網(wǎng)絡(luò)安全協(xié)議復(fù)習(xí)題.pdf

1 網(wǎng)絡(luò)安全協(xié)議按照其目的可以分成下面四類 密鑰交換協(xié)議 認(rèn)證協(xié)議 認(rèn)證和密鑰 交換協(xié)議 電子商務(wù)協(xié)議 2 信息安全有四條基本目標(biāo) 它們分別是 機(jī)密性 完整性 認(rèn)證性 不可抵賴性 3 什么是網(wǎng)絡(luò)安全協(xié)議 建立在密碼體制之上 運(yùn)行于計(jì)算機(jī)網(wǎng)絡(luò)中 網(wǎng)絡(luò)安全協(xié)議借 助于密碼算法 為安全需求的各方提供一系列步驟來(lái)達(dá)到密鑰分配 身份認(rèn)證或安全 電子商務(wù)等目的 4 網(wǎng)絡(luò)安全協(xié)議其所運(yùn)行的網(wǎng)絡(luò)通信環(huán)境通常是不安全的 存在惡意的攻擊行為 試比 較被動(dòng)攻擊和主動(dòng)攻擊 被動(dòng)攻擊 攻擊者只是竊聽網(wǎng)絡(luò)上的數(shù)據(jù) 對(duì)數(shù)據(jù)不做任何修改 只對(duì)數(shù)據(jù)的機(jī)密性 構(gòu)成威脅 主動(dòng)攻擊 攻擊者不僅僅竊聽網(wǎng)絡(luò)上的數(shù)據(jù) 而且試圖修改這些數(shù)據(jù) 例如刪除 篡 改 增加 重放等等 對(duì)數(shù)據(jù)的機(jī)密性 完整性 認(rèn)證性等構(gòu)成威脅 5 在網(wǎng)絡(luò)安全中 最常見的威脅模型是Dolve Yao模型 6 在網(wǎng)絡(luò)安全中 最常見的威脅模型是Dolve Yao模型 該模型假定攻擊者Eve能夠做什 么 不能夠做什么 Eve能做的 發(fā)送的任何消息都可以看作是發(fā)給Eve的 接收的任何消息都可以看 作Eve處理過(guò)的 Eve可以隨心所欲的主動(dòng)或者被動(dòng)攻擊 Eve不能做的 Eve不知道密鑰就不能恢復(fù)明文 Eve沒(méi)有辦法預(yù)測(cè)誠(chéng)實(shí)用戶將要選 擇的隨機(jī)數(shù) Eve不能根據(jù)公鑰求出其對(duì)應(yīng)的私鑰 7 現(xiàn)代密碼學(xué)誕 生的標(biāo)志是 DES的頒布和公鑰密碼學(xué)的誕生 8 密碼算法 商用 設(shè)計(jì)的原則是 標(biāo)準(zhǔn)化 公開化 強(qiáng)安全概念下的可證明安全 9 對(duì)稱密碼包括分組密碼 塊密碼 和流密碼 流密碼 10 簡(jiǎn)述Diffie Hellman密鑰協(xié)商的過(guò)程 選定 一 大素?cái)?shù)p 大整數(shù)g 1 g p 且g是p的一個(gè)primitive root A選取x 計(jì)算X gx mod p 將X發(fā)送給B B選取y 計(jì)算Y gy mod p 將Y發(fā)送給A A計(jì)算Yx mod p B計(jì)算Xy mod p 得到 K Yx mod p Xy mod p gxy mod p 11 什么是Hash函數(shù) 它有哪些基本特征 并列出你所知道的Hash函數(shù) 至少兩種 定義 一個(gè)Hash函數(shù)H也稱消息摘要 它接受一可變長(zhǎng)輸入x 返回一固定長(zhǎng)度串h 該串h被稱為m的Hash值 記作h H x 基本要求 輸 入x可以為任意長(zhǎng)度 輸出串長(zhǎng)度固定 易計(jì)算 給定任何x 很容易算出H x 單向函數(shù) 即給出h 難以計(jì)算出一特定輸入x 使h H x 免沖突 常用的Hash函數(shù)包括MD5 SHA1等 12 簡(jiǎn)述普通數(shù)字簽名的實(shí)現(xiàn)原理 并 比較數(shù)字簽名和消息認(rèn)證碼 MAC 的異同 利用Hash函數(shù)計(jì)算數(shù)據(jù)的消息摘要 利用發(fā)送方私有密鑰加密該摘要 數(shù)字簽名和消息認(rèn)證碼都可以用來(lái)消息消息 都是先利用Hash函數(shù)計(jì)算數(shù)據(jù)的消息摘 要 而數(shù)字簽名屬于非對(duì)稱密碼學(xué) 利用發(fā)送方私有密鑰加密該摘要 數(shù)字簽名屬于對(duì)稱 密碼學(xué) 利用共享密鑰加密該摘要 13 IPSec用來(lái)保障IP層數(shù)據(jù)的安全 SSL用來(lái)保障應(yīng)用層數(shù)據(jù)的安全 14 IPSec有哪兩種工作模式 各有什么特點(diǎn) IPSec有兩種工作模式 傳輸模式和隧道模式 傳輸模式是在IP頭和IP的有效載荷之間 插入ESP頭或AH頭 隧道模式是把原IP數(shù)據(jù)包作為新的IP數(shù)據(jù)包的有效負(fù)載 再在前面 加上新的IP頭 新IP頭和新IP的有效載荷之間插入ESP頭或AH頭 傳輸模式保護(hù)的IP數(shù) 據(jù)包的載荷部分 而隧道模式保護(hù)的是整個(gè)IP數(shù)據(jù)包 15 簡(jiǎn)述IPsec的組成部分 兩個(gè)通信協(xié)議 AH ESP 兩種操作模式 傳輸模式 隧道模式 一個(gè)密鑰交換管理協(xié)議 IKE 兩個(gè)數(shù)據(jù)庫(kù) 安全策略數(shù)據(jù)庫(kù)SPD 安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SAD 16 對(duì)于外出的數(shù)據(jù)包 AH協(xié)議處理的 目標(biāo)是向數(shù)據(jù)包合適的位置增加AH報(bào)頭 具體的處 理步驟如下 1 外出數(shù)據(jù)包與一個(gè)SPDB條目匹配時(shí) 查看SADB是否有合適的SA 如果有 就將AH應(yīng) 用到與這個(gè)與之相符的數(shù)據(jù)包 該數(shù)據(jù)包在SPDB條目指定的那個(gè)模式中 如果沒(méi)有 可 用IKE動(dòng)態(tài)地建 立 一個(gè) 并把序列號(hào)計(jì)數(shù)器初始化為0 2 向AH的其余字段填滿恰當(dāng)?shù)闹?SPI字段分配的值是取自SA的SPI 下一個(gè)頭字段分配 的是跟在AH之后的數(shù)據(jù)類型值 而載荷長(zhǎng)度分配的則是 32位字減二 驗(yàn)證數(shù)據(jù) 字段 初始設(shè)成0等 3 根據(jù)需要進(jìn)行適當(dāng)?shù)奶畛?4 計(jì)算ICV 從外出SA中取出驗(yàn)證密鑰 連同整個(gè)IP包 包括AH報(bào)頭 傳到特定的算法 也就是SA中的 身份驗(yàn)證程序 計(jì)算ICV 并填充到 驗(yàn)證數(shù)據(jù) 字段 5 輸出經(jīng)過(guò)AH處理的報(bào) 文 17 對(duì)于外出的數(shù)據(jù)包 ESP協(xié)議處理的 目標(biāo)是向數(shù)據(jù)包合適的位置增加ESP報(bào)頭 具體的 處理步驟如下 1 外出數(shù)據(jù)包與一個(gè)SPDB條目匹配時(shí) 查看SADB是否有合適的SA 如果有 就將ESP應(yīng) 用到與這個(gè)與之相符的數(shù)據(jù)包 該數(shù)據(jù)包在SPDB條目指定的那個(gè)模式中 如果沒(méi)有 可 用IKE動(dòng)態(tài)地建 立 一個(gè) 并把序列號(hào)計(jì)數(shù)器初始化為0 2 根據(jù)需要進(jìn)行適當(dāng)?shù)奶畛?3 包加密 對(duì)載荷數(shù)據(jù) 填充項(xiàng) 填充長(zhǎng)度 下一個(gè)頭進(jìn)行加密 4 計(jì)算ICV 從外出SA中取出驗(yàn)證密鑰 連同整個(gè)IP包 包括AH報(bào)頭 傳到特定的算法 也就是SA中的 身份驗(yàn)證程序 計(jì)算ICV 并填充到 驗(yàn)證數(shù)據(jù) 字段 5 輸出經(jīng)過(guò)ESP處理的報(bào) 文 18 對(duì)于進(jìn) 入的數(shù)據(jù)報(bào) AH協(xié)議處理的 目標(biāo)就是從數(shù)據(jù)報(bào)中將AH報(bào)頭剝離下來(lái) 還原出封 裝在IPSec內(nèi)的高層數(shù)據(jù)包 1 查詢SADB 找出保護(hù)這個(gè)包的SA 用基于IP報(bào)頭的SPI 目的IP地址和安全協(xié)議 AH 組成的三元組來(lái)對(duì)SA進(jìn) 行查詢 如果沒(méi)有找到合適的SA 這個(gè)包會(huì)被丟棄 2 進(jìn) 行序列號(hào)檢查 驗(yàn)證每個(gè)接收的包是否包含不重復(fù)的序列號(hào) 通過(guò)使 用滑動(dòng)接收窗 口可以拒絕重復(fù)序列號(hào) 如果檢查失敗 這個(gè)包就會(huì)被丟棄 3 ICV驗(yàn)證 接收者使 用認(rèn)證算法 根據(jù)包的字段計(jì)算ICV 驗(yàn)證包的認(rèn)證數(shù)據(jù)字段內(nèi)的ICV 是否相同 并將獲得的摘要同保存下來(lái)的ICV值進(jìn) 行 比較 如相符 IP包就通過(guò)了身份驗(yàn) 證 如不符 該數(shù)據(jù)報(bào)丟棄 4 結(jié)束AH處理過(guò)程 整個(gè)數(shù)據(jù)報(bào)傳遞給IP協(xié)議來(lái)處理 19 對(duì)于進(jìn) 入的數(shù)據(jù)報(bào) ESPH協(xié)議處理的 目標(biāo)就是從數(shù)據(jù)報(bào)中將ESP報(bào)頭剝離下來(lái) 還原 出封裝在IPSec內(nèi)的高層數(shù)據(jù)包 1 查詢SADB 找出保護(hù)這個(gè)包的SA 用基于IP報(bào)頭的SPI 目的IP地址和安全協(xié)議 ESP 組成的三元組來(lái)對(duì)SA進(jìn) 行查詢 如果沒(méi)有找到合適的SA 這個(gè)包會(huì)被丟棄 2 進(jìn) 行序列號(hào)檢查 驗(yàn)證每個(gè)接收的包是否包含不重復(fù)的序列號(hào) 通過(guò)使 用滑動(dòng)接收窗 口可以拒絕重復(fù)序列號(hào) 如果檢查失敗 這個(gè)包就會(huì)被丟棄 3 ICV驗(yàn)證 接收者使 用認(rèn)證算法 根據(jù)包的字段計(jì)算ICV 驗(yàn)證包的認(rèn)證數(shù)據(jù)字段內(nèi)的ICV 是否相同 并將獲得的摘要同保存下來(lái)的ICV值進(jìn) 行 比較 如相符 IP包就通過(guò)了身份驗(yàn) 證 如不符 該數(shù)據(jù)報(bào)丟棄 4 包解密 接收者對(duì)ESP載荷數(shù)據(jù) 填充項(xiàng) 填充長(zhǎng)度和下 一個(gè)頭進(jìn) 行解密 5 結(jié)束ESP處理過(guò)程 整個(gè)數(shù)據(jù)報(bào)傳遞給IP協(xié)議來(lái)處理 20 簡(jiǎn)述IKE兩個(gè)階段的協(xié)商過(guò)程 階段1 ISAKMP通信雙方建立一個(gè)ISAKMP SA 即用于保護(hù)雙方后面通信的協(xié)商 階段2 用上述ISAKMP SA建立用于AH或ESP 安全協(xié)議的IPSec SA 一個(gè)階段1的SA可用于建立多個(gè)階段2的SA 21 簡(jiǎn)述Internet安全關(guān)聯(lián)密鑰管理協(xié)議 ISAKMP 的功能 定義協(xié)商 建立 修改和刪除SA的過(guò)程和包格式 被設(shè)計(jì)為與密鑰交換協(xié)議無(wú)關(guān)的協(xié)議 即不受任何具體的密鑰交換協(xié)議 密碼算法 密鑰 生成技術(shù)或認(rèn)證機(jī)制的限制 22 IKE主模式用于建立階段1的ISAKMP SA 包括三個(gè)步驟 模式協(xié)商 DH密鑰交換和 nonce臨時(shí)值交換 以及 身份驗(yàn)證 主模式信息交換的步驟如下 1 發(fā)起者發(fā)送一個(gè)封裝有建議載荷的SA載荷 2 響應(yīng)者發(fā)送一個(gè)SA載荷 表明接受協(xié)商的SA的建議 3 4 發(fā)起者和接受者進(jìn)行D H協(xié)商 生成共享密鑰 5 6 雙方交換身份數(shù)據(jù) 這兩個(gè)消息中傳遞的信息是加密的 用于加密的密鑰由消息 3 4中交換的密鑰信息生成 所以身份信息受到保護(hù) 簡(jiǎn)述SSL協(xié)議的組成部分 記錄協(xié)議 握 手協(xié)議 改變規(guī)格協(xié)議 告警協(xié)議 簡(jiǎn)述在發(fā)送端SSL記錄協(xié)議的運(yùn) 行過(guò)程 應(yīng) 用程序把應(yīng) 用數(shù)據(jù)提交給本地的SSL 發(fā)送端的SSL 使用指定的壓縮算法 壓縮應(yīng)用數(shù)據(jù) 使用散列算法對(duì)壓縮后的數(shù)據(jù)計(jì)算散列值 把散列值和壓縮數(shù)據(jù)一起用加密算法加密 密文通過(guò)網(wǎng)絡(luò)傳給對(duì)方 簡(jiǎn)述在階段端SSL 記錄協(xié)議的運(yùn)行過(guò)程 接收方的SSL 用相同的加密算法對(duì)密文解密 得到明文 用相同的散列算法對(duì)明文中的應(yīng)用數(shù)據(jù)散列 計(jì)算的散列值與明 文中的散列值 比較 如果一致 則明 文有效 接收方的SSL把明文解壓后得到應(yīng)用數(shù)據(jù)上交給應(yīng)用層 不一致就丟棄數(shù)據(jù) 并向發(fā)方發(fā)出告警信息 簡(jiǎn)述SSL握手協(xié)議的運(yùn)行過(guò)程 1 客戶端向服務(wù)器端發(fā)起一個(gè)握手信息ClientHello 該信息里面包含客戶端所支持的所有 算法列表和一個(gè)用于產(chǎn)生密鑰的隨機(jī)數(shù) 第二步 服務(wù)器收到客戶端發(fā)來(lái)的ClientHello信息之后也必須回送一個(gè)ServerHello信息 ServerHello信息包含服務(wù)器根據(jù)客戶端的算法列表所選擇的一個(gè)加密算法 壓縮算法和用 于密鑰建立的隨機(jī)數(shù) 第三步 如果需要對(duì)服務(wù)器進(jìn)行驗(yàn)證 服務(wù)器還需再向客戶端發(fā)送一個(gè)服務(wù)器的證書 其 中包含服務(wù)器的公鑰 用于客戶端驗(yàn)證客戶端的身份 第四步 如果沒(méi)有額外的其他復(fù)雜握手信息需要發(fā)送 那么服務(wù)器向客戶端發(fā)送一個(gè)初始 握手完成信息ServerHelloDone 第五步 客戶端和服務(wù)器完成以上初始握手信息后 就開始進(jìn)入到密鑰建立階段 首先 客戶端根據(jù)他所收到的服務(wù)器證書信息來(lái)驗(yàn)證服務(wù)器的真實(shí)身份 如果驗(yàn)證通過(guò) 那么客 戶端提取證書中的服務(wù)器公開密鑰 加密一個(gè)隨機(jī)產(chǎn)生的密鑰 服務(wù)器收到該消息后可以 用自己的私鑰解密得到該密鑰 以后的通信都由該密鑰保護(hù) 第六步 客戶端向服務(wù)器發(fā)送ChangeCipherSpec 指出用剛剛協(xié)商的密鑰保護(hù)后繼會(huì)話內(nèi) 容 第七步是為了防止握手過(guò)程的消息被篡改 它包含了對(duì)整個(gè)連接過(guò)程的校驗(yàn) 這樣服務(wù)器 就能判斷要使用的加密算法是安全協(xié)商的 所以 這步的消息是前面所有消息的MAC值 一旦服務(wù)器收到客戶端傳來(lái)的Finished消息 自己也就立刻發(fā)送ChangeCipherSpec和 Finished消息 表明握手完成 可以準(zhǔn)備數(shù)據(jù)傳輸 SSL握手協(xié)議完成后 所導(dǎo)出的密鑰有那些 簡(jiǎn)述它們之間的導(dǎo)出關(guān)系 預(yù)主密鑰 主密鑰 客戶機(jī) 或服務(wù)器 寫MAC密鑰 客戶機(jī) 或服務(wù)器 寫密鑰 客戶 機(jī) 或服務(wù)器 初始化向量 預(yù)主密鑰導(dǎo)出主密鑰 再由主密鑰導(dǎo)出其他密鑰 Windows 2003的Kerberos策略可在域一級(jí)設(shè)置 簡(jiǎn)述PKI的基本功能和組成部分 密鑰的分發(fā)不再需要秘密信道而引入了公鑰 通過(guò)證書 將公鑰和身份關(guān)聯(lián)起來(lái) 而通過(guò) PKI來(lái)管理公鑰和證書 公鑰證書 由CA簽名的電 子證書 它綁定公鑰和 身份 證書撤銷列表 CRL 作廢證書列表 由CA簽名 注冊(cè)機(jī)構(gòu) RA 登記和驗(yàn)證主體的身份信息 認(rèn)證機(jī)構(gòu) CA 一個(gè)可信實(shí)體 簽署證書和CRL 證書頒布策略 證書頒布的相關(guān)策略 證書 目錄 存儲(chǔ)和管理證書的 目錄服務(wù) 署名用戶 Subscriber 證書的持有者 依賴方 Relying party 證書的驗(yàn)證者 簡(jiǎn)述PKI的運(yùn)行過(guò)程 1 署名用戶向CA提出數(shù)字證書申請(qǐng) 2 RA驗(yàn)明署名 用戶 身份 CA簽發(fā)證書 3 CA將證書公布到證書庫(kù)中 4 署名用戶對(duì)電子信件數(shù)字簽名 并發(fā)送給依賴方 5 依賴方接收信件 用署名用戶的公鑰驗(yàn)證數(shù)字簽名 并到證書庫(kù)查明署名用戶證書的 狀態(tài)和有效性 6 證書庫(kù)返回證書檢查結(jié)果 Radius服務(wù)器實(shí)現(xiàn)了AAA功能 AAA指的是認(rèn)證 授權(quán) 以及計(jì)費(fèi) Radius協(xié)議中消息有六種類型 分別是access request access accept access reject access challenge accounting request accounting response 實(shí)現(xiàn)Radius協(xié)議包括三個(gè)部分 分別是 用戶 NAS服務(wù)器 Radius客戶端 Radius服務(wù)器 Radius協(xié)議認(rèn)證的過(guò)程 用戶通過(guò)啟動(dòng)PPP認(rèn)證到NAS NAS的用戶名和密碼提示 PAP 或 CHAP 用戶答復(fù) NAS發(fā)送 用戶名和加密的密碼到RADIUS服務(wù)器 RADIUS服務(wù)器響應(yīng) 接受 拒絕 還是挑戰(zhàn) 簡(jiǎn)述Radius協(xié)議主要功能 RADIUS 是一個(gè)客戶端 服務(wù)器協(xié)議 集中式的支持在異構(gòu)環(huán)境中的AAA功能 RADIUS 允許 網(wǎng)絡(luò)訪問(wèn)設(shè)備 用作 RADIUS 客戶端 將身份驗(yàn)證和記帳請(qǐng)求提交給 RADIUS 服務(wù)器 實(shí)現(xiàn)Kerberos協(xié)議包括了4個(gè)部分 分別是用戶 AS服務(wù)器 TGS服務(wù)器 應(yīng)用服務(wù)器 Kerberos協(xié)議的功能 在一個(gè)開放的分布式環(huán)境中 工作站的用戶希望訪問(wèn)分布在網(wǎng)絡(luò)各處的服務(wù)器上的服務(wù) 服務(wù)器能夠認(rèn)證用戶身份 并授權(quán) Kerberos協(xié)議的功能和過(guò)程 1 A AS 客戶A請(qǐng)求Kerberos認(rèn)證服務(wù)器AS發(fā)給接 入Kerberos TGS的票據(jù) 2 AS A 認(rèn)證服務(wù)器AS在其數(shù)據(jù)庫(kù)中查找與客戶A相對(duì)應(yīng)的信息 比如實(shí)體A的詳細(xì)地址 A與AS的 共享密鑰Kas 然后AS產(chǎn) 生 一個(gè)會(huì)話密鑰KS 用客戶A的密鑰Kas所導(dǎo)出的密鑰 對(duì)此會(huì)話密 鑰KS進(jìn) 行加密 再 生成 一個(gè)票據(jù)分配許可證TGT Ticket Granting Ticket 并用AS與 TGS的共享密鑰Kst對(duì)TGT進(jìn) 行加密 許可證包含KS 時(shí)間戳等信息 認(rèn)證服務(wù)器AS把加密 信息發(fā)送給客戶A 3 A TGS 客戶A利用自己的密鑰Kas導(dǎo)出密鑰 用它解密就可以得到會(huì)話密鑰KS 然后 客戶A向 TGS發(fā)出請(qǐng)求 申請(qǐng)接 入某 一應(yīng) 用服務(wù)器B的票據(jù) 此請(qǐng)求包括應(yīng)用服務(wù)器名稱B TGT以 及用KS加密的時(shí)間戳等信息 4 TGS A 票據(jù)服務(wù)器TGS用他與認(rèn)證服務(wù)器AS共享的密鑰Kst對(duì)TGT進(jìn) 行解密得到KS 然后TGS產(chǎn) 生 新的會(huì)話密鑰Kab供客戶實(shí)體A與目標(biāo)眼務(wù)器B使用 TGS向客戶A發(fā)送兩條消息 第 一條消 息 用會(huì)話密鑰KS加密 加密的內(nèi)容是新的會(huì)話密鑰Kab和應(yīng)用服務(wù)器B的名稱 第二條消息 是A訪問(wèn)服務(wù)器B的票據(jù) 該票據(jù)用TGS與應(yīng)用服務(wù)器B的共享密鑰Kbt加密 票據(jù)內(nèi)容包含 通信主體A的名稱和會(huì)話密鑰Kab 最后將這兩個(gè)加密信息都發(fā)送給客戶A 5 A B 客戶A將接收到的第一個(gè)報(bào)文用KS解密后 獲得與應(yīng)用服務(wù)器B的會(huì)話密鑰Kab 這時(shí) 客 戶A制作一個(gè)新的認(rèn)證單 包括時(shí)間戳 地址等信息 并用獲得的會(huì)話密鑰Kab對(duì)該認(rèn)證單 進(jìn) 行加密 當(dāng)A需要訪問(wèn)應(yīng)用服務(wù)器B時(shí) 將加密的認(rèn)證單和從TGS收到的票據(jù)Ticket一并 發(fā)給應(yīng)用服務(wù)器B 6 A B 應(yīng) 用服務(wù)器B對(duì)票據(jù)和認(rèn)證單進(jìn) 行解密檢查 如果 一切檢查均 無(wú)錯(cuò)誤 服務(wù)器B做出響應(yīng) 將時(shí)間戳加1 然后用會(huì)話密鑰Kab加密后發(fā)送給A 以便讓A確認(rèn)服務(wù)器B已經(jīng)收到會(huì)話密 鑰Kab 16 Windows 2003的Kerberos策略有六條 分別是 強(qiáng)制用戶登錄限制 服務(wù)票證最長(zhǎng) 壽命 用戶票證最長(zhǎng)壽命 用戶票證續(xù)訂最長(zhǎng)壽命 以及 計(jì)算機(jī)時(shí)鐘同步的最 大容 差 17 在Radius協(xié)議中 用戶訪問(wèn) 網(wǎng)絡(luò)訪問(wèn)服務(wù)器有四種 方式 分別 撥號(hào) VPN 無(wú) 線 以及 局域網(wǎng) 在IPSec安全策略配置中 有三種認(rèn)證方式 分別是預(yù)共享密鑰 證書 和kerberos協(xié)議 在Windows 2003中 Keberos協(xié)議有KDC服務(wù)來(lái)實(shí)現(xiàn) KDC實(shí)現(xiàn)了Kerberos協(xié)議定義的兩個(gè) 服務(wù) AS服務(wù)和TGS服務(wù) 用戶登錄到windows 2003的過(guò)程 1 用戶按Ctrl Alt Delete開始登錄 2 用戶提供用戶名 密碼和域名 winlogon服務(wù)將這些信息發(fā)送到LSA進(jìn) 行驗(yàn)證 3 LSA使用一個(gè)散列函數(shù)將用戶的密碼轉(zhuǎn)換成一個(gè)加密的密鑰 4 LSA執(zhí) 行 一個(gè)DNS搜索 以獲得域的KDC的IP地址 LSA聯(lián)系KDC的AS服務(wù)以獲得TGT票 證 5 LSA向KDC的TGS服務(wù)請(qǐng)求服務(wù)票證 服務(wù)票證傳遞給用戶 6 用戶使用服務(wù)票證請(qǐng)求使用計(jì)算機(jī)上的本地系統(tǒng)服務(wù) Radius協(xié)議在WindowServer 2003通過(guò)IAS服務(wù)來(lái)實(shí)現(xiàn) 列出Windows 2003的Kerberos策略 共6條 強(qiáng)制用戶登錄限制 服務(wù)票證最長(zhǎng)壽命 用戶票證最長(zhǎng)壽命 用戶票證續(xù)訂最長(zhǎng)壽命 計(jì)算機(jī)時(shí)鐘同步的最 大容差 Windows 2003的活動(dòng)目錄的功能 包括目錄和目錄服務(wù) 目錄是存儲(chǔ)各種對(duì)象的容器 基本對(duì)象是用戶 計(jì)算機(jī) 文件以及打印機(jī)等 目錄服務(wù)是使目錄中所有對(duì)象發(fā)