第13讲 密钥管理与证书39875

第13讲 密钥管理与证书39875

ID:40230605

大小:643.00 KB

页数:43页

时间:2019-07-27

第13讲 密钥管理与证书39875_第1页
第13讲 密钥管理与证书39875_第2页
第13讲 密钥管理与证书39875_第3页
第13讲 密钥管理与证书39875_第4页
第13讲 密钥管理与证书39875_第5页
资源描述:

《第13讲 密钥管理与证书39875》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第十三讲.Kerberos认证协议与X.509上海交通大学计算机科学系1.密钥管理所有的密码系统都存在:如何安全可靠地分配密钥许多情况下,出现的安全问题不是因为密码算法被破,而是密钥分配系统被破理想的情况是,密钥分配协议应得到形式化验证,目前已有这方面的结果2.PhysicalDelivery传统的物理方法秘密传送3.认证密钥服务器第三方可信的在线服务器服务器与每个客户有个公享秘密钥向客户分发密钥可以利用对称密钥算法Kerberos4.Kerberos认证服务协议是一项鉴别协议解决的问题:在一个公开的分布式环境中,工作站上的用户希望访问分布

2、在网络中的服务器上的服务服务器希望能够限制授权用户的访问,并能对服务请求进行鉴别。5.Kerberos使用的加密体制Kerberos不是为每一个服务器构造一个身份认证协议,而是提供一个中心认证服务器,提供用户到服务器和服务器到用户的认证服务。Kerberos采用传统加密算法(无公钥体制)常用版本:KerberosVersion4和Version5(RFC1510)6.Kerberos的解决方案在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务。总体方案是提供一个可信第三方的认证服务。7.Ke

3、rberos系统满足的要求安全。网络窃听者不能获得必要信息以假冒其它用户;Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。可靠。Kerberos应高度可靠,并且应借助于一个分布式服务器体系结构,使得一个系统能够备份另一个系统。透明。理想情况下,用户除了要求输入口令以外应感觉不到认证的发生。可伸缩。系统应能够支持大数量的客户和服务器8.KerberosVersion4引入一个信任的第三方认证服务,采用一个基于Needham&Schroeder协议。采用DES,精心设计协议,提供认证服务。9.一个简单的认证对话引入认证服务器(AS

4、),它知道所有用户的口令并将它们存储在一个中央数据库中。另外,AS与每一个服务器共有一个唯一的保密密钥。这些密钥已经通过物理上或以更安全的手段分发考虑以下假定的对话:(1)CAS:IDC

5、

6、PC

7、

8、IDV(2)ASC:Ticket(3)CV:IDC

9、

10、TicketTicket=EKV[IDC

11、

12、ADC

13、

14、IDV]IDV:identifierofVPC:passwordofuseronCADC:networkaddressofCKV:AS与V共有的保密密钥CVAS(1)(2)(3)ADC防止何种攻击?考虑以下假定的对话:(1)CAS:I

15、DC

16、

17、PC

18、

19、IDV(2)ASC:Ticket(3)CV:IDC

20、

21、TicketTicket=EKV[IDC

22、

23、ADC

24、

25、IDV]IDV:identifierofVPC:passwordofuseronCADC:networkaddressofCKV:AS与V共有的保密密钥CVAS(1)(2)(3)ADC防止何种攻击?其中:C:clientAS:AuthenticationServerV:serverIDC:identifierofuseronC10.上述对话存在的问题两个主要问题希望用户输入口令的次数最少。口令以明文传送会被窃听。解决

26、办法票据重用(ticketreusable)票据需可服务器(ticket-grantingserver,TGS)改进后的假想的对话:用户登录的每次对话:(1)CAS:IDC

27、

28、IDtgs(2)ASC:EKC[Tickettgs]每种服务类型一次:(3)CTGS:IDC

29、

30、IDv

31、

32、Tickettgs(4)TGSC:TicketV每种服务会话一次:(5)CV:IDC

33、

34、TicketVTickettgs=EKtgs[IDC

35、

36、ADC

37、

38、IDtgs

39、

40、TS1

41、

42、Lifetime1]TicketV=EKV[IDC

43、

44、ADC

45、

46、IDV

47、

48、TS

49、2

50、

51、Lifetime2]CVAS(1)(2)(3)TGS(4)(5)Kerberos11.方案的详细描述用户向AS请求代表该用户的票据许可票据。AS发回加密的票据,密钥由口令导出(Why?)票据许可票据包含用户ID、网络地址、TGS的ID、时戳与生存期(Why?)。用户请求服务许可票据。TGS验证,如通过则发服务许可票据。用户使用服务许可票据请求服务。改进方案仍存在的问题与TGS相关的生存期问题;太长则?太短则?如何应付票据的过期使用?需要服务器向客户进行认证其本身;假的服务器12.KerberosV4的认证对话解决方案会话密钥(sessi

52、onkey)AS用安全方式向用户和TGS各自提供一块秘密信息,然后用户也以安全方式向TGS出示该秘密来证明自己的身份。这个秘密就是会话密钥13.KerberosV4

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。