- 1、本文档共89页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第七章 信息安全协议 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 010目 录 一. 概述 二. Kerberos协议 三. SSL协议 四. SET协议 五. IPSec协议 7.1 概述 在OSI(开放系统互连)标准中,网络协议被分为7层,常用的是其中的5层:物理层、数据链路层、网络层、传输层和应用层。一般的网络通信协议都没有考虑安全性需求,这就带来了互联网许多的攻击行为,导致了网络的不安全性,为了解决这一问题,出现了各种网络安全协议以增强网络协议的安全 。 7.1 概述 常用的网络安全协议包括Kerberos认证协议,安全电子交易协议SET、SSL、SHTTP、S/MIME、SSH、IPSec等。这些安全协议属于不同的网络协议层次,提供不同的安全功能。特别是在IPv6当中强制采用IPSec来加强网络的安全性。根据OSI安全体系结构的定义,在不同的协议层次上适合提供的安全功能不尽相同,具体规定见表7.1。 7.1 概述 安全服务与协议层次的关系 7.1 概述 说明了各种网络安全协议与TCP/IP协议的层次对应关系。 7.2 Kerberos协议 7.2.1 Kerberos协议概述 Kerberos协议最早由 MIT 作为解决网络安全问题的一个方案提出,由麻省理工学院的Project Athena创建,后者是20世纪80年代后期进行的企业范围计算的测试项目,可用于公共用途。Kerberos协议采用了强加密,因此客户能够在不安全的网络上向服务器 (以及相反地) 验证自己的身份,如图7.1所示。 7.1 概述 Kerberos是网络验证协议名字,同时也是用以表达实现了它的程序的形容词(例如 Kerberos telnet)。目前必威体育精装版的协议版本是5,在RFC?1510中有所描述。 该协议有许多免费的实现,这些实现涵盖了许多种不同的操作系统。最初研制 Kerberos 的麻省理工学院也仍然在继续开发的 Kerberos 软件包。在美国Kerberos被作为一种加密产品使用,因而历史上曾经受到美国出口管制。 7.1 概述 Kerberos 是古希腊神话中守卫地狱入口狗,长着3个头。MIT 之所以将其认证协议命名为Kerberos,是因为计划通过认证、清算和审计3个方面来建立完善的完全机制,但目前清算和审计功能的协议还没有实现。 Kerberos 协议的基本应用环境为在一个分布式的客户端/服务器体系机构中采用一个或多个Kerberos 服务器提供一个鉴别服务。客户端想请求应用服务器上的资源,首先客户端向Kerberos 认证服务器请求一张身份证明,然后到将身份证明交给服务器进行验证,Server 在验证通过后,即为客户端分配请求的资源。 7.1 概述 Kerberos 协议本身并不是无限安全的,而且也不能自动地提供安全,它是建立在一些假定之上的,只有在满足这些假定的环境中它才能正常运行。 (1) 不存在拒绝服务(DoS,Denial of service)攻击。Kerberos 协议不能解决拒绝服务攻击,在该协议的很多环节中,攻击者都可以阻断正常的认证步骤。这类攻击只能 由管理员和用户来检测和解决。 7.1 概述 (2) 主体必须保证的私钥的安全。如果一个入侵者通过某种方法窃取了主体的私钥,他就能冒充身份。 (3) Kerberos 协议无法应付口令猜测(Password Guessing)攻击。如果一个用户选择了弱口令,那么攻击都就有可能成功地用口令字典破解掉,继而获得那些由源自于用户口令加密(由用户口令形成的加密链)的所有消息。 (4) 网络上每个主机的时钟必须是松散同步的(Loosely Synchronized)。这种同步可以减少应用服务器进行重放攻击检测时所记录的数据。松散程度可以以一个服务器为准进行配置。时钟同步协议必须保证自身的安全,才能保证时钟在网上同步。 7.1 概述 (5) 主体的标识不能频繁地循环使用。由于访问控制的典型模式是使用访问控制列表 (ACLs)来对主体进行授权。如果一个旧的ACL 还保存着已被删除主体的入口,那么攻击者 可以重新使用这些被删除的用户标识,就会获得旧ACL中所说明的访问权限。 7.2.2 Kerberos身份验证协议内容 Kerberos可用来为网络上的各种服务器提供认证服务,使得口令不再是以明文方式在网络上传输,并且连接之间通信是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),Kerberos基于私钥体制(对称密码体制)。Kerberos称为可信的第三方验证协议,意味着它运行在独立于任何客户机或服务器的服务
您可能关注的文档
- 第5章 时域测量第5章 时测量域测量.ppt
- 第5章 隧道围岩分级与围岩力第5章 隧道围岩分级与围岩压力第5章 隧道围岩分级与围岩压力第5章 隧道围岩分级与围岩压力.ppt
- 第5章 组建优秀的创业团队5章 组建优秀的创业团队第5章 组建优秀的创业团队第5章 组建优秀的创业团队.ppt
- 第5章 消费者市场和购买行分析第5章 消费者市场和购买行为分析第5章 消费者市场和购买行为分析第5章 消费者市场和购买行为分析.ppt
- 第5章 时序逻辑电路_周开第5章 时序逻辑电路_周开利第5章 时序逻辑电路_周开利第5章 时序逻辑电路_周开利.ppt
- 第5章 遵守社会公德 维护共秩序第5章 遵守社会公德 维护公共秩序第5章 遵守社会公德 维护公共秩序第5章 遵守社会公德 维护公共秩序.ppt
- 第5章__礼品包装技术________________________________________8第5章__礼品包装技术_________________________________________8第5章__礼品包装技术_________________________________________8第5章__礼品包装技术_________________________________________8.doc
- 第5章_excel审计应用5章_excel审计应用第5章_excel审计应用第5章_excel审计应用.ppt
- 第5章_房地产估价原则第5_房地产估价原则第5章_房地产估价原则第5章_房地产估价原则.ppt
- 第5章 注射模基本结构与注机第5章 注射模基本结构与注射机第5章 注射模基本结构与注射机第5章 注射模基本结构与注射机.ppt
文档评论(0)