3-身份认证.pptVIP

3.3.1 Kerberos版本4 Kerberos通过提供一个集中的认证服务器来负责用户对服务器的认证和服务器对用户的认证。Kerberos的实现包括一个运行在网络上某个物理安全节点处的密钥分发中心（Key Distribution Cender，KDC）以及一个函数库，各需要认证用户身份的分布式应用程序调用这个函数库实现对用户的认证。Kerberos的设计目标是使用户通过用户名和口令登录到工作站，工作站基于口令生成密钥，并使用密钥和KDC联系，以代替用户获得远程资源的使用授权。 * 3.3.2 Kerberos版本5 Kerberos版本5对版本4存在的一些缺陷进行了改进： 1．加密系统依赖性 2．Internet协议依赖性 3．消息字节顺序 4．门票的生命期 5．向前认证 6．域间认证 7．冗余加密 8．PCBC加密 9．会话密钥 * 3.4 PKI技术 简单的说，PKI是基于公钥密码技术，支持公钥管理，提供真实性、保密性、完整性以及可追究性安全服务，具有普适性的安全基础设施。PKI的核心技术围绕建立在公钥密码算法之上的数字证书的申请、颁发、使用与撤销等整个生命周期进行展开，主要目的就是用来安全、便捷、高效地分发公钥，为用户建立一个安全的网络环境，保证网络上信息的安全传输。 * 3.4.1 PKI体系结构 图3-10 PKI体系结构 * 3.4.2 X.509数字证书 PKI中广泛使用了X.509证书。一个X.509证书包含以下信息： 版本号(Version)：区分合法证书的不同版本。目前定义了三个版本，版本1的编号为0，版本2的编号为1，版本3的编号为2。 序列号(Serial number)：一个整数，和签发该证书的CA名称一起惟一标识该证书。 签名算法标识(Signature algorithm identifier)：指定证书中计算签名的算法，包括一个用来识别算法的子域和算法的可选参数。 * 签发者(Issuer name)：创建、签名该证书的CA的X.500格式名字。 有效期(Period of validity)：包含两个日期，即证书的生效日期和终止日期。 证书主体名(Subject name)：持有证书的主体的X.500格式名字，证明此主体是公钥的所有者。 证书主体的公钥信息(Subjects public-key information)：主体的公钥以及将被使用的算法标识，带有相关的参数。 * 签发者惟一标识(Issuer unique identifier)：版本2和版本3中可选的域，用于惟一标识认证中心CA。 证书主体惟一标识(Subject unique identifier)：版本2和版本3中可选的域，用于惟一标识证书主体。 扩展(Extensions)：仅仅出现在版本3中，一个或多个扩展域集。 签名(Signature)：覆盖证书的所有其他域，以及其他域被CA私钥加密后的散列代码，以及签名算法标识。 * 3.4.3认证机构 PKI系统的关键是实现对公钥密码体制中公钥的管理。认证机构CA便是一个能够提供相关证明的机构。CA是基于PKI进行网上安全活动的关键，主要负责产生、分配并管理参与活动的所有实体所需的数字证书，其功能类似于办理身份证、护照等证件的权威发证机关。CA必须是各行业、各部门及公众共同信任并认可的、权威的、不参与交易的第三方网上身份认证机构。 * 在PKI系统中，CA管理公钥的整个生命周期，其功能包括签发证书、规定证书的有效期限，同时在证书发布后，还要负责对证书进行撤销、更新和归档等操作。从证书管理的角度，每一个CA的功能都是有限的，需要按照上级CA的策略，负责具体的用户公钥的签发、生成和发布，以及CRL的生成和发布等职能。CA的主要职能如下： * 制定并发布本地CA策略。但本地策略只是对上级CA策略的补充，而不能违背。 对下属各成员进行身份认证和鉴别。 发布本CA的证书，或代替上级CA发布证书。 产生和管理下属成员的证书。 证实RA的证书申请，返回证书制作的确认信息，或返回已制作的证书。 接收和认证对所签发证书的撤销申请。 产生和发布所签发证书和CRL。 保存证书、CRL信息、审计信息和所制定的策略。 * 图3-11 典型CA的构成 * 3.4.4 PKIX相关协议 PKIX基础协议 PKIX的基础协议以RFC2459和RFC3280为核心，定义了X.509 v3公钥证书和X.509 v2 CRL的格式、数据结构和操作等，用以保证PKI基本功能的实现。此外，PKIX还在RFC2528、RFC3039、RFC3279等定义了基于X.509 v3的相关算法和格式等，以加强X.509 v3公钥证书和X.509 v2 CRL在各应用系统之间的通用