上海交大密码学演示课件——第13讲-认证协议与证书.pptVIP

第十三讲. Kerberos认证协议与X.509 上海交通大学 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1. Kerberos认证服务协议 是一项认证协议 解决的问题： 在一个公开的分布式环境中，工作站上的用户希望访问分布在网络中的服务器上的服务 服务器希望能够限制授权用户的访问，并能对服务请求进行鉴别。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.Kerberos使用的加密体制 Kerberos不是为每一个服务器构造一个身份认证协议，而是提供一个中心认证服务器，提供用户到服务器和服务器到用户的认证服务。 Kerberos采用传统加密算法（无公钥体制） 常用版本：Kerberos Version4和Version5 (RFC1510) Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 3. Kerberos的解决方案 在一个分布式的client/server体系机构中采用一个或多个Kerberos服务器提供一个认证服务。 总体方案是提供一个可信第三方的认证服务。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 4. Kerberos系统满足的要求 安全.网络窃听者不能获得必要信息以假冒其它用户；Kerberos应足够强壮以至于潜在的敌人无法找到它的弱点连接。 可靠。Kerberos应高度可靠，并且应借助于一 个分布式服务器体系结构，使得一个系统能够备份另一个系统。 透明。理想情况下，用户除了要求输入口令以外应感觉不到认证的发生。 可伸缩。系统应能够支持大数量的客户和服务器 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 5. Kerberos Version4 引入一个信任的第三方认证服务，采用一个基于Needham Schroeder协议。 采用DES，精心设计协议，提供认证服务。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.一个简单的认证对话 引入认证服务器(AS)，它知道所有用户的口令并将它们存储在一个中央数据库中。另外，AS与每一个服务器有一个唯一的保密密钥。这些密钥已经通过物理上或以更安全的手段分发 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 考虑以下假定的对话： IDV : identifier of V PC : password of user on C ADC : network address of C KV : AS与V共有的保密密钥 C V AS (1) (2) (3) 考虑以下假定的对话： (1) C ? AS: IDC || PC || IDV (2) AS ? C: Ticket (3) C ? V : IDC || Ticket Ticket = EKV[IDC || ADC || IDV] IDV : identifier of V PC : password of user on C ADC : network address of C KV : AS与V共有的保密密钥 C V AS (1) (2) (3) 其中： C : client AS : Authentication Server V