密码学与密码技术 第十四章 认证的实际应用-2.ppt

密码学与密码技术 第十四章 认证的实际应用-2.ppt

  1. 1、本文档共26页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* Kerberos 4的消息交换 zhxuan@ynu.edu.cn * Kerberos概述 * Kerberos域和多重Kerberi Kerberos环境包括Kerberos服务器、若干客户端和若干应用服务器: Kerberos服务器存放用户标识UID和用户口令,所有用户必须在Kerberos服务器注册。 Kerberos服务器与每个应用服务器共享一个特定的密钥,所有应用服务器必须在Kerberos服务器注册。 每个互操作域的Kerberos服务器共享一个密钥,双方的Kerberos服务器应相互注册。 zhxuan@ynu.edu.cn * Kerberos域间消息交换 * Kerberos v4缺陷 环境缺陷: v4使用DES,因此,它依赖于DES的强度和输出限制。v5可以使用任何加密技术(加密类型标记)。 v4需要使用IP地址,而不支持其他地址类型,v5允许使用任何类型的网络地址。 v4的消息字节顺序没有遵循任何惯例,v5的所有消息结果按照ASN.1和BER规定。 v4票据的生命期最长只有21小时,v5票据允许拥有任意长度的生命期。 域间认证在v4的关系负责,而v5可以支持较少的连接。 * Kerberos 5认证会话 School of Software School of Software * 密码学与密码技术 * 第14章 认证的实际应用 PKI,Kerberos * 数字证书 * 自签名证书 可信权威机构的公钥又怎么办呢? 可信权威机构只能自己创建一个包含自己身份信息和公钥的证书,然后对其签名。我们称它为“自签名证书”。 自签名证书是其他所有证书的信任基础,我们需要动用大量的力量和技术手段来保证它的安全。 * 拒绝中间人 * PKI PKI即Public Key Infrastructure的简称,可译为“公开密钥基础设施”。 它是利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一技术框架。 PKI技术的主要目的,就是为更好地管理在开放网络环境中使用的公开密钥和数字证书,可以建立一个相对安全和值得信赖的网络环境。 * 安全技术手段 数据必威体育官网网址性:密码技术 数据完整性:数字签名技术 身份鉴别:数字证书和数字签名 不可否认性:数字签名 * PKI基本组成 CA:可信的第三方权威机构,负责数字证书和相应私钥的整个生命周期: 密钥的管理包括:密钥的生成、存储、传输、归档和恢复。 证书的管理包括:注册,生成,更新和撤消。 RA:可选机构,主要负责主体的注册,即将主体的各种请求提交给CA,比如: 确定主体的身份与注册的是否一致。 确定主体所得到的即是所申请的数字证书。 私钥与数字证书中的公钥匹配等。 * PKI基本组成 数字证书:PKI的核心数据结构,它是一个经证书认证机构CA数字签名的包含用户身份信息及公开密钥信息 的电子文件: 是各主体(消费者、商户/企业、银行等)在网上进行信息交流及商务活动的电子身份证。 数字证书基于公钥体制,即每个主体都拥有一对匹配的密钥进行加密和签名验证。 其格式由ITU标准X.509来定义。 * PKI基本组成 证书撤消列表CRL:是一个具有时间戳的列表,列出了所有撤消的证书,CRL由CA签名,并且可以不受限制地从一个公共库中得到: 数字证书在过期之前由于一些原因而导致无效。 撤消的证书将不被信任和使用。 CRL发布方便,但是存在着发布时间滞后的问题。 * CRL * PKI结构模型 PKI在宏观上呈现为域结构,即每个PKI都有一定的覆盖范围,形成一个管理域: * 安全通信 * PKI模型 * PKI与安全 PKI是一种网络基础设施,它的目标是向Internet上的用户和应用程序提供公开密钥的管理服务,以使他们能够可靠的使用密码技术来增强自己的安全水平。 证书 * Kerberos介绍 Kerberos是最早的应用级认证。 Kerberos阐述了这样一个问题:假设有一个开放的分布环境,工作站用户想通过网络对分布的网络中的各种服务提出请求,并希望服务器能够只对授权用户提供服务,并能鉴别服务请求的种类。 Kerberos仅仅依赖于对称加密体制。 * Kerberos介绍 Kerberos不仅要求客户向服务器提供身份认证,同时需要服务器向客户提供身份认证。提供可信的第三方认证服务。 目前常用的有两个版本:版本4和版本5(改进了版本4中的安全性,并成为Internet标准草案)。 * 一个简单的认证会话 C→AS:IDC || PC || IDV AS→C:Ticket C→V:IDC || Ticket Ticket=EKV[IDC || ADC || IDV] 问题: 明文口令的传输 多次访问过程需多次生成票据Ticket * 一个更安全的认证会话

文档评论(0)

lizhencai0920 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:6100124015000001

1亿VIP精品文档

相关文档