通信网认证协议和认证算法.pptxVIP

第7章 ;本章内容概要;通信安全认证与网络安全认证的异同;本章目录;7.1通信安全认证协议;7.1 通信安全认证协议;在认证和密钥交换协议中使用的符号 ;7.1.1 基于对称密钥的相互认证和密钥交换 ;基于对称密钥的密钥交换;2．安全谈话协议 ;安全谈话协议 ;7.1.2 能阻止重放攻击的相互认证和密钥交换 ;能阻止重放攻击的对称密钥管理和安全谈话协议 ; 2．改进的对称密钥管理和安全谈话协议 ;改进的对称密钥管理和安全谈话协议原理 ;7.1.3 基于对称密钥和可信赖的第三方的通信安全认证 ;Kerberos协议 ;注意的问题;2．能够抑制重放攻击的Neuman Stubblebine协议 ;能够抑制重放攻击的Neuman Stubblebine协议 ; 假设两个随机数和时戳匹配，甲方和乙方现在能够相信相互之间的身份和共享一个会话密钥。同步时钟是不需要的，因为时戳仅仅是相对于乙方的时钟；乙方仅仅是检验他自己产生的时戳。 关于这个协议的优点是，甲方能够在一定检测时间限制范围内，把从仲裁者那里接收到的消息用于以后和乙方认证，假设甲方和乙方完成了上述协议﹑通信，并连接终端。甲方和乙方可以在没有依赖仲裁者情况下，使用以下三个措施重新认证。 (1)甲方把在措施(3)中仲裁者发给他的消息和一个新的随机数发给乙方,即 (2)乙方把另一个新的随机数和使用他们的会话密钥加密甲方的新随机数，发给甲方,即 (3)甲方把使用他们的会话密钥加密的乙方新的随机数发给乙方,即 新的随机数可以阻止重放攻击。 ;7.1.4 分布式认证安全服务 ;分布式认证安全服务协议 ;7.1.5 基于公开密钥的相互认证和密钥交换 ;简化的公开密钥认证和密钥交换 ;2．使用公开密钥的相互认证和密钥交换协议 ;公开密钥的认证和密钥交换 ;7.2网络安全认证协议;7.2.1 基于客户机/服务器模式的网络安全认证 ;1．网络认证技术应用范围 连接几个计算机网点到一个中心服务器的任何网络（例如局域网或广域网）需要使用密码术，以便在客户机和服务器之间建立安全的通信。网络也能使用认证技术，以便保证入侵者没有权使用网络。 2．服务器在网络认证技术中的任务 ⑴ 为保护所有客户安全通信，服务器产生一个公开密钥/秘密密钥对 ⑵ 为有权使??服务器和及其资源的所有节点，服务器提供使用自己秘密密钥签名的数字证书。 ;3．网络认证的手段 ⑴ 可启用一个公开密钥表，注册客户的RSA公开密钥。当客户第一次成为一个安全客户时，每一个客户需要确定一个RSA公开密钥/秘密密钥对。公开密钥被传输到服务器，并登录到由公开密钥的服务器所保存的表中。 ⑵ 另一种方法，服务器能够通过用自己的秘密密钥签过名的数字证书来验证客户结点的公开密钥。在这种情况下，服务器只能信赖在以前验证过的密钥信息，而不需要保存一个表，因为当需要连接或请求时，数字证书能够用于验证节点的身份。 ;4．在客户机和服务器之间建立安全链路的方法 ⑴ 在第一种方法中，服务器和请求安全连接的客户使用Diffie Hellman密钥一致协议确定一个会话密钥。一旦服务器的初始化设置完成，服务器就和请求安全连接的客户之间建立Diffie-Hellman参数并进行通信。会话密钥用于大批量数据的加密；已确定的客户RSA密钥对用于认证或数字信封通信。任何分组密码或者流密码体制都能使用会话密钥加密。在流加密体制中，每一次会话都应该确定新的密钥；与使用同一密钥的分组密码体制相比较，这将增加通信的安全性。 ⑵在第二种方法中，服务器使用客户机的RSA公开密钥（包含在数字证书中），产生一个数字信封，对从服务器发送到客户机的数据进行加密。同样，客户机使用服务器的公开密钥（对所有节点都是知道的），创建数字信封，对从客户机发送到服务器的数据进行加密。此外，为了认证消息的真实性，每个消息应包含数字签名。;7.2.2 基于对等网络模式的网络安全认证 ;3．对等网络实现认证、安全通信的方法 任何两个或更多网点之间的每个消息，能够通过核实附件中消息原作者的数字证书来鉴别。接收者能够通过核实证书的有效性来核实消息的真实性和原作者。 在对等网络应用中的网点能够使用数字信封进行加密。为达到这个目的，发信人要获得每一个接收者的数字证书，并且从中提取公开密钥。 ;7.2.3 基于TCP/IP通信协议的网络安全认证 ;1.Kerberos认证系统原始模型;2.改进的kerberos模型(第5版本) ;;1．Kerberos认证模型;在Kerberos认证系统中，服务器分成三类;相互认证;7.3认证算法;9、春去春又回，新桃换旧符。在那桃花盛开的地方，在这醉人芬芳的季节，愿你生活像春天一样阳光，心情像桃花一样美丽，日子像桃子一样甜蜜。1月-211月-21Wednes