信息安全(三)密钥分配和用户认证
-
对称加密的密钥分配
A选择密钥并采用物理方式传递给B
可信第三方选择密钥并采用物理方式传递给A和B
A或B可以采用旧密钥加密一个新密钥传递给对方
如果A和B与可信第三方C共享了密钥,则可由C传递密钥给A和B -
Kerberos
Kerberos过程: (使用对称加密)
1, 用户明文方式向AS(认证服务器)发送请求,获得TGS许可证
2,AS返回证书,证书包含TGS的许可证 和 用户与TGS间的会话密钥,会话密钥以用户密钥加密传输
3,用户通过解密得到TGS许可证 与 用户与TGS会话密钥,用户 使用TGS许可证与带时间戳的认证符(Authenticator) (认证符使用 用户与TGS会话密钥加密 ),拿这两个去访问TGS服务器申请应用服务器访问许可证
4,TGS服务器从许可证中取出会话密钥,解密认证符,验证认证符中时间的有效性,如果合法,则生成所要求的应用服务器许可证(Ticket),许可证包含新产生的用户与应用服务器之间的会话密钥,传回给用户
5,用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证符(使用用户与应用服务器之间的会话密钥加密)
6,应用服务器从许可证中取出会话密钥,解密认证符,取出时间戳并检验有效性,然后向用户返回一个带时间戳的认证符,改认证符使用用户与应用服务器之间的会话密钥加密
上图是6个会话过程
基于口令
单点登录
防止重放攻击
票据(Ticket) 和认证符(Authenticator)
基于对称密码体制,V4之前使用DES算法,V5使用3DES算法
公钥的分发:公钥证书
公钥证书由公钥加上公钥所有者的ID以及可信第三方对其的签名组成
基于公钥密码的对称密钥分发
最简单形式的Diffie-Hellman不能为两个通信实体提供认证
使用公钥证书,用公钥加密会话密钥
-
X.509认证服务
定义一个目录服务
目录分布于若干个服务器中,保存了用户证书
每个证书包含用户的公钥,并由CA对其签名
广泛应用于S/MIME, IP Security, SSL/TLS和SET等网络安全协议中
CA签名推荐用RSA -
PKI (公钥基础设施)
公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能
X.509定义了公钥证书的格式, PKI实现中使用了X.509的认证格式
自主访问控制
强制访问控制 : 向下读,向上写
基于角色的访问控制