kerberos(V4)协议交互过程)协议交互过程2024/8/10l依赖性依赖性l加密系统的依赖性(加密系统的依赖性(DES)、对)、对IP协议的依赖性和对协议的依赖性和对时间依赖性。时间依赖性。l字节顺序:没有遵循标准字节顺序:没有遵循标准l票据有效期票据有效期l有效期最小为有效期最小为5分钟,最大约为分钟,最大约为21小时小时,往往不能满足往往不能满足要求要求l认证转发能力认证转发能力l不允许签发给一个用户的鉴别证书转发给其他工作站不允许签发给一个用户的鉴别证书转发给其他工作站

31、或其他客户使用或其他客户使用Kerberos(V4)协议的缺陷)协议的缺陷2024/8/10Kerberos(V4)协议的缺陷(续)协议的缺陷(续)l领域间的鉴别领域间的鉴别l管理起来困难管理起来困难l加密操作缺陷加密操作缺陷l非标准形式的非标准形式的DES加密(传播密码分组链接加密(传播密码分组链接PCBC)方式,易受攻击方式,易受攻击l会话密钥会话密钥l存在着攻击者重放会话报文进行攻击的可能存在着攻击者重放会话报文进行攻击的可能l口令攻击口令攻击l未对口令提供额外的保护,攻击者有机会进行口令攻击未对口令提供额外的保护,攻击者有机会进行口令攻击2024/8/10l加密系统加密系统l支持使用任

32、何加密技术支持使用任何加密技术。l通信协议通信协议lIP协议外,还提供了对其他协议的支持。协议外,还提供了对其他协议的支持。l报文字节顺序报文字节顺序l采用抽象语法表示(采用抽象语法表示(ASN.1)和基本编码规则()和基本编码规则(BER)来)来进行规范。进行规范。Kerberos(V5)协议的改进)协议的改进2024/8/10Kerberos(V5)协议的改进(续)协议的改进(续)l票据的有效期票据的有效期l允许任意大小的有效期,有效期定义为一个开始时间和允许任意大小的有效期,有效期定义为一个开始时间和结束时间。结束时间。l鉴别转发能力鉴别转发能力l更有效的方法来解决领域间的认证问题更有效

33、的方法来解决领域间的认证问题l口令攻击口令攻击l提供了一种预鉴别(提供了一种预鉴别(preauthentication)机制,使口令)机制,使口令攻击更加困难。攻击更加困难。2024/8/10Kerberos领域领域(realm)l构成:一个完整的构成:一个完整的Kerberos环境包括一个环境包括一个Kerberos服务器,一组工作站和一组应用服务器。服务器,一组工作站和一组应用服务器。lKerberos服务器数据库中拥有所有参与用户的服务器数据库中拥有所有参与用户的UID和口令散列表。和口令散列表。lKerberos服务器必须与每一个服务器之间共享一个服务器必须与每一个服务器之间共享一个保

34、密密钥。保密密钥。l所有用户均在所有用户均在Kerberos服务器上注册。服务器上注册。l所有服务器均在所有服务器均在Kerberos服务器上注册。服务器上注册。l领域的划分是根据网络的管理边界来划定的。领域的划分是根据网络的管理边界来划定的。2024/8/10Kerberos领域间的互通领域间的互通l跨领域的服务访问跨领域的服务访问l一个用户可能需要访问另一个一个用户可能需要访问另一个Kerberos领域中应领域中应用服务器;用服务器;l一个应用服务器也可以向其他领域中的客户提供网一个应用服务器也可以向其他领域中的客户提供网络服务。络服务。l领域间互通的前提领域间互通的前提l支持不同领域之间

35、进行用户身份鉴别的机制;支持不同领域之间进行用户身份鉴别的机制;l互通领域中的互通领域中的Kerberos服务器之间必须共享一个服务器之间必须共享一个密钥;密钥;l同时两个同时两个Kerberos服务器也必须进行相互注册。服务器也必须进行相互注册。2024/8/10远程服务访问的认证过程远程服务访问的认证过程2024/8/10X.509认证协议认证协议Kerberos认证协议认证协议第第7章章协议安全技术(认证协议)协议安全技术(认证协议)身份认证技术回顾身份认证技术回顾2024/8/10l由由ITU-T制定的制定的lX.509是是ITU-T的的X.500(目录服务)系列建议(目录服务)系列建

36、议中的一部分中的一部分lX.500是一套有关目录服务的建议,而是一套有关目录服务的建议,而X.509定定义了目录服务中向用户提供认证服务的框架。义了目录服务中向用户提供认证服务的框架。lX.509协议的实现基于公开密钥加密算法和数字协议的实现基于公开密钥加密算法和数字签名技术。签名技术。X.509认证认证2024/8/10l证书由可信证书权威机构(证书由可信证书权威机构(CA-CertficateAuthority)创建)创建l用户或用户或CA将证书存放在目录服务器中;将证书存放在目录服务器中;l表示法:证书机构表示法:证书机构Y颁发给用户颁发给用户X的证书表示为的证书表示为YlCA表示表示C

37、A颁发给用户颁发给用户A的证书。的证书。lCA用其私有密钥对证书进行了签名用其私有密钥对证书进行了签名l用户可用用户可用CA的公开密钥验证证书的有效性;的公开密钥验证证书的有效性;l任何拥有任何拥有CA公开密钥的用户都可以从证书中提取被该证书公开密钥的用户都可以从证书中提取被该证书认证的用户的公开密钥;认证的用户的公开密钥;l除了除了CA外,任何用户都无法伪造证书或篡改证书的内容;外,任何用户都无法伪造证书或篡改证书的内容;l由于证书是不可伪造的,可将证书存放数据库(即目录服务)由于证书是不可伪造的,可将证书存放数据库(即目录服务)中,而无需进行特殊的保护。中,而无需进行特殊的保护。X.509

38、认证协议中的证书认证协议中的证书2024/8/10X.509认证协议中的证书格式认证协议中的证书格式2024/8/10X.509认证协议中的证书的获得认证协议中的证书的获得l通信双方通信双方A和和B如何获得对方的证书如何获得对方的证书l小型网络中,共同信任同一个小型网络中,共同信任同一个CA。l通过访问公共目录服务获取对方的证书,或直接传递。通过访问公共目录服务获取对方的证书,或直接传递。l大型网络,大型网络,多个多个CA,层次化管理。,层次化管理。lCA之间交换公开密钥(即交换证书)。之间交换公开密钥(即交换证书)。2024/8/10l撤销的情况:撤销的情况:l证书过期;证书过期;l在证书过

39、期之前申请将在证书过期之前申请将其作废。其作废。l例如,用户密钥被泄露,例如,用户密钥被泄露,CA的密钥被泄露,或的密钥被泄露,或者用户不再使用某一个者用户不再使用某一个CA颁发的证书等颁发的证书等。X.509认证协议中的证书的吊销认证协议中的证书的吊销2024/8/10X.509认证协议的消息交互过程认证协议的消息交互过程l单向认证单向认证AliceBob可选可选2024/8/10X.509认证协议中的证书格式认证协议中的证书格式l双向认证双向认证AliceBob2024/8/10X.509认证协议中的证书格式(续)认证协议中的证书格式(续)l三向认证三向认证AliceBob2024/8/1

40、0X.509认证协议认证协议V3的功能扩展的功能扩展l密钥和策略信息密钥和策略信息l这类扩展用于指示有关主体和颁发者的附加信息和与证这类扩展用于指示有关主体和颁发者的附加信息和与证书相关的策略。书相关的策略。l证书主体和颁发者的属性证书主体和颁发者的属性l这类扩展支持可选主体名字或颁发者名字。这类扩展支持可选主体名字或颁发者名字。l证书路径约束证书路径约束l这类扩展字段用于在签发给这类扩展字段用于在签发给CA的证书中包含一定的约的证书中包含一定的约束。束。2024/8/10教材与参考书教材与参考书l教材:教材:l张世永,网络安全原理与应用,科学出版社,张世永,网络安全原理与应用,科学出版社,2

41、003l参考书参考书l阙喜戎阙喜戎等等编著,信息安全原理及应用,清华大学出版社编著,信息安全原理及应用,清华大学出版社lChristopherM.King,CuritisE.Dalton,T.ErtemOsmanoglu(常(常晓波等译)晓波等译).安全体系结构的设计、部署与操作,清华大学出版安全体系结构的设计、部署与操作,清华大学出版社,社,2003(ChristopherM.King,etal,SecurityArchitecture,design,deployment&Operations)lWilliamStallings,密码编码学与网络安全原理与实践(第三,密码编码学与网络安全原理

42、与实践(第三版),电子工业出版社,版),电子工业出版社,2004lStephenNorthcutt,深入剖析网络边界安全,机械工业出版社,深入剖析网络边界安全,机械工业出版社,2003l冯登国,计算机通信网络安全,冯登国,计算机通信网络安全,2001lBruceSchneier,AppliedCryptography,Protocols,algorithms,andsourcecodeinC(2ndEdition)(应用密码学应用密码学协议、算法与协议、算法与C源程序,源程序,吴世忠、祝世雄、张文政等译吴世忠、祝世雄、张文政等译)l蔡皖东,网络与信息安全,西北工业大学出版社,蔡皖东,网络与信息安全,西北工业大学出版社,20042024/8/10AnyQuestion?Q&A2024/8/10

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号