三、認證協議
四、kerberos認證系統
五、pki公鑰基礎設施
2、pki的主要元件
基本概念:
身份認證是計算機及網路系統識別操作者的乙個過程。
計算機網路是乙個虛擬化的數字世界,使用者資訊只能通過一定 的資料來表示,計算機在識別使用者身份時也只能識別使用者的數字身份。
在現實世界中,每個人都有對應的物理身份,在認證過程中則要保證是每個人的物理身份與其數字身份意一 一 對應。
具有發功能:
身份認證的分類:
靜態口令認證:
基於使用者的使用者名稱/口令的身份認證是目前最簡單、最易實現、最容易理解和接受的認證方式,也是使用最廣泛的。
從技術上來講,靜態口令需要解決兩個問題:
動態口令認證:
動態口令認證是一種讓使用者的密碼按照時間啊或使用次數的不同來不斷變更口令,每個密碼只使用一次的技術。這種方式的口令能有效的改進口令認證的安全性。
具有的優點:
具有的缺點:動態令牌與伺服器端程式必須保持時間或此處的同步,由於基於硬體的存在,所以使用較為不便。
主要特點:
主要特點:
在開放的網路環境中,未來通訊安全,一般都會要求有乙個出事的握手過程,以實現通訊雙方或者對某一方的身份認證。身份認證協議在網路安全中佔據十分重要的地位,會網路安全起著重要作用。
2)基於共享金鑰的單向認證技術2
3)基於共享金鑰的認證技術3
基於公鑰密碼體制的單向認證技術:
用於通訊雙方的互相認證,認證的同時可以協商會話的金鑰。
1)基於共享秘密的雙向認證2)使用kdc的認證kerberos 時上世紀80年代,美國麻省理工學院開發的一種基於對稱加密演算法的網路認證協議,允許乙個非安全的網路上的兩台計算機通過交換加密資訊互相認證身份,移到身份驗證成功,kerberos就為這兩台計算機分發金鑰,進行安全的會話。
其試**決的是以下幾個問題:
1)提供一種基於可信第三方的認證服務
kdc作為第三方,若使用者都新人kdc,則kerberos可以實現雙向鑑別,如果kdc是安全的、沒有漏洞的則認證是安全的
2)安全性能有效防止攻擊者假冒合法使用者
3)可靠性:kerberos本身採用分布式結構,kdc之間互相備份
4)透明性:使用者只需要提供使用者名稱與口令,工作站代替使用者實施認證過程
5)可伸縮性:能支援大量的使用者與伺服器
kerberos系統中存在四個角色:
1)使用者c用登記的身份向as表明自己發身份,as對c進行身份認證
2)as向c傳送m1=k,其中tts是用於c與票據伺服器tgs共享的金鑰,as還要向c傳送m2-k1,其中t1是時戳,lt1 是票據有效期。
3)c解密m1 獲得kts,並向tgs**m2與伺服器s的名字
4)tgs解密m2獲得kts,驗證了c的身份,並向c傳送m3=kts,其中ks是用於c與s共享的金鑰,並向c傳送m4=k2
5)c解密m3獲得ks,並向s**m4與m5=ks。
6)s解密m4驗證c的身份,解密m5得到t,並向c傳送m6=ks
pki(public key infrastructure,公鑰基礎設施),是一種基於公鑰概念和技術實現的、具有通用性的安全基礎設施。
其主要任務是在開放的環境中為開放的業務提供公鑰加密和數字簽名服務。
它是乙個生成、管理、儲存、分發和吊銷基於公鑰密碼學的公鑰證書所需要的軟硬體、人員、策略和規程的總稱。
pki提供的服務:
pki的作用:從技術上解決網上身份認證、資訊完整性、抵賴等安全問題,為網路安全提供保證。
pki的簡單理解:
pki具有的優勢:
1)數字認證的過程
1)證書授權中心(ca)
證書簽發機構,是pki的核心,是pki應用中權威的、可信任的、公正的第三方機構,主要負責產生、分配並管理所有參與網上交易的實體所需要的身份認證數字證書。
ca中心為每個使用公開金鑰的使用者發放乙個數字證書,數字證書的作用是證明證書總列出的使用者合法擁有證書中列出的的公開金鑰。並且ca的數字簽名使得攻擊者不能偽造和篡改證書。
ca的組成:
根ca簡介:乙個單獨的、可信的根ca是pki的基礎,生成乙個自簽名證書,稱作ca證書或根證書。
ca的核心功能:
註冊中心ra
ra系統是ca證書發放系統的證書、管理的延申,是ca不可或缺的功能元件,是乙個數字證書的註冊審批機構。
具有的功能:
2)數字證書庫
證書的集中存放第,提供公共查詢。
3)金鑰備份與恢復系統
對使用者的解密金鑰進行備份,當丟失時進行恢復。
4)證書撤銷處理系統(crl)
證書需要作廢,終止使用時,通過證書撤銷列表crl來實現。
5)pki各種應用介面
為各種應用提供安全、一致、可信任的方式與pki互動,確保所建立起來的網路環境安全可靠,並降低管理成本。
計算機網路安全
第一章 計算機網路概述 第二章 物理層 第三章 資料鏈路層 第四章 網路層 第五章 傳輸層 第六章 傳輸層 第七章 計算機網路安全 計算機安全包括哪些 cain工具 可以破解同乙個網段輸入的賬號密碼和篡改網域名稱解析結果 2.1 對稱加密 加密金鑰和解密金鑰相同 對稱加密檔案不適合在網上傳輸,且維護...
計算機網路 網路安全
物理層 資料鏈路層 網路層運輸層 應用層網路安全 無線網路和流動網路 數字簽名 鑑別實體鑑別 金鑰分配 網際網路使用的安全協議 系統安全 防火牆與入侵檢測 入侵檢測系統ids 1.安全的計算機網路的四個目標 對稱金鑰密碼體制 1.加密金鑰和解密金鑰是相同的 2.比如des,aes 公鑰密碼體制 1....
計算機網路 網路安全
dos 攻擊者向某個伺服器傳送大量分組,使伺服器癱瘓 資料加密模型 對稱金鑰 相同的加密金鑰和解密金鑰 一對一雙向保密通訊 公鑰 不同的加密金鑰和解密金鑰 多對一單向保密通訊 認證中心ca 將公鑰與對應的實體繫結 簽名 a用私鑰得到密文 核實簽名 b用公鑰還原出明文 目的 確認明文是a傳送的 具有保...