数字身份认证技术ppt课件(完整版).ppt

学习目标： 学会分析Kerberos身份认证技术特点、用途 学会分析Kerberos认证技术的工作原理 熟练操作Kerberos中主要配置文件KDC的配置步骤 学会分析Kerberos的缺陷以及改进技术 5.1 基本概念与术语 5.1.1 Kerberos产生背景 Kerberos是20世纪80年代美国麻首理工学院（MIT）设计的一种基于对称算法密码体制的一种为网络通信提供可信第三方服务的面向开放系统的认证机制. Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”。MIT 之所以将其认证协议命名为Kerberos，是因为他们计划通过认证、清算和审计三个方面来建立完善的完全认证机制。 Kerberos的设计针对以下几个方面： ①安全性：网络中的窃听者不能获得必要的信息来假冒网络的用户。 ②可靠性：kerberos应该具有高度的可靠性，并采用一个系统支持另一个系统的分布式服务结构。 ③透明性：用户除了被要求输入密码外，不会觉察出认证的进行过程。 ④可扩展性：系统应能够支持更多的用户和服务器，具有较好的伸缩性。 Kerberos的设计目的主要包括三类： 认证 授权 记账 5.1.2 Kerberos 专有术语 5.1.3 Kerberos应用环境与组成结构 Kerberos 协议中共涉及到三个服务器： 认证服务器（AS） 票据授予服务器（TGS） 应用服务器。 5.2 Kerberos工作原理 5.2.1 Kerberos认证服务请求和响应 这一部分所涉及的协议包内容： ①C→AS:IDC‖IDTGS‖TS1，客户端向认证服务器请求授权服务器访问的凭证票据TicketTGS，其中的TS1和下面出现的TS2、TS3等表示对应的票据的有效期限。 ②ASC:EKC(KC,TGS‖IDTGS‖TS2‖LIFETIME2‖TicketTGS)，其中TickerTGS=ETGS(KC,TGS‖IDC‖ADC‖IDTGS‖TS2‖LIFETIME2) 5.2.2 应用服务请求和响应 这一部分所涉及的协议包内容： ③C→TGS:IDV‖TicketTGS‖AuthenticatorC，其中AuthenticatorC =EKC, TGS(IDC‖ADC‖TS3) ④TGS→C：EKC,TGS(KC,V‖IDV‖TS4‖ticketV)，其中：ticketV =EKV(KC,V) ‖IDC‖ADC‖IDV‖TS4‖LIFETIME4 5.2.3 Kerberos最终服务请求与响应 这一部分所涉及的协议包内容： ⑤C→V:TicketV‖AuthenticatorV，其中AuthenticatorV=EKC,V(IDC‖ADC‖TS5) ⑥V→C:EKC,V(TS5+1) Kerberos完整认证过程 5.3 Kerberos安装与配置 主要包含以下几个步骤： 1．编辑配置文件krb5.conf,kdc.conf。 2．创建数据库 3．将管理员加入ACL文件 4．将管理员加入Kerberos数据库 5．启动Kerberos守护程序 5.4 Kerberos局限与改进技术 5.4.1 Kerberos局限性 1．单点连接，服务效率下降 2．受中心服务器影响 3．口令猜测攻击问题 4．时钟同步攻击问题 5．密钥存储问题 6．KDC安全问题 7．恶意软件攻击问题 5.4.2 改进的Kerberos协议 1.对称密钥与不对称密钥的结合使用 2．针对口令猜测攻击，取消认证过程中的相应口令，改由ECC进行认证。 3．针对重放攻击，在Kerberos中引入序列号循环机制。 4．使用密钥长度1024bits以上的RSA算法在当前是安全的 5．使用用户公钥加密而不是用原有口令生成的密钥加密，避免了猜测口令攻击; 6．由于在身份认证的各个环节中采用随机数.攻击者无法冒充，该协议可承受重放攻击（replay）; 7．即使中间人利用截获的信息进行攻击，由于他不掌握原始方的私钥，无法获得会话密钥，也不可能获得服务器方的信任，无法得到预想的服务。 本章结束 第六章 微软数字认证 本章学习目标 理解并掌握MAKECERT原理及工具应用 理解并掌握签名工具—SIGNCODE原理及工具应用 理解并掌握发行者证书管理工具—CERT2SPC原理及工具应用 理解并掌握证书验证工具—CHKTRUST原理及工具应用 微软开发制作数字证书的测试工具集，Makecert.exe，Cert2spc.exe，SignCode.exe，Setreg.exe，Certmgr.exe，Chkrtust.exe。 1.Makecert.exe：用于生成仅用于测试目的的X.509证书。 2.Cert2spc.exe：用于