现代密码学理论与实践第14章认证协议的应用.ppt-淘文阁

资源描述

《现代密码学理论与实践第14章认证协议的应用.ppt》由会员分享，可在线阅读，更多相关《现代密码学理论与实践第14章认证协议的应用.ppt（42页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、2022-1-29现代密码学理论与实践-141/42现代密码学理论与实践第14章认证协议的应用Fourth Edition by William StallingsSlides by 杨寿保http:/ KerberoslKerboros是作为MIT的Athena计划的认证服务开发的，防止非授权用户获得服务或数据l通过提供一个集中的授权服务器来负责用户对服务器的认证和服务器对用户的认证，而不是对每个服务器提供详细的认证协议l允许用户通过网络访问分布的服务器l不需要信任所有的工作站和服务器l只要信任集中式的认证服务器即可lKerberos仅依赖于对称加密体制而未使用公钥体制l目前使用的版本主要

2、是4和52022-1-29现代密码学理论与实践-144/4214.1.1 Kerberos动机lKerberos为保护用户信息和服务器资源, 要求客户向服务器提供身份认证, 服务器向客户提供身份认证lKerberos体系结构为分布的客户/服务器结构, 并拥有一个或多个Kerberos服务器提供认证服务lKerberos需求lSecurity: 网络监听不能通过冒充其他用户获得有用信息lReliability: 高可靠性，且使用分布式服务结构lTransparency: 用户除了要输入口令，不需要知道认证的发生lScalability: 能支持大量客户端和服务器，模块化、分布式体系结构lKerb

4、码学理论与实践-147/42lKerberos的使用模式：Client/Serverl服务器：包括提供识别服务的Kerberos服务器和提供应用的各类服务器l客户机：用户l用户和服务器首先都到Kerberos服务器注册，与Kerberos服务器实现秘密共享，识别过程中Kerberos服务器为通信双方建立一个通信密钥。 l方法：使用中央式的识别服务器 (Authentication Server, AS), 为用户和应用服务器提供识别服务。AS与用户共享口令, 与其他服务器共享密钥, 在注册时以特别的安全方式分配给各方。14.1.2 Kerberos 版本42022-1-29现代密码学理论与实践

5、-148/42设有用户C, 服务器V, 通过AS提供服务：lCAS：IDC, PC, IDVlASC：TicketlCV：IDC, Ticket其中，Ticket: EKVIDC, ADC, IDVIDC：用户C名IDV：服务器V名ADC：用户C的网络地址KV：服务器V与AS共享的密钥PC：用户C的口令缺点：PC不能明文传送，否则不安全； Ticket只能用一次，否则易遭重播攻击；为换得不同的通行票, 用户口令要反复使用, 很不安全。IDc, Pc, IDv TicketIDc, TicketASCV一个简单的认证会话2022-1-29现代密码学理论与实践-149/42l增加通行票产生服务器

6、TGS(Ticket-Granting Server). AS中存储与用户和TGS共享的密钥，专门负责识别用户身份，然后将TGT(Ticket-Granting Ticket)用与TGS共享的密钥加密交给用户。用户据此获得TGS的服务，TGS产生SGT(Service-Granting Ticket)，用户据此获得其他服务器的服务。(1) CAS：IDC, IDtgs(2) ASC：EKCTickettgs 对不同的服务器，重复下面的步骤：(3) CTGS：IDC, IDV, Tickettgs(4) TGSC：TicketV 对相同的服务器，不同的通信回合，重复：(5) CV：IDC, Ti

7、cket一个更安全的认证会话交互过程2022-1-29现代密码学理论与实践-1410/42TGTTickettgs = EKtgsIDC, ADC, IDtgs, TS1, Lifetime1SGTTickettgs = EKvIDC, ADC, TS2, Lifetime2TS：time stamp；Adc：users network addressl攻击者可以截获TGT和SGT，在有效的时间内实施重播攻击。解决办法是在提交TGT或SGT的同时必须向服务器证明其身份仍同前面取得TGT和SGT时的用户相同。中央识别服务器AS通行票产生服务器TGS用户C服务器V2022-1-29现代密码学理论与

8、实践-1411/42IDC, IDtgs, TS1EKCKC,tgs, IDtgs, TS2, Lifetime1, Tickettgs Tickettgs = EKtgsKC,tgs,IDC, ADC, IDtgs, TS2, Lifetime2IDV, Tickettgs, AuthenticatorC (用户身份证明文件) AuthenticatorC = Ekc,tgsIDC, ADC, TS3Ekc,tgsKC,V,IDV, TS4, TicketV TicketV = EkvKC,V,IDC, ADC, IDV, TS4, Lifetime4TicketV, Authenticat

9、orC AuthenticatorC = Ekc,vIDC, ADC, TS5Ekc,vTS5+1认证会话交互过程的信息细节2022-1-29现代密码学理论与实践-1412/422022-1-29现代密码学理论与实践-1413/422022-1-29现代密码学理论与实践-1414/42Kerberos 4中所用元素之作用2022-1-29现代密码学理论与实践-1415/422022-1-29现代密码学理论与实践-1416/422022-1-29现代密码学理论与实践-1417/42Kerberos域和多重Kerberosl一个Kerberos域包括Kerberos服务器, 若干客户端和若干应用服

10、务器lKerberos服务器必须有存放用户标识(UID)和用户口令的数据库, 所有用户必须在Kerberos服务器注册lKerberos服务器必须与每个应用服务器共享一个特定密钥，所有应用服务器必须在Kerberos服务器上注册l隶属于不同行政机构的客户/服务器通常构成了不同域, 在一个Kerberos服务器中注册的客户与服务器属于同一个行政区域。一个域中的客户可能需要访问另一个域中的服务器, 而某些服务器也希望给其他域的客户提供服务, 因此需要提供域间认证机制l每个互操作域的Kerberos服务器应共享一个密钥，双方的Kerberos服务器应相互注册l一个域的Kerberos服务器必须信任其

11、他域的Kerberos服务器对其用户的认证, 其他域的应用服务器也必须信任第一个域中的Kerberos服务器 2022-1-29现代密码学理论与实践-1418/422022-1-29现代密码学理论与实践-1419/42lKerberos的安全性问题l使用Time Stamp防止重放palyback攻击；l使用口令做密钥，不安全；l集中式管理，使用AS和TGS，容易出危险。l Kerberos 5的改进l增加代理功能，委托授权与有限授权l改进安全机制l在鉴别符AuthenticatorC中增加子密钥，可用于群通信l增加域名，名字的结构分为两部分lPDU描述改为ASN.1，方便变长字段和可选字段的

12、处理Kerberos的安全问题和Kerberos 52022-1-29现代密码学理论与实践-1420/4214.1.3 Kerberos Version 5lKerberos v5是上个世纪90年代中期开发的lKerberos v4与Kerberos v5的区别l加密系统依赖性：v4使用DES，v5用加密类型标记密文，可以使用任何加密技术lInternet协议依赖性：v4使用IP地址, 不支持其他地址类型; v5用类型和长度标记网络地址，允许使用任何类型的网络地址l消息字节顺序：v4由发送方说明消息字节顺序; v5按编码规则确定消息字节顺序l票据的生命期：v4生命期8位表示，28x5=1280

13、分钟；v5有精确的起始时间和终止时间，允许任意长度生命期l向前认证：v4发给客户端的证书不能转发给其他用户进行其他相关操作; v5提供这项功能l域间认证：v4中N个域的互操作需要N2个Kerberos-to-Kerberos关系；v5需要的连接少2022-1-29现代密码学理论与实践-1421/42Kerberos v5的消息交换2022-1-29现代密码学理论与实践-1422/422022-1-29现代密码学理论与实践-1423/4214.2 X.509认证服务lX.509是X.500系列中定义目录服务的一部分，目录是指管理用户信息数据库的服务器或一组分布服务器，用户信息包括用户名到网络地址

14、的映射等lX.509定义了X.500用户目录的一个认证服务框架，目录提供公钥证书库服务，还定义了基于公钥证书的一个认证协议lX.509是关于证书结构和认证协议的一种重要标准 lX.509首次于1988年发布，1995年第3版，2000年再次修改lX.509是基于公钥密码体制和数字签名的服务，推荐使用RSA，数字签名需要用到散列函数 2022-1-29现代密码学理论与实践-1424/422022-1-29现代密码学理论与实践-1425/4214.2.1 X.509证书lX.509证书由可信认证机构Certification Authority (CA), 创建并放入目录服务器中，包括 l版本号(

15、1, 2, or 3) l序列号(unique within CA) identifying certificate l签名算法标识 l发行商名(CA) l有效期(from - to dates) l证书主体名(name of owner) l证书主体的公钥信息(algorithm, parameters, key) l发行商唯一标识(v2+) l证书主体唯一标识(v2+) l扩展(v3) l签名(of hash of all fields in certificate) l标识CA=CAV, SN, AI, CA, TA, A, Ap 表示由 CA签字的A公钥证书2022-1-29现代密码学

16、理论与实践-1426/42X.509 Certificates2022-1-29现代密码学理论与实践-1427/42获得一个用户证书 l任何可以获得CA公钥的用户均可获得证书中用户公钥 l只有CA可以修改证书 l由于证书不可伪造，因此证书可以放在目录中而不需要特别的保护 l如果两个CA能够安全地交换各自的公开密钥，如下的过程可以使A获得B的公开密钥lA从目录获得由X1签名的X2的证书，因而获得X2的公开密钥并通过证书中X1的签名加以证实lA从目录中得到由X2签名的B的证书，因为A已经拥有X2的公开密钥，因此能验证这个签名并安全获得B的公开密钥：X1X2lB使用相反对链可以获得A的公开密钥 X2

17、X12022-1-29现代密码学理论与实践-1428/42证书的层次结构 l如果用户有共同的CA，则他们应该知道彼此的公钥，否则CA必须形成层次结构并互相发放证书 l每个CA目录入口包含两种证书l向前证书：由其他CA发给X的证书(forward, client)l向后证书：X发给其他CA的证书(backward, parent) l每一个用户信任他的父节点的证书 l通过层次化的结构，可以使一个CA下的用户验证任何其他CA下的用户的公钥证书2022-1-29现代密码学理论与实践-1429/42CA层次结构的使用lA从目录获得证书以建立通往B的证书路径lXWVYZlB通过如下路径获得A的公开密钥l

18、ZYVWX2022-1-29现代密码学理论与实践-1430/42证书的撤销l每个证书都有一个有效期，到期失效l可能因为如下原因提前撤销证书1.用户的私钥被认为不安全了2.用户不再信任该CA3.CA的证书被认为不安全了l每个CA维护一张证书撤销列表lthe Certificate Revocation List (CRL)l用户应该经常去CRL看看某个证书是否还有效2022-1-29现代密码学理论与实践-1431/4214.2.2 X.509的认证过程lX.509有三种可选的认证过程 lOne-Way Authentication lTwo-Way Authentication lThree-W

19、ay Authentication l三种方法均使用公钥签名2022-1-29现代密码学理论与实践-1432/422022-1-29现代密码学理论与实践-1433/42One-Way Authenticationl使用一条消息( AB)建立认证过程 lA的标识和A创建的消息 lB所需要的消息 l消息的完整性和原创性(不能多次发送) l消息必须包含时间戳，nonce，B的标识符，并由A签名 2022-1-29现代密码学理论与实践-1434/42Two-Way Authenticationl使用两条消息建立认证过程(AB, BA)lA的标识和A创建的消息 lB所需要的消息 l消息的完整性和原创性(

20、不能多次发送)lB的标识和B生成的应答消息 lA需要的消息 l应答的完整性和真实性 l应答消息包括从A得到的临时交互号nonce，时间戳和B生成的临时交互号l消息中可以包含签名的其他信息和用A的公钥加过密的会话密钥2022-1-29现代密码学理论与实践-1435/42Three-Way Authenticationl使用三条消息(AB, BA, AB)建立认证过程而不需要同步时钟l最后从A发往B的消息中包含签了名的临时交互号rb，这样，其中的时间戳就不用检查了 2022-1-29现代密码学理论与实践-1436/4214.2.3 X.509 Version 3l密钥和策略信息l授权密钥标识符l主

21、体密钥标识符l密钥使用l私钥使用期l证书策略l策略映射l证书主体和发行商属性l主体可选名字l发行商可选名字l主体目录属性l证书路径约束l基本限制、名字限制、策略限制2022-1-29现代密码学理论与实践-1437/4214.3 公开密钥的全局管理体制PKI l基于X.509证书的PKIl公钥体制需要一个管理机制，保证公开密钥的可靠性。PKI (Public Key Infrastructure)是公开密钥证书的管理体制。除了登记注册、管理、发布公钥证书之外, PKI还要负责撤销过去签发但现已失效的密钥证书, 即CRL(X.509证书和证书撤销列表)lPKI本质上是一种公证服务，通过离线的数字证

22、书来证明某个公开密钥的真实性, 并通过CRL来确认某个公开密钥的有效性lPKI的目标是向Internet用户和应用程序提供公开密钥管理服务，使其可靠地使用非对称密钥加密技术。数字证书是PKI的核心数据结构，引入了公认可信的第三方和数字证书，依赖证书上的第三方数字签名，用户可以离线地确认公钥的真实性。2022-1-29现代密码学理论与实践-1438/42Public Key Infrastructure2022-1-29现代密码学理论与实践-1439/42lX.509证书和证书撤销列表CRLlX.509证书是由发布者数字签名的、用于绑定某公开密钥及其持有者身份的数据结构。l证书撤销列表是一种证书

23、有效期控制机制，由发布者数字签名。证书使用者可以依据CRL (Certificate Revocation List)验证某证书是否已被撤销。lPKI的结构模型lPKI是公钥的管理机制，为域结构形态，每个PKI都有一定的覆盖范围，形成一个管理域。这些管理域通过交叉证书相互关联，构成更大的管理域，最终形成全局性公钥管理体系。PKI (Public Key Infrastructure)2022-1-29现代密码学理论与实践-1440/42lPAA(Policy Approval Authority) 政策审批机构l制订整个体系结构的安全政策并制订所有下级机构都需要遵循的规章制度，主要是证书政策和

24、证书使用规定。lCA(Certificate Authority) 证书管理中心l负责具体的证书颁发与管理，如同颁发护照的部门，是可信任的第三方。lORA(Organizational Registry Authority) 单位注册机构，帮助用户在CA处注册并获得证书。lPMA(Policy Management Authority) 政策管理机构，对PKI进行宏观管理。l端实体：数字签名和加密的实体PKI (Public Key Infrastructure)2022-1-29现代密码学理论与实践-1441/42lPKI的操作模型 PKI中有两种管理实体：证书管理中心CA和注册中心RACA：能够发布和撤销证书，维护证书的生存周期RA：负责处理用户注册请求，在验证请求有效性后代用户向CA提交。PKI中有两种端实体：持证者(Holder)和验证者(Verifier)l持证者是证书拥有者, 是证书所声明事实的主体；验证者通常是授权方, 确认证书持有者的证书有效后再授予对方相应权力l不同实体之间通过PKI操作完成证书的请求、确认、发布、撤销、更新、获取等过程。PKI的操作主要分成两大类：存取操作和管理操作。PKI (Public Key Infrastructure)2022-1-29现代密码学理论与实践-1442/42习题与思考题

展开阅读全文

现代密码学理论与实践第14章 认证协议的应用.ppt

现代密码学理论与实践第14章认证协议的应用.ppt