网络安全课件-04网络安全身份认证设计(鉴别服务)20100920.ppt

资源描述

2010常熟理工计算机科学与工程学院10/11 网络安全第第3讲讲网络安全身份认证网络安全身份认证乐德广乐德广计算机科学与工程学院计算机科学与工程学院常熟理工学院常熟理工学院P A G E 2 10/11网络安全 2010常熟理工计算机科学与工程学院提纲5.1 引言-鉴别性服务5.2 身份认证技术概述5.3 基于口令的身份认证5.4 Kerberos 身份认证协议5.5 基于X.509的身份认证5.6 基于生物特征的身份认证5.7 Windows系统身份认证设计5.8 AAA认证服务系统设计P A G E 3 10/11网络安全 2010常熟理工计算机科学与工程学院 5.1 鉴别性n鉴别性：证实通信过程涉及的另一方确实具有他们所声称的身份，确保通信是可信的。l数据起源鉴别：在通信实体之间没有预先交互的应用中提供对消息起源的证实。l对等实体鉴别：在连接建立及数据传输阶段对对等实体的身份进行证实（身份认证）。n安全机制：l鉴别交换：通过信息交换确信一个实体身份的机制（口令）。l数字签名：附加在一个数据单元后面的数据，用来证明数据单元的起源及完整性，以防伪造。P A G E 4 10/11网络安全 2010常熟理工计算机科学与工程学院提纲5.1 引言-鉴别性服务5.2 身份认证概述5.3 基于口令的身份认证5.4 Kerberos 身份认证协议5.5 基于X.509的身份认证5.6 基于生物特征的身份认证5.7 Windows系统身份认证设计5.8 AAA认证服务系统设计P A G E 5 10/11网络安全 2010常熟理工计算机科学与工程学院 5.2 身份认证简介5.2.1身份认证场景5.2.2身份认证需求5.2.3身份认证途径5.2.4身份认证基本模型5.2.5身份认证设计基本要求5.2.6身份认证技术P A G E 6 10/11网络安全 2010常熟理工计算机科学与工程学院在网络环境系统中什么场景下有用到身份认证？n操作系统登录lWindowslUnixlLinuxn远程服务登录lTelnetlFTPlEmaillVPNn网络接入服务lInternetl校园网l企业内部网n在线交易l网上银行l电子证券l电子商务P A G E 7 10/11网络安全 2010常熟理工计算机科学与工程学院网络环境下对身份认证需求n防止网络欺骗：l身份假冒和欺诈n防止非法使用网络资源n防止非法浏览用户信息P A G E 8 10/11网络安全 2010常熟理工计算机科学与工程学院网络环境下对身份认证需求n唯一的身份标识（ID）:luid，uiddomainlDN(Distinguished Name):C=CN/S=Beijing/O=Tsinghua University/U=CS/CN=Duan Haixin/Email=n抗被动的威胁（窃听），口令不在网上明文传输源目的sniffer进行下列网络服务的身份认证时，口令传输哪些是明文传输，哪些是加密传输：Telnet，FTP，SMTP，SSHP A G E 9 10/11网络安全 2010常熟理工计算机科学与工程学院网络环境下对身份认证需求n抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用加密解密passwd$%&)*=-,P A G E 10 10/11网络安全 2010常熟理工计算机科学与工程学院网络环境下对身份认证需求n单向认证n双向认证l域名欺骗、地址假冒等l路由控制n单点认证（Single Sign-On）l用户只需要一次认证操作就可以访问多种服务n可扩展性的要求P A G E 11 10/11网络安全 2010常熟理工计算机科学与工程学院网络环境下对身份认证需求n本地多用户认证lLogin：如何管理口令n远程用户认证l一次性访问资源或者服务之前进行认证l多次访问资源或者服务身份，获得credential利用credential访问资源或者服务P A G E 12 10/11网络安全 2010常熟理工计算机科学与工程学院身份认证基本途径n基于你所知道的（What you know）l知识、口令、密码n基于你所拥有的（What you have）l身份证、信用卡、钥匙、智能卡、令牌、私钥等n基于你的个人特征（What you are）l指纹，笔迹，声音，手型，脸型，视网膜，虹膜n双因素、多因素认证P A G E 13 10/11网络安全 2010常熟理工计算机科学与工程学院身份认证的基本模型n申请者（Claimant）n验证者（Verifier）n认证信息AI（Authentication Information）n可信第三方(Trusted Third Party)申请AI验证AI申请AI验证AI交换AIP A G E 14 10/11网络安全 2010常熟理工计算机科学与工程学院身份认证的基本模型n假设A和B要进行通讯，A和B有一个共享的密钥Kab,如何利用这个密钥进行认证，并且商定一个会话密钥Ks1 AB:(IDA|N1)2 BA:EKabKs,IDB,f(N1),N2)3 AB:EKsf(N2)这里的这里的f函数为某个确定的运算，比如函数为某个确定的运算，比如f(x)=x+1AKabB我是我是A告诉你告诉你Ks，以后就用它，以后就用它，别让别人知道别让别人知道好的好的，我用它我用它试试，可我怎试试，可我怎么知道你是么知道你是B呢呢如果你知道如果你知道Kab,那么你就知道那么你就知道Ks,我就知道你是我就知道你是AP A G E 15 10/11网络安全 2010常熟理工计算机科学与工程学院身份认证的基本模型n假设A和B要进行通讯，A和B与KDC各有一个共享密钥Ka和Kb,如何利用这两个密钥进行认证，并且商定一个会话密钥KsAKDC:(IDA|IDB|N1)KDCA:EKaKs|IDB|N1|EKb(Ks,IDA)AB:EKb(Ks,IDA)|EKs(M)AKbB我是A，我想和B通讯KDCKa我把必要的信息告诉你我把消息给你，如果你是B,你就可以解开会话密钥Ks，由A送给B的认证信息P A G E 16 10/11网络安全 2010常熟理工计算机科学与工程学院身份认证设计基本要求n可识别率最大化n可欺骗率最小化n不可传递性n相互认证n第三方可信任n安全存储n成本最小化l计算有效性l节省通信带宽P A G E 17 10/11网络安全 2010常熟理工计算机科学与工程学院常用的身份认证技术/协议n口令认证技术l简单口令认证l质询/响应认证l一次性口令认证（OTP）nKerberos认证技术n基于公钥证书的身份认证n基于生物特征的身份认证P A G E 18 10/11网络安全 2010常熟理工计算机科学与工程学院回顾n身份认证-鉴别性n身份认证概述l应用场景l安全需求l途径与方法l基本模型l设计基本要求n身份认证技术P A G E 19 10/11网络安全 2010常熟理工计算机科学与工程学院上讲回顾n网络安全中的“数据加密”。l网络安全服务：机密性lPBE（对称+H）lPBE+SALTlH（口令）l磁盘加密l文件系统加密l传输加密（对称+公钥）n网络安全中的“身份认证”。l网络安全服务：鉴别性l场景l方式（单向、双向、单点）l本地与远程l模型l基本途径KnowHaveBelPAPP A G E 20 10/11网络安全 2010常熟理工计算机科学与工程学院提纲5.1 引言-鉴别性服务5.2 身份认证技术概述5.3 基于口令的身份认证5.4 Kerberos 身份认证协议5.5 基于X.509的身份认证5.6 基于生物特征的身份认证5.7 Windows系统身份认证设计5.8 AAA认证服务系统设计P A G E 21 10/11网络安全 2010常熟理工计算机科学与工程学院安全口令认证系统设计内容n口令传输n口令验证n口令存储n口令管理P A G E 22 10/11网络安全 2010常熟理工计算机科学与工程学院 5.3 基于口令的身份认证5.3.1 本地简单口令认证5.3.2 简单口令认证协议（PAP）5.3.3 一次性口令（OTP）5.3.4 质询/响应认证协议（CHAP）5.3.5 口令的管理P A G E 23 10/11网络安全 2010常熟理工计算机科学与工程学院简单口令认证n本地简单口令认证P A G E 24 10/11网络安全 2010常熟理工计算机科学与工程学院简单口令认证nWindows本地登录认证 P A G E 25 10/11网络安全 2010常熟理工计算机科学与工程学院简单口令认证nLinux本地登录认证 P A G E 26 10/11网络安全 2010常熟理工计算机科学与工程学院简单口令认证nPAP(Password Authentication Protocol)：RFC1334l口令认证协议l两次握手验证过程l用户名和密码以明文（不加密的）形式发送到远程访问服务器P A G E 27 10/11网络安全 2010常熟理工计算机科学与工程学院简单口令认证nCodel1 Authenticate-Requestl2 Authenticate-Ackl3 Authenticate-NakCodeIdentifier LengthPeer-ID LengthPeer-IDPassword LengthPassword PAP请求包格式CodeIdentifierLengthMsg-LengthMessage PAP应答包格式P A G E 28 10/11网络安全 2010常熟理工计算机科学与工程学院简单口令认证nPAP简单且易于实现。nPAP存在很大的安全问题，用户的用户名和密码是以明码的方式进行传送的，数据在从用户端发出到认证方接收到的整个过程中毫无遮拦的暴露在线路上面。CodeIdentifier LengthPeer-ID LengthPeer-IDPassword LengthPassword PAP请求包格式CodeIdentifierLengthMsg-LengthMessage PAP应答包格式P A G E 29 10/11网络安全 2010常熟理工计算机科学与工程学院一次性口令认证（OTP）nOTP:One Time Passwordl系统在用户登录时给用户提供一个随机数，用户将这个随机数送入口令发生器，口令发生器以用户的密钥对随机数加密，然后用户再将口令发生器输出的加密口令送入认证系统。认证系统再进行同样方法计算出一个结果，比较两个结果决定是否该身份有效。l动态口令n口令序列（S/Key）n时间同步（SecurID）n挑战/应答（异步）P A G E 30 10/11网络安全 2010常熟理工计算机科学与工程学院一次性口令认证（OTP）n口令序列（S/Key）lLamport,L.,Password Authentication with Insecure Communication,Communications of the ACM 24.11,November 1981,770-772.lHaller,N.,The S/KEY One-Time Password System,Proceedings of the ISOC Symposium on Network and Distributed System Security,February 1994,San Diego,CAlRFC1760：The S/KEY One-Time Password System.1995l口令为一个单向的前后相关的序列。系统只用记录第N个口令。用户第i（1iN）个口令登录时，系统用单向算法算出第i+1个口令与自己保存的第i+1个口令匹配，以判断用户的合法性。P A G E 31 10/11网络安全 2010常熟理工计算机科学与工程学院一次性口令认证（OTP）ns：种子数nH：哈希函数nN：序列最大值nPi：口令序列P A G E 32 10/11网络安全 2010常熟理工计算机科学与工程学院一次性口令认证（OTP）n时间同步（RSA SecurID）l以用户登录时间作为随机因子lRSA公司的专利l登录密码=HASH（用户名+密码+时间）l要求通信双方的时间准确度高P A G E 33 10/11网络安全 2010常熟理工计算机科学与工程学院一次性口令认证（OTP）P A G E 34 10/11网络安全 2010常熟理工计算机科学与工程学院一次性口令认证（OTP）n 挑战/应答（异步）：l用户要求登录l系统产生一个随机数（Challenge）发送给用户l用户通过口令卡（用某种单向算法）将自己的口令和随机混合起来产生一个新的一次性口令发给系统l系统用同样的方法来做验算，即可验证用户身份TokenServerchallengeOTPPass phrase+challengeOTPOTPIDP A G E 35 10/11网络安全 2010常熟理工计算机科学与工程学院质询/握手认证协议（CHAP）nChallenge and Response Handshake Protocol：RFC1994n三次握手认证Login,IDcIDc,RIDc,MACcMAC=H(R,K)sMAC=H(R,K)比较比较MAC和和MACOK/DisconnectMAC的计算可以基于的计算可以基于Hash算算,对称密钥算法，公开密钥算法对称密钥算法，公开密钥算法P A G E 36 10/11网络安全 2010常熟理工计算机科学与工程学院质询/握手认证协议（CHAP）nCodel1 Challengel2 Responsel3 Successl4 FailureCodeIdentifierLengthValue-SizeValueNameCHAP口令请求和应答包格式CodeIdentifierLengthMessageCHAP认证结果响应包格式P A G E 37 10/11网络安全 2010常熟理工计算机科学与工程学院质询/握手认证协议（CHAP）nCHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密，安全性比PAP高。CodeIdentifierLengthValue-SizeValueNameCHAP口令请求和应答包格式CodeIdentifierLengthMessageCHAP认证结果响应包格式P A G E 38 10/11网络安全 2010常熟理工计算机科学与工程学院口令管理n口令管理 l口令属于“他知道什么”这种方式，容易被窃取。l口令的错误使用：选择一些很容易猜到的口令；把口令告诉别人；把口令写在一个贴条上并把它贴在键盘旁边。l口令管理的作用：生成了合适的口令口令更新能够完全保密 P A G E 39 10/11网络安全 2010常熟理工计算机科学与工程学院口令管理n口令的要求：l包含一定的字符数；l和ID无关；l包含特殊的字符；l大小写；l不容易被猜测到。l跟踪用户所产生的所有口令，确保这些口令不相同，l定期更改其口令。l使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份：网络管理员使用的工具：口令检验器攻击者破获口令使用的工具：口令破译器 P A G E 40 10/11网络安全 2010常熟理工计算机科学与工程学院口令管理n口令产生器 l不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令。n口令的时效 l强迫用户经过一段时间后就更改口令。l系统还记录至少5到10个口令，使用户不能使用刚刚使用的口令。n限制登录次数 l免受字典式攻击或穷举法攻击 P A G E 41 10/11网络安全 2010常熟理工计算机科学与工程学院提纲5.1 引言-鉴别性服务5.2 身份认证技术概述5.3 基于口令的身份认证5.4 Kerberos 身份认证协议5.5 基于X.509的身份认证5.6 基于生物特征的身份认证5.7 Windows系统身份认证设计5.8 AAA认证服务系统设计P A G E 42 10/11网络安全 2010常熟理工计算机科学与工程学院 5.5 基于X.509公钥证书的身份认证5.5.1 X.509 简介5.5.2 X.509 认证框架5.5.3 X.509证书5.5.4 基于公钥证书的认证过程5.5.5 不同管理域的问题P A G E 43 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509简介n目录服务：认证体系X.509lITU于1988年制定了认证体系标准nX.500系列的一个组成部分n定义了X.500目录向用户提供认证业务的一个框架l公钥证书结构l基于公钥证书的认证协议nX.509的基础l公钥密码体制l数字签名P A G E 44 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509简介nX.509主要内容l公钥证书结构l简单认证l强认证l密钥及证书的管理l证书扩充及证书吊销列表扩充n强认证l单向认证l双向认证l三向认证P A G E 45 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509认证框架nCertificate Authorityl签发证书nRegistry Authority l验证用户信息的真实性nDirectory l用户信息、证书数据库l没有保密性要求n证书获取l从目录服务中得到l在通信过程中交换DirectoryCARA用户用户用户用户注册注册签发证书、证书回收列表签发证书、证书回收列表申请签发查询身份认证身份认证P A G E 46 10/11网络安全 2010常熟理工计算机科学与工程学院 PKI与X.509nPKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。nPKI是IETF组织提出的一个框架nRFC 5280：Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile.2008nX.509是PKI的一个具体实现。P A G E 47 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509认证框架nCertificate Authorityl签发证书nRegistry Authority l验证用户信息的真实性nDirectory l用户信息、证书数据库l没有保密性要求n证书获取l从目录服务中得到l在通信过程中交换DirectoryCARA用户用户用户用户注册注册签发证书、证书回收列表签发证书、证书回收列表申请签发查询身份认证身份认证P A G E 48 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509证书结构algorithmIssuer unique nameAlgorithmsSubject NameextensionsversionSerial numberparametersIssuer nameNot BeforeNot AfterparametersKeysubject unique nameAlgorithms parametersEncrypted签名算法有效期主体的公钥信息V2扩展扩展V3扩展扩展P A G E 49 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509证书格式证书格式n版本：标识不同版本的证书；n序列号：标识证书唯一性的整数；n签名算法标识符：标识签名算法及参数；n颁发者名字：创建和签名该证书的CA的X.500名字；n有效期：两个日期组成：起始时间和结束时间；n主体名：证书提及的用户名；n主体的公钥信息：主体的公钥及这个密钥使用算法的标识符，和算法的相关参数；P A G E 50 10/11网络安全 2010常熟理工计算机科学与工程学院 X.509证书格式证书格式n颁发者的唯一标识符：可选的唯一字串用于证实CA，如果该X.500名字已经被其它实体使用。n主体的唯一标识符：可选的唯一字串用于证实主体，如果该X.500名字已经被其它实体使用。n扩展：扩展字段，在第三版使用。n签名：CA密钥加密的其它所有字段的散列值。P A G E 51 10/11网络安全 2010常熟理工计算机科学与工程学院版本版本序列号序列号签名算法标识符签名算法标识符颁发者名字颁发者名字有效期有效期主体名主体名主体公钥信息主体公钥信息颁发者唯一标识符颁发者唯一标识符主体唯一标识符主体唯一标识符扩展扩展签名签名第第一一版版第第二二版版第第三三版版所有版本所有版本证证书书格格式式P A G E 52 10/11网络安全 2010常熟理工计算机科学与工程学院证书的结构n符号记法CA =CA V,SN,AI,CA,TA,A,ApY 表示证书权威机构Y 发给用户X的证书YI 表示Y 对I 的签名，由I 和用Y的私钥加密的散列码组成n证书的安全性l任何具有CA公钥的用户都可以验证证书有效性l除了CA以外，任何人都无法伪造、修改证书P A G E 53 10/11网络安全 2010常熟理工计算机科学与工程学院认证的过程n单向认证(One-Way Authentication)AB A tA,rA,B,SgnData,EKUbKab tA:时间戳 rA:Nonce，用于监测报文重发的一个随机序列值SgnData:待发送的数据 EKUbKab：用B的公钥加密的会话密钥B 收到数据以后，用收到数据以后，用A的公钥验证数字签名，从而确信的的公钥验证数字签名，从而确信的确是从确是从A 发送来的。发送来的。通过通过tA验证时效性，通过验证时效性，通过rA验证没有重发。验证没有重发。确认发送方的身份确认数据是要送给接收方的确认数据是由发送方送出的，确保数据完整性P A G E 54 10/11网络安全 2010常熟理工计算机科学与工程学院认证的过程n双向认证(Two-Way Authentication)AB1.A tA,rA,B,SgnData,EKUbKab tA:时间戳时间戳 rA:Nonce，用于监测报文重发用于监测报文重发SgnData:待发送的数据待发送的数据 EKUbKab :用用B的公钥加密的会话密钥的公钥加密的会话密钥2.B tB,rB,A,rA,SgnData,EKUaKba P A G E 55 10/11网络安全 2010常熟理工计算机科学与工程学院认证的过程n三向认证(Three-Way Authentication)AB1.A tA,rA,B,SgnData,EKUbKab tA:时间戳时间戳 rA:Nonce，用于监测报文重发用于监测报文重发SgnData:待发送的数据待发送的数据 EKUbKab :用用B的公钥加密的会话密钥的公钥加密的会话密钥2.B tB,rB,A,rA,SgnData,EKUaKba 3.A rB P A G E 56 10/11网络安全 2010常熟理工计算机科学与工程学院不同信任域的问题n如果A 无法安全获得X2的公钥，则无法验证B的证书 X2的有效性nCA之间的交叉证书lA验证B的证书路径:X2 ,X1X1X2X1X2ABX1X1X2X2P A G E 57 10/11网络安全 2010常熟理工计算机科学与工程学院获得用户证书（不同CA）n解决以上问题的办法是：lCA之间能安全交换公钥n不同CA用户任何获得对方的公钥：lA获得X1签名的X2的证书，则A可得X2的公钥；lA可得X2签名的B的证书，则A可用X2的公钥验证B的公钥；n证书链（任意长度）：A :X1 X2 B :X2 X1P A G E 58 10/11网络安全 2010常熟理工计算机科学与工程学院证书撤销n证书撤销的原因l用户密钥泄漏l用户不再由这个CA颁发证书lCA证书泄漏nCA维护一个证书撤销表n用户收到一个证书后，必须查表确定该证书是否被撤销。避免更多的开销，用户可保持一个证书和表的高速缓存。P A G E 59 10/11网络安全 2010常熟理工计算机科学与工程学院提纲5.1 引言-鉴别性服务5.2 身份认证技术概述5.3 基于口令的身份认证5.4 Kerberos 身份认证协议5.5 基于X.509的身份认证5.6 基于生物特征的身份认证5.7 Windows系统身份认证设计5.8 AAA认证服务系统设计P A G E 60 10/11网络安全 2010常熟理工计算机科学与工程学院 5.4 Kerberos身份认证技术5.4.1 Kerberos 简介5.4.2 Kerberos V45.4.3 Kerberos V55.4.4 Kerberos 缺陷P A G E 61 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos 简介nKerberos 麻省理工学院为Athena 项目开发的一个认证服务系统n目标是把UNIX认证、记帐、审计的功能扩展到网络环境：l公共的工作站，只有简单的物理安全措施l集中管理、受保护的服务器l多种网络环境，假冒、窃听、篡改、重发等威胁n基于Needham-Schroeder认证协议，可信第三方n基于对称密钥密码算法，实现集中的身份认证和密钥分配，通信保密性、完整性P A G E 62 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos协议中一些概念nPrincipal(安全个体)lClientl被认证的个体，有一个名字(name)和口令(password)。nKerberos数据库：记载了每个Kerberos 用户的名字，私有密钥，截止信息(记录的有效时间，通常为几年)等信息。nKDC(Key Distribution Center)l一个网络服务，提供Ticket和临时的会话密钥。lAS+TGSn认证服务器AS：l连接并维护一个中央数据库存放用户口令、标识等。l完成principle的认证，并生成会话密钥。n票据许可服务器TGS(Ticket Granting Server)l提供票据服务P A G E 63 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos协议中一些概念nKerberos 有两种证书：票据Ticket和认证符Authenticator。l这两种证书都要加密，但加密的密钥不同。nTicketl一个证书，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket 中的大多数信息都被加密，密钥为服务器的密钥。lTicket的组成：C/S的标识Client的地址时间戳生存时间（life）会话密钥lTicket一旦生成，在life指定的时间内可以被Client多次使用来申请同一个Server的服务。P A G E 64 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos协议中一些概念nAuthenticatorl一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥l认证符有下列部分组成：Client的名字Client的地址记录当前时间的时间戳lAuthenticator只能在一次服务请求中使用，每当Client向Server申请服务时，必须重新生成Authenticator。nCredentialsl一个Ticket加上一个秘密的会话密钥P A G E 65 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos 身份认证过程n一个简单的认证对话n一个更加安全的认证对话nKerberos V4nKerberos V5P A G E 66 10/11网络安全 2010常熟理工计算机科学与工程学院一个简单的认证对话C和V都必须在AS中注册，共享密钥KC，KV（1）C AS:IDc|Pc|IDV（2）ASC :Ticket（3）C V :IDc|Ticket Ticket=EKv(IDc|ADc|IDv)ASVC（1）（2）（3）C=ClientAS=Authentication ServerV =ServerIDc=identifier of User on C IDv=identifier of VPc=password of user on CADc=network address of CKv =secret key shared bye AS and V|=concatention 问题一：明文传输口令问题二：每次访问都要输入口令ADC防止何种攻击？防止何种攻击？防止票据由不是初始请求票据的工作站使用P A G E 67 10/11网络安全 2010常熟理工计算机科学与工程学院一个更加安全的认证对话认证对话（每次登录认证一次）（1）C AS:IDC|IDtgs（2）ASC :EKcTicket tgs Tickettgs=EKtgs IDC|ADC|IDtgs|TS1|Lifetime1获取服务票据（每种服务一次）（3）C TGS:IDC|IDv|Tickettgs（4）TGS C:Ticketv Ticket v=EKv IDC|ADC|IDV|TS2|Lifetime2访问服务（每次会话一次）（5）C V:IDc|TicketvASVC（1）（2）（3）TGS（4）（5）口令没有在网络上传输。口令没有在网络上传输。Ticket tgs 可重用，用一个可重用，用一个Ticket tgs可以请求多个服务可以请求多个服务P A G E 68 10/11网络安全 2010常熟理工计算机科学与工程学院一个更加安全的认证对话n问题一：票据许可票据Tickettgs的生存期l如果太大，则容易造成重放攻击l如果太短，则用户总是要输入口令n问题二：l如何向用户认证服务器（双向认证）n解决方法l增加一个会话密钥(Session Key)P A G E 69 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的认证过程ASTGS请求请求TickettgsTickettgs+会话密钥会话密钥请求请求TicketvTicketv+会话密钥会话密钥请求服务提供服务器认证符（1）（2）（3）（4）（5）（6）P A G E 70 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的报文交换1.AS交换，获得Tickettgs（1）用户登录工作站，请求主机服务 C AS:IDC|IDtgs|TS1 （2）AS在数据库中验证用户的访问权限，生成Tickettgs 和会话密钥，用由用户口令导出的密钥加密 AS C:EKcKc,tgs|IDtgs|TS2|Lifetime2|Tickettgs其中 Tickettgs=EKtgs Kc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2P A G E 71 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的认证过程ASTGS请求请求TickettgsTickettgs+会话密钥会话密钥请求请求TicketvTicketv+会话密钥会话密钥请求服务提供服务器认证符（1）（2）（3）（4）（5）（6）P A G E 72 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的报文交换2.TGS服务交换，获得服务票据Ticketv（3）工作站提示用户输入口令，用来对收到的报文进行解密，然后将Tickettgs 以及包含用户名称、网络地址和事件的认证符发给TGS C TGS:IDV|Tickettgs|Authenticatorc Authenticatorc=EKc,tgsIDc|ADc|TS3 Tickettgs=EKtgsKc,tgs|IDC|ADC|IDtgs|TS2|Lifetime2（4）TGS对票据和认证符进行解密，验证请求，然后生成服务许可票据Ticket v TGS C:EKc,tgsKc,v|IDV|TS4|Ticketv Ticketv=EK v Kc,v|IDC|ADC|IDv|TS4|Lifetime4P A G E 73 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的认证过程ASTGS请求请求TickettgsTickettgs+会话密钥会话密钥请求请求TicketvTicketv+会话密钥会话密钥请求服务提供服务器认证符（1）（2）（3）（4）（5）（6）P A G E 74 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的报文交换3.客户户/服务器认证交换：获得服务（5）工作站将票据和认证符发给服务器 C V:Ticketv|Authenticatorc Ticketv=EK v Kc,v|IDc|ADc|IDv|TS4|Lifetime4 Authenticatorc=EKc,vIDc|ADc|TS5（6）服务器验证票据Ticketv和认证符中的匹配，然后许可访问服务。如果需要双向认证，服务器返回一个认证符 V C:EKc,v TS5+1 P A G E 75 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos V4 的认证过程ASTGS请求请求TickettgsTickettgs+会话密钥会话密钥请求请求TicketvTicketv+会话密钥会话密钥请求服务提供服务器认证符（1）（2）（3）（4）（5）（6）P A G E 76 10/11网络安全 2010常熟理工计算机科学与工程学院多管理域环境下的认证ClientASTGSKerberosASTGSKerberosServer1.请求本地Tickettgs2.本地Tickettgs3.请求远程Tickettgs共享密钥共享密钥相互注册相互注册4.远程Ticket tgs5.请求远程服务Ticket6.远程服务Ticket7.请求远程服务P A G E 77 10/11网络安全 2010常熟理工计算机科学与工程学院多域环境下的认证过程P A G E 78 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos Version 5n改进version 4 的环境缺陷l加密系统依赖性：不仅限于DES lInternet协议依赖性:不仅限于IP l消息字节次序：不明确字节顺序lTicket的时效性：可能太短lAuthentication forwarding：用户的认证不能转发给其它主机或用户lInter-realm authenticationP A G E 79 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos Version 5n弥补Kerberos V4的技术缺陷l取消了双重加密lCBC-DES替换非标准的PCBC加密模式l每次会话更新一次会话密钥l增强了抵抗口令攻击的能力P A G E 80 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos 的缺陷n对时钟同步的要求较高n猜测口令攻击n认证域之间的信任问题n重放攻击n密钥存储P A G E 81 10/11网络安全 2010常熟理工计算机科学与工程学院 Kerberos 参考文献nMIT Kerberos Web Site:http:/web.mit.edu/kerberosnIETF Kerberos working grouplhttp:/datatracker.ietf.org/wg/krb-wg/charter/lC.Neuman,T.Yu,S.Hartman,K.Raeburn,The Kerberos Network Authentication System(RFC4120),July 2005.lK.Raeburn,Advanced Encryption Standard(AES)Encryption for Kerberos 5(RFC3962),Feb

展开阅读全文