- 1、本文档共94页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
3--认证与证书课件
认证与证书;典型的认证应用;;Kerberos认证;Kerberos认证;作为一种认证协议;认证协议:设计一个协议(一);认证协议:设计一个协议(二);针对认证协议的一些常见攻击手段和相应对策;常见攻击和对策(二);常见攻击和对策(三);常见攻击和对策(四);认证协议中的常用技术(一);认证协议中的常见技术(二);假设:我去邮件服务器申请邮件,服务程序必须能验证我是我所申明的那人
笨办法:服务器让我输入口令
(那么每个服务器必须知道用户的口令,如果网络有成千个用户,那么每个服务器就要知道成千条口令,如果想改变口令,就必须联系所有服务器,通知它们修改口令等)
解决:每个用户知道自己的口令
每个服务器也知道自己的口令
引入一个认证服务器——AS(Authentication Server),它知道所有的口令,包括用户和服务器,并将口令保存在一个单独的中央数据库中,且AS和每台服???器共享惟一的密钥。;简单的认证对话;问题:
当服务解密票据时,如何知道它是被正确地解密的呢?
解决:
应该在票据里包含有服务的名字
当解开票后,通过找到自己的名字来判断解密的正确性。
票=(用户名+服务器名)用服务器的口令加密;;(1) C AS:IDc || Pc || IDs
(2) AS C:Ticket
(3) C S:IDc || Ticket
Ticket=Eks[IDc || ADc || IDs ]
其中:C=客户机 AS=认证服务器 S=服务器
IDc=C上用户的标识符 IDs=S的标识符
Pc=C上用户的口令
ADc=C的网络地址
Ks=AS和S共享的加密密钥
||=连接
;更加安全的认证对话;(1)用户与AS通讯,用户向AS证明自己的身份,并取得一张票据授权票,现在用户想从邮件服务器上取邮件,但没有邮件服务器的票,所以用户要用“票据授权”票去取邮件服务的票。
不需要使用口令去取新的服务票,票据授权票可以重复使用。
;;;解决:写一个程序,在用户退出时将票销毁。
但销毁不是一个好的办法:
因为当用户登录到工作站时,有人打开一个监视网络并拷贝别人服务票据的程序并拷贝一份用户的票,当用户退出并离开,将它的工作站地址调整为用户刚登录时的地址,就可以欺骗服务器了。(因为它已有了用户名,用户地址,票据);;;;问题:
(1)如果名字和地址匹配,证明了什么,什么也没有,因为票可以被偷走,用户名和网络地址都可以被改变,票也可以在有效期内被盗用(如果票的有效期为8个小时,那么用户在使用了2个小时后提前退出了,那6个小时就有可能被盗用——有效期内被盗用)。;;;为了减轻每个服务器的负担,Kerberos把身份认证的任务集中在身份认证服务器上。
Kerberos的认证服务任务被分配到两个相对独立的服务器:认证服务器AS(Authenticator Server)和票据许可服务器TGS(Ticket Granting Server),它们同时连接并维护一个中央数据库存放用户口令、标识等重要信息。
整个Kerberos系统由四部分组成:AS,TGS,Client,Server。
;Kerberos使用两类凭证:票据(ticket)和鉴别码(authenticator)。该两种凭证均使用私有密钥加密,但加密的密钥不同。;;;Kerberos认证; Kerberos版本4认证过程 ; 以上是Kerberos V4过程的简要描述,详细过程分为以下3个阶段,共6步。
;(1)C请求票据许可票据
用户得到票据许可票据的工作在登录工作站时进行。登录时用户被要求输入用户名,输入后系统会向认证服务器AS以明文方式发送一条包含用户和TGS服务两者名字的请求。
C AS:IDC || IDtgs || TS1
IDC是工作站的标识,其中的时间戳是用来防回放攻击的。;(2)AS发放票据许可票据和会话密钥
认证服务器检查用户是否有效,如果有效,则随机产生一个用户用来和TGS通信的会话密钥Kc,tgs,然后创建一个票据许可票据Tickettgs,票据许可票据中包含有用户名,TGS服务名,用户地址,当前时间,有效时间,还有刚才创建的会话密钥。票据许可票据使用Ktgs加密。认证服务器向用户发送票据许可票据和会话密钥Kc,tgs,发送的消息用只有用户和认证服务器知道的Kc来加密,Kc的值基于用户的密码。;AS C:
EKc[Kc,tgs || IDtgs || TS2 || Lifetime2 || Ticket
您可能关注的文档
- 2第二章CIMS体系结构及系统设计方法.ppt
- 实验四信号抽样与调制解调.docx
- 2间接空冷塔X柱施工方案方案0309.doc
- 实验室仪器柜标签.doc
- 2间冷塔TC7035B-16塔吊安装方案12.23.doc
- 2静定刚架修订.ppt
- 实验四DNA浓度测定及酶切.pptx
- 实验室制备氢气.ppt
- 实验室各类移液枪的规范使用--叶继立.ppt
- 2第二章曲柄连杆.ppt
- T∕DZJN 306—2024《数据中心预制化制冷系统》.pdf
- DB45T+2873—2024++高价值专利培育工作指南.pdf
- DB45T+2872—2024+公共建筑电梯性能和选型配置要求.pdf
- DB45T+2871—2024++既有住宅加装电梯安全技术规范.pdf
- 诗歌鉴赏表达技巧公开课省名师优质课赛课获奖课件市赛课一等奖课件.pptx
- 高考数学(江苏专版)二轮专题:第一部分-专题10-数列(Ⅱ)省公开课获奖课件市赛课比赛一等奖课件.pptx
- 高中数学证明不等式的基本方法省公开课获奖课件市赛课比赛一等奖课件.pptx
- 选聘八步学员版.pptx
- 蜗牛观察日记.pptx
- 西点法则专题培训.pptx
最近下载
- scale manager软件及相关scalemanager和mtstar使用说明.pdf
- 建积分之术筑工程之技:定积分及其应用教学实施报告.pdf
- 初中英语 2022-2023学年福建省泉州市九年级(上)第一次段考英语试卷.pdf
- 大连链家房地产营销渠道研究.docx
- 《数学思想与方法》模拟试卷ABCD卷.docx VIP
- DLT_741-2010《架空输电线路运行规程》(新版).doc
- 2024阿里巴巴淘宝云客服-消费者咨询业务知识题及答案.pdf
- 浙教版八年级科学上册单元测试题及答案.docx
- final submission to nsfc with signed page国际地区合作与交流项目申书.pdf VIP
- 广西 平乐县志.pdf
文档评论(0)