上海交大密碼學(xué)課件第講認(rèn)證協(xié)議與證書(shū).ppt

上傳人：max****ui

文檔編號(hào)：6755756

上傳時(shí)間：2020-03-03

格式：PPT

頁(yè)數(shù)：40

大?。?20.50KB

《上海交大密碼學(xué)課件第講認(rèn)證協(xié)議與證書(shū).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《上海交大密碼學(xué)課件第講認(rèn)證協(xié)議與證書(shū).ppt（40頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第十三講 Kerberos認(rèn)證協(xié)議與X 509 上海交通大學(xué) 1 Kerberos認(rèn)證服務(wù)協(xié)議是一項(xiàng)認(rèn)證協(xié)議解決的問(wèn)題在一個(gè)公開(kāi)的分布式環(huán)境中工作站上的用戶希望訪問(wèn)分布在網(wǎng)絡(luò)中的服務(wù)器上的服務(wù)服務(wù)器希望能夠限制授權(quán)用戶的訪問(wèn) 并能對(duì)服務(wù)請(qǐng)求進(jìn)行鑒別 2 Kerberos使用的加密體制 Kerberos不是為每一個(gè)服務(wù)器構(gòu)造一個(gè)身份認(rèn)證協(xié)議而是提供一個(gè)中心認(rèn)證服務(wù)器提供用戶到服務(wù)器和服務(wù)器到用戶的認(rèn)證服務(wù) Kerberos采用傳統(tǒng)加密算法無(wú)公鑰體制常用版本 KerberosVersion4和Version5 RFC1510 3 Kerberos的解決方案在一個(gè)分布式的client server體系機(jī)構(gòu)中采用一個(gè)或多個(gè)Kerberos服務(wù)器提供一個(gè)認(rèn)證服務(wù) 總體方案是提供一個(gè)可信第三方的認(rèn)證服務(wù) 4 Kerberos系統(tǒng)滿足的要求安全網(wǎng)絡(luò)竊聽(tīng)者不能獲得必要信息以假冒其它用戶 Kerberos應(yīng)足夠強(qiáng)壯以至于潛在的敵人無(wú)法找到它的弱點(diǎn)連接可靠 Kerberos應(yīng)高度可靠并且應(yīng)借助于一個(gè)分布式服務(wù)器體系結(jié)構(gòu) 使得一個(gè)系統(tǒng)能夠備份另一個(gè)系統(tǒng) 透明理想情況下用戶除了要求輸入口令以外應(yīng)感覺(jué)不到認(rèn)證的發(fā)生可伸縮系統(tǒng)應(yīng)能夠支持大數(shù)量的客戶和服務(wù)器 5 KerberosVersion4 引入一個(gè)信任的第三方認(rèn)證服務(wù) 采用一個(gè)基于Needham Schroeder協(xié)議采用DES 精心設(shè)計(jì)協(xié)議提供認(rèn)證服務(wù) 6 一個(gè)簡(jiǎn)單的認(rèn)證對(duì)話引入認(rèn)證服務(wù)器 AS 它知道所有用戶的口令并將它們存儲(chǔ)在一個(gè)中央數(shù)據(jù)庫(kù)中另外 AS與每一個(gè)服務(wù)器有一個(gè)唯一的保密密鑰這些密鑰已經(jīng)通過(guò)物理上或以更安全的手段分發(fā) 考慮以下假定的對(duì)話 IDV identifierofVPC passwordofuseronCADC networkaddressofCKV AS與V共有的保密密鑰 C V AS 1 2 3 考慮以下假定的對(duì)話 1 C AS IDC PC IDV 2 AS C Ticket 3 C V IDC TicketTicket EKV IDC ADC IDV IDV identifierofVPC passwordofuseronCADC networkaddressofCKV AS與V共有的保密密鑰 C V AS 1 2 3 其中 C clientAS AuthenticationServerV serverIDC identifierofuseronC 7 上述對(duì)話存在的問(wèn)題兩個(gè)主要問(wèn)題希望用戶輸入口令的次數(shù)最少口令以明文傳送會(huì)被竊聽(tīng) 解決辦法票據(jù)重用 ticketreusable 票據(jù)需可服務(wù)器 ticket grantingserver TGS 8 改進(jìn)后的假想的對(duì)話用戶登錄的每次對(duì)話 1 C AS IDC IDtgs 2 AS C EKC Tickettgs 每種服務(wù)類型一次 3 C TGS IDC IDv Tickettgs 4 TGS C TicketV每種服務(wù)會(huì)話一次 5 C V IDC TicketVTickettgs EKtgs IDC ADC IDtgs TS1 Lifetime1 TicketV EKV IDC ADC IDV TS2 Lifetime2 C V AS 1 2 3 TGS 4 5 Kerberos 9 方案的詳細(xì)描述用戶向AS請(qǐng)求代表該用戶的票據(jù)許可票據(jù) AS發(fā)回加密的票據(jù) 密鑰由口令導(dǎo)出 AS與客戶共享票據(jù)許可票據(jù)包含用戶ID 網(wǎng)絡(luò)地址 TGS的ID 時(shí)戳與生存期用戶請(qǐng)求服務(wù)許可票據(jù) TGS驗(yàn)證如通過(guò)則發(fā)服務(wù)許可票據(jù) 用戶使用服務(wù)許可票據(jù)請(qǐng)求服務(wù) 10 改進(jìn)方案仍存在的問(wèn)題與TGS相關(guān)的生存期問(wèn)題太長(zhǎng)則不安全太短則需要再次輸入口令如何應(yīng)付票據(jù)的過(guò)期使用需要額外的要求 1 TGS需要證實(shí)票據(jù)使用者與票據(jù)所有者一致 2 要服務(wù)器向客戶進(jìn)行認(rèn)證其本身防止假的服務(wù)器 11 KerberosV4的認(rèn)證對(duì)話解決方案會(huì)話密鑰 sessionkey AS用安全方式向用戶和TGS各自提供一塊秘密信息然后用戶也以安全方式向TGS出示該秘密來(lái)證明自己的身份這個(gè)秘密就是會(huì)話密鑰 12 KerberosV4報(bào)文交換總結(jié) 1 認(rèn)證服務(wù)交換獲得票據(jù)許可票據(jù) 1 C AS IDC IDtgs TS1 2 AS C EKC Kc tgs IDtgs TS2 Lifetime2 Tickettgs Tickettgs EKtgs Kc tgs IDC ADC IDtgs TS2 Lifetime2 13 KerberosV4報(bào)文交換總結(jié) 2 票據(jù)許可服務(wù)交換獲得服務(wù)許可票據(jù) 3 C TGS IDV Tickettgs Authenticatorc 4 TGS C EKc tgs Kc v IDV TS4 Ticketv Tickettgs EKtgs Kc tgs IDC ADC IDtgs TS2 Lifetime2 Ticketv EKV Kc v IDC ADC IDv TS4 Lifetime4 Authenticatorc EKc tgs IDc ADc TS3 14 KerberosV4報(bào)文交換總結(jié) 3 客戶服務(wù)器認(rèn)證交換獲得服務(wù) 5 C V Ticketv Authenticatorc 6 V C EKc v TS5 1 formutualauthentication Ticketv EKV Kc v IDc ADc IDv TS4 Lifetime4 Authenticatorc EKc v IDc ADc TS5 15 要素與基本原理 a 認(rèn)證服務(wù)交換Message 1 Client請(qǐng)求ticket grantingticketIDC 告訴AS本client端的用戶標(biāo)識(shí) IDtgs 告訴AS用戶請(qǐng)求訪問(wèn)TGS TS1 讓AS驗(yàn)證client端的時(shí)鐘是與AS的時(shí)鐘同步的 Message 2 AS返回ticket grantingticketEKC 基于用戶口令的加密使得AS和client可以驗(yàn)證口令并保護(hù)Message 2 Kc tgs sessionkey的副本由AS產(chǎn)生 client可用于在AS與client之間信息的安全交換而不必共用一個(gè)永久的key IDtgs 確認(rèn)這個(gè)ticket是為T(mén)GS制作的 TS2 告訴client該ticket簽發(fā)的時(shí)間 Lifetime2 告訴client該ticket的有效期 Tickettgs client用來(lái)訪問(wèn)TGS的ticket 16 基本原理續(xù) b 票據(jù)許可服務(wù)交換Message 3 client請(qǐng)求service grantingticketIDv 告訴TGS用戶要訪問(wèn)服務(wù)器V Tickettgs 向TGS證實(shí)該用戶已被AS認(rèn)證 Authenticatorc 由client生成用于驗(yàn)證ticket Message 4 TGS返回service grantingticketEKc tgs 僅由C和TGS共享的密鑰用以保護(hù)Message 4 Kc tgs sessionkey的副本由TGS生成供client和server之間信息的安全交換而無(wú)須共用一個(gè)永久密鑰 IDv 確認(rèn)該ticket是為serverV簽發(fā)的 TS4 告訴client該ticket簽發(fā)的時(shí)間 TicketV client用以訪問(wèn)服務(wù)器V的ticket Tickettgs 可重用從而用戶不必重新輸入口令 EKtgs ticket用只有AS和TGS才知道的密鑰加密以預(yù)防篡改 Kc tgs TGS可用的sessionkey副本用于解密authenticator 從而認(rèn)證ticket IDc 指明該ticket的正確主人 17基本原理客戶服務(wù)器鑒別交換 Message 5 client請(qǐng)求服務(wù)Ticketv 向服務(wù)器證實(shí)該用戶已被AS認(rèn)證 Authenticatorc 由客戶生成用于驗(yàn)證ticket有效 Message 6 客戶對(duì)服務(wù)器的可選認(rèn)證Ekc v 使C確認(rèn)報(bào)文來(lái)自V TS5 1 使C確信這不使報(bào)文重放 TicketV client用以訪問(wèn)服務(wù)器V的ticket EKv 用只有AS和TGS才知道的密鑰加密的票據(jù) 以預(yù)防篡改 Kc v 用戶的會(huì)話密鑰副本 IDc 票據(jù)的合法用戶 ADc 防止非法使用 IDv 使服務(wù)器確信解密正確 18 Kerberos領(lǐng)域和多個(gè)域服務(wù) 一個(gè)完整的Kerberos環(huán)境域包括一個(gè)Kerberos服務(wù)器一組工作站和一組應(yīng)用服務(wù)器滿足下列要求 Kerberos服務(wù)器必須在其數(shù)據(jù)庫(kù)中擁有所有參與用戶的ID UID 和口令散列表所有用戶均在Kerberos服務(wù)器上注冊(cè) Kerberos服務(wù)器必須與每一個(gè)服務(wù)器之間共享一個(gè)保密密鑰所有服務(wù)器均在Kerberos服務(wù)器上注冊(cè) 19 不同域間的鑒別機(jī)制條件每一個(gè)轄區(qū)的Kerberos服務(wù)器與其它轄區(qū)內(nèi)的Kerberos服務(wù)器之間共享一個(gè)保密密鑰兩個(gè)Kerberos服務(wù)器互相注冊(cè) 20 獲得另一領(lǐng)域中的認(rèn)證服務(wù) 分三步驟 1 獲得本地TGS的訪問(wèn)權(quán) 2 請(qǐng)求一張遠(yuǎn)程TGS的票據(jù)許可票據(jù) 3 向遠(yuǎn)程TGS申請(qǐng)其領(lǐng)域內(nèi)的服務(wù)許可票據(jù) 細(xì)節(jié)描述 1 C AS IDC IDtgs TS1 2 AS C EKC Kc tgs IDtgs TS2 Lifetime2 Tickettgs 3 C TGS IDtgsrem Tickettgs Authenticatorc 4 TGS C EKc tgs Kc tgsrem IDtgsrem TS4 Tickettgsrem 5 C TGSrem IDvrem Tickettgsrem Authenticatorc 6 TGS C EKc tgsrem Kc vrem IDvrem TSb Ticketvrem 7 C Vrem Ticketvrem Authenticatorc C AS TGS TGSrem Vrem 1 2 3 4 5 6 7 21 KerberosVersion5 改進(jìn)version4的環(huán)境缺陷加密系統(tǒng)依賴性需DESInternet協(xié)議依賴性需IP地址消息字節(jié)次序不明確字節(jié)順序 Ticket的時(shí)效性可能太短認(rèn)證轉(zhuǎn)發(fā) 用戶的認(rèn)證不能轉(zhuǎn)發(fā)到其它主機(jī)或用戶域間認(rèn)證公鑰證書(shū)22 公開(kāi)公證或證書(shū)機(jī)構(gòu) 可信的離線服務(wù)器server有個(gè)公開(kāi)的公鑰server對(duì)每個(gè)用戶簽名公鑰證書(shū)利用公鑰加密 23 公鑰證書(shū) 公鑰管理包括公鑰證書(shū)的使用證書(shū)將用戶身份與公鑰綁定也包括其他信息有效期使用權(quán)限所有內(nèi)容有可信中心簽名 CA 假設(shè)任何人可以得到或已知CA的公鑰并驗(yàn)證證書(shū) 24 X 509鑒別服務(wù) CCITTX 500一部分目錄服務(wù)標(biāo)準(zhǔn)X 509定義了認(rèn)證服務(wù)框架這種目錄可以存儲(chǔ)證書(shū)定義了利用證書(shū)的認(rèn)證協(xié)議使用公鑰密碼與數(shù)字簽名推薦使用RSA 不是標(biāo)準(zhǔn) 25 X 509證書(shū) 由證書(shū)授權(quán) CA 機(jī)構(gòu)發(fā)送 eachcertificatecontains version 1 2 or3 serialnumber uniquewithinCA identifyingcertificatesignaturealgorithmidentifierissuerX 500name CA periodofvalidity from todates subjectX 500name nameofowner subjectpublic keyinfo algorithm parameters key issueruniqueidentifier v2 26 X 509證書(shū) 續(xù) subjectuniqueidentifier v2 extensionfields v3 signature ofhashofallfieldsincertificate notation CA meansCAhassignedcertificatedetailsforUser 27 證書(shū)擴(kuò)展項(xiàng) 證書(shū)中其它信息是有必要的如 emailaddress URL policydetails usageconstraintsetc參見(jiàn)SSL的使用 28 證書(shū)性質(zhì) 任何能夠訪問(wèn)CA的用戶可以得到CA上的任何證書(shū)只有CA能夠修改證書(shū)因?yàn)樽C書(shū)不能偽造證書(shū)可以放在目錄中 29 CA分層結(jié)構(gòu) 如果兩個(gè)用戶享有一個(gè)共同的CA 他們可以得到CA的一個(gè)相同的公鑰若不是一個(gè)CA 則需要CA分層利用證書(shū)鏈驗(yàn)證其它CA每個(gè)CA有對(duì)客戶的證書(shū)和其上一級(jí)CA的證書(shū)每個(gè)用戶相信更高層的CA S能夠使得任何CA的用戶驗(yàn)證其它CA簽發(fā)的任何證書(shū) 30 CA分層 AacquiresBcertificatefollowingchain X W V Y Z BacquiresAcertificatefollowingchain Z Y V W X 31 認(rèn)證流程 X 509包括三種認(rèn)證形式單向認(rèn)證 One WayAuthentication 雙向認(rèn)證 Two WayAuthentication 三向認(rèn)證 Three WayAuthentication 32 單向認(rèn)證 1個(gè)消息 A B A tA rA B sgnData EkUb Kab 驗(yàn)證A的身份及消息來(lái)源于發(fā)送到B包括內(nèi)容 timestamp nonce B sidentitysignedbyA A B 33 雙向認(rèn)證 2消息 A B B A A tA rA B sgnData EkUb Kab B tB rB A rA sgnData EkUa Kba A B 34 三向認(rèn)證 3messages A B B A A B A tA rA B sgnData EkUb Kab B tB rB A rA sgnData EkUa Kba A rB A B 34 小結(jié) 一個(gè)認(rèn)證協(xié)議X 509證書(shū)與CA s

下載提示(請(qǐng)認(rèn)真閱讀)

1.請(qǐng)仔細(xì)閱讀文檔，確保文檔完整性，對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
2.下載的文檔，不會(huì)出現(xiàn)我們的網(wǎng)址水印。
3、該文檔所得收入（下載+內(nèi)容+預(yù)覽）歸上傳者、原創(chuàng)作者；如果您是本文檔原作者，請(qǐng)點(diǎn)此認(rèn)領(lǐng)！既往收益都?xì)w您。

同意并開(kāi)始全文預(yù)覽

文檔包含非法信息？點(diǎn)此舉報(bào)后獲取現(xiàn)金獎(jiǎng)勵(lì)！

文檔加載中……請(qǐng)稍候！
如果長(zhǎng)時(shí)間未打開(kāi)，您也可以點(diǎn)擊刷新試試。

下載文檔到電腦，查找使用更方便

9.9 積分

還剩頁(yè)未讀，繼續(xù)閱讀

舉報(bào)

版權(quán)申訴 word格式文檔無(wú)特別注明外均可編輯修改；預(yù)覽文檔經(jīng)過(guò)壓縮，下載后原文更清晰！ 立即下載

配套講稿：: 如PPT文件的首頁(yè)顯示word圖標(biāo)，表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
特殊限制：: 部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片，僅作為作品整體效果示例展示，禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
關(guān) 鍵詞：: 上海交大密碼學(xué) 課件認(rèn)證協(xié)議證書(shū)

溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙，網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

裝配圖網(wǎng)所有資源均是用戶自行上傳分享，僅供網(wǎng)友學(xué)習(xí)交流，未經(jīng)上傳用戶書(shū)面授權(quán)，請(qǐng)勿作他用。

關(guān)于本文

本文標(biāo)題：上海交大密碼學(xué)課件第講認(rèn)證協(xié)議與證書(shū).ppt
鏈接地址：http://zhongcaozhi.com.cn/p-6755756.html

相關(guān)資源更多

正為您匹配相似的精品文檔

相關(guān)搜索

上海交大 密碼學(xué) 課件 認(rèn)證 協(xié)議 證書(shū)

關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

備案號(hào):蜀ICP備2024067431號(hào)-1 川公網(wǎng)安備51140202000466號(hào)

本站為文檔C2C交易模式，即用戶上傳的文檔直接被用戶下載，本站只是中間服務(wù)平臺(tái)，本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私，請(qǐng)立即通知裝配圖網(wǎng)，我們立即給予刪除！

上海交大密碼學(xué)課件第講認(rèn)證協(xié)議與證書(shū).ppt

最新文檔