黄河-网络信息安全课件-第2章 基本网络安全技术.ppt

Page1 第二章基本网络安全技术 2 1密码学基础2 2数据完整性服务2 3数据鉴别技术2 4数字签名技术与PKI Page2 密码学定义 密码学是研究信息系统安全保密的科学 它包括两个分支即密码编码学和密码分析学 密码学是对这两门分支学进行综合分析 系统研究的科学 是保护信息安全最主要的手段之一 Page3 加密流程 加密 解密 明文 密文 原始明文 Page4 密码算法和密钥 密码算法 algorithm 也叫密码 cipher 是用于加密和解密的数学函数 通常情况下有两个相关的函数 一个用来加密 一个用来解密 如果数据的保密性是基于保持算法的秘密 这种算法称为受限制的 restricted 算法 受限制的算法不可能进行质量控制或标准化 每个用户和组织必须由他们自己唯一的算法 Page5 密码算法和密钥 续 现代密码学用密钥 key 解决了这个问题 加密 解密 明文 密文 原始明文 加密密钥 解密密钥 加密后数据的安全性是基于密钥的安全性 而不是基于算法的安全性 算法可以公开 也可以被分析 只要密钥不泄露 加密数据就无法被破解 密码系统 cryptosystem 由算法以及所有可能的明文 密文和密钥组成 Page6 密钥算法分类 基于密钥的算法通常有两类 对称算法 单密钥算法 秘密密钥算法 非对称算法 双密钥算法 公开密钥算法 Page7 对称密钥算法 对称算法 symmetricalgorithm 加密密钥能够从解密密钥推算出来 反过来也成立 在大多数对称算法中 加 解密密钥是相同的 它要求发送者和接收者在安全通信之前 商定一个密钥 对称算法的安全性依赖于密钥 密钥必须保密 Page8 公开密钥算法 系统中 加密和解密使用不同的密钥 加密密钥可公开 称为公钥 publickey 解密密钥需保密 称为私钥 privatekey 即使用公钥加密 私钥解密 即任何人均可知晓公钥并能公钥加密信息 但只有用相应的私钥 保密 才能解密由该公钥加密的信息 算法条件 由公钥不能推导出私钥 较对称密码算法的优势 克服了分发私钥带来的不安全性 缺点 加 解密速度慢 Page9 密码协议 密码协议 cryptographicprotocol 是使用密码学的协议 参与该协议的伙伴可能是朋友和完全信任的人 或者也可能是敌人和互相完全不信任的人 密码协议包括特定密码算法 Page10 密码协议 续 所谓协议 就是两个或者两个以上的参与者为完成某项特定的任务而采取的一系列步骤 这个定义包含三层含义 1 协议自始至终是有序的过程 每一个步骤必须执行 在前一步没有执行完之前 后面的步骤不可能执行 2 协议至少需要两个参与者 3 通过协议必须能够完成某项任务 Page11 常用密码协议分类 1 密钥交换协议如用于建立在一次通信中所使用的会话密钥 可以采用对称密码体制 也可以采用非对称密码体制 例如Diffie Hellman密钥交换协议 2 认证协议包括实体认证 身份认证 协议 消息认证协议 数据源认证和数据目的认证协议等3 认证和密钥交换协议将认证和密钥交换协议结合在一起 如Needham Schroeder协议 分布认证安全服务 DASS 协议 ITU TX 509认证协议等等 Page12 使用对称密码学通信 密钥必须秘密地分配 如果密钥被损害了 攻击者就能解密所有消息 并可以假装是其中一方 假设网络中每对用户使用不同的密钥 那么密钥总数随着用户的增加而迅速增加 n个用户需要的密钥总数 n n 1 2100个用户需要4950个不同的密钥 Page13 公钥密码学的基础 单向陷门函数 单向陷门函数 trapdoorone wayfunction 除非知道某种附加的信息 否则这样的函数在一个方向上容易计算 而在另外的方向上要计算是不可行的 单向陷门函数是公钥密码通信的基础 除非知道密钥 否则只能加密 解密非常困难 Page14 使用公钥密码学通信 Alice和Bob选用一个公开密钥密码系统Bob将他的公开密钥EB传送给AliceAlice用Bob的公开密钥加密她的消息 然后传送给BobBob用他的私人密钥DB解密Alice的消息 Alice Bob EB EB Ma DB Ma Page15 公钥加密的条件 D E P P从E导出D极其困难从一段明文和密文不易破译出D Page16 密码分析 密码分析学是在不知道密钥的情况下 恢复出明文的科学 密码分析也可以发现密码体制的弱点 常见的密码分析可分为 密文攻击 ciphertext onlyattack 密码分析者拥有一些密文 试图通过分析密文破译密码 明文攻击 know plaintextattack 密码分析者不仅可以得到一些消息的密文 而且也知道这些消息的明文 Page17 密码分析 续 破译算法可以分为不同的级别 全部破译 totalbreak 找出密钥全部推导 globaldeduction 找出替代算法实例推导 instancededuction 找出明文信息推导 informationdeduction 获得一些有关密钥或明文的信息 Page18 密码分析攻击方法的复杂性 可以用不同的方式来衡量攻击方法的复杂性 数据复杂性 datacomplexity 用作攻击输入所需要的数据量处理复杂性 processingcomplexity 完成攻击所需要的时间存储需求 storagerequirement 进行攻击所需要的数据量 Page19 常见密码 加 解密 算法 DES是最通用的计算机加密算法 DES是美国和国际标准 它是对称算法 加密和解密的密钥是相同的 IDEA InternationalDataEncryptionAlgorithm 对DES的改进 增强了安全性 RSA是最流行的公开密钥算法 它能用作加密和数字签名 DSA是另外一种公开密钥算法 它不能用作加密 只能用作数字签名 Page20 DES 对称 DES是第一个得到广泛应用的密码算法 DES是一种分组加密算法 输入的明文为64位 密钥为56位 生成的密文为64位 DES基本上被认为不再安全 Page21 IDEA 对称 XuejiaLai和JamesMassey提出 IDEA是对称 分组密码算法 输入明文为64位 密钥为128位 生成的密文为64位 IDEA是一种相对较新的算法 虽有坚实的理论基础 但仍应谨慎使用 尽管该算法已被证明可对抗差分分析和线性分析 IDEA是一种专利算法 在欧洲和美国 专利由Ascom TechAG拥有 PGP中已实现了IDEA Page22 AES 高级加密标准 AES 是美国标准与技术研究院针对电子数据的加密所制定的规范 它将要成为公认的数字信息 包括财务数据 电信数据和政府数据 加密方法 AES是可以使用128 192和256位密钥的迭代式对称密钥块密码 并且可以对128位 16个字节 的数据块进行加密和解密 由块密码返回的加密数据与输入数据具有相同的位数 迭代式密码使用循环结构来针对输入数据反复执行排列和置换运算 Page23 RSA 非对称 RonRivest AdiShamir和LenAdleman于1977年研制并于1978年首次发表 一种分组密码 基础 一种特殊的可逆模幂运算 其安全性基于分解大整数的困难性 可用于加密和数字签名 已得到广泛采用 已被许多标准化组织 如ISO ITU IETF和SWIFT等 接纳 RSA 155 512bit RSA 140于1999年分别被分解 Page24 DH DSA 非对称 Diffie Hellman DH 是第一个公钥算法 其安全性基于在有限域中计算离散对数的难度 DH可用于密钥分发 交换或协商 但不能用于加 解密报文 DH算法已得到广泛应用 并为许多标准化组织 IETF等 接纳 DSA是NIST于1991年提出的数字签名标准 DSS 该标准于1994年5月19日被颁布 DSA是Schnorr和Elgemal签名算法的变型 DSA只能用于数字签名不能用于加密 Page25 密钥对的用法 用于加密的密钥对 用公钥加密 对方的 用私钥解密 自己的 Page26 第二章基本网络安全技术 2 1密码学基础2 2数据完整性服务2 3数据鉴别技术2 4数字签名技术 Page27 数据完整性服务 MAC MessageAuthenticationCode 码Hash函数MD5 Page28 消息鉴别码MAC Page29 M K MAC 函数域 任意长度的报文值域 所有可能的MAC和所有可能的密钥 Page30 散列函数hashfunction Page31 散列函数的定义 散列函数 M 变长报文H M 定长的散列值 称为消息摘要 MessageDigest 主要用于为文件 报文或其它分组数据产生指纹 Page32 散列函数 H M H M 是消息M的所有位的函数并提供错误检测能力 消息中的任何一位或多位的变化都将导致该散列值的变化H M 又称为 哈希函数 数字指纹 Digitalfingerprint 压缩 Compression 函数 数据鉴别码 Dataauthenticationcode 等 Page33 散列函数基本用法 Page34 散列函数的要求 H能用于任意大小的分组H能产生定长的输出对任何给定的x H x 要相对易于计算 使得硬件和软件实现成为实际可能对任何给定的码h 寻找x使得H x h在计算上是不可行的 即单向性 无法从消息的散列值中恢复出原消息 对任何给定的分组x 寻找不等于x的y 使得H x H y 在计算上是不可行的 即弱抗冲突性 无法找到两个相等的消息 其散列值相等 寻找对任何的 x y 对使得H x H y 在计算上是不可行的 即强抗冲突性 Page35 HashvsMAC MAC需要对全部数据进行加密MAC速度慢Hash是一种直接产生鉴别码的方法 Page36 MD5 Page37 MD5描述 Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年 RonRivest完成MD5 RFC1321 在最近数年之前 MD5是最主要的hash算法现行美国标准SHA 1以MD5的前身MD4为基础较早被标准化组织IETF接纳 并已获得广泛应用 Page38 MD5描述 输入 任意长度的报文输入分组长度 512bit输出 128bit报文 Page39 MD5的安全性 Berson表明 对单循环MD5 使用密码分析可能在合理的时间内找出能够产生相同摘要的两个报文 Boer和Bosselaers显示 MD5对单个512bit分组的执行可能得到相同的输出 伪冲突 MD5被认为是易受攻击的 逐渐被SHA 1和RIPEMD 160替代 Page40 其它常用Hash算法 SHA 1RIPEMD 160HMAC Page41 SHA和SHA 1 NIST为配合DSS 数字签名标准 的使用 设计了安全杂凑标准 SHS 其算法为SHA 修改的版本被称为SHA 1 SHA SHA 1采用了与MD4相似的设计准则 其结构也类似于MD4 但其输出为160bit 目前还没有针对SHA有效的攻击 Page42 RIPE MD 欧共体的RIPE RACE1992 计划下开发的杂凑算法 为MD4的变型 是针对已知的密码攻击而设计的 杂凑值为128bit RIPE MD的改进型为RIPEMD 160 Page43 HMAC HashMAC 利用hash函数计算MAC 是Hash和MAC的结合 更加安全 两个要素 密钥Hash算法 Page44 Keyed MAC OneTypeofHMAC Messagebrokendownintonblocksof512 bitsSharedsecretkeyisxor edwithspecifiedarraytoproduceK1Sharedsecretkeyisxor eda2ndtimewithanotherspecifiedarraytoproduceK2Hash1 1stblockofmessage K1 MD5Hash2 hash1 K2 MD5Hash3 2ndblockofmessage hash2 MD5Hash n 1 nthblockofmessage hashn MD5 Page45 Page46 SHA与MD4和MD5的比较 Page47 Hash小结 Hash函数把变长信息映射到定长信息Hash函数不具备可逆性Hash函数速度较快对Hash函数的密码分析比对称密钥密码更困难Hash函数可用于消息摘要Hash函数可用于数字签名 Page48 第二章基本网络安全技术 2 1密码学基础2 2数据完整性服务2 3数据鉴别技术2 4数字签名技术与PKI Page49 2 3数据鉴别技术 数据鉴别技术概述单向鉴别机制双向鉴别机制基于第三方的鉴别PPP中的认证AAA Page50 鉴别定义authentication 1 Theactofestablishingtheidentityofuserswhentheystarttousethesystem在用户开始使用系统时对其身份进行的确认 2 Aprocessusedtoverifytheintegrityoftransmitteddata especiallyamessage用来验证发送的数据 特别是一个信息的完整性的过程 Page51 鉴别分类 对通信对象的鉴别 称为身份鉴别 认证 对通信内容的鉴别 称为报文 消息 鉴别 起完整性保护的作用 Page52 鉴别的目的 目标 信源识别 验证信息的发送者是真正的 而不是冒充的验证信息的完整性 在传送或存储过程中未被篡改 重放或延迟等 Page53 鉴别通用模型 Page54 报文 消息 鉴别 报文鉴别是指在两个通信者之间建立通信联系后 每个通信者对收到的信息进行验证 以保证所收到的信息的真实性过程 这种验证过程必须确定 1 报文是由确认的发送方产生的 2 报文内容没有被修改过 3 报文是按与发送时的相同顺序收到的 Page55 报文鉴别 报文内容鉴别报文源鉴别报文时间性鉴别 Page56 内容鉴别的目标是保证数据的完整性 通过 校验和 的方法来实现的 鉴别的一般过程为 1 发送方计算hash mac hmac 并将其作为报头或报尾与报文一起传送 2 接收方使用同样的校验算法和鉴别密钥对报文内容进行计算 并将产生的校验和与收到的校验和进行比较 若相同则认为报文的内容是正确的 否则认为鉴别失败 报文内容鉴别 Page57 报文源的鉴别用于判定发送者的身份 1 使用通信字所谓通信字是可以多次使用或一次使用的字符串 通常可理解为口令 通信双方各自使用预先约定的通行字标识自己的报文 2 使用密钥 基于对称加密或非对称加密 3 使用第三方的鉴别 报文源鉴别 Page58 验证报文顺序的正确性可有以下几种方法 1 利用时间戳 2 对报文进行编号 3 使用预先给定的一次性通行字表 每个报文使用一个预定且有序的通行字标识符 报文时间性鉴别 Page59 身份鉴别 身份鉴别需要验证访问者声称的身份 身份鉴别可以和报文源鉴别一同实施 如数字签名 也可分开实施 单一身份鉴别 见后续内容 身份验证方法可分为四类 1 口令验证 2 拥有物验证 如通行证或智能卡 3 生物特征验证 如指纹或声音 4 签名验证 Page60 2 3数据鉴别技术 数据鉴别技术概述单向鉴别机制双向鉴别机制基于第三方的鉴别PPP中的认证AAA Page61 单向鉴别机制 对称秘钥鉴别非对称密钥鉴别口令鉴别 Page62 B A 请求鉴别 R 加密R 基于对称密钥的单向鉴别 B鉴别A Kab Kab Page63 B A 请求鉴别 加密R 加密R 改进的对称密钥单向鉴别 Page64 基于公钥的单向鉴别机制 攻击者若不能进入A方系统 则他无法从其他渠道获得A的秘密密钥 从而不能冒充A方 Page65 对口令的攻击分为联机方式和脱机方式两种 口令联机攻击的表现形式为反复尝试 对口令脱机攻击的表现形式为字典攻击 口令鉴别 防止口令攻击 Page66 联机攻击 验证码 不少网站为了防止用户利用程序自动注册 登录 灌水 都采用了验证码技术 验证码的实现方式 验证码在网页中验证码在cookie中更高级的验证码 Page67 验证码 Page68 高级验证码的实现 1 1 服务器生成一个随机字符串 使用某种算法f 不可逆 破解难度高的 将该字符串转化成为验证码数字 再转化成图片 图片在cookie中被发送到客户端4 客户以图片输入验证码 进行登录 5 服务器检查f 字符串 验证码 Page69 高级验证码的实现 2 服务器根据用户相关信息 IP SID等 生成一个随机数 使用某算法f将字符串转化成为验证码数字 字符串被保存到本地数据库 通常是SESSIONS 有关用户IP等信息 并由一个序列号seq所指向 这个seq也可以是sessionid seq被作为cookies发送给客户端 客户以图片输入验证码 6 服务器读取数据库中所期望中的验证码 有些服务器可能还会对seq与sessionid之间的关系进行验证 7 一旦用户进行了验证操作或重新获取验证码 就直接将原来数据库中的hash替换 Page70 脱机攻击 字典攻击 截获口令密文 然后在一个同类系统上按字典次序输入口令猜测进行反复尝试 以期发现匹配 从而找到正确的口令明文 Page71 口令的生成和管理 两种生成口令的方式 1 系统自动生成的口令 随机性好 不易被猜出 但用户不容易记忆 2 固定用户口令 随机数 salt Page72 固定口令 salt 口令用户保存 设定一个单向函数 将口令变换成一个密文 为每个口令设一个随机数 称为salt 系统保存这个值和salt值并最后产生单向值 验证时 用户输入口令 系统将其与盐值生成单向函数值 传到服务器上 在服务器上验证 这种方法虽不能防范对用户口令的猜测 但可有效防御字典攻击 Page73 OneTimePasswordAuthentication一次性口令鉴别技术 目前Internet普遍使用Bellcore的S KEY一次性口令系统对付字典攻击 IETF的标准 RFC2289 2243 2444 使用OTP 防止字典攻击 Page74 S KEY 系统使用一个秘密的通行词 产生一系列一次性口令 系统操作分两个实体 客户端 被鉴别者 有一个专门计算口令的口令生成器 鉴别方有一个口令验证服务器 其交互过程如下 Page75 InitialS KeyExchange Client NetworkAccessServer S KeyServer PSTN Initializedwithpassword letmein Initializedwithpassword letmein S Keyinitializationpacket Reply seed 6FCA sequencenum 98 Page76 S KeyPasswordComputation Client NetworkAccessServer S KeyServer PSTN letmein 6FCA 1 98times HashFunction HashFunction 2 6 wordoutput HARDBITELOADHURTSAVEDEAD 3 Page77 VerifyingTheS KeyPassword Client NetworkAccessServer S KeyServer PSTN HARDBITELOADHURTSAVEDEAD Seq Password99BOATHIDELOVEHOMEHELPWHAT HARDBITELOADHURTSAVEDEAD HashFunction BOATHIDELOVEHOMEHELPWHAT Page78 1 发生器向服务器发送以下信息 授权身份 鉴别身份 授权身份将被系统管理员用作不同身份登录 鉴别身份即是通行词所有者的身份 2 服务器响应方式 其格式为 算法标识符 序列号 种子 算法标识符指定发生器计算口令所用的算法 序列号为一整数N 种子 seed 是1 16个纯字母与数字组成的字符串 Page79 3 发生器生成一次性口令 该过程分为以下三步 a 初始化 发生器将通行词与种子相连形成算法输入S 通行词通常是用户提供的文本信息 其长度一般为10 63个字符 以抵御遍布搜索和字典攻击 种子的作用相当于前面讨论过的 盐 种子的加入使用户可以在多台机器上用同一个通行词 通过改变种子 而安全地重复使用通行词 Page80 b 计算 发生器采用指定的单向函数算法将S经若干遍计算生成一系列口令 第一次使用的口令是S经n遍单向函数计算得一个结果 即hashn S 下一次使用的口令 则是S经n 1阶单向函数值的计算 即 hashn 1 S Page81 以此类推 由于单向函数具有不可逆性 这样攻击者即使能监视口令的输出 也不能伪造下一次使用的口令 目前OTP系统支持单向函数有MD4和MD5 C 输出单向函数计算输出长度为64bit 这一长度可保证安全性 发生器将输出的结果表示为16进制数列或6词序例两种形式返回给服务器 Page82 4 服务器确认发生器响应的口令 服务器维护一数据库 保存每一用户上一次鉴别成功的口令和对应的序列号 对于客户端响应的口令 服务器先将其解码为64比特的密钥 然后执行一次单向函数计算 若结果与保存的口令匹配 则鉴别成功 保存新口令 OTP系统用户的通行词不在网上传输 因此具有较强的安全性 Page83 数据鉴别技术 数据鉴别技术概述单向鉴别机制双向鉴别机制基于第三方的鉴别PPP中的认证AAA Page84 A B 基于对称密钥的双向鉴别 A鉴别B B鉴别A Page85 基于公钥的双向鉴别 A B 会话密钥 只有B能解开 A得到RA后即可鉴别B 得到RB后完成对A的鉴别 Page86 数据鉴别技术 数据鉴别技术概述单向鉴别机制双向鉴别机制基于第三方的鉴别PPP中的认证AAA Page87 基于第三方的鉴别 基于KDC的鉴别Kerbose鉴别 Page88 基于KDC的鉴别 密钥分发中心KDC KeyDistributionCenter 在使用加密机制的网络中 结点之间相互鉴别时需要使用对方的密钥 为了减少每个结点所保存的密钥的数量 需要一个可信赖的密钥分配中心 进行密钥的保存 分配 且分配是秘密进行的 该方法基于对称加密 Page89 基于KDC的鉴别原理 设两个合法的用户A B需要相互鉴别 设用户A的秘密密钥为Ka 用户B的秘密密钥为Kb 用于A和B通信的会话密钥为KS 此密钥在发起方A向KDC申请要求与B鉴别鉴别时 由KDC临时产生的 所有合法用户的秘密密钥都保存在KDC处 基于KDC的鉴别 Page90 基于KDC的鉴别 生成AB之间通信的会话密钥Ks 只有A能解密得到Ks 只有B能解密得到Ks Page91 基于KDC的鉴别 续 A KA B KS KB A KS KDC通过解密 鉴别A B通过解密鉴别KDC 由于KDC信任A 因此B也信任A 同时只有B能解密得到Ks 因此A B互相信任并使用Ks通信 Page92 基于KDC的鉴别算法有以下几种 1 Needham schroeder方法 2 扩展的Needham Schroeder方法 Page93 Kerbose鉴别 Kerberos是由MIT开发的一个基于对称密码的认证协议 目前已经发展到V5 该协议能够提供强安全的认证服务 已被WINDOWS2000等应用系统采用 Page94 Kerberos Kerberos采用对称密钥体制 采用DES 也可用其它算法代替 对信息进行加密 基本思想是 用户在对应用服务器进行访问之前 必须先从第三方 Kerberos服务器 获取该应用服务器的访问许可证 ticket Page95 Server Server Server Server TicketGrantingServer AuthenticationServer Workstation KerberosKeyDistributionService Page96 Tickets cont Ticketsaredispensedbythe TicketGrantingServer TGS whichhasknowledgeofalltheencryptionkeys Ticketsaremeaninglesstoclients theysimplyusethemtogainaccesstoservers Page97 Tickets cont TheTGSseals encrypts eachticketwiththesecretencryptionkeyoftheserver Sealedticketscanbesentsafelyoveranetwork onlytheservercanmakesenseoutofit Eachtickethasalimitedlifetime afewhours Page98 TicketContents Clientname userloginname ServernameClientHostnetworkaddressSessionKeyTicketlifetimeCreationtimestamp Page99 1 RequestfromclienttoAuthenticationServer TheclientsendsaplaintextrequesttotheASaskingforaticketitcanusetotalktotheTGS REQUEST loginnameTGSnameSincethisrequestcontainsonlywell knownnames itdoesnotneedtobesealed Page100 2 ASdealingwiththerequest TheASfindsthekeyscorrespondingtotheloginnameandtheTGSname TheAScreatesaticket loginnameTGSnameclientnetworkaddressTGSsessionkey sessionkeybetweenTGSandClient TheASsealstheticketwiththeTGS secret key secretkeybetweenTGSandAS Page101 3 AuthenticationServerResponse TheASalsocreatesarandomsession TGSsessionkey keyfortheclientandtheTGStouse TheTGSsessionkeyandthesealedticketaresealedwiththeuser loginname secretkey TGSsessionkey Ticket loginnameTGSnamenetaddressTGSsessionkey Sealedwithuserkey SealedwithTGSsecretkey sessionkeybetweenclientandTGS Page102 4 ClientdealingwiththeTGSticket Theclientdecryptsthemessageusingtheuser spasswordasthesecretkey TheclientnowhasasessionkeyandticketthatcanbeusedtocontacttheTGS Theclientcannotseeinsidetheticket sincetheclientdoesnotknowtheTGSsecretkey TheticketissentfromAStoClient Page103 Whenaclientwantstostartusingaserver service theclientmustfirstobtainaticket TheclientcomposesarequesttosendtotheTGS 5 RequestfromclienttoTGS TGSTicket Authenticator ServerName sealedwithTGSkey sealedwithsessionkey client TGS Page104 Authenticators Authenticatorsproveaclient sidentity Includes Clientusername Clientnetworkaddress Timestamp Authenticatorsaresealedwithasessionkey Page105 6 TGSdealingwiththeticket TheTGSdecryptstheticketusingit ssecretkey InsideistheTGSsessionkey TheTGSdecryptstheAuthenticatorusingthesessionkey TheTGSchecktomakesureloginnames clientaddressesandTGSservernameareallOK TGSmakessuretheAuthenticatorisrecent Page106 7 TGSResponse Onceeverythingchecksout theTGS buildsaticketfortheclientandrequestedserver Theticketissealedwiththeserverkey secretkeybetweenTGSandServer createsasessionkeyforclient server sealstheentiremessagewiththeTGSsessionkeyandsendsittotheclient sessionkeyforclient server Ticket loginnameServernamenetaddressClient Serversessionkey SealedwithTGSsessionkey Sealedwithserverkey Page107 8 ClientaccessesServer TheclientnowdecryptstheTGSresponseusingtheTGSsessionkey Theclientnowhasasessionkeyforusewiththenewserver andatickettousewiththatserver TheclientcancontactthenewserverusingthesameformatusedtoaccesstheTGS Page108 Server Server Server Server TicketGrantingServer AuthenticationServer Workstation 1 2 4 4 5 7 6 8 3 Page109 KerberosSummary Everyservicerequestneedsaticket TwokindsofTGS TGSticket ServerticketWorkstationscannotunderstandtickets theyareencryptedusingtheserverkey Everytickethasanassociatedsessionkey Ticketsarereusable Page110 KerberosSummary cont Kerberosprovidesahighlysecuremethodofauthentication inwhichpasswordsareneversentoverthewire However KerberosdoesnotsupporttheauthorizationandaccountingcomponentsofAAA Page111 数据鉴别技术 数据鉴别技术概述单向鉴别机制双向鉴别机制基于第三方的鉴别PPP中的认证AAA Page112 PPPAuthentication PAPCHAPMS CHAPMS CHAPv2EAP Linkestablishment LCP canbefollowedbyoptionalauthenticationphasebeforeproceedingtonetworklayerprotocol NCP phase Client NetworkAccessServer PSTN Page113 PPPPAPAuthentication NetworkAccessServer Twiggy BranchRouter DATABASE AuthenticationRequest ID Twiggy Password LetMeIn Authenticate ACK CompareIDandpassword 2 3 1 authenticatesonlyclient authenticationonlyperformedonceduringsession passwordsaresentintheclear Page114 PPPCHAPAuthentication Clientandserverneedtoexchangepre sharedsecretSharedsecret e g password isusedasinputtohashfunctionwhichcomputed challenge UsesrepeatedchallengeswhosefrequencyisuptotheauthenticatortolimitthetimeofexposuretoanysingleattackEitherCHAPpeercanactasauthenticator Page115 PPPCHAPAuthentication Loopy NAS Twiggy BranchRouter DATABASE ChallengeMessage ID challenge Twiggy ChallengeResponse Computeandcomparehashvalues 2 3 1 DATABASE ID challengeresponse hash Loopy Computehashvalue 4 5 SuccessMessage Page116 PPPMS CHAP MS CHAP2 RFC1994claimsthatCHAPsecretscannotbestoredinencryptedformMicrosofthasavariationofCHAPwherethesecretsarestoredencryptedbyboththepeerandtheauthenticator Page117 PPPEAPAuthentication SupportsmultipleauthenticationmechanismsAuthenticationmechanismselectedinauthenticationphasePermitsuseofa back end serverNAScanbecomepass throughanddoesn tneedtobeupdatedfornewauthenticationmechanismsupport Page118 PPPEAPAuthentication Telecommuter NAS EAPserver EAP Request Type Identity EAP Response Type IdentitywithIDinfo ForwardedtoTelecommuter EAP Response Type OTPwithOTPinfo ForwardedtoTelecommuter ForwardedtoEAPserver EAP Request Type OTPwithchallenge ForwardedtoEAPserver EAP Success Type None Page119 PPPAuthenticationSummary PPPPAP passwordsentinclear noplaybackprotection PAPshouldbeavoidedPPPCHAP encryptedpasswordbutthepasswordmustbestoredascleartextontheserver notwithMS CHAP PPPMS CHAP MSproprietaryPPPEAP mostflexible Page120 数据鉴别技术 数据鉴别技术概述单向鉴别机制双向鉴别机制基于第三方的鉴别PPP中的认证AAA Page121 AAA AAA ProvidesforauthenticationaswellasauthorizationandaccountingTACACS RADIUS Page122 TACACS Transactions TransactionsbetweenclientandserverareauthenticatedthroughuseofsharedsecretTransactionsareencrypted Hash1 sessionID secret version seq MD5Hash2 hash1 sessionID version seq MD5 repeatedanimplementationspecific oftimes Lasthashconcatenatedandtruncatedtolengthofdatatobeencrypted thisiscalledthepseudo padCiphertext bytewiseXORonpseudopadwithdatatobeencrypted 1 2 3 Page123 TACACS Header 012345678910111213141516171819202122232425262728293031 Major Minor Type SequenceNumber Flags SessionID Length Majorversion majorTACAS versionnumberMinorversion minorTACACS versionnumberwhichallowsrevisionsTotheTACACS protocolwhilemaintainingbackwardscompatibilityType 0 x01 authentication 0 x02 authorization 0 x03 accountingSeq num thefirstTACACS packetinasessionmuststartwith1Andeachsubsequentpacketincrementsthesequencenumberby1Flags specifieswhetherencryptionormultiplexingisusedSessionID randomlychosenanddoesnotchangeforthedurationOftheTACACS sessionLength totallengthoftheTACACS packetexcludingtheheader Page124 ATACACS Exchange PSTN User NAS TACACS client TACACS Server UserinitiatesPPPauthenticationtoNASNASsendsSTARTpackettoTACACS serverTACACS serverrespondswithGETUSERpacketsthatcontainthepromptsforusername password PAP orchallenge CHAP 4 NASsendsthedisplaytotheuser5 UserrespondstoNAS6 NASsendsencryptedpackettoTACACS server7 TACACS serverrespondstoNASwithauthenticationresult8 NASandTACACS serverexchangeauthorizationrequestsandreplies9 NASactsuponauthorizationexchange 1 2 3 4 5 6 7 8 9 TACACS clientandserverarepre configuredwithasharedkey CorporateNet Page125 RADIUSTransactions TransactionsbetweenclientandserverareauthenticatedusingsharedsecretOnlyuserpasswordsareencryptedbetweenclientandserver Hash1 random secret MD5Userpasswordispaddedwithnullstoget16 bytesEncryptedPassword hash1XORpaddedpassword 1 2 3 Page126 RADIUSPacketFormat 012345678910111213141516171819202122232425262728293031 Code Identifier Length RequestAuthenticator Attributes Code oneoctetandidentifiesthetypeofRADIUSpacketIdentifier oneoctetandaidsinidentifyingrequestsandrepliesLength twooctetsandindicateslengthofthepacketincludingtheCode Identifier Length AuthenticatorandAttributefields TheminimumLengthis20andthemaximumis4096octets Authenticator 16octetswhosevalueisusedtoauthenticatethereplyFromaRADIUSserverandisusedinthepasswordencryptionalgorithmAttributes specifieswhatRADIUSservicesareused Page127 RADIUSLoginandauthentication Us