安全协议分析与设计 卫剑钒 陈钟 安全协议-第7章-上新.pptVIP

安全协议分析与设计第七章（上） 卫剑钒 实用安全协议设计 Kerberos X.509 TLS（SSL） IKE PPP RADIUS WEP WPA GSM 3G Kerberos Kerberos是一项认证服务，是MIT为Athena项目而开发的。它提供了一种验证用户身份的方法。它的实现不依赖于主机操作系统的认证，不基于主机的地址，也不需要有主机物理安全性的保证，并假设网络上传输的包都可以被任意地读取、修改和插入。 Kerberos提供一个集中的认证服务器来实现服务器和客户之间的相互认证，即通过使用常规的密码算法，在上述条件下作为一个可信第三方进行认证服务。Kerberos假定了一个分布式的客户端/服务器结构，使用一个或多个Kerberos服务器来提供认证服务。 基本概念 Kerberos的实现由客户（C）、服务器（V）、认证服务器（AS）以及票据提供服务器（TGS）组成。 客户最终从服务器（本节中的服务器指的都是应用服务器）获得所需的服务，AS和TGS是Kerberos服务器的主要内容，AS提供对客户的认证，TGS颁发客户所需服务的一个服务许可证，也即服务票据，记作TicketV。值得注意的是，AS也颁发票据，名为TGS票据，记作Tickettgs，客户可以拿着这个Tickettgs向TGS索取TicketV。 认证过程 客户登录工作站所位于的域（realm，每