第02章认证技术(免费阅读).pptVIP

　　第五步，Kerberos客户收到TGS的响应后，将获得与应用服务器共享的会话密钥。与此同时，Kerberos客户生成一个新的用于访问应用服务器的认证单，并用与应用服务器共享的会话密钥加密，然后与TGS发送来的票据一并传送到应用服务器。第五步认证会话过程如图10所示。 图10 Kerberos客户请求访问应用服务器 * 第6章　认证技术的原理与应用 第2章认证技术的原理与应用 2.1 认证相关概念 2.2 认证信息类型 2.3 认证的作用和意义 2.4 认证方法分类 2.5 认证实现技术 2.6 认证技术应用案例 2.7 本章小结 本章思考与练习 2.1 认证相关概念 　　认证就是一个实体向另外一个实体证明其所具有的某种特性的过程。在认证过程中，要用到两种基本安全技术，即标识技术(identification)和鉴别技术(authentication)。下面分别叙述。 　　(1) 标识。标识用来代表实体的身份，确保实体在系统中的惟一性和可辨认性，一般用名称和标识符(ID)来表示。通过惟一标识符，系统可以识别出访问系统的每个用户。例如，在网络环境中，网络管理员常用IP地址、网卡地址作为计算机用户的标识。 　　(2) 鉴别。鉴别是指对实体身份的真实性进行识别。鉴别的依据是用户所拥有的特殊信息或实物，这些信息是秘密的，其他用户都不能拥有。系统根据识别和鉴别的结果，来决定用户访问资源的能力。 例如，通过IP地址的识别，网络管理员可以确定Web访问是内部用户访问还是外部用户访问。 2.2 认证信息类型 　　常用的鉴别信息主要有四种： 　　(1) 所知，如用户口令、PIN (Personal Identification Number)。 　　(2) 所有，一般是不可伪造的设备，如智能卡、磁卡等。 　　(3) 生物特征信息，如指纹、声音、视网膜等。 　　(4) 上下文信息，就是认证实体所处的环境信息、地理位置、时间等，例如IP地址等。 2.3 认证的作用和意义 　　认证的主要用途有三方面： 　　(1) 验证网络资源访问者的身份，给网络系统访问授权提供支持服务。 　　(2) 验证网络信息的发送者和接收者的真实性，防止假冒。 　　 (3) 验证网络信息的完整性，防止篡改、重放或延迟。 2.4 认证方法分类 2.4.1 单向认证 　　单向认证是指在网络服务认证过程中，服务方对客户方进行单方面的鉴别，而客户方不需要识别服务方的身份。 例如，假设一个客户需要访问某台服务器，单向认证只是由客户向服务器发送自己的ID和密码，然后服务器根据收到的密码和ID，进行比对检验，鉴别客户方的身份真实性。 单向认证过程如图1所示，由六步构成： 　　 图1 单向认证过程 第一步，客户向服务器发出访问请求； 　　 第二步，服务器要求客户输入ID； 　　第三步，客户向服务器输入ID； 　　第四步，服务器要求客户输入密码； 　　第五步，客户向服务器输入密码； 　　第六步，服务器验证ID和密码，如果匹配,则允许客户进 行访问。 2.4.2 双向认证 　　双向认证是指在网络服务认证过程中，不仅服务方对客户方要进行鉴别，而且客户方也要鉴别服务方的身份。 双向认证增加了客户方对服务方的认证，这样就可以解决服务器的真假识别安全问题。 双向认证过程如图2所示，由九步构成： 图2 双向认证过程 　 第一步，客户向服务器发出访问请求； 第二步，服务器要求客户输入ID； 第三步，客户向服务器输入ID； 第四步，服务器要求客户输入密码； 　 第五步，客户向服务器输入密码； 　　第六步，服务器验证ID和密码，如果匹配，允许客户进行访问； 　　第七步，客户提示服务器输入密码； 　　第八步，服务器按客户要求输入密码； 　　第九步，客户验证服务器。 　　在实际应用中，双向认证的代价要比单向认证高。 例如，一个拥有50个用户的网络，每个用户都可以和其他任何用户通信，所以每个用户都必须有能力对其他任一用户进行认证。另外，出于保密角度考虑，我们希望每个用户都有自己的个人密码。在这种情况下，每个用户必须存储所有其他用户的密码，也就是说每个工作站需要存储49个密码。如果新添加了一个用户，或者有用户被删除了，于是每个人都要修改自己的密码表。由此可见，双向认证需要的代价高。 3.4.3 第三方认证 　　第三方认证是指在网络服务认证过程中，服务方和客户方的身份鉴别通过第三方来实现。第三方不仅负责维护认证信息，而且还负责验证双方的身份。 每个用户都把自己的ID和密码发送给可信第三方，由第三方负责认证过程。 此方法兼顾了安全性和密码存储的简单易行性。