返回
网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt

网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt

ID:50507387

大小:2.15 MB

页数:44页

时间:2020-03-10

网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt_第1页
网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt_第2页
网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt_第3页
网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt_第4页
网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt_第5页
资源描述:

《网络安全原理与技术(第二版) 教学课件 作者 冯登国 徐静chapter3b.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、认证非密码认证机制基于密码的认证机制设计认证协议应注意的问题典型认证机制数据起源认证1典型认证机制Kerberos系统X.509认证交换协议认证Diffie-Hellman交换协议2Kerberos系统34567Kerberos解决方案调用每项服务时需要用户证明身份。也需要这些服务器向客户证明他们的身份。在一个分布式的Client/Server体系结构中,采用一个或多个Kerberos服务器提供鉴别服务。891011一个简单鉴别对话报文(3)中每个部分都是意义重大。票据被加密以防更改或伪造。服务器的ID(IDV)包含在票据中,以便服务器能证实票据解密的正确性。票据中的IDC用来

2、说明这张票据已经代表C发出了。ADC防止下面的攻击:敌手可以在报文(2)中截获票据,然后使用IDC,并从另一个工作站发出(3)报文。服务器将收到有效票据并匹配用户ID,它便向另一台工作站上的用户授予访问权限。121314用户先向AS请求一张票据许可票(Tickettgs),用户工作站中的客户模块将保存这张票据。每当用户需要访问新的服务时,客户便使用这张能鉴别自己的票据向TGS发出请求。TGS则发回一张针对请求的特定服务的许可票据。AS发回的票据是加密的,加密密钥是由用户口令导出的。当相应到达客户端时,客户端提示用户输入口令,产生密钥,若口令正确,票据就能正确恢复。说明15存在的

3、问题票据许可票据(Tickettgs)的生存期。若太短,用户总被要求输入口令。若太长,敌手就有更多重放的机会。可以窃听网络,获得票据许可票据,等待合法用户退出登录,伪造合法用户的地址。必须能证明使用票据的人就是申请票据的人。需要服务器向客户鉴别。敌手可能破坏系统配置,使发往服务器的报文转送到另一个位置,假的服务器来接收来自用户的任何消息。16解决方案使用会话密钥。让AS以安全的方式向客户和TGS各自提供会话密钥,然后客户在与TGS交互过程中,用此会话密钥处理,以证明自己的身份。1718192021222324Version5改进—环境缺陷加密系统的依赖性:Version4需要使

4、用DES,Version5可以使用任何加密技术。Internet协议的依赖性:Version4需要使用IP地址,Version5允许使用任何类型的网络地址。消息字节次序:Version4字节序由自己选择,Version5采用抽象语法记法1(ASN.1)和基本编码规则(BER),提供明确的字节序。25Version5改进—环境缺陷票据有效期:Version4最长可表为1280分钟,Version5包含显示的开始和结束时间,允许有任意大小的有效期。鉴别的转发:Version4不允许。26Version5改进—技术缺陷双重加密:提供给客户的票据被加密了两次,不必要,造成计算上的浪费。

5、PCBC加密:Version4采用PCBC工作模式加密,容易遭受一种使用互换密文分组的攻击。Version5用CBC模式。会话密钥:每张票据包括一个会话密钥,客户和服务器可使用此会话密钥保护会话过程中的报文,有重放攻击的危险。Version5使用会话子密钥。口令攻击:两个版本都遭受此攻击。Version5使口令攻击更困难。272829301)需要具有很高利用率的可信(物理上安全的)在线服务器;2)重放检测依赖于时戳,意味着需要同步和安全的时钟;3)如果认证过程中的密钥受到危及,那么传递在使用该密钥进行认证的任何会话过程中的所有被保护的数据将受到危及。3132典型认证机制Kerb

6、eros系统X.509认证交换协议认证Diffie-Hellman交换协议33X.509认证交换协议可作为基于公钥密码技术的认证机制的典型例子。OSI目录检索服务标准X.500首先公布于1988年,该标准中包括了一部分陈述认证的标准,即ISO/IEC9594-8或ITU-TX.509建议。根据分析的结果,1993年和1995年分别对X.509建议作了微小修改。这里只概括介绍其中的两个认证交换协议。34成员A成员B目录服务第1次交换的数据项第2次交换的数据项第3次交换的数据项X.509交换公钥证书分配X.509认证交换协议35在双向交换中,传递的数据项为: 第1个数据项:A,SA

7、{tsAB,nrvAB,B,EB{KeyAB}}第2个数据项:SB{tsBA,nrvBA,A,nrvAB,EA{KeyBA}}在三向交换中,不需要时戳: 第3个数据项:SA{B,nrvBA}X.509认证交换协议3637典型认证机制Kerberos系统X.509认证交换协议认证Diffie-Hellman交换协议38认证Diffie-Hellman交换协议Diffie,vanOorschot和Wiener于1992年将基于公钥的互认证和Diffie-Hellman密钥交换相结合提出了一个三向

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。