第5讲网络环境身份认证.PPTVIP

第5讲网络环境身份认证 第4章：操作系统基础安全性 第2部分/共5部分 本讲内容 主题：网络环境身份认证 教材内容： 第4.3节：面向网络的身份认证 第4.4节：基于PAM的统一认证框架 网络环境中的用户身份认证需求 例4.9 —网络环境中的身份认证方法 请参考本地主机上的身份认证方法的思路，给出一个在网络环境中进行用户身份认证的方法，要求使同一个合法用户可以在不同的主机上顺利进行身份认证。 例4.9 —网络环境中的身份认证方法 第一部分：身份认证信息管理 第二部分：客户机软件的功能 第三部分：服务器软件的功能 例4.9—身份认证信息的管理 例4.9—客户机软件的功能 例4.9—服务器软件的功能 例4.10—客户机和服务器兼顾的认证 请给出一个在网络环境中的客户机/服务器模式的用户身份认证方法，要求客户机和服务器都可以执行认证工作，允许根据用户来确定哪些认证由服务器执行，哪些认证由客户机执行。 例4.10—客户机和服务器兼顾的认证 例4.10—客户机和服务器兼顾的认证 例4.10—客户机和服务器兼顾的认证 网上身份认证系统NIS 美国Sun公司开发的NIS（Network Information Service）系统实现了对例4.10中给出的方法的支持。 密码体制 秘密密钥密码体制—单钥密码体制 公开密钥密码体制—双钥密码体制 公钥加密与数字签名 公钥加密 数字签名 例4.11—Alice与Bob间的互认证与加密通信 设Alice和Bob是网络中需要相互通信的两个实体，请利用公开密钥密码算法和秘密密钥密码算法，给出一个Alice与Bob之间的身份认证和信息加密传输的方法。 例4.11—Alice与Bob间的互认证与加密通信 例4.11—Alice与Bob间的互认证与加密通信 ① Alice生成会话密钥Ksess，用Bob的公钥KPUB-B加密，结果为： [Ksess]KPUB-B ……⑴ ② Alice用自己的私钥KPRI-A对结果⑴签名，结果为： {[Ksess]KPUB-B}KPRI-A ……⑵ ③ Alice把结果⑵传送给Bob。 ④ Bob用Alice的公钥KPUB-A解开结果⑵，得到结果⑴，证明结果⑵是由Alice发送的，由此确认Alice的身份。Bob用自己的私钥KPRI-B对结果⑴解密，便得到Ksess。 例4.11—Alice与Bob间的互认证与加密通信 ⑤ Bob用Alice的公钥KPUB-A对Ksess加密，结果为： [Ksess]KPUB-A ……⑶ ⑥ Bob用自己的私钥KPRI-B对结果⑶签名，结果为： {[Ksess]KPUB-A}KPRI-B ……⑷ ⑦ Bob把结果⑷传送给Alice。 ⑧ Alice用Bob的公钥KPUB-B解开结果⑷，得到结果⑶，证明结果⑷是由Bob发送的，由此确认Bob的身份。Alice用自己的私钥KPRI-A对结果⑶解密，便得到Ksess。如果这个Ksess就是Alice原来生成的那个Ksess，则表示，经过协商，Alice和Bob决定使用会话密钥Ksess。 ⑨ Alice和Bob开始进行信息传输，传输的信息采用Ksess进行加密和解密。 例4.12—网上认证与加密通信 设有一个客户机/服务器模式的网络环境，请给出一个通过服务器认证客户机上的用户的身份的方法，要求不能在网络中传输明文的或者加密过的用户口令。 例4.12—网上认证与加密通信 在服务器上存放服务器和用户的密钥对。 用户登录时把用口令加密的用户私钥传给用户。 若以输入的口令解密成功，则认证成功。 协商会话密钥后进行加密通信。 例4.13 —客户机和服务器兼顾的增强认证 设有一个客户机/服务器模式的网络环境，请给出在客户机上登录的用户身份认证方法，要求客户机和服务器都可以执行认证工作，允许根据用户来确定哪些认证由服务器执行，哪些认证由客户机执行，而且，不能在网络中传输明文的或者加密过的用户口令。 例4.13 —客户机和服务器兼顾的增强认证 在客户机的账户信息中添加标识：+或-，分别标识服务器认证、客户机认证。（见例4.10） 在服务器中保存服务器和客户机的密钥对，客户机私钥加密存放。（见例4.12） 用户登录时， 若需服务器认证，则客户机把账户名信息传给服务器，服务器把密钥信息传给客户机（私钥是加密的）。（见例4.12） 客户机用输入的口令解密私钥，解密成功则认证成功。 若只需客户机认证，则认证直接由客户机实施即可。 网上身份认证系统NIS+ 美国Sun公司开发的Secure RPC实现了对例4.12中给出的方法的支持，而Sun公司开发的以Secure RPC