第6讲 认证技术.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * 谢 谢 ！ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 利用随机数实现双向方身份识别 ⑴用户B选取随机数rB发送给用户A。 ⑵A选取随机数rA作为询问，计算EK(rA,rB,IDB) 发给B。 ⑶B解密,求出(rA,rB)，经核实正确，知道对方为掌握密钥K的实体。B再计算EK(rA,rB) 发送给A。 ⑷A解密，求出(rA,rB)，经核实正确，知道对方为掌握密钥K的实体。 身份认证协议 —— Kerberos MIT开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 其实现采用的是对称密钥加密技术 第5讲Kerberos认证 Kerberos：为网络通信提供可信第三方服务的面向开放系统的认证机制. 每当用户C申请得到某服务程序S的服务时，用户和服务程序会首先向Kerberos要求认证对方的身份，认证建立在用户和服务程序对Kerberos信任基础上。在申请认证时，C和S都是Kerberos认证服务的用户，为了和其它服务的用户区别，Kerberos用户统称为当事人(principle)，principle可以是用户或者某项服务。 身份认证协议 —— Kerberos 第5讲Kerberos认证 Kerberos的主要认证模型如下： 　　出于实现和安全考虑，Kerberos认证服务被分配到两个相对独立的服务器。 认证服务器AS(Authentication Server )：它同时应该连接并维护一个中央数据库存放用户口令、标识等） 票据许可服务器TGS(Ticket Granting Server)。 整个系统将由四部分组成：AS，TGS，Client，Server。 Kerberos认证模型 Server Server Server Server Kerberos Database Ticket Granting Server Authentication Server Workstation Kerberos Key Distribution Service 记号 Kerberos的记号 C 客户 S 服务器 ADc 客户的网络地址 Lifetime 票据的生存期 TS 时间戳 Kx x的秘密密钥 Kx,y x与y的会话密钥 Kx[m] 以x的秘密密钥加密的m Ticketx x的票据 Authenticatorx x的鉴别码 共享的密钥 TGS与S共享Ks AS与TGS共享Ktgs AS与C共享Kc Kerberos凭证 票据（ticket） ：Ticket用来安全的在认证服务器和用户请求的服务之间传递用户的身份，同时也传递附加信息。用来保证使用ticket的用户必须是Ticket中指定的用户。Ticket一旦生成，在生存时间指定的时间内可以被client多次使用来申请同一个server的服务。 鉴别码（authenticator）：提供信息与Ticket中的信息进行比较，一起保证发出Ticket的用户就是Ticket中指定的用户。Authenticator只能在一次服务请求中使用，每当client向server申请服务时，必须重新生成Authenticator。 Kerberos中的票据 两种票据 服务许可票据（Service granting ticket） 是客户请求服务时需要提供的票据； 用 TicketS 表示访问应用服务器 S 的票据，TGS发放 TicketS 定义为 EKS [ IDC‖ADC‖IDS‖TS2‖LT4 ]。 Kerberos中的票据 两种票据 票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT2 ]。 Kerberos V4认证过程示意图 Kerberos V4认证过程(1) 第一阶段，认证服务器的交互，用于获取票据许可票据： (1) C → AS ：IDC‖IDtgs‖TS1 (2) AS → C ：EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettg