网安第四章身份认证技术

扶摇苏苏

已于 2024-06-26 20:58:04 修改

阅读量893

点赞数 22

分类专栏：网安文章标签：网络安全

于 2024-06-26 20:53:33 首次发布

本文链接：https://blog.csdn.net/sediment___/article/details/139997411

版权

网安专栏收录该内容

9 篇文章 0 订阅

订阅专栏

一、身份认证技术概述

1.身份认证：是网络安全的第一道防线。是最基本的安全服务，其他的安全服务都依赖于它 在物联网应用系统中，身份认证也是整个物联网应用层信息安全体系的基础。

2.基本身份认证技术：双方认证：是一种双方相互认证的方式。可信第三方认证：认证过程必须借助于一个双方都能信任的可信第三方。（如：Kerberos认证协议）。

3.基本PKI/WPKI轻量级认证技术：PKI（公钥基础设施）：是一个用公钥技术来实施和提供安全服务的、具有普适性的安全基础设施。WPKI：Wireless PKI，是为了满足无线通信的安全需求而发展起来的公钥基础设施。

4.新型身份认证技术：零知识身份认证技术：不需要提供私密信息也能够识别用户身份。

5.非对称密钥认证：通过请求认证者和认证者之间对一个随机数作为数字签名与验证数字签名的方法来实现。要求：用于实现数字签名和验证数字签名的密钥对必须与进行认证的一方唯一对应。

二、Kerberos网络用户认证系统

1.Kerberos：可信的第三方鉴别协议，起着可信仲裁者的作用。可提供安全的网络鉴别，允许个人访问网络中不同的机器。基于对称密码学，与网络上的每个实体分别共享一个不同的秘密密钥，是否知道该密钥便是身份的证明。

2.Kerberos系统要解决的问题：

3.Kerberos系统的功能：

4.Kerberos系统的目的：安全：非法用户不能伪装成合法用户来窃听有关信息； 可靠：用户依靠Kerberos提供的服务来取得进行访问控制所需的服务； 透明：整个系统对用户来说应该是透明的。除了需要输入一个口令外，用户感觉不到认证服务的发生 可扩缩：系统应采用模块化、分布式结构，能支持大量客户和服务器。

5.Kerberos系统的角色：认证服务器AS：作为第三方对用户进行身份认证；票据许可服务器TGS：向已通过AS认证的用户发放用户获取业务服务器V所提供的服务的票据；

6.Kerberos的缩写：

7.Kerberos系统的凭证：票据 (Ticket):用于秘密地向服务器发送持有票据用户的身份识别;服务器能够用来确认使用票据的客户与发给票据的客户是同一个客户。格式：Tc, s=s, {c, a, v, Kc, s}Ks

鉴别码 (Authenticator) :另外一个凭证，与票据一起发送。 格式：Ac, s={c, t, a}Kc, s

8.Kerberos系统的认证过程： ① 用户登录工作站并请求主机服务（避免在网络上传输口令） c, tgs ② 认证服务器AS验证用户的访问权限，创建票据许可票TGT和会话密钥，使用从用户密码得到的密钥加密消息 {Kc, tgs}Kc, {Tc, tgs}Ktgs。③ 用户解密第一个消息，并获得会话密钥，然后发送票据以及包含用户名、网络地址和TGS时间的鉴别码。 Ac, tgs, {Tc, tgs}Ktgs ④ TGS解密票据和鉴别码，验证请求，然后为被请求的服务器生成票据 {Kc, s}Kc, tgs, {Tc, s}Ks。⑤ 工作站发送服务授权票据和认证码给服务器 Ac, s, {Tc, s}Ks ⑥ 服务器验证票据，认证通过后授权服务访问。如果需要相互认证，则服务器返回认证码 {t}Kc, s

9.Kerberos系统的优缺点：优点：较高的安全性 用户透明性好 扩展性好。缺点：服务器在回应用户的口令时，不验证用户的真实性 随着用户数的增加，密钥管理较复杂 AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全

10.Kerberos系统的安全性：旧的鉴别码很有可能被存储和重用：票据的有效期可能很长，典型的为八小时。鉴别码基于这样一个事实，即网络中的所有时钟基本上是同步的：如果能够欺骗主机，使它的正确时间发生错误，那么旧鉴别码就能被重放。Kerberos对猜测口令攻击很脆弱：若能收集足够多的票据，则有很大机会找到口令 恶意软件的攻击