[精选]信息安全导论课程-ch14-认证应用系统.pptx

密码编码学与网络安全密码编码学与网络安全 电子工业出版社2006-2007第14章认证应用系统14.1Kerberos14.2X.509/CA14.3公钥基础设施PKI*14.aPKIinWindows*14.bEJBCA*14.cOpenCA*14.dCAwithOpenSSL认证系统Kerberos主要是局域网上的认证系统，它早期基于对称算法，封装了加密、鉴别等安全效劳，提供了统一的用户接口。后期Kerberos也开始支持公钥，使用证书。PKI/CA好似是解决电子商务安全的正确道路。CA是一个离线中心，因此适合互联网这种分布式又管理松散的环境。但是维护一个CA不管是商用CA或自己独立的CA给人的感觉是过于复杂。14.1KerberosLAN上的安全KerberosKerberosinWindowsKerberosinLinuxLAN上安全效劳器、工作站、用户用户使用工作站访问效劳器资源局域网上安全问题窃听导致泄密重放攻击假冒用户，用户盗用工作站假冒工作站，工作站地址被盗用对应的可能安全方法工作站核认用户身份工作站向效劳器证实自己的身份信任用户身份用户和效劳器相互认证/鉴别Kerberos动机目标防窃听，防假冒透明，只要输入一个口令可靠，合法性的唯一标识依据就是获得KB访问可扩展伸缩性，适应模块化和分布式效劳鉴别Authentication授权Authorization记帐AccountingKerberos阅读Kerberosv4的启发协议V4核心举例C是客户、V是效劳器、AS是鉴别效劳器CAS：IDcPcIDv，Pc是c的口令CV：IDcTicket问题Pc的明文传输用户口令的一次输入，重复使用票据的生存周期对效劳器的鉴别Kerberosv4OverviewKerberosv4请求域间效劳Kerberosv4MessageKerberosv5改进不仅依赖于DES不仅使用IP协议使用ASN.1/BER数据编码规则扩展了票据有效期鉴别的转发代理/转让加强了领域间的鉴别能力省去了不必要的双重加密PCBCCBC增强了抗口令攻击的能力增加了一票据对会话密钥的能力Kerberosv5MessageKerberos中的passwd、key、encpasswdkeyn个字符的串7n个比特序列往返56b折叠并xor56bitDESkeyPCBCCnEkCn-1XORPn-1XORPnKerberosDistributionKerberosinWindows密钥发行中心KDC一种网络效劳，提供在KerberosV5身份验证协议中使用的会话票证和临时会话密钥。票证用于安全原则的标识数据集，是为了进行用户身份验证而由域控制器发行的。Windows中的两种票证形式是票证授予式票证TGT和效劳票证。票证授予式票证TGT用户登录时，Kerberos密钥分发中心KDC颁发给用户的凭据。当效劳要求会话票证时，用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的，它有时称为“用户票证。票证授予效劳TGS由“KerberosV5密钥分发中心KDC效劳提供的一种KerberosV5效劳，它在域中发行允许用户验证效劳的效劳票证。KerberosinWindows2k3KerberosV5身份验证KerberosV5是在域中进行身份验证的主要安全协议；同时要验证用户的身份和网络效劳。KerberosV5工作原理概述KerberosV5身份验证机制颁发用于访问网络效劳的票证。这些票证包含加密的数据，其中包括加密的密码，用于向请求的效劳确定用户的身份。除了输入密码或智能卡凭据，整个身份验证过程对用户都是不可见的。KerberosV5中的一项重要效劳是密钥发行中心KDC。KDC作为ActiveDirectory目录效劳的一局部在每个域控制器上运行，它存储了所有客户端密码和其他帐户信息。-KerberosV5身份验证过程按如下方式工作：1客户端上的用户使用密码或智能卡向KDC进行身份验证。2KDC为此客户颁发一个特别的票证授予式票证。客户端系统使用TGT访问票证授予效劳TGS，这是域控制器上的KerberosV5身份验证机制的一局部。3TGS接着向客户颁发效劳票证。4客户向请求的网络效劳出示效劳票证。效劳票证向此效劳证明用户的身份，同时也向该用户证明效劳的身份。KerberosV5效劳安装在每个域控制器上，每个域控制器作为KDC使用。域控制器在用户登录会话中作为该用户的首选KDC运行。Kerberos客户端安装在每个工作站和效劳器上。客户端使用域名效劳DNS定位最近的可用域控制器。如果首选KDC不可用，系统将定位备用的KDC来提供身份验证。Windows域了解以下概念WindowsServerDomain/ActiveDirectoryWorkstationjointheDomainLoginintoaDomainResourceinaDomain并练习验证相关概念使用虚拟机VmwareKerberosinLinuxKerberosinLinux/etc/krb5.confdefault_realm=GNUD.IErealmsGNUD.IE=kdc=kerberos1.gnud.ie:88kdc=kerberos2.gnud.ie:88admin_server=kerberos1.gnud.ie:749default_domain=gnud.iedomain_realm.gnud.ie=GNUD.IEgnud.ie=GNUD.IEKerberosinLinuxToinitializeandcreatetheKerberosdatabase:#/usr/Kerberos/sbin/kdb5_utilcreate-sedittheaclfiletograntadministrativeaccess/etc/krb5.conf/var/Kerberos/krb5kdc/kdc.conf/var/Kerberos/krb5kdc/kadm5.aclanyaccountwhichendswitha/adminintheGNUD.IErealmisgrantedfullaccessprivileges:*/adminGNUD.IE*KerberosinLinuxCreateadministrativeuser#/usr/Kerberos/sbin/kadmin.local-qaddprincadmin/adminTostartautomatically#/sbin/chkconfigkrb5kdcon#/sbin/chkconfigkadminonStartupmanually#/etc/rc.d/init.d/krb5kdcstart#/etc/rc.d/init.d/kadminstartCreatetheuserprincipal#kadmin.localKerberosinLinuxTimeSynchronizationTheNetworkTimeProtocolNTPNTPpackage/etc/ntp.confservertime.nist.govKerberosinLinuxClientpackagekrb5-workstation/etc/krb5.conf/var/Kerberos/krb5kdc/kdc.confTestKerberosauthenticationusingthekinit$kinittheKDClogserverside/var/log/Kerberos/krb5kdc.logKerberosinLinuxAdditionalResources14.2X.509/CAX509定义了公钥认证效劳框架。Certificate证书印象PKI/X.509CAinWin2kEJBCACertificate证书印象证书是可靠发布公钥的载体公钥及其持有人信息其他信息用途、有效期、签发人及其签名对上面信息例子解析见备注行X.509分发公钥证书格式内容、格式和编码、签名鉴别协议X509中推荐的协议应用IPSec、SSL/TLS、SET、S/MIME、PGP、RFC2459InternetX.509PublicKeyInfrastructureCertificateandCRLProfile从公钥到证书审核证书格式版本序列号签名算法标识其参数签发者名字不早于，不迟于主题名持有人名算法标识其参数公钥签发人标识重名持有人标识扩展签名算法参数签名X509v3扩展V3以可选扩展项的形式表达扩展名字，值，是否可忽略密钥标识符密钥用途签名、加密、密钥交换、CA等组合私钥使用期限对应的公钥一般有更长的期限以用于验证策略信息等颁发者和持有人的更多信息证书路径的约束信息ASN.1编码解析#opensslasn1parse-inroot.pem-dump证书中心CACertificateAuthority权威的证书签发者接受请求、审核、收费、签发商业CA机构CertificateRequest申请人产生自己的公钥私钥提交PKCS#10格式的申请公钥、自己的身份信息，用户自己的签名审核颁发面对面的交涉;代理RA证书发布X500目录;在线交换证书的获得等问题证书是公开的，不需保密这很好信任对证书的信任基于对中心的信任CA是分层次的以减轻负载和压力尤其是审核对多个中心的信任分散了风险，也引入了风险证书的自证明前提:已经有CA的公钥CA公钥一般是自签名证书的形式必须可靠的获得，离线手工取得对方的证书证书是公开的，不需保密查目录；在线交换判断证书是否有效验证证书中的签名是否是CA的真实签名只是说这个证书是有效的信任关系信任信任CA信任CA的签名信任CA签发的证书信任该持有人拥有这个公钥层次CA组织成为层次关系信任链信任某CA则信任其子CA及其子CA签发的证书CA之间的相互信任相互给对方的公钥签署一个证书CATreeA和B之间如何达成相互信任证书的撤销证书中的有效期证书提前作废的原因私钥泄密用户自己的、CA的持有人身份变化CRL-certificaterevocationlist由CA定期公布的证书黑作废证书的序列号的表序列号,撤销时间表的创立日期其他信息CRL位置、下次CRL更新时间签名OnlineCertificateStatusProtocolOCSP在线证书状态协议可以用在线方式查询指定证书的状态RFC2560OCSP使用证书进行身份鉴别前提:已经有某人的真实证书公钥查目录或在线交换鉴别鉴别对方是否是真实的持有人某人看对方是否拥有证书中公钥对应的私钥使用挑战应答机制举例SSL协议使用证书的鉴别过程鉴别鉴别A要和B通信，A要弄清楚B是否是他所期望的真的BAB：A向B请求证书AB：A给B一个随机报文，让B签个名来看看B：B签名，在签名之前可施加自己的影响成分A./demoCA/serialopensslgenrsa-out./demoCA/private/cakey.pem1024opensslreq-new-days10000-key./demoCA/private/cakey.pem-outcareq.pemopensslca-selfsign-incareq.pem-out./demoCA/cacert.pem#CAready#user1opensslgenrsa-outuserkey.pem1024opensslreq-new-days3650-keyuserkey.pem-outuserreq.pemopensslca-inuserreq.pem-outusercert.pemmv*.pem./demoCA/newcerts/.证书解析手工演示inwindowsuseopenssl.exeopensslx509-incert.pem-text编程参考.appsx509.c其他证书厂商提供的解析库API证书操作inOpenSSLPEM_read_bio_X509_AUXX509_get_versionX509_get_issuer_nameX509_get_subject_nameX509_get_pubkeyX509_verify解析证书例程推荐阅读：CA运营机构及其它资料链接关键词KeyTermsauthenticationauthenticationserverKerberosKerberosrealmlifetimenoncepropagatingcipherblockchainingPCBCmodepublic-keycertificaterealmsequencenumbersubkeyticketticket-grantingserverTGSX.509certificate小结Kerberos适合在LAN上使用，Windows域就是用的它。PKI是互联网这种分布式环境安全的主要解决方法。PKI的核心是CA的建设，CA的优点在于其是离线中心。CA的一个麻烦事是证书黑CRL/OCSP的处理。PKI的部署较为繁琐，而且PKI主要帮助通信加密、抗抵赖等，对于系统安全问题病毒和黑客帮助不大，因此降低了用户部署的积极性。Q&A9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April17,202310、雨中黄叶树，灯下白头人。19:14:1819:14:1819:144/17/20237:14:18PM11、以我独沈久，愧君相见频。4月-2319:14:1819:14Apr-2317-Apr-2312、故人江海别，几度隔山川。19:14:1819:14:1819:14Monday,April17,202313、乍见翻疑梦，相悲各问年。4月-234月-2319:14:1819:14:18April17,202314、他乡生白发，旧国见青山。17四月20237:14:18下午19:14:184月-2315、比不了得就不比，得不到的就不要。四月237:14下午4月-2319:14April17,202316、行动出成果，工作出财富。2023/4/1719:14:1819:14:1817April202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:14:18下午7:14下午19:14:184月-239、没有失败，只有暂时停止成功！。4月-234月-23Monday,April17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:14:1819:14:1819:144/17/20237:14:18PM11、成功就是日复一日那一点点小小努力的积累。4月-2319:14:1819:14Apr-2317-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:14:1819:14:1819:14Monday,April17,202313、不知香积寺，数里入云峰。4月-234月-2319:14:1819:14:18April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:14:18下午19:14:184月-2315、楚塞三湘接，荆门九派通。四月237:14下午4月-2319:14April17,202316、少年十五二十时，步行夺得胡马骑。2023/4/1719:14:1819:14:1817April202317、空山新雨后，天气晚来秋。7:14:18下午7:14下午19:14:184月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April17,202310、阅读一切好书如同和过去最杰出的人谈话。19:14:1819:14:1819:144/17/20237:14:18PM11、越是没有本领的就越加自命非凡。4月-2319:14:1819:14Apr-2317-Apr-2312、越是无能的人，越喜欢挑剔别人的错儿。19:14:1819:14:1819:14Monday,April17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:14:1819:14:18April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:14:18下午19:14:184月-2315、最具挑战性的挑战莫过于提升自我。四月237:14下午4月-2319:14April17,202316、业余生活要有意义，不要越轨。2023/4/1719:14:1819:14:1817April202317、一个人即使已登上顶峰，也仍要自强不息。7:14:18下午7:14下午19:14:184月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉