欢迎来到天天文库
浏览记录
ID:36328786
大小:309.49 KB
页数:89页
时间:2019-05-09
《《信息安全协议》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第七章信息安全协议1目录一.概述二.Kerberos协议三.SSL协议四.SET协议五.IPSec协议27.1概述在OSI(开放系统互连)标准中,网络协议被分为7层,常用的是其中的5层:物理层、数据链路层、网络层、传输层和应用层。一般的网络通信协议都没有考虑安全性需求,这就带来了互联网许多的攻击行为,导致了网络的不安全性,为了解决这一问题,出现了各种网络安全协议以增强网络协议的安全。37.1概述常用的网络安全协议包括Kerberos认证协议,安全电子交易协议SET、SSL、SHTTP、S/MIME、SSH、
2、IPSec等。这些安全协议属于不同的网络协议层次,提供不同的安全功能。特别是在IPv6当中强制采用IPSec来加强网络的安全性。根据OSI安全体系结构的定义,在不同的协议层次上适合提供的安全功能不尽相同,具体规定见表7.1。47.1概述安全服务与协议层次的关系57.1概述说明了各种网络安全协议与TCP/IP协议的层次对应关系。67.2Kerberos协议7.2.1Kerberos协议概述Kerberos协议最早由MIT作为解决网络安全问题的一个方案提出,由麻省理工学院的ProjectAthena创建,后者是
3、20世纪80年代后期进行的企业范围计算的测试项目,可用于公共用途。Kerberos协议采用了强加密,因此客户能够在不安全的网络上向服务器(以及相反地)验证自己的身份,如图7.1所示。77.1概述Kerberos是网络验证协议名字,同时也是用以表达实现了它的程序的形容词(例如Kerberostelnet)。目前最新的协议版本是5,在RFC 1510中有所描述。该协议有许多免费的实现,这些实现涵盖了许多种不同的操作系统。最初研制Kerberos的麻省理工学院也仍然在继续开发的Kerberos软件包。在美国Ker
4、beros被作为一种加密产品使用,因而历史上曾经受到美国出口管制。87.1概述Kerberos是古希腊神话中守卫地狱入口狗,长着3个头。MIT之所以将其认证协议命名为Kerberos,是因为计划通过认证、清算和审计3个方面来建立完善的完全机制,但目前清算和审计功能的协议还没有实现。Kerberos协议的基本应用环境为在一个分布式的客户端/服务器体系机构中采用一个或多个Kerberos服务器提供一个鉴别服务。客户端想请求应用服务器上的资源,首先客户端向Kerberos认证服务器请求一张身份证明,然后再将身份证
5、明交给服务器进行验证,Server在验证通过后,即为客户端分配请求的资源。97.1概述Kerberos协议本身并不是无限安全的,而且也不能自动地提供安全,它是建立在一些假定之上的,只有在满足这些假定的环境中它才能正常运行。(1)不存在拒绝服务(DoS,Denialofservice)攻击。Kerberos协议不能解决拒绝服务攻击,在该协议的很多环节中,攻击者都可以阻断正常的认证步骤。这类攻击只能由管理员和用户来检测和解决。107.1概述(2)主体必须保证的私钥的安全。如果一个入侵者通过某种方法窃取了主体的私
6、钥,他就能冒充身份。(3)Kerberos协议无法应付口令猜测(PasswordGuessing)攻击。如果一个用户选择了弱口令,那么攻击都就有可能成功地用口令字典破解掉,继而获得那些由源自于用户口令加密(由用户口令形成的加密链)的所有消息。(4)网络上每个主机的时钟必须是松散同步的(LooselySynchronized)。这种同步可以减少应用服务器进行重放攻击检测时所记录的数据。松散程度可以以一个服务器为准进行配置。时钟同步协议必须保证自身的安全,才能保证时钟在网上同步。117.1概述(5)主体的标识不
7、能频繁地循环使用。由于访问控制的典型模式是使用访问控制列表(ACLs)来对主体进行授权。如果一个旧的ACL还保存着已被删除主体的入口,那么攻击者可以重新使用这些被删除的用户标识,就会获得旧ACL中所说明的访问权限。127.2.2Kerberos身份验证协议内容Kerberos可用来为网络上的各种服务器提供认证服务,使得口令不再是以明文方式在网络上传输,并且连接之间通信是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),Kerberos基于私钥体制(对称密码体制)。Kerberos称为
8、可信的第三方验证协议,意味着它运行在独立于任何客户机或服务器的服务器之上。Kerberos服务器称为AS(AuthenticationServer,验证服务器)。当客户端需要访问某个服务器时,客户端访问Kerberos服务器以获取票证。拥有票证意味着具有访问权限。这一点首先假设客户端和服务器都信任“第三方”Kerberos验证服务器。137.2.2Kerberos身份验证协议内容IETF管理Kerberos规范,
此文档下载收益归作者所有