3--认证与证书要点.ppt

认证与证书 典型的认证应用 1．Kerberos认证 Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。 Kerberos认证服务是由麻省理工学院的Project Athena针对分布式环境的开放式系统开发的认证机制。Kerberos提供了一种在开放式网络环境下（无保护）进行身份认证的方法，它使网络上的用户可以相互证明自己的身份。 它已被开放软件基金会（OSF）的分布式计算环境（DCE），以及许多网络操作系统供应商所采用。 常用的有两个版本：第4版和第5版。其中版本5更正了版本4中的一些安全缺陷。 Kerberos认证 Athena的计算环境由大量的匿名工作站和相对较少的独立服务器组成。服务器提供例如文件存储、打印、邮件等服务，工作站主要用于交互和计算。我们希望服务器能够限定仅能被授权用户访问，能够验证服务的请求。在此环境中，存在如下3种威胁： （1）用户可以访问特定的工作站并伪装成该工作站用户。 （2）用户可以改动工作站的网络地址伪装成其它工作站。 （3）用户可以根据交换窃取消息，并使用重放攻击来进入服务器。 Kerberos认证 在这样的环境下，Kerberos认证身份不依赖主机操作系统的认证、不信任主机地址、不要求网络中的主机保持物理上的安全。在整个网络中，除了Ker