网络安全原理与技术(第二版) 教学课件 ppt 作者 冯登国 徐静chapter3b.pptVIP

典型认证机制 Kerberos系统 X.509 认证交换协议 认证Diffie-Hellman交换协议 Kerberos系统 Kerberos解决方案 调用每项服务时需要用户证明身份。也需要这些服务器向客户证明他们的身份。 在一个分布式的Client/Server 体系结构中，采用一个或多个Kerberos服务器提供鉴别服务。 一个简单鉴别对话 报文(3)中每个部分都是意义重大。 票据被加密以防更改或伪造。 服务器的ID(IDV)包含在票据中，以便服务器能证实票据解密的正确性。 票据中的IDC用来说明这张票据已经代表C发出了。 ADC防止下面的攻击：敌手可以在报文(2)中截获票据，然后使用IDC,并从另一个工作站发出(3)报文。服务器将收到有效票据并匹配用户ID，它便向另一台工作站上的用户授予访问权限。 用户先向AS请求一张票据许可票(Tickettgs),用户工作站中的客户模块将保存这张票据。 每当用户需要访问新的服务时，客户便使用这张能鉴别自己的票据向TGS发出请求。TGS则发回一张针对请求的特定服务的许可票据。 AS发回的票据是加密的，加密密钥是由用户口令导出的。当相应到达客户端时，客户端提示用户输入口令，产生密钥，若口令正确，票据就能正确恢复。 存在的问题 票据许可票据(Tickettgs)的生存期。若太短，用户总被要求输入口令。若太长，敌手就有更多重放的机会。可以窃听网