第三章网络安全安全协议.pptx

2020/5/7星期四1第4章网络安全-2安全协议主要知识点:--Kerberos协议--SSL协议--IPSec协议--PGP2020/5/7星期四2网络安全协议按照其完成的功能可以分为:(1)密钥交换协议:一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密,通常用于建立在一次通信中所使用的会话密钥。(2)认证协议:认证协议中包括实体认证(身份认证)协议、消息认证协议、数据源认证和数据目的认证协议等,用来防止假冒、篡改、否认等攻击。(3)认证和密钥交换协议:这类协议将认证和密钥交换协议结合在一起,是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证,如果认证成功,进一步进行密钥交换,以建立通信中的工作密钥,也叫密钥确认协议。2020/5/7星期四3网络层的安全协议:IPSec传输层的安全协议:SSL/TLS应用层的安全协议:SHTTP(Web安全协议)PGP(电子邮件安全协议)S/MIME(电子邮件安全协议)MOSS(电子邮件安全协议)PEM(电子邮件安全协议)SSH(远程登录安全协议)Kerberos(网络认证协议)等。常见的网络安全协议2020/5/7星期四4Kerberos协议在一个开放的分布式网络环境中,用户通过工作站访问服务器上提供的服务时,一方面,工作站无法可信地向网络服务证实用户的身份,可能存在着以下三种威胁:①用户可能访问某个特定工作站,并假装成另一个用户在操作工作站。②用户可能会更改工作站的网络地址,使从这个已更改的工作站上发出的请求看似来自伪装的工作站。③用户可能窃听他人的报文交换过程,并使用重放攻击来获得对一个服务器的访问权或中断服务器的运行。2020/5/7星期四5另一方面,在开放的网络环境中,客户也必须防止来自服务端的欺骗。以自动取款机ATM为例,如果存在欺骗,那么客户将泄漏自己的帐户信息。如何使用一个集中的认证服务器,提供用户对服务器的认证以及服务器对用户的认证,这就是Kerberos要解决的问题。2020/5/7星期四6Kerberos概述Kerberos是由美国麻省理工学院(MIT)提出的基于可信赖的第三方的认证系统,它是基于Needham-Schroeder协议设计的,采用对称密码体制。Kerberos一词源自希腊神话,在希腊神话故事中,Kerberos是一种长有三个头的狗,还有一个蛇形尾巴,是地狱之门的守卫者。现代取Kerberos这个名字意指要有三个“头”来守卫网络之门,这“三头”包括:-认证(authentication)-清算(accounting)-审计(audit)2020/5/7星期四7Kerberos协议中的一些概念Principal(安全个体)被鉴别的个体,有一个名字(name)和口令(password)。KDC(Keydistributioncenter,密钥分配中心)可信的第三方,即Kerberos服务器,提供ticket和临时的会话密钥。Ticket(访问许可证)是一个记录凭证,客户可以用它来向服务器证明自己的身份,其中包括客户的标识、会话密钥、时间戳,以及其他一些信息。Ticket中的大多数信息都被加密,密钥为服务器的密钥。2020/5/7星期四8Authenticator(认证符)是另一个记录凭证,其中包含一些最近产生的信息,产生这些信息需要用到客户和服务器之间共享的会话密钥。Credentials(证书)由一个ticket加上一个秘密的会话密钥组成。2020/5/7星期四9Kerberos协议的工作过程Kerberos基本思想采用对称密钥体制对信息进行加密,能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证(ticket)。认证服务器AS(AuthenticationServer)许可证颁发服务器TGS(TicketGrantingServer)2020/5/7星期四10Kerberos协议的工作过程①②③④⑤⑥