密码编码学与网络安全（第五版） 向金海 12-用户认证.pptVIP

* Chapter 13 summary * 华中农业大学信息学院 * 4．Service 收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来，从而获得Session Key和用户名，用户地址（IP），服务名，有效期。然后再用Session Key将Authenticator解密从而获得用户名，用户地址（IP）将其与之前Ticket中解密出来的用户名，用户地址（IP）做比较从而验证Client的身份。 5. 如果Service有返回结果，将其返回给Client。 Kerberos 过程 * 华中农业大学信息学院 * 概括起来说Kerberos协议主要做了两件事 1．Ticket的安全传递。 2．Session Key的安全发布。 再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用Session Key，在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality(机密性), Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性，这也限制了它的应用。相对而言它比X.509 PKI的身份鉴别方式实施起来简单。 Kerberos 总结 * 华中农业大学信息学院 * 15.4 基于公钥加密的远程认证 需要确保彼此的公钥提前已经获知 采用一个中心认证服务器Authentication Server (AS) 用时间戳或临时交互号的变形协议 * 华中农业大学信息学院 * 15.4.1 双向认证：Denning AS 协议 Denning 81 协议描述如下: 1. A - AS: IDA || IDB 2. AS - A: EPRas[IDA||PUa||T] || EPRas[IDB||PUb||T] 3. A - B: EPRas[IDA||PUa||T] || EPRas[IDB||PUb||T] || EPUb[EPRas[Ks||T]] 会话密钥由A选择，所以不存在会话密钥被AS泄密的危险 时间戳可用于防止重放攻击，但需要时钟同步。 改用临时交互号 Denning AS 协议的改进（1） * 华中农业大学信息学院 * Denning AS 协议的改进（2） * 华中农业大学信息学院 * * 华中农业大学信息学院 * 15.4.2 单向认证 已经讨论过一些公钥加密认证的论题 若关心保密性，则: A - B: EPUb[Ks] || EKs[M] 被加密的会话密钥和消息内容 若需要用数字证书提供数字签名，则: A - B: M || EPRa[H(M)] || EPRas[T||IDA||PUa] 消息，签名，证书 15.5 联合身份管理 身份管理 集中式的、自动的方法，提供雇员或者其他授权的个人对资源拥有企业范围的访问； 身份管理系统满足SSO，单点登录使用户在一次认证后访问所有的网络资源。 * 华中农业大学信息学院 * 15.5 联合身份管理 身份管理系统要素 认证 授权 审计 物质供应 工作流自动化 管理 口令同步 自助口令重置 联合 * 华中农业大学信息学院 * 15.5 联合身份认证 身份联合：身份管理在多个安全域上的扩展 跨域的身份管理 身份映射 联合身份标准：安全声明标记语言（SAML），定义在线商业伙伴之间的安全信息交换。 * 华中农业大学信息学院 * * 华中农业大学信息学院 * 小 结 远程用户认证 基于对称加密的远程用户认证 Kerberos 基于非对称加密的远程用户认证 联合身份管理 * 华中农业大学信息学院 * 作业 思考题：15.1 ； 15.2； 15.6 习题：15.4 ； 15.8； 15.9 * * Kerberos is an authentication service developed as part of Project Athena at MIT, and is one of the best known and most widely implemented trusted third party key distribution systems. Kerberos provides a centralized authentication server whose function is to authenticate users to servers and servers to users. Unlike most other authentication schemes, Kerberos relies exclusively on symmetric encryption, making no use of