电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本
换一换
首页 金锄头文库 > 资源分类 > PPTX文档下载
分享到微信 分享到微博 分享到QQ空间

第七章 网络安全协议2精编版

  • 资源ID:145715767       资源大小:876.56KB        全文页数:99页
  • 资源格式: PPTX        下载积分:29金贝
快捷下载 游客一键下载
账号登录下载
微信登录下载
三方登录下载: 微信开放平台登录   支付宝登录   QQ登录  
二维码
微信扫一扫登录
下载资源需要29金贝
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
支付方式: 支付宝    微信支付   
验证码:   换一换

 
账号:
密码:
验证码:   换一换
  忘记密码?
    
1、金锄头文库是“C2C”交易模式,即卖家上传的文档直接由买家下载,本站只是中间服务平台,本站所有文档下载所得的收益全部归上传人(卖家)所有,作为网络服务商,若您的权利被侵害请及时联系右侧客服;
2、如你看到网页展示的文档有jinchutou.com水印,是因预览和防盗链等技术需要对部份页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有jinchutou.com水印标识,下载后原文更清晰;
3、所有的PPT和DOC文档都被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;下载前须认真查看,确认无误后再购买;
4、文档大部份都是可以预览的,金锄头文库作为内容存储提供商,无法对各卖家所售文档的真实性、完整性、准确性以及专业性等问题提供审核和保证,请慎重购买;
5、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据;
6、如果您还有什么不清楚的或需要我们协助,可以点击右侧栏的客服。
下载须知 | 常见问题汇总

第七章 网络安全协议2精编版

信息安全原理与技术,郭亚军 宋建华 李莉,2020/9/22,1,Ch7-网络安全协议,第7章 网络安全协议,主要知识点: -简单的安全认证协议 - Kerberos协议 - SSL协议 - IPSec协议 - PGP,2020/9/22,2,Ch7-网络安全协议,网络安全协议,按照其完成的功能可以分为: (1)密钥交换协议 :一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密,通常用于建立在一次通信中所使用的会话密钥。 (2)认证协议:认证协议中包括实体认证(身份认证)协议、消息认证协议、数据源认证和数据目的认证协议等,用来防止假冒、篡改、否认等攻击。 (3)认证和密钥交换协议 :这类协议将认证和密钥交换协议结合在一起,是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证,如果认证成功,进一步进行密钥交换,以建立通信中的工作密钥,也叫密钥确认协议。,2020/9/22,3,Ch7-网络安全协议,网络层的安全协议:IPSec 传输层的安全协议:SSL/TLS 应用层的安全协议: SHTTP(Web安全协议) PGP(电子邮件安全协议) S/MIME(电子邮件安全协议) MOSS(电子邮件安全协议) PEM(电子邮件安全协议) SSH(远程登录安全协议) Kerberos(网络认证协议)等。,常见的网络安全协议,2020/9/22,4,Ch7-网络安全协议,7.1简单的安全认证协议,Needham-Schroeder 认证协议 是最为著名的早期的认证协议,许多广泛使用的认证协议都是以Needham-Schroeder协议为基础而设计的。 Otway-Rees协议 Otway-Rees协议的主要功能是完成身份的双向认证,使用对称密码。,2020/9/22,5,Ch7-网络安全协议,7.1.1 Needham-Schroeder 认证协议,Needham-Schroder协议的目的是使得通讯双方能够互相证实对方的身份并且为后续的加密通讯建立一个会话密钥(session key)。 协议涉及三个主体:A和B,以及A,B信赖的可信第三方,也叫认证服务器(authentication server)S。,2020/9/22,6,Ch7-网络安全协议,Needham和Schroeder于1978年提出的基于共享密钥体系的协议过程: 图7.1 Needham-Schroeder认证过程 其中,Kas是A与S之间的共享密钥,Kbs是B与S之间的共享密钥。Kab 是认证服务器临时生成的密钥,用于A、B双方认证之后的加密通讯,称为会话密钥。Na和Nb分别是A和B生成的随机量(nonce)。,(1) A S:A,B,Na (2)S A:Na, B,Kab,Kab, AKbsKas (3) A B:Kab,AKbs (4) B A:NbKab (5) A B:Nb-1Kab,2020/9/22,7,Ch7-网络安全协议,Needhaul-Scllroeder共享密钥协议的漏洞 假定有攻击者H记录下A与B之间执行Needham-Schroeder 共享密钥协议的一轮消息,并且进而破获了其会话密钥Kab (如经过蛮力攻击等),攻击者可以在第3步冒充A利用旧的会话密钥欺骗B。在这个攻击中,攻击者H首先向B发送一个他记录的从A发出的旧消息,此消息用于向B表明是A在与B通讯并且Kab是会话密钥。B无法知道这是不是一个A发送的正常通讯请求,也不记得他过去曾经用过Kab作为会话密钥。遵循协议,B将向A发送一个加密的新随机量作为挑战。H截获之,并用Kab 解密得到此随机量,然后向B返回一个响应消息,使得B相信他正在用会话密钥 Kab与A通讯,而实际上A根本没有参加这一轮协议的运行。除非B记住所有以前使用的与A通信的会话密钥,否则B无法判断这是一个重放攻击,攻击者由此可以随意冒充A与B进行通讯了!,2020/9/22,8,Ch7-网络安全协议,Denning协议使用时间戳修正了这个漏洞,改进的协议如下: 其中T表示时间戳。T记录了认证服务器S发送消息(2)时的时间,A、B根据时间戳验证消息的“新鲜性”,从而避免了重放攻击。,(1) A S:A,B (2) S A:B, Kab,T,Kab, A,TKbsKas (3) A B:Kab,A,TKbs (4) B A:NbKab (5) A B:Nb-1Kab,2020/9/22,9,Ch7-网络安全协议,7.1.2 Otway-Rees协议,图7.2 Otway-Rees认证过程 标号1表示A产生一消息,包括用和S共享的密钥Kas加密的一个索引号R、A的名字、B的名字和一随机数Ra。 标号2表示B用A消息中的加密部分构造一条新消息。包括用和S共享的密钥Kbs加密的一个索引号R、A的名字、B的名字和一新随机数Rb。,2020/9/22,10,Ch7-网络安全协议,标号3表示S检查两个加密部分中的索引号R是否相同,如果相同,就认为从B来的消息是有效的。S产生一个会话密钥Ks用Kb和Ka分别加密后传送给B,每条消息都包含S接收到的随机数。 标号4表示B把用A的密钥加密的消息连同索引号R一起传给A。,2020/9/22,11,Ch7-网络安全协议,7.2 Kerberos协议,在一个开放的分布式网络环境中,用户通过工作站访问服务器上提供的服务时, 一方面,工作站无法可信地向网络服务证实用户的身份,可能存在着以下三种威胁: 用户可能访问某个特定工作站,并假装成另一个用户在操作工作站。 用户可能会更改工作站的网络地址,使从这个已更改的工作站上发出的请求看似来自伪装的工作站。 用户可能窃听他人的报文交换过程,并使用重放攻击来获得对一个服务器的访问权或中断服务器的运行。,2020/9/22,12,Ch7-网络安全协议,另一方面,在开放的网络环境中,客户也必须防止来自服务端的欺骗。 以自动取款机ATM为例,如果存在欺骗,那么客户将泄漏自己的帐户信息。 如何使用一个集中的认证服务器,提供用户对服务器的认证以及服务器对用户的认证,这就是Kerberos要解决的问题。,2020/9/22,13,Ch7-网络安全协议,7.2.1 Kerberos概述,Kerberos是由美国麻省理工学院(MIT)提出的基于可信赖的第三方的认证系统,它是基于Needham-Schroeder协议设计的,采用对称密码体制。 Kerberos一词源自希腊神话,在希腊神话故事中,Kerberos是一种长有三个头的狗,还有一个蛇形尾巴,是地狱之门的守卫者。现代取Kerberos这个名字意指要有三个“头”来守卫网络之门,这“三头”包括: -认证(authentication) -清算(accounting) -审计(audit),2020/9/22,14,Ch7-网络安全协议,Kerberos协议中的一些概念,Principal(安全个体) 被鉴别的个体,有一个名字(name)和口令(password)。 KDC(Key distribution center,密钥分配中心) 可信的第三方,即Kerberos服务器,提供ticket和临时的会话密钥。 Ticket(访问许可证) 是一个记录凭证,客户可以用它来向服务器证明自己的身份,其中包括客户的标识、会话密钥、时间戳,以及其他一些信息。Ticket中的大多数信息都被加密,密钥为服务器的密钥。,2020/9/22,15,Ch7-网络安全协议,Authenticator(认证符) 是另一个记录凭证,其中包含一些最近产生的信息,产生这些信息需要用到客户和服务器之间共享的会话密钥。 Credentials(证书) 由一个ticket加上一个秘密的会话密钥组成。,2020/9/22,16,Ch7-网络安全协议,7.2.2 Kerberos协议的工作过程,Kerberos基本思想 采用对称密钥体制对信息进行加密,能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos 服务器)获取该应用服务器的访问许可证(ticket)。 认证服务器AS(Authentication Server) 许可证颁发服务器TGS(Ticket Granting Server),2020/9/22,17,Ch7-网络安全协议,7.2.2 Kerberos协议的工作过程,图7.3 Kerberos的认证过程,2020/9/22,18,Ch7-网络安全协议,用户想要获取访问某一应用服务器的许可证时,先以明文方式向认证服务器AS发出请求,要求获得访问TGS的许可证。 AS以证书(credential)作为响应,证书包括访问TGS的许可证和用户与TGS间的会话密钥。会话密钥以用户的密钥加密后传输。 用户解密得到TGS的响应,然后利用TGS的许可证向TGS申请应用服务器的许可证,该申请包括TGS的许可证和一个带有时间戳的认证符(authenticator)。认证符以用户与TGS间的会话密钥加密。,2020/9/22,19,Ch7-网络安全协议,TGS从许可证中取出会话密钥、解密认证符,验证认证符中时间戳的有效性,从而确定用户的请求是否合法。TGS确认用户的合法性后,生成所要求的应用服务器的许可证,许可证中含有新产生的用户与应用服务器之间的会话密钥。TGS将应用服务器的许可证和会话密钥传回到用户。 用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证符(认证符以用户与应用服务器之间的会话密钥加密)。 应用服务器从许可证中取出会话密钥、解密认证符,取出时间戳并检验有效性。然后向用户返回一个带时间戳的认证符,该认证符以用户与应用服务器之间的会话密钥进行加密。据此,用户可以验证应用服务器的合法性。,2020/9/22,20,Ch7-网络安全协议,Kerberos的主要优点: 通过对实体和服务的统一管理实现单一注册,也就是说用户通过在网络中的一个地方的一次登录就可以使用网络上他可以获得的所有资源。 Kerberos存在的问题: Kerberos服务器的损坏将使得整个安全系统无法工作; AS在传输用户与TGS间的会话密钥时是以用户密钥加密的,而用户密钥是由用户口令生成的,因此可能受到口令猜测的攻击; Kerberos使用了时间戳,因此存在时间同步问题; 要将Kerberos用于某一应用系统,则该系统的客户端和服务器端软件都要作一定的修改。,2020/9/22,21,Ch7-网络安全协议,7.3 SSL协议,SSL(安全套接字层,Secure Socket Layer)协议是网景(Netscape)公司提出的基于WEB应用的安全协议,是一种用于传输层安全的协议。传输层安全协议的目的是为了保护传输层的安全,并在传输层上提供实现保密、认证和完整性的方法。 SSL指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。,2020/9/22,22,Ch7-网络安全协议,7.3.1 SSL协议概述,图7.4 SSL的体系结构,2020/9/22,23,Ch7-网络安全协议,SSL中有两个重要概念: SSL连接:连接是提供恰当类型服务的传输。SSL连接是点对点的关系,每一个连接与一个会话相联系。 SSL会话:SSL会话是客户和服务器之间的关联,会话通过握手协议(在SSL协议的高层)来创建。会话定义了加密安全参数的一个集合,该集合可以被多个连接所共享。会话可以用来避免为每个连接进行昂贵的新安全参数的协商。,2020/9/22,24,Ch7-网络安全协议,7.3.2 SSL记录协议,SSL从应用层取得的数据需要重定格式(分片、可选的压缩、应用MAC、加密等)后才能传给传输层进行发送。同样,当SSL协议从传输层接收到数据后需要对其进行解密等操作后才能交给上层的应用层。这个工作是

注意事项

本文(第七章 网络安全协议2精编版)为本站会员(ahu****ng1)主动上传,金锄头文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即阅读金锄头文库的“版权提示”【网址:https://www.jinchutou.com/h-59.html】,按提示上传提交保证函及证明材料,经审查核实后我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.