第三讲密钥分配和用户认证详解.ppt

第三讲 密钥分配和用户认证;提纲;基于对称加密的密钥分配;基于对称加密的密钥分配;Kerberos;Kerberos;工作过程: (1) 用户身份鉴别 用户与Kerberos 服务器建立一会话,用户传送自己的身份+TGS服务器号+时间 Kerberos 服务器验证该用户是否为合法用户，发送会话密钥Kc,tgs,用户网络地址ADc和票据Tickettgs给用户(用用户的口令Kc加密); 若工作站可以用用户输入的口令Kc解密回应信息,就成功通过鉴别 问题：为什么不直接采用传递口令方式? ;注意:口令是集中存在 Kerberos 服务器上的,不需在网络上传输 ;（2）用户向票据授权服务器请求获得该服务的票据。 用户发送请求?票据授权服务器对U验证其访问许可,返回一服务票据. 该票据用票据服务器和文件服务器之间的会话密钥加密. 引入票据授权服务器的意义 可以避免用户每次访问新的服务器都要输入口令。用户只需保存第一次认证获得???票据，每次有新的请求，重用该票据直接送给票据授权服务器。 问题：该过程如何防止重放攻击的？ 即在消息截获者可能会在AS授予的票据有效期内，利用该票据。 解决方法：需要TGS服务器和用户之间的认证，因此有一个会话密钥Kc,tgs，认证符就采用会话密钥对ID,网络地址和时间加密，避免重放 ; （3）用户从文件服务器获得服务 传送票据和认证符,服务器验证票据 （同样有票据重用和认证的问题，方法同上） ;Kerberos可以抵御分布式环境下的多种攻击 ;Kerberos 域间认证机制;Kerberos版本5;Kerberos版本5;Kerberos版本5的交换过程;Kerberos存在的问题;基于非对称加密的密钥分配;基于公钥密码的秘密密钥密钥分发;证书结构;证书结构;公钥证书举例;Subject: C=CN, ST=, L=Nanjing, O=Southeast Univesity, OU= Network Center, CN=Jian Gong/Email=jgong@ Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:d9:fd:c6:68:34:0d:67:9e:95:4b:ed:c5:76:05: 0c:cc:49:0e:21:a6:2c:cd:85:22:62:e4:bd:72:5d: 5e:48:65:b8:98:3b:21:b3:65:67:a8:53:cd:63:53: 23:d9:21:37:c3:93:d7:3d:0a:69:ed:da:bf:64:a4: 6c:bb:a4:4b:cf:46:f5:cc:72:74:54:0a:b6:e8:22: 70:69:ca:f7:8d:5b:25:24:bd:11:67:94:dc:97:21: ff:08:7a:50:4c:3a:ff:33:4b:5f:54:66:ea:8e:cb: f0:b3:af:96:ce:d0:78:a4:51:3e:8c:f9:98:52:0a: fd:ad:cb:85:b5:45:d4:14:3f Exponent: 65537 (0x10001) ? ;X509v3 extensions: Netscape Cert Type: SSL Client Netscape CA Revocation Url: /common_bin/crl.der Netscape Comment: Cernet Eastern China(North) Network Center Certificate Authority ? Signature Algorithm: md5WithRSAEncryption 92:ad:96:f6:4e:10:fa:69:3b: