认证系统与数字证书.ppt

1、Kerberos身份验证系统和数字证书，简介，简介分布式环境中的问题(1)一个用户访问了一个工作站，试图模拟其他用户使用该工作站请求服务。(2)用户窃听传入和传出的信息，然后重放它以破坏和干扰它。(3)用户改变工作站的网络地址，从改变了地址的工作站冒充另一个工作站，并请求服务。Kerberos身份验证系统的基本符号C:客户身份：身份验证服务器v:服务器IDc:客户名称IDv:服务器名称pc3360客户密码ADc:客户网站kv:由as和v共享的密钥，简介，最简单的身份验证模式S1 C-AS:(IDc，pc，Idv) s2as-c:票证=ekvidc，ADC，idvs3c-v: IDC，票证和证书

2、票证使用密钥kv加密，以防止伪造和篡改。证书中包含IDc，声明证书的合法所有者是C。AdC附在证书上，以防止攻击者截取证书并在其他工作站上重新发送，从而达到非法访问服务器的目的。也就是说，在证书有效之前，证书发送的地址必须与证书中的地址一致。上述协议解决了一些问题，但也暴露了一些弱点。例如，以明文传输密码是不安全的。特别是当传输频繁时，很容易被窃听者截获进行欺诈。此外，证书只能使用一次，每次申请服务时，您都应该每次申请一个证书，并多次重复上述过程。因此，我们引入了TGS服务器，它是票据授予服务器的缩写，意思是颁发证书的服务器。一个Kerberos环境包含一个Kerberos服务器、几个客户端和

3、一些应用服务器。Kerberos服务器在其数据库中存储客户的ID和密码，即所有客户都在Kerberos服务器中注册。应用服务器也在Kerberos服务器上注册，也就是说，应用服务器的服务名和启动帐户(标识和密码)没有明确地存储在Kerberos服务器上，而是一个加密的密码(如密码的哈希值)，它被称为客户端或应用服务器的密钥。Kerberos服务器由认证服务器和TGS(票据授予服务器)组成，即认证服务器和票据发行服务器。Kerberos身份验证系统、Kerberos协议、C、V、TGS、AS、数据库、S1、S2、S3、S4、S5、S6、Kerberos身份验证系统、Kerberos协议版本4 S

4、1 C-AS 3360 (IDC、IDTGS、TS1)S2 AS-C :(IDTGS、TS2、LT2、Tickettgs) Tickettgs=Ektgs(kc、TGS、IDC、ADc、IDtgs、TS2、LT2)S3 C-TGS 33366 ca(证书颁发机构)CA的概念是颁发数字证书的权威，参与电子商务的所有交易者信任这个机构并接受它颁发的数字证书。 数字证书数字证书也称为公钥证书，是通过公钥算法进行数字签名后获得的证书。其核心是验证每个用户的公钥。身份验证由ca完成。509协议规定了数字证书的结构。数字证书管理、数字证书格式、数字证书管理、 数字证书的格式(1)版本区分不同年份的数字证书

5、版本(2)序列号具有由证书颁发机构给每个证书的特殊代码(3)算法标识符用于对证书和相关参数进行数字签名(4)颁发机构的名称和颁发证书的证书颁发机构的名称(5)有效期包括证书的开始和结束时间(6)证书的用户名(7) 用户使用的公钥包括算法的标识符和相关参数(8)证书发行者的标识符(9)用户标识符(10)被扩展以准备将来的附加字段(11)证书的其他部分的散列函数值用CA的私钥签名，并且数字证书用于通信。 如果甲想以保密的方式与乙进行通信，他应该首先从公共目录数据库中取出乙的证书并获得乙的公钥。但是这个证书(公钥)是用户B的证书吗？所以他必须核实一下。如果A和B的证书是由同一个证书颁发机构颁发的，那么彼此的证书很容易验证它们的公钥。因为他们都知道CA的公钥，并使用它来验证证书。数字证书用于通信。如果甲和乙