运行安全_身份认证.pptVIP

运行安全 --身份认证;1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证）;1问题的提出;1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证）;2 身份认证概念;1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证）;3 单向认证;1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证）;4双向认证协议;4.2消息重放;对付重放攻击的一种方法是： 在认证交换中，使用一个序数来给每一个消息报文编号，仅当收到的消息序数顺序合法时才接受之，但这种方法的困难是要求双方必须保持上次消息的序号 .;时间戳方法似乎不能用于面向连接的应用，固有的困难： (1)需要在各种处理器时钟中维持同步。该协议必须既要容错以对付网络出错，又要安全以对付重放攻击； (2)由于某一方的时钟机制故障，可能导致临时失去同步，这将增大攻击成功的机会； (3)由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步，因此，任何基于时间戳的过程必须采用时间窗的方式来处理，一方面时间窗应足够大以包容网络延迟；另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。;1 问题的提出 2 身份认证概念 3 单向认证 4 双向认证协议 5 加密方法 6 身份认证应用实例（Kerberos） 7 实例分析（Windows NT 4.0身份认证）;5加密方法;保密密钥Ka和Kb分别是A和KDC，B和KDC之间共享的密钥，本协议的目的就是要安全地分发一个会话密钥Ks给A和B。 A在第2步安全地得到了一个新的会话密钥，第3步只能由B解密并理解，第4步表明B已知道Ks了，第5步表明A相信B知道Ks，并且，消息不是伪造的。 第4、5步目的是为了防止某种类型的重放攻击，特别是如果敌方能够在第3步捕获该消息，并重放之，这将在某种程度上干扰破坏B方的运行操作。;上述方法尽管有第4,5步的握手但仍然有漏洞。 假定攻击方C已经掌握A和B之间通信的一个老的会话密钥，C可以在第3步冒充A利用老的会话密钥欺骗B，除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。 如果C可以中途阻止第4步的握手信息，则可以冒充A在第5步响应，从这一点起C就可以向B发送伪造的消息，而对B来说，认为是用认证的会话密钥与A进行的正常通信。;Denning Protocol [1982] 改进 1 A → KDC：IDA||IDB 2 KDC → A：EKa[Ks||IDB||T||EKb[Ks||IDA||T]] 3 A → B：EKb[Ks||IDA||T] 4 B → A：EKs[N1] 5 A → B：EKs[f(N1)] | Clock - T | Δt1 + Δt2 其中：Δt1是KDC时钟与本地时钟A或B之间差异的估计值，Δt2 是预期的网络延迟时间。;Denning Protocol 比Needham/Schroeder Protocol在安全性方面增强了一步，然而，又提出新的问题，即必须依靠各时钟均可通过网络同步。 如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时，重放给接收者，这种重放将会得到意想不到的后果（称为抑制重放攻击）。;KEHN92 1 A → B：IDA||Na 2 B → KDC：IDB||Nb || EKb[IDA || Na || Tb] 3 KDC → A：EKa[IDB||Na ||Ks|| Tb ] || EKb[IDA || Ks ||Tb] || Nb 4 A → B：EKb[IDA || Ks || Tb] || EKs[ Nb ];5.2公钥加密方法;一个基于临时值握手协议WOO92a 1 A → KDC：IDA||IDB 2 KDC → A：EKRauth[IDB ||KUb] 3 A → B：EKUb[Na ||IDA] 4 B → KDC：IDB||IDA || EKUauth[Na]