协议安全技术(认证协议).ppt
《协议安全技术(认证协议).ppt》由会员分享,可在线阅读,更多相关《协议安全技术(认证协议).ppt(63页珍藏版)》请在三一办公上搜索。
1、2023/10/10,电子科技大学 计算机科学与工程学院,计算系统与网络安全Computer System and Network Security,2023/10/10,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2023/10/10,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2023/10/10,回顾:身份认证,身份认证的定义:声称者向验证者出示自己的身份的证明过程证实客户的真实身份与其所声称的身份是否相符的过程身份认证又叫身份鉴别、实体认证、身份识别认证目的:使别的成员(验证者)
2、获得对声称者所声称的事实的信任。身份认证是获得系统服务所必须的第一道关卡。,2023/10/10,回顾:身份认证(续),身份认证可以分为本地和远程两类。本地:实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。远程:连接远程设备、实体和环境的实体鉴别。实体鉴别可以是单向的也可以是双向的。单向认证是指通信双方中只有一方向另一方进行鉴别。双向认证是指通信双方相互进行鉴别。,2023/10/10,回顾:身份认证(续),身份认证系统的组成:认证服务器认证系统用户端软件认证设备认证协议,2023/10/10,回顾:身份认证(续),常见的协议PAPCHAPKerb
3、erosX.509,2023/10/10,口令认证协议PAP,PAP:Password Authentication Protocol 用于用户向PPP(Point-to Point Protocol)服务器证明自己的身份仅在链路建立初期进行认证,一旦完成认证,以后即不再进行认证,2023/10/10,口令认证协议PAP(续),Client,Server,Usernames and PasswordsAre Sent in the Clear,PAP的两次消息交换,2023/10/10,口令认证协议PAP(续),PPP中PAP的协议格式,2023/10/10,口令认证协议PAP(续),Auth
4、enticate-Request,Code2:Authenticate-Ack Code3:Authenticate-Nak,PPP中PAP的协议格式,2023/10/10,口令认证协议PAP:总结,PAP采用两次消息交换完成认证过程,2023/10/10,挑战应答认证协议CHAP,CHAP:Challenge Handshake Authentication Protocol用于用户与PPP服务器之间的认证在链路建立初期进行认证与PAP不同,以后可以再次进行认证,2023/10/10,挑战应答认证协议CHAP(续),CHAP Authentication,Client,Server,Serv
5、er computes hash of challenge message plus secretIf equals the response message,authentication is successful,CHAP的三次消息交互,2023/10/10,挑战应答认证协议CHAP(续),CHAP协议格式,2023/10/10,挑战应答认证协议CHAP(续),CHAP协议格式,2023/10/10,挑战应答认证协议CHAP(续),CHAP协议格式,2023/10/10,挑战应答认证协议CHAP(续),CHAP协议格式,2023/10/10,挑战应答认证协议CHAP:总结,2023/10/
6、10,X.509认证协议,Kerberos认证协议,第7章 协议安全技术(认证协议),身份认证技术回顾,2023/10/10,是美国麻省理工学院(MIT)开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。Kerberos建立的是一个实现身份认证的框架结构。其实现采用的是对称密钥加密技术,而未采用公开密钥加密。公开发布的Kerberos版本包括版本4和版本5。,Kerberos,2023/10/10,Kerberos设计目标,安全性能够有效防止攻击者假扮成另
7、一个合法的授权用户。可靠性分布式服务器体系结构,提供相互备份。对用户透明性可伸缩能够支持大数量的客户和服务器。,2023/10/10,基本思路:使用一个(或一组)独立的认证服务器(AS Authentication Server),来为网络中的用户(C)提供身份认证服务;认证服务器(AS),用户口令由 AS 保存在数据库中;AS 与每个服务器(V)共享一个惟一保密密钥(Kv)(已被安全分发)。会话过程:,Kerberos设计思路,(1)C AS:IDC|PC|IDv(2)AS C:Ticket(3)C V:IDC|Ticket其中:Ticket=EKvIDC|ADC|IDv,2023/10/1
8、0,会话过程:,Kerberos设计思路(续),Ticket=EKvIDC,ADC,IDv,C,AS,V,IDC:用户C的标识PC:用户口令IDv:服务器标识ADC:用户网络地址,搜索数据库看用户是否合法如果合法,验证用户口令是否正确如果口令正确,检查是否有权限访问服务器V,用与AS共享密钥解密票据检查票据中的用户标识与网络地址是否与用户发送的标识及其地址相同如果相同,票据有效,认证通过,用户,认证服务器,应用服务器,2023/10/10,Kerberos设计思路(续),电影院,电影院售票处,观众,2023/10/10,Kerberos设计思路(续),电影院,电影院售票处,观众,问题之一:信用
9、卡问题,问题:如何买票答案:出示信用卡卡号和密码,2023/10/10,Kerberos设计思路(续),电影院,电影院售票处,观众,问题之二:票的有效期问题,我要买票,这是我的信用卡密码,2023/10/10,Kerberos设计思路(续),电影院甲,电影院售票处,观众,问题之三:多个电影院问题,2023/10/10,Kerberos设计思路(续),上述协议的问题:(1)口令明文传送(2)票据的有效性(多次使用)(3)访问多个服务器则需多次申请票据(即口令多次使用),如何解决,上述协议问题?,2023/10/10,问题:用户希望输入口令的次数最少。口令以明文传送会被窃听。解决办法 票据重用(t
10、icket reusable)。引入票据许可服务器(TGS-ticket-granting server)用于向用户分发服务器的访问票据;认证服务器 AS 并不直接向客户发放访问应用服务器的票据,而是由 TGS 服务器来向客户发放。,Kerberos设计思路(续),2023/10/10,Kerberos设计思路(续),电影院售票处,电影院乙,许可证部门,观众,问题:解决了重复使用信用卡问题,但是其他两个问题没有解决引入了许可证可信问题,2023/10/10,两种票据票据许可票据(Ticket granting ticket)客户访问 TGS 服务器需要提供的票据,目的是为了申请某一个应用服务器
11、的“服务许可票据”;票据许可票据由 AS 发放;用 Tickettgs 表示访问 TGS 服务器的票据;Tickettgs 在用户登录时向 AS 申请一次,可多次重复使用;服务许可票据(Service granting ticket)是客户时需要提供的票据;用 TicketV 表示访问应用服务器 V 的票据。,Kerberos的票据,2023/10/10,Kerberos设计思路(续),电影院售票处,电影院,共享信用卡信息:不用向许可证部门初始信用卡密码,初始电影票,共享“购票许可证”信息:不用出示信用卡及密码,共享“电影票”信息:不用多次购买许可证,许可证部门,观众,购买电影票,最后一个问题
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 协议 安全技术 认证
三一办公所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
链接地址:https://www.31ppt.com/p-6247605.html