返回
5 密码学身份认证

5 密码学身份认证

ID:5397768

大小:1.32 MB

页数:57页

时间:2017-11-10

5 密码学身份认证_第1页
5 密码学身份认证_第2页
5 密码学身份认证_第3页
5 密码学身份认证_第4页
5 密码学身份认证_第5页
资源描述:

《5 密码学身份认证》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、《网络信息安全》课程第五章身份认证石鉴南开大学信息管理与信息系统系http://www.shihchien.nete-mail:shih@nankai.edu.cn问题的提出身份欺诈中间欺骗象棋大师问题Mafia问题多身份欺诈身份认证概念协议PAPCHAPKerberosX.509认证协议.双方认证(mutualauthentication).单向认证(one-wayauthentication)双向认证协议是最常用的协议.该协议使得通信各方互相认证鉴别各自的身份,然后交换会话密钥.基于认证的密钥交换核心问题有两个:保密性时效性为了防

2、止伪装和防止暴露会话密钥,基本认证与会话密码信息必须以保密形式通信,这就要求预先存在保密或公开密钥供实现加密使用.第二个问题也很重要因为涉及防止消息重放攻击(3)由于变化的和不可预见的网络延迟的本性,不能期望分布式时钟保持精确的同步.因此任何基于时间戳的过程必须采用时间窗的方式来处理,一方面时间窗应足够大以包容网络延迟,另一方面时间窗应足够小以最大限度地减小遭受攻击的机会.盘问/应答方法不适应非连接性的应用因为它要求在传输开始之前先有握手的额外开销这就抵消了无连接通信的主要特点.安全的时间服务器用以实现时钟同步可能是最好的方法[LAM

3、92b]假定攻击方C已经掌握A和B之间通信的一个老的会话密,C可以在第3步冒充A利用老的会话密钥欺骗B.除非B记住所有以前使用的与A通信的会话密钥,否则B无法判断这是一个重放攻击.如果C可以中途阻止第4步的握手信息,则可以冒充A在第5步响应.从这一点起,C就可以向B发送伪造的消息而对B来说认为是用认证的会话密钥与A进行的正常通信DenningProtocol比Needham/SchroederProtocol在安全性方面增强了一步.然而.又提出新的问题,即必须依靠各时钟均可通过网络同步.如果发送者的时钟比接收者的时钟要快,攻击者就可以

4、从发送者窃听消息.并在以后当时间戳对接收者来说成为当前时重放给接收者,这种重放将会得到意想不到的后果.(称为抑制重放攻击)公钥加密方法:身份认证应用实例--Kerberos引言问题:•在一个开放的分布式网络环境中用户通过工作站访问服务器上提供的服务..服务器应能够限制非授权用户的访问并能够认证对服务的请求.工作站不能够被网络服务所信任其能够正确地认定用户即工作站存在三种威胁:•一个工作站上一个用户可能冒充另一个用户操作•一个用户可能改变一个工作站的网络地址从而冒充另一台工作站工作•一个用户可能窃听他人的信息交换并用回放攻击获得对一个服

5、务器的访问权或中断服务器的运行Kerberos要解决的问题•所有上述问题可以归结为一个非授权用户能够获得其无权访问的服务或数据•不是为每一个服务器构造一个身份认证协议•Kerberos提供一个中心认证服务器提供用户到服务器和服务器到用户的认证服务•Kerberos采用传统加密算法•KerberosVersion4和Version5(RFC1510)信息系统资源保护的动机.单用户单机系统用户资源和文件受到物理上的安全保护.多用户分时系统操作系统提供基于用户标识的访问控制策略;并用logon过程来标识用户.Client/Server网络结

6、构由一组工作站和一组分布式或中心式服务器组成三种可能的安全方案.相信每一个单独的客户工作站可以保证对其用户的识别,并依赖于每一个服务器强制实施一个基于用户标识的安全策略.要求客户端系统将它们自己向服务器作身份认证但相信客户端系统负责对其用户的识别.要求每一个用户对每一个服务证明其标识身份同样要求服务器向客户端证明其标识身份Kerberos的解决方案.在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务Kerberos系统应满足的要求KerberosVersion4.引入一个信任的第三方

7、认证服务,采用一个基于Needham&Schroeder协议;.采用DES精心设计协议,提供认证服务;一个简单的认证对话更安全的认证对话.两个主要问题.希望用户输入口令的次数最少.口令以明文传送会被窃听.解决办法.ticketreusable.Ticket-grantingserverKerberosV4AuthenticationDialogue.两个问题.与ticket-grantingticket相关的Lifetime问题.需要服务器向客户进行认证.解决方案.sessionkeySummaryofKerberosVersion4

8、MessageExchangesKerberos处理过程概要Kerberos管辖范围与多重服务.一个完整的Kerberos环境包括一个Kerberos服务器一组工作站和一组应用服务器满足下列要求:.Kerberos服务器

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。