网络加密与认证.ppt

Kerberos认证框图C：客户机；AS：认证服务器；TGS：票据许可服务器；V：服务器；IDC：客户机用户的身份；IDV：服务器V的身份；IDtgs：TGS的身份；ADC：C的网络地址；PC：C上用户的口令；TSi：第i个时戳；lifetimei：第i个有效期限；KC：由用户口令导出的用户和AS的共享密钥；Kc,tgs：C与TGS的共享密钥；Kc,v：C与V的共享密钥。KV：TGS与V的共享密钥；Ktgs：AS与TGS的共享密钥；Tickettgs:票据许可票据TicketV:服务许可票据第Ⅰ阶段（认证服务交换）用户从AS获取票据许可票据：C→AS：IDC‖IDtgs‖TS1。AS→C：EKC[Kc,tgs‖IDtgs‖TS2‖lifetime2‖Tickettgs]。Tickettgs=EKtgs[Kc,tgs‖IDC‖ADC‖IDtgs‖TS2‖lifetime2］第Ⅱ阶段（票据许可服务交换）用户从TGS获取服务许可票据：C→TGS：IDv‖Tickettgs‖AuthenticatorcTGS→C：EKc,tgs[Kc,v‖IDv‖TS4‖TicketV]Tickettgs=Ektgs[Kc,tgs‖IDC‖ADC‖IDtgs‖TS2‖lifetime2]Ticketv=Ekv[Kc,v‖IDC‖ADC‖IDV‖TS4‖lifetime4]Authenticatorc=EKc,tgs[IDC‖ADC‖TS3]单击此处添加大标题内容第Ⅲ阶段（客户机与服务器间的认证交换）用户从服务器获取服务：C→V：Ticketv‖Authenticatorv。V→C：EKc,v[TS5+1]。Ticketv=Ekv[Kc,v‖IDC‖ADC‖IDV‖TS4‖lifetime4]Authenticatorc=EKc,v[IDC‖ADC‖TS5]**认证符与票据不同票据可重复使用且有效期较长认证符只能使用一次且有效期很短。票据Tickettgs在这里的含义事实上是“使用Kc,tgs的人就是C”。认证符的含义实际上是“在时间TS3，C使用Kc,tgs”。票据不能证明任何人的身份，只是用来安全地分配密钥，而认证符则是用来证明客户的身份。认证符与票据不同#2022Kerberos区域和多区域的KerberosASTGSASTGS服务器Client区域AKerberosKerberos1243567①客户向本地AS申请访问本区域TGS的票据：C→AS：IDC‖IDtgs‖TS1。②AS向客户发放访问本区域TGS的票据：AS→C：EKC[Kc,tgs‖IDtgs‖TS2‖lifetime2‖Tickettgs]③客户向本地TGS申请访问远程TGS的票据许可票据：C→TGS：IDtgsrem‖Tickettgs‖Authenticatorc。④TGS向客户发放访问远程TGS的票据许可票据:TGS→C：EKc,tgs[Kc,tgsrem‖IDtgsrem‖TS4‖Tickettgsrem]。⑤客户向远程TGS申请获得服务器服务的服务许可票据：C→TGSrem：IDvrem‖Tickettgsrem‖Authenticatorc。⑥远程TGS向客户发放服务许可票据：TGS→C:EKc,tgsrem[Kc,vrem‖IDvrem‖TS6‖Ticketvrem]。⑦客户申请远程服务器的服务：C→Vrem：Ticketvrem‖Authenticatorc。对有很多个区域的情况来说，以上方案的扩充性不好**X.509**8.3.1证书证书的格式CA《A》=CA{V，SN，AI，CA，TA，A，AP}表示证书发放机构CA向用户A发放的证书用户A可从目录中得到相应的证书以建立到B的以下证书链：X《W》W《V》V《Y》Y《Z》Z《B》,并通过该证书链获取B的公开钥。B可建立以下证书链以获取A的公开钥：Z《Y》Y《V》V《W》W《X》X《A》内部结点表示CA，叶结点表示用户。证书链证书的获取**证书的吊销每一CA还必须维护一个证书吊销列表CRL(certificaterevocationlist)，存放所有未到期而被提前吊销的证书每一用户收到他人消息中的证书时，都必须通过目录检查证书是否已被吊销。**8.3.2认证**8.4PGPPGP（prettygoodprivacy）目前使用最为普遍的一种电子邮件系统提供认证业务和保密业务。8.4.1运行方式EP