第四章+密钥分配与身份认证-1.ppt

  1. 1、本文档共102页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第四章密钥分配与身份认证-1概要

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 身份认证协议 —— Kerberos MIT开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构,认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 其实现采用的是对称密钥加密技术 在一个分布式环境中,用户访问存在三种威胁 用户进入特定工作站,并冒充使用那个工作站的其他用户。 用户改变工作站的网络地址。冒充合法工作站访问。 服务器必须确定请求者身份。 窃听消息,重放获取连接服务器。 Kerberos V4 使用认证服务器 所有用户口令 与每个服务器之间共享一独立密钥。 :IDC||PC||IDV : Ticket : IDC||Ticket, Ticket=E(Kv,[Idc||Adc||Idv]) Adc可以防止非法用户窃听票据,从另一个工作站用用户标识Idc向服务器发消息。 用于AS服务器检查用户口令,检查该用户是否允许访问服务器 验证票据中的用户ID是否与消息中的用户ID相同?通过提供服务。 客户端的网络地址 存在问题: 减少输入口令的次数 用户多次用同一种服务 用户需要用多个服务 重用票据。 引入新的TGS(票据授权服务器),将票据发放给事先被AS 认证的用户。以后用户每次访问,先到AS拿Tickettgs,TGS依Tickettgs向用户发TicketV。 * Server Server Server Server Kerberos Database Ticket Granting Server Authentication Server Workstation Kerberos Key Distribution Service 每次用户登录时执行一次: :Idc||Idtgs : E(Kc, Tickettgs) 每种类型的服务执行一次: :Idc||Idv|| Tickettgs : Ticketv 每个服务会话执行一次: :Idc||Ticketv Tickettgs=E(Ktgs,[Idc||Adc||Idtgs||TS1||Lifetime1] Ticketv=E(Kv,[Idc||Adc||Idv||TS2||Lifetime2] 客户端提示用户输入口令,生成密钥,并解密到 来的信息,获取tickettgs 防止攻击者在合法用户下网后重放攻击 存在两个问题 Tickettgs的有效期。 ?网络服务(TGS或应用服务器)必须能够确认使用票据的人就是被授予票据的人 需要进行服务器自身的认证。 Kerberos V4认证过程示意图 Kerberos V4认证过程(1) 第一阶段,认证服务器的交互,用于获取票据许可票据: (1) C → AS :IDC‖IDtgs‖TS1 (2) AS → C :EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ] 其中: Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] 保证消息的新鲜性 用户C被授予KC,TGS,即任何使用会话密钥的用户必是C Kerberos V4认证过程(2) 第二阶段,TGS的交互,用于获取Tickettgs: (3) C → TGS :IDv‖Tickettgs‖AUC (4) TGS → C :EKc,tgs [ KC,v‖IDv‖TS4‖Ticketv ] 其中: Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] Ticketv = EKS [ KC,v‖IDC‖ADC‖IDS‖TS4‖LT4] AUC = EKc,tgs [ IDC‖ADC‖TS3] 认证符,仅用一次,有效期很短 用户C已授予KC,tgs,TGS确认票据发送者是票据拥有者 Kerberos V4认证过程(3) 第三阶段,客户与应

您可能关注的文档

文档评论(0)

wyjy + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档