第7_2章 协议安全技术(认证协议).pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Any Question? QA * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Kerberos设计思路（续） 电影院售票处 电影院乙 购票许可证 这是我的购票许可证 你的电影票 这是我的电影票 许可证部门 观众 我要买票，这是我的信用卡密码 问题：解决了重复使用信用卡问题，但是其他两个问题没有解决 引入了许可证可信问题 * 两种票据 票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； 服务许可票据（Service granting ticket） 是客户时需要提供的票据； 用 TicketV 表示访问应用服务器 V 的票据。 Kerberos的票据 * Kerberos设计思路（续） 电影院售票处 电影院 共享信用卡信息：不用向许可证部门初始信用卡密码 初始电影票 共享“购票许可证”信息：不用出示信用卡及密码 共享“电影票” 信息：不用多次购买许可证 许可证部门 观众 购买电影票 最后一个问题：票的有效期问题 电影院 电影院 解决方法：时间 * Kerberos设计思路（续） 票据许可服务器（TGS） 服务器（V） 具有有效期的Ticket 共享对称密钥Ktgs 共享对称密钥Kv 认证服务器（AS） 用户（C） 共享用户口令Kc 购买具有有效期的Ticket * Kerberos设计思路（续） 票据许可服务器（TGS） 服务器（V） 认证服务器（AS） 用户（C） 我想看电影 EKc{Ektgs{购票许可证}} Ektgs{购票许可证} Ekv{票} Ekv{票} 共享对称密钥Ktgs 共享对称密钥Kv 共享用户口令Kc Kc Kc Ktgs Kv Ktgs Kv * Kerberos设计思路（续） 票据许可服务器（TGS） 服务器（V） 认证服务器（AS） 用户（C） 我想看电影 EKc{Ektgs{购票许可证，时间限制}} Ektgs{购票许可证，时间限制} Ekv{票,时间限制} Ekv{票，时间限制} 共享对称密钥Ktgs 共享对称密钥Kv 共享用户口令Kc 可能被盗用 Kc Kc Ktgs Kv Ktgs Kv * Kerberos设计思路（续） 票据许可服务器（TGS） 服务器（V） 认证服务器（AS） 用户（C） 我想看电影 EKc{Kc,tgs, Ektgs{含Kc,tgs的购票许可证，时间限制}} Ektgs{含Kc,tgs的购票许可证，时间限制} EKc,tgs{Ekv{票,时间限制}} Ekv{票，时间限制} 共享对称密钥Ktgs 共享对称密钥Kv 共享用户口令Kc Kc,tgs 问题：单向认证 Kc Kc Ktgs Kv Ktgs Kv * Kerberos设计思路（续） 票据许可服务器（TGS） 服务器（V） 认证服务器（AS） 用户（C） 我想看电影 EKc{Kc,tgs, Ektgs{含Kc,tgs的购票许可证，时间限制}} Ektgs{含Kc,tgs的购票许可证，时间限制} EKc,tgs{Kc,v,Ekv{含Kc,v的票,时间限制}} Ekv{含Kc,v的票，时间限制} 共享对称密钥Ktgs 共享对称密钥Kv 共享用户口令Kc Kc,tgs Kc,v Ekc,v{时间限制} Kc Kc Ktgs Kv Ktgs Kv * Kerberos V4协议描述：第一阶段 票据许可服务器（TGS） 服务器（V） 认证服务器（AS） 用户（C） IDC, IDtgs,TS1 EKc{Kc,tgs,IDtgs,TS2, LT2, Tickettgs} Tickettgs＝EKtgs{KC,tgs, IDC, ADC, IDtgs, TS2, LT2} Kc Kc Ktgs Kv Ktgs Kv Kc,tgs * Kerberos V4协议描述：第二阶段 票据许可服务器（TGS） 服务器（V） 认证服务器（AS） 用户（C） IDV,Tickettgs, AUC EKC,tgs{KC,V,IDV,TS4, TicketV} Tickettgs＝EKtgs{KC,tgs, IDC, ADC, IDtgs, TS2, LT2} TicketV