南华大学计算机科学与技术学院分布式计算课件第十章 安全机制.ppt

第十章 安全机制 * Kerberos协议 Kerberos协议是由麻省理工大学开发、目前广泛使用的认证服务协议。该协议基于Needham-Schroeder认证协议，同时采用了Denning-Sacco认证协议中的时间戳概念，用以防止重发攻击。Kerberos协议主要应用于客户/服务器模型 。 在具体实现中，Kerberos采用两台服务器来完成认证服务，一台是Kerberos服务器，主要用来进行用户登陆认证；另一台是票据颁发服务器（TGS: Ticket Granting Server)，其职责是为客户授予通向服务器的票据。为了简化我们的讨论，我们暂且把这两类服务器合二而一，称为认证服务器，并用S表示之。 步骤 消息传送 消息内容 （1） A ? S A, B （2） S ? A KAS( KAB, 票据AB), 其中票据AB = KBS(B, A, IPA, TS，L，KAB) （3） A ? B 身份证AB, 票据AB , 其中身份证AB = KAB(A, IPA, TA) （4） B ? A KAB(TA + 1) 第十章 安全机制 * Kerberos v.5的认证流程 票据和身份证概念提供了一种方便的客户/服务器认证方法，通常人们把一对票据和身份证合并在一起，称作证书（Credential）。当一个客户向服务器发出服务申请的时候，将服务申请和证书一同提交给服务器，以证实该客户具备合法的访问权利。 K G C S 认证服务器 票据颁发服务器 客户 服务器 （1） （2） （3） （4） （5） 第十章 安全机制 * 公钥认证协议 我们必须有一个可以信任的公钥服务器，如果主体A希望与主体B建立安全的通信信道，A和B都要向该服务器索取对方的公钥。算法假定A和B都已经掌握了对方的公钥。 基于公钥加密的认证协议也存在一个弱点，即协议本身无法抵抗重发威胁，也就是说，当A和B相互认证时，必须相信它们所得到的公钥都是最新的，否则认证协议就会出问题。解决这个问题的一种方法是对索取的公钥加时间戳，这样可以在一定程度上防止超时的重发攻击。 步骤 消息传送 消息内容 （1） A ? B KB+(A, RA) （2） B ? A KA+(RA, RB, KAB) （3） A ? B KAB(RB) 第十章 安全机制 * 信件的完整性和可信度 在考虑认证模型的同时，我们还必须考虑信件的完整性(Integrity) 和机密性(Confidentiality) 。信件完整性意味着保护信件不被攻击者篡改，而信件的机密性意味着偷听者无法理解信件的内容。 令M为一文件(信件) ，A为文件拥有者(制作者) 。当我们说A对M进行数字签名，则意味着A使用某种密钥KA对M进行加密处理，并将生成的密码和原始文件以及A的标识合并到一起，组成一个数字签名文件(M， A，KA(M)) 。数字签名的目的是使得文件的接收者能够验证该文件确实为A所签署，而且没有被修改。换句话说，当数字签名文件被验证后，一方面接收者认可文件的完整性，另一方面签名者无法抵赖曾签署过该文件这个事实。 第十章 安全机制 * 公钥数字签名协议 当A希望向B发送一封数字签名信件时，A首先使用自己的私钥对信件签名。为了使签名文件保密，只由B来解读，A便利用B的公钥对数字签名进一步加密，然后把原始信件、A的标识以及加密后的数字签名一同发送到B。 该协议有三个弱点：其一，A方数字签名的有效性取决于A方私钥的保密性，如果A的私钥被窃取(无论真假)，A就可以抵赖自己的签名；其二，如果A方改变自己的私钥，则以前使用旧私钥所作的数字签名就失去了效力，除非公钥服务器一直保留每一个客户的公钥改变历史；其三，上述协议中A利用自己的私钥和B的公钥对信件进行两次加密，如果信件太长，加密过程的开销有可能过高。 步骤 消息传送 消息内容 （1） A ? B M, A, KB+(KA-(M)) 第十章 安全机制 * Needham-Schroeder数字签名协议 当B接收并解密了来自S的最后一封信件时，B拥有两件东西，一件是来自A的原始信件，一件是来自S的数字签名。B只要核对两者，就可以判断信件的完整性。这个协议使得A不可能抵赖自己做出的签名，因为B保存着通过S加密的A方签名。另一方面，B也不可能篡改A的签名，因为B没有用于数字签名的密钥。 步骤 消息传送 消息内容 （1） A ? S A,KAS(M) （2） S ? A KS(A，M，T) （3） A ? B A，M，KS(A，M，T) （4） B ? S B，KS(A，M，T) （5） S ? B KBS(A，M，T) 第十章 安全机制 * 在开