信息安全原理及应用第八章.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 学习动物精神 12、善解人意的海豚：常常问自己：我是主管该怎么办才能有助于更好的处理事情的方法。在工作上善解人意， 会减轻主管、共 事者的负担，也 让你更具人缘。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 零知识证明技术 零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。 讨论议题 鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别 * * 基于地址的机制 基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。 基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。 讨论议题 鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别 * * 基于个人特征的机制 生物特征识别技术主要有： 1）指纹识别； 2）声音识别； 3）手迹识别； 4）视网膜扫描； 5）手形。这些技术的使用对网络安全协议不会有重要的影响。 讨论议题 鉴别机制 口令机制 一次性口令机制 基于密码算法的鉴别 零知识证明协议 基于地址的机制 基于个人特征的机制 基于设备的鉴别 * * 个人鉴别令牌 物理特性用于支持鉴别“某人拥有某东西” ，但通常要与一个口令或PIN结合使用。 * 讨论议题 密码协议 鉴别协议 鉴别与密钥交换协议 * 设计鉴别交换协议 鉴别和密钥交换协议的核心问题有两个： 必威体育官网网址性 时效性 针对不同验证者的重放，使用发送验证者的标识符。 针对同一验证者的重放对策是使用非重复值： 序列号 时间戳 随机值 相互鉴别交换协议必须为此目的而特别地进行设计。 * 讨论议题 鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务 * CHAP challenge-Handshake Authentication Protocol 询问握手鉴别协议 CHAP ：RFC1994 拨号用户鉴别协议，采用提问/应答方式进行鉴别，通过在PPP链接的双方进行一次三次握手，完成对对方身份的鉴别 * * 讨论议题 鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务 * S/Key 协议 S/KEY由贝尔实验室于1994年公开发布并在RF1760中定义，是基于MD4、MD5的一次性口令生成机制 S/key protocol主要用于防止重放攻击 * S/KEY协议组成 三个组成部分 客户端程序：为端用户提供登录程序，并在得到服务器质询值时，获取用户私钥，并调用口令计算器形成本次鉴别口令，然后发送给服务器程序 口令计算器：负责产生本次口令 服务器程序：验证用户口令 整个过程中，用户的私钥不会暴露在网络上 * * 讨论议题 鉴别与交换协议实例 CHAP S/Key Kerberos X.509鉴别服务 * 80年代中期 是MIT的Athena工程的产物 版本 前三个版本仅用于内部 第四版得到了广泛的应用 第五版于1989年开始设计 RFC 1510, 1993年确定 标准Kerberos Kerberos历史 * Kerberos要解决的问题和方案 在一个开放的分布式网络环境中，防止一个非授权用户能够获得其无权访问的服务或数据。 不是为每一个服务器构造一个身份鉴别协议，Kerberos提供一个中心鉴别服务器，提供用户到服务器和服务器到用户的鉴别服务。 Kerberos采用传统加密算法。 Kerberos Version4和Version5 RFC1510 。 Kerberos系统应满足的要求：安全、可靠、透明、可伸缩。 * Kerberos协议中一些概念 Principal 安全个体 被鉴别的个体，有一个名字 name 和口令 password KDC Key distribution center 是一个网络服务，提供ticket和临时的会话密钥 Ticket 一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket 中的大多数信息都被加密，密钥为服务器的密钥 Authenticator 一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥 Kerberos模型 * Kerberos版本4 * Kerberos版本5 * * Kerberos Version 5