身份認(rèn)證及kerberos

1、身份認(rèn)證和身份認(rèn)證和Kerberos認(rèn)證協(xié)議認(rèn)證協(xié)議l 身份認(rèn)證的基本概念身份認(rèn)證的基本概念l 單機(jī)狀態(tài)下的身份認(rèn)證單機(jī)狀態(tài)下的身份認(rèn)證l 網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證l在這個(gè)數(shù)字世界中，一切信息包括用戶的身份信息都在這個(gè)數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識(shí)別用戶是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。份的授權(quán)。l而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無二的物理身份。

2、人都擁有獨(dú)一無二的物理身份。l如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)？如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)？身份認(rèn)證的基本概念身份認(rèn)證的基本概念l身份認(rèn)證的定義：身份認(rèn)證的定義：l聲稱者向驗(yàn)證者出示自己的身份的證明過程聲稱者向驗(yàn)證者出示自己的身份的證明過程l證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程過程l身份認(rèn)證又叫身份鑒別、實(shí)體認(rèn)證、身份識(shí)別身份認(rèn)證又叫身份鑒別、實(shí)體認(rèn)證、身份識(shí)別l認(rèn)證目的：認(rèn)證目的： 使別的成員（使別的成員（驗(yàn)證者驗(yàn)證者）獲得對(duì)聲稱者所聲稱的事實(shí)）獲得對(duì)聲稱者所聲稱的事實(shí)的信任。身份認(rèn)證是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)

3、的信任。身份認(rèn)證是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡。卡。l身份認(rèn)證可以分為身份認(rèn)證可以分為本地本地和和遠(yuǎn)程遠(yuǎn)程兩類。兩類。l本地：實(shí)體在本地環(huán)境的初始化鑒別（就是說，本地：實(shí)體在本地環(huán)境的初始化鑒別（就是說，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。其他設(shè)備通信）。l遠(yuǎn)程：連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。遠(yuǎn)程：連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。l實(shí)體鑒別可以是實(shí)體鑒別可以是單向的單向的也可以是也可以是雙向的雙向的。l 單向認(rèn)證單向認(rèn)證是指通信雙方中只有一方向另一方進(jìn)行是指通信雙方中只有一方向另一方進(jìn)行鑒別。鑒別。l 雙向認(rèn)證雙向認(rèn)證

4、是指通信雙方相互進(jìn)行鑒別。是指通信雙方相互進(jìn)行鑒別。l實(shí)現(xiàn)身份證明的基本途徑實(shí)現(xiàn)身份證明的基本途徑 q 所知。個(gè)人所知道的或所掌握的知識(shí)，如密碼、口令等。q 所有。個(gè)人所具有的東西，如身份證、護(hù)照、信用卡、鑰匙等。q 個(gè)人特征。身份證明的基本途徑指紋、筆跡、聲紋、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA以及個(gè)人一些動(dòng)作方面的特征等。 根據(jù)安全水平。系統(tǒng)通過率、用戶可接受性、成本等因素，可以選擇適當(dāng)?shù)慕M合設(shè)計(jì)實(shí)現(xiàn)一個(gè)自動(dòng)化身份證明系統(tǒng)。 所有所有（Possesses Possesses ）所知所知（KnowlegeKnowlege）個(gè)人特征個(gè)人特征（charecteristicscharecter

5、istics）l身份認(rèn)證的實(shí)現(xiàn)身份認(rèn)證的實(shí)現(xiàn)1.1你是誰?RickMaryInternet/Intranet應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)1.2怎么確認(rèn)你就是你?l認(rèn)證認(rèn)證1.1我是Rick.1.2 口令是1234.l授權(quán)授權(quán)l(xiāng)保密性保密性l完整性完整性l防抵賴防抵賴2. 我能干什么?2.你能干這個(gè),不能干那個(gè).3.如何讓別人無法偷聽?3. 使用xxx密碼。5.我偷了機(jī)密文件,我不承認(rèn).5.我有你的罪證.4.如何保證不能被篡改?4.別怕,我有數(shù)字簽名.用戶身份認(rèn)證一般信息資源審計(jì)重要信息資源訪問控制訪問監(jiān)視器授權(quán)l(xiāng)信息系統(tǒng)的一般身份認(rèn)證信息系統(tǒng)的一般身份認(rèn)證 被攻擊方式組成被攻擊方式組成身份認(rèn)證系統(tǒng)的組成身

6、份認(rèn)證系統(tǒng)的組成l身份認(rèn)證技術(shù)分為：常規(guī)的身份認(rèn)證技術(shù)分為：常規(guī)的“口令口令”代碼認(rèn)證、動(dòng)態(tài)代碼認(rèn)證、動(dòng)態(tài)口令認(rèn)證、生物技術(shù)口令認(rèn)證、生物技術(shù)( (指紋、虹膜、面容等指紋、虹膜、面容等) )認(rèn)證、通認(rèn)證、通過第三方發(fā)放的數(shù)字證書過第三方發(fā)放的數(shù)字證書(CA)(CA)認(rèn)證等。認(rèn)證等。l常規(guī)的常規(guī)的“口令口令”代碼認(rèn)證是計(jì)算機(jī)系統(tǒng)的早期身份認(rèn)代碼認(rèn)證是計(jì)算機(jī)系統(tǒng)的早期身份認(rèn)證產(chǎn)品，證產(chǎn)品， 因其因其“口令口令”的靜態(tài)特性和重復(fù)使用性，存的靜態(tài)特性和重復(fù)使用性，存在易竊取、易猜測(cè)、易破解等安全缺陷，是一種弱身在易竊取、易猜測(cè)、易破解等安全缺陷，是一種弱身份認(rèn)證系統(tǒng)，只能用于安全等級(jí)要求較低的信息系統(tǒng)

7、。份認(rèn)證系統(tǒng)，只能用于安全等級(jí)要求較低的信息系統(tǒng)。l動(dòng)態(tài)口令認(rèn)證、生物技術(shù)認(rèn)證和數(shù)字證書認(rèn)證是強(qiáng)身動(dòng)態(tài)口令認(rèn)證、生物技術(shù)認(rèn)證和數(shù)字證書認(rèn)證是強(qiáng)身份認(rèn)證系統(tǒng)，可用于政府、金融、企業(yè)等重要信息系份認(rèn)證系統(tǒng)，可用于政府、金融、企業(yè)等重要信息系統(tǒng)的安全認(rèn)證。統(tǒng)的安全認(rèn)證。 l 身份認(rèn)證的主要方法身份認(rèn)證的主要方法單機(jī)狀態(tài)下的身份認(rèn)證單機(jī)狀態(tài)下的身份認(rèn)證 在單機(jī)狀態(tài)下，信息系統(tǒng)用戶登錄到計(jì)算機(jī)，一般使用以在單機(jī)狀態(tài)下，信息系統(tǒng)用戶登錄到計(jì)算機(jī)，一般使用以下幾種認(rèn)證方式：下幾種認(rèn)證方式：l 賬戶賬戶/口令方式口令方式l IC卡認(rèn)證方式卡認(rèn)證方式l 生物特征認(rèn)證方式生物特征認(rèn)證方式1、賬戶、賬戶/口令認(rèn)證方

8、式口令認(rèn)證方式l賬戶/口令認(rèn)證方式是基于“what you know”的認(rèn)證手段。方法的內(nèi)涵是：用戶賬號(hào)（也稱用戶標(biāo)識(shí)用戶賬號(hào)（也稱用戶標(biāo)識(shí)UserIDUserID）+ +口令（口令（PasswordPassword）= =某人的身份某人的身份l在安全性要求不高的情況下還在廣泛地應(yīng)用，目前的口令機(jī)制大體上可分成兩種：l明文式口令：由用戶自己確定一個(gè)一般由數(shù)字和字母組合而成的字符串，要盡量避免使用單詞、姓名、生日、電話號(hào)碼等易被猜出或者易被字典式攻擊的字符組合。l計(jì)算式口令：可以在一定程度上解決口令文件丟失或泄密問題。用的口令不是直接存放在信息系統(tǒng)中，而是經(jīng)過了某種數(shù)學(xué)計(jì)算后才存放到系統(tǒng)中，而從

9、存放的內(nèi)容不可能推算出原始的口令。 比如口令為一個(gè)字符串組合X，存放的結(jié)果內(nèi)容是Y，而Y=F(X),這里的F是一個(gè)單項(xiàng)散列函數(shù)（也稱Hash函數(shù)），想要從得到的Y計(jì)算出X幾乎是不可能的。而從X卻很容易計(jì)算得到Y(jié)，與事先存放在口令文件中的Y相比較，就可以確定登錄的是否為合法用戶。 l實(shí)際上，由于口令是靜態(tài)的數(shù)據(jù)，在認(rèn)證過程中需要實(shí)際上，由于口令是靜態(tài)的數(shù)據(jù)，在認(rèn)證過程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次認(rèn)證使用的認(rèn)在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次認(rèn)證使用的認(rèn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此在保密

10、程度木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此在保密程度要求稍高一些的地方，賬戶要求稍高一些的地方，賬戶/ /口令方式已經(jīng)被認(rèn)為是一口令方式已經(jīng)被認(rèn)為是一種極不安全的身份認(rèn)證方式。種極不安全的身份認(rèn)證方式。l智能智能ICIC卡的硬件主要由微處理器（目前多為卡的硬件主要由微處理器（目前多為8 8位位MPUMPU）、）、程序存儲(chǔ)器（程序存儲(chǔ)器（ROMROM）、臨時(shí)工作存儲(chǔ)器（）、臨時(shí)工作存儲(chǔ)器（RAMRAM）、用戶存）、用戶存儲(chǔ)器（儲(chǔ)器（EEPROMEEPROM）、輸入輸出接口、安全邏輯及加密解密）、輸入輸出接口、安全邏輯及加密解密運(yùn)算協(xié)處理器等組成。運(yùn)算協(xié)處理器等組成。ICIC卡的硬件就是一個(gè)小型的微

11、處卡的硬件就是一個(gè)小型的微處理器系統(tǒng)，只是在安全方面有更多的設(shè)計(jì)而已；而軟件理器系統(tǒng)，只是在安全方面有更多的設(shè)計(jì)而已；而軟件系統(tǒng)監(jiān)控程序或操作系統(tǒng)則是系統(tǒng)監(jiān)控程序或操作系統(tǒng)則是ICIC卡實(shí)現(xiàn)其安全性的關(guān)鍵?？▽?shí)現(xiàn)其安全性的關(guān)鍵。ICIC卡具有的安全性高和存儲(chǔ)容量大的特點(diǎn)?？ň哂械陌踩愿吆痛鎯?chǔ)容量大的特點(diǎn)。2、 IC卡認(rèn)證方式卡認(rèn)證方式l IC卡基本原理卡基本原理l軟件就是指帶軟件就是指帶MPU的智能的智能IC卡中所實(shí)現(xiàn)的卡中所實(shí)現(xiàn)的IC卡系統(tǒng)監(jiān)控卡系統(tǒng)監(jiān)控程序或程序或IC卡操作系統(tǒng)，而卡操作系統(tǒng)，而IC卡操作系統(tǒng)則更為完善、復(fù)卡操作系統(tǒng)則更為完善、復(fù)雜。雜。l一個(gè)典型的操作系統(tǒng)可以按一個(gè)典型

12、的操作系統(tǒng)可以按OSI模型分成物理層（模型分成物理層（1層）、層）、數(shù)據(jù)傳輸層（數(shù)據(jù)鏈路層數(shù)據(jù)傳輸層（數(shù)據(jù)鏈路層/2層）、應(yīng)用協(xié)議層（應(yīng)用層層）、應(yīng)用協(xié)議層（應(yīng)用層/7層）三層。每一層由一個(gè)或幾個(gè)相應(yīng)的功能模塊予以層）三層。每一層由一個(gè)或幾個(gè)相應(yīng)的功能模塊予以實(shí)施。實(shí)施。 ICIC卡操作系統(tǒng)的典型模塊結(jié)構(gòu)卡操作系統(tǒng)的典型模塊結(jié)構(gòu) IC卡接口設(shè)備卡接口設(shè)備 ICIC卡操作系統(tǒng)的典型模塊結(jié)構(gòu)卡操作系統(tǒng)的典型模塊結(jié)構(gòu) 這樣，在這樣，在IFDIFD和和ICCICC之間傳輸信息的安全性必須得以保之間傳輸信息的安全性必須得以保障障, ,否則完全有被截取的可能性。否則完全有被截取的可能性。ICIC卡操作系統(tǒng)

13、對(duì)此采卡操作系統(tǒng)對(duì)此采取了加密或隱含傳輸?shù)姆椒?，就是將待傳送的命令或取了加密或隱含傳輸?shù)姆椒?，就是將待傳送的命令或響?yīng)回答序列進(jìn)行加密處理之后再進(jìn)行傳輸。響應(yīng)回答序列進(jìn)行加密處理之后再進(jìn)行傳輸。 在在ICIC卡中，引入了認(rèn)證的概念，在卡中，引入了認(rèn)證的概念，在ICCICC和和IFDIFD之間之間只有相互認(rèn)證之后才能進(jìn)行如數(shù)據(jù)的讀、寫等具體只有相互認(rèn)證之后才能進(jìn)行如數(shù)據(jù)的讀、寫等具體操作。認(rèn)證是操作。認(rèn)證是ICIC卡和應(yīng)用終端之間通過相應(yīng)的認(rèn)證卡和應(yīng)用終端之間通過相應(yīng)的認(rèn)證過程來相互確認(rèn)合法性，目的在于防止偽造應(yīng)用終過程來相互確認(rèn)合法性，目的在于防止偽造應(yīng)用終端及相應(yīng)的端及相應(yīng)的ICIC卡?？?。

14、l IC卡認(rèn)證工作方式卡認(rèn)證工作方式3、生物特征認(rèn)證方式、生物特征認(rèn)證方式l 所謂生物特征識(shí)別技術(shù)是指通過計(jì)算機(jī)利用人體所固所謂生物特征識(shí)別技術(shù)是指通過計(jì)算機(jī)利用人體所固有的特征或行為來進(jìn)行個(gè)人身份鑒定。常用的生物特有的特征或行為來進(jìn)行個(gè)人身份鑒定。常用的生物特征包括面相、虹膜、指紋、掌紋、聲音等。征包括面相、虹膜、指紋、掌紋、聲音等。l 與傳統(tǒng)的身份鑒定手段相比，基于生物特征識(shí)別的身與傳統(tǒng)的身份鑒定手段相比，基于生物特征識(shí)別的身份認(rèn)證技術(shù)具有以下優(yōu)點(diǎn)：一是不易遺忘或丟失；二份認(rèn)證技術(shù)具有以下優(yōu)點(diǎn)：一是不易遺忘或丟失；二是防偽性能好，不易偽造或被盜；三是是防偽性能好，不易偽造或被盜；三是“隨身

15、攜帶隨身攜帶”，隨時(shí)隨地可以使用。隨時(shí)隨地可以使用。l 指紋識(shí)別認(rèn)證指紋識(shí)別認(rèn)證 指紋的三個(gè)特性是指紋識(shí)別技術(shù)的基礎(chǔ)，即分別指的是：指紋的三個(gè)特性是指紋識(shí)別技術(shù)的基礎(chǔ)，即分別指的是：（1）每個(gè)人的指紋形狀終身不變）每個(gè)人的指紋形狀終身不變（2）每個(gè)人的指紋各不相同）每個(gè)人的指紋各不相同 （3）指紋的觸物留痕）指紋的觸物留痕指紋圖象指紋圖象采集儀采集儀圖象輸入圖象輸入通道通道指紋細(xì)節(jié)指紋細(xì)節(jié)匹配匹配認(rèn)證結(jié)果認(rèn)證結(jié)果指紋自動(dòng)識(shí)別系統(tǒng)主要部分指紋自動(dòng)識(shí)別系統(tǒng)主要部分 指紋識(shí)別系統(tǒng)利用人類指紋的特性，通過特殊的光電掃描和計(jì)算機(jī)圖像處理技術(shù)，對(duì)活體指紋進(jìn)行采集、分析和比對(duì)，自動(dòng)、迅速、準(zhǔn)確地認(rèn)證出個(gè)人身

16、份。自動(dòng)指紋認(rèn)證的過程是按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫中的模板指紋調(diào)出來，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出于同一幅指紋。l指紋掃描技術(shù)大體可以分為兩類：確認(rèn)系統(tǒng)，如AFIS（自動(dòng)指紋確認(rèn)系統(tǒng)）和核對(duì)系統(tǒng)，這兩種系統(tǒng)關(guān)鍵的區(qū)別在指紋模板。核對(duì)系統(tǒng)同樣需要獲取指紋圖像，但這種技術(shù)并不保存完整的指紋圖像，它只是通過一些算法處理，把指紋的一些特定的數(shù)據(jù)保存在一個(gè)相對(duì)較小的模板（250-1000字節(jié)）中。l指紋識(shí)別技術(shù)算法的工作原理為：當(dāng)一個(gè)高質(zhì)量的圖像被拾取后，它必須被轉(zhuǎn)換成一個(gè)有用的格式。如果圖像是灰度圖像，相對(duì)較淺的部分會(huì)被舍棄，而相對(duì)較深的部分被變成了黑

17、色。嵴的像素由5到8個(gè)被縮細(xì)到一個(gè)像素，這樣就能精確定位嵴斷點(diǎn)和分岔了。l 虹膜識(shí)別認(rèn)證虹膜識(shí)別認(rèn)證l虹膜是環(huán)繞在瞳孔四周有色彩的部分。每一個(gè)虹膜都包含一個(gè)獨(dú)一無二的基于像冠、水晶體、細(xì)絲、斑點(diǎn)、結(jié)構(gòu)、凹點(diǎn)、射線、皺紋和條紋等特征的結(jié)構(gòu)。l每一個(gè)人的虹膜各不相同，一個(gè)人的左眼和右眼就可能不一樣，即使是雙胞胎的虹膜也可能不一樣。l人的虹膜在出生后6-18個(gè)月成型后終生不再發(fā)生變化。l 虹膜識(shí)別的工作流程虹膜識(shí)別的工作流程l虹膜技術(shù)的優(yōu)點(diǎn)：虹膜技術(shù)的優(yōu)點(diǎn)：識(shí)別精度高，錯(cuò)誤率小于百萬分之一；識(shí)別精度高，錯(cuò)誤率小于百萬分之一；穩(wěn)定性好，兩歲后虹膜終生不變，受損害的可穩(wěn)定性好，兩歲后虹膜終生不變，受損害

18、的可能性??；能性小；采集相對(duì)方便；采集相對(duì)方便；l虹膜技術(shù)的缺點(diǎn)：虹膜技術(shù)的缺點(diǎn)：很難將圖像獲取設(shè)備的尺寸小型化；很難將圖像獲取設(shè)備的尺寸小型化；需要昂貴的攝像頭聚焦，一個(gè)這樣的攝像頭的需要昂貴的攝像頭聚焦，一個(gè)這樣的攝像頭的最低價(jià)為最低價(jià)為70007000美元；美元； 黑眼睛極難讀?。缓谘劬O難讀?。?需要較好光源。需要較好光源。 l 視網(wǎng)膜識(shí)別認(rèn)證視網(wǎng)膜識(shí)別認(rèn)證l視網(wǎng)膜識(shí)別原理是通過分析視網(wǎng)膜上的血管圖案來區(qū)分每個(gè)人的。視網(wǎng)膜掃描是用低強(qiáng)度紅外線照亮視網(wǎng)膜，以拍攝下主要血管構(gòu)成的圖像。由于視網(wǎng)膜位于眼球的后面，因此采集過程需要用戶高度配合，以保證正確的照亮和對(duì)準(zhǔn)視網(wǎng)膜。并且要求站在2-3英

19、寸的地方，保持靜止1-2秒的時(shí)間。更重要的是被辨識(shí)者對(duì)視網(wǎng)膜掃描技術(shù)的憂慮，擔(dān)心會(huì)影響眼睛健康。由于這些原因視網(wǎng)膜識(shí)別技術(shù)并未成為生物識(shí)別技術(shù)中的主流技術(shù)。 l 語音驗(yàn)證語音驗(yàn)證l語音識(shí)別包括“語義識(shí)別”和“說話人識(shí)別”。l“語義識(shí)別”的目的在于理解說話內(nèi)容中的單詞和句子，并把它變成文字。這主要是解決人機(jī)交互的方便?！罢f話人識(shí)別”其實(shí)才是生物識(shí)別的范疇。它通過一個(gè)人的聲音來確認(rèn)一個(gè)人的身份是否是他宣稱的。l“說話人識(shí)別”是唯一同時(shí)結(jié)合了生理和行為兩種成分的生物識(shí)別技術(shù)。生理特征體現(xiàn)在人的聲音特點(diǎn)首先由其氣管的物理形狀決定。行為特征體現(xiàn)在聲音還會(huì)受吐字時(shí)的嘴部運(yùn)動(dòng)方式影響。所以說語言識(shí)別同時(shí)受生

20、理和行為特征制約。 l 臉型驗(yàn)證臉型驗(yàn)證l臉形識(shí)別技術(shù)是目前已經(jīng)產(chǎn)品化的技術(shù)中相對(duì)較為復(fù)雜的一項(xiàng)技術(shù)。主要是因?yàn)槟樞巫R(shí)別，不僅僅是比對(duì)，還包括捕捉。需要從一堆移動(dòng)著的影像中，識(shí)別出哪里是人相，并且把人相分離出來，再進(jìn)行臉形成像。用于捕捉面部圖像的兩項(xiàng)技術(shù)分別是視頻技術(shù)和熱成像技術(shù)。視頻技術(shù)通過一個(gè)攝像頭攝取面部的圖像或者一系列圖像，在面部被捕捉之后，一些核心特征點(diǎn)被記錄，例如，眼睛，鼻子和嘴的位置以及它們之間的相對(duì)位置。熱成像技術(shù)是通過分析由面部的毛細(xì)血管的血液產(chǎn)生的熱線來勾畫出面部圖像。l 掌形識(shí)別技術(shù)掌形識(shí)別技術(shù)l手掌特征含手和手指的大小和形狀。它包括長度、寬度、厚度以及手掌和除大拇指之外

21、的其余四個(gè)手指的表面特征。掌形采集的原理是通過紅外、CCD成像等方法獲得手掌的三維圖像，作為掌形特征處理的輸入數(shù)據(jù)。 網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證l用戶賬號(hào)、口令、包括智能卡內(nèi)容都是靜態(tài)的，在網(wǎng)絡(luò)環(huán)境中很容易泄露和被截獲，所以是不安全的。在計(jì)算機(jī)網(wǎng)絡(luò)中，最常見而且最簡單的訪問控制方法是使用口令。l現(xiàn)行口令容易被攻破的幾種常見情況：l（1）口令在網(wǎng)絡(luò)傳輸中被截獲和分析。l（2）長時(shí)間使用同一個(gè)口令，泄露口令的幾率大大增加。l（3）人們通常喜歡用自己熟悉的人名、日期、門牌號(hào)、電話號(hào)碼及其組合，易被猜中。l（4）在多個(gè)業(yè)務(wù)服務(wù)和應(yīng)用系統(tǒng)中共享口令，降低了口令的安全性。1、動(dòng)態(tài)口令認(rèn)證、動(dòng)

22、態(tài)口令認(rèn)證l動(dòng)態(tài)口令（Dynamic Password），又叫“一次性口令（OTP：One Time Password）”，其主要思想是：在登錄過程中加入不確定因素不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。例如：登錄密碼=MD5（用戶名+密碼+時(shí)間），系統(tǒng)接收到登錄口令后做一個(gè)驗(yàn)算即可驗(yàn)證用戶的合法性。l這些不確定因子選擇方式大致有以下幾種： 口令序列（口令序列（S/KEY）l口令為一個(gè)單向的前后相關(guān)的序列，系統(tǒng)只用記錄第N個(gè)口令，用戶用第N-1個(gè)口令登錄時(shí)，系統(tǒng)用Hash算法（也可以用其他算法）算出第N個(gè)口令與自己保存的第N個(gè)口令匹配，以判斷用戶的合法性。由于N是

23、有限的，用戶登錄N次后必須重新初始化口令序列。l初始化系統(tǒng)：用戶輸入隨機(jī)數(shù)R，系統(tǒng)利用單向函數(shù)f計(jì)算f(R)，f(f(R)，f(f(f(R)等i次，結(jié)果存入X1，X2，X3，Xi中，并記入U(xiǎn)盤或打印出X1至Xi+1的列表。用戶把U盤或列表妥善保管，系統(tǒng)也在登錄數(shù)據(jù)庫中存入用戶名和Xi。用戶每次登錄時(shí)，輸入他列表中未刪除的最后的數(shù)Xj，系統(tǒng)計(jì)算f(Xj)，并與存儲(chǔ)在數(shù)據(jù)庫中的Xj+1比較，如果匹配，那么身份認(rèn)證成功，則用戶將從他的列表中刪除Xj。所以每個(gè)數(shù)都被使用一次。挑戰(zhàn)挑戰(zhàn)/ /響應(yīng)（響應(yīng)（Challenge/ResponseChallenge/Response）l基本思想是：當(dāng)用戶要求登錄

24、時(shí)，系統(tǒng)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶。用戶將自己的秘密口令和隨機(jī)數(shù)混合起來用某種Hash算法進(jìn)行運(yùn)算，即，Result=Hash（用戶秘密口令+系統(tǒng)隨機(jī)數(shù)），把運(yùn)算結(jié)果Result發(fā)送回系統(tǒng)，系統(tǒng)用同樣的方法做驗(yàn)算即可驗(yàn)證用戶身份。時(shí)間同步（時(shí)間同步（Time Synchronous or SecureIDTime Synchronous or SecureID）l為了克服挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證系統(tǒng)使用過程煩瑣，占用過多通信帶寬資源的缺點(diǎn)，美國著名的加密算法研究實(shí)驗(yàn)室RSA研制成功了基于時(shí)間同步的動(dòng)態(tài)口令認(rèn)證系統(tǒng)RSA SecureID。RSA公司也由此獲得了時(shí)間同步的專利技術(shù)。 l 基于時(shí)間同

25、步認(rèn)證技術(shù)是把時(shí)間作為變動(dòng)因子，一般以60秒作為變化單位。所謂“同步”是指用戶口令卡和認(rèn)證服務(wù)器所產(chǎn)生的口令在時(shí)間上必須同步。這里的時(shí)間同步方法不是用“時(shí)統(tǒng)”技術(shù)，而是用“滑動(dòng)窗口”技術(shù)。 l：客戶請(qǐng)求接入應(yīng)用服務(wù)器;l：應(yīng)用服務(wù)器請(qǐng)求認(rèn)證服務(wù)器對(duì)客戶的身份的合法性和真實(shí)性進(jìn)行認(rèn)證;l：客戶終端彈出身份認(rèn)證對(duì)話框;l：客戶在持有的口令卡上鍵入PIN碼(或開機(jī)碼)，激活口令卡;l：客戶將帳號(hào)和口令鍵入終端的身份認(rèn)證對(duì)話框;l：客戶終端將帳號(hào)和口令通過網(wǎng)絡(luò)傳輸給認(rèn)證服務(wù)器;l：認(rèn)證服務(wù)器調(diào)用客戶信息，產(chǎn)生與客戶信息和時(shí)間相關(guān)的隨機(jī)序列，并與客戶輸入的口令進(jìn)行比對(duì)，判別客戶身份的合法性和真實(shí)性;l：

26、認(rèn)證服務(wù)器將認(rèn)證結(jié)果報(bào)告給應(yīng)用服務(wù)器;l：應(yīng)用服務(wù)器根據(jù)客戶身份的合法性和真實(shí)性反饋給客戶終端，并決定可以提供服務(wù)或拒絕服務(wù)。事件同步（事件同步（Event Synchronous or Safe WordEvent Synchronous or Safe Word）l這種方法以挑戰(zhàn)/響應(yīng)方式為基礎(chǔ)，將單向的前后相關(guān)序列作為系統(tǒng)的挑戰(zhàn)信息，以節(jié)省用戶每次輸入挑戰(zhàn)信息的麻煩。但當(dāng)用戶的挑戰(zhàn)序列與服務(wù)器產(chǎn)生偏差后，需要重新同步。幾種認(rèn)證方式的比較幾種認(rèn)證方式的比較2、USB Key身份認(rèn)證身份認(rèn)證lUSB KEY這個(gè)概念最早是由加密鎖廠家提出來的，用來防止軟件盜版，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展， U

27、SB KEY被用于網(wǎng)絡(luò)用戶身份識(shí)別和數(shù)據(jù)保護(hù)的“電子鑰匙”。lUSB KEY結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù)，是新一代身份認(rèn)證產(chǎn)品，它具有以下特點(diǎn)： 1、雙因子認(rèn)證 2、帶有安全存儲(chǔ)空間3、硬件實(shí)現(xiàn)加密算法4、便于攜帶，安全可靠USB Key身份認(rèn)證系統(tǒng)的應(yīng)用方式身份認(rèn)證系統(tǒng)的應(yīng)用方式 l1、基于沖擊-響應(yīng)的雙因子認(rèn)證方式 當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶身份時(shí)，先由客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端（此為沖擊）?？蛻舳藢⑹盏降碾S機(jī)數(shù)通過USB接口提供給ePass，由ePass使用該隨機(jī)數(shù)與存儲(chǔ)在ePass中的密鑰進(jìn)行MD5-HMAC運(yùn)算并

28、得到一個(gè)結(jié)果作為認(rèn)證證據(jù)傳給服務(wù)器（此為響應(yīng)）。與此同時(shí)，服務(wù)器也使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行MD5-HMAC運(yùn)算，如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個(gè)合法用戶。 密鑰運(yùn)算分別在ePass硬件和服務(wù)器中運(yùn)行，不出現(xiàn)在客戶端內(nèi)存中，也不在網(wǎng)絡(luò)上傳輸，由于MD5-HMAC算法是一個(gè)不可逆的算法，就是說知道密鑰和運(yùn)算用隨機(jī)數(shù)就可以得到運(yùn)算結(jié)果，而知道隨機(jī)數(shù)和運(yùn)算結(jié)果卻無法計(jì)算出密鑰，從而保護(hù)了密鑰的安全，也就保護(hù)了用戶身份的安全。 l2、基于數(shù)字證書的認(rèn)證方式 隨著PKI技術(shù)日趨成熟，許多應(yīng)用中開始使用數(shù)字證書進(jìn)行身份認(rèn)證與數(shù)字加密。l PKI即公

29、共密鑰體系，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一個(gè)僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一個(gè)公開密鑰（公鑰）用于文件發(fā)送者加密和接收者驗(yàn)證簽名。l 用戶也可以采用自己的私鑰對(duì)信息進(jìn)行加密，接收者用發(fā)送者的公鑰解密，由于私鑰僅為用戶本人所有，所以就能夠確認(rèn)該信息確實(shí)是由該用戶發(fā)送的，此過程稱之為數(shù)字簽名。 USB Key作為數(shù)字證書的存儲(chǔ)介質(zhì)，可以保證數(shù)字證書不被復(fù)制，并可以實(shí)現(xiàn)所有數(shù)字證書的功能。 發(fā)送者發(fā)送者A A接收者接收者B B 具有保密性的數(shù)字簽名3、RADIUS協(xié)議認(rèn)證協(xié)議認(rèn)證lRADIUS原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改

30、進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。lRADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。lRADIUS的基本工作原理：用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，

31、允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。4、單點(diǎn)登錄、單點(diǎn)登錄l單點(diǎn)登錄（SSO，Single Sign-on）是一種方便用戶訪問多個(gè)系統(tǒng)的技術(shù)，用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點(diǎn)登錄的實(shí)質(zhì)就是安全上下文（Security Context）或憑證（Credential）在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登

32、錄系統(tǒng)時(shí)，客戶端軟件根據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個(gè)安全上下文，安全上下文包含用于驗(yàn)證用戶的安全信息，系統(tǒng)用這個(gè)安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。遺憾的是J2EE規(guī)范并沒有規(guī)定安全上下文的格式，因此不能在不同廠商的J2EE產(chǎn)品之間傳遞安全上下文。 使用使用SSOSSO的好處的好處l(1)方便用戶用戶使用應(yīng)用系統(tǒng)時(shí)，能夠一次登錄，多次使用。用戶不再需要每次輸入用戶名稱和用戶密碼，也不需要牢記多套用戶名稱和用戶密碼。單點(diǎn)登錄平臺(tái)能夠改善用戶使用應(yīng)用系統(tǒng)的體驗(yàn)。(2)方便管理員系統(tǒng)管理員只需要維護(hù)一套統(tǒng)一的用戶賬號(hào)，方便、簡單。相比之下，系統(tǒng)管理員以前需要管理

33、很多套的用戶賬號(hào)。每一個(gè)應(yīng)用系統(tǒng)就有一套用戶賬號(hào)，不僅給管理上帶來不方便，而且，也容易出現(xiàn)管理漏洞。(3)簡化應(yīng)用系統(tǒng)開發(fā)開發(fā)新的應(yīng)用系統(tǒng)時(shí)，可以直接使用單點(diǎn)登錄平臺(tái)的用戶認(rèn)證服務(wù)，簡化開發(fā)流程。單點(diǎn)登錄平臺(tái)通過提供統(tǒng)一的認(rèn)證平臺(tái)，實(shí)現(xiàn)單點(diǎn)登錄。因此，應(yīng)用系統(tǒng)并不需要開發(fā)用戶認(rèn)證程序。lKerberos設(shè)計(jì)目標(biāo)設(shè)計(jì)目標(biāo)lKerberos設(shè)計(jì)思路設(shè)計(jì)思路lKerberos的票據(jù)的票據(jù)lKerberos協(xié)議的優(yōu)勢(shì)與不足協(xié)議的優(yōu)勢(shì)與不足lKerberos（V4）及（）及（V5）lKerberos 領(lǐng)域及互通領(lǐng)域及互通l是美國麻省理工學(xué)院（是美國麻省理工學(xué)院（MIT）開發(fā)的一種身份鑒）開發(fā)的一種身份鑒

34、別服務(wù)。別服務(wù)。 l“Kerberos”的本意是希臘神話中守護(hù)地獄之門的的本意是希臘神話中守護(hù)地獄之門的守護(hù)者。守護(hù)者。 lKerberos提供了一個(gè)集中式的認(rèn)證服務(wù)器結(jié)構(gòu)，提供了一個(gè)集中式的認(rèn)證服務(wù)器結(jié)構(gòu)，認(rèn)證服務(wù)器的功能是實(shí)現(xiàn)用戶與其訪問的服務(wù)器認(rèn)證服務(wù)器的功能是實(shí)現(xiàn)用戶與其訪問的服務(wù)器間的相互鑒別。間的相互鑒別。 lKerberos建立的是一個(gè)實(shí)現(xiàn)身份認(rèn)證的框架結(jié)構(gòu)。建立的是一個(gè)實(shí)現(xiàn)身份認(rèn)證的框架結(jié)構(gòu)。 l其實(shí)現(xiàn)采用的是對(duì)稱密鑰加密技術(shù)，而未采用公其實(shí)現(xiàn)采用的是對(duì)稱密鑰加密技術(shù)，而未采用公開密鑰加密。開密鑰加密。 l公開發(fā)布的公開發(fā)布的Kerberos版本包括版本版本包括版本4和版本和版

35、本5。 KerberosKerberos設(shè)計(jì)目標(biāo)設(shè)計(jì)目標(biāo)l安全性安全性l能夠有效防止攻擊者假扮成另一個(gè)合法的授權(quán)用戶。能夠有效防止攻擊者假扮成另一個(gè)合法的授權(quán)用戶。l可靠性可靠性l分布式服務(wù)器體系結(jié)構(gòu)，提供相互備份。分布式服務(wù)器體系結(jié)構(gòu)，提供相互備份。l對(duì)用戶透明性對(duì)用戶透明性l可伸縮可伸縮l能夠支持大數(shù)量的客戶和服務(wù)器。能夠支持大數(shù)量的客戶和服務(wù)器。Kerberos的記號(hào)C客戶S服務(wù)器ADc客戶的網(wǎng)絡(luò)地址Lifetime票據(jù)的生存期TS時(shí)間戳Kxx的秘密密鑰Kx,yx與y的會(huì)話密鑰Exm以x的秘密密鑰加密的mTicket xx的票據(jù)Authenticator xx的鑒別碼lKerberos認(rèn)

36、證版本認(rèn)證版本4的內(nèi)容，在敘述中我們使用以下記號(hào)的內(nèi)容，在敘述中我們使用以下記號(hào)：l基本思路：基本思路：l使用一個(gè)（或一組）獨(dú)立的使用一個(gè)（或一組）獨(dú)立的認(rèn)證服務(wù)器認(rèn)證服務(wù)器（AS Authentication Server），來為網(wǎng)絡(luò)中的），來為網(wǎng)絡(luò)中的用戶（用戶（C）提供身份認(rèn)證服務(wù)；提供身份認(rèn)證服務(wù)； l認(rèn)證服務(wù)器認(rèn)證服務(wù)器 (AS)，用戶口令由，用戶口令由 AS 保存在數(shù)據(jù)庫中；保存在數(shù)據(jù)庫中；lAS 與每個(gè)與每個(gè)服務(wù)器（服務(wù)器（V）共享一個(gè)惟一共享一個(gè)惟一保密密鑰（保密密鑰（Kv）（已被安全分發(fā)）。（已被安全分發(fā)）。l會(huì)話過程會(huì)話過程：Kerberos設(shè)計(jì)思路設(shè)計(jì)思路(1) C AS

37、: IDC | PC | IDv(2) AS C: Ticket(3) C V : IDC | Ticketl其中：其中： Ticket = EKvIDC | ADC | IDvl會(huì)話過程會(huì)話過程：Kerberos設(shè)計(jì)思路設(shè)計(jì)思路Ticket = EKvIDC , ADC , IDvCASV (1) IDC , PC , IDvTicket IDC , TicketIDC：用戶：用戶C的標(biāo)識(shí)的標(biāo)識(shí)PC ：用戶口令：用戶口令I(lǐng)Dv：服務(wù)器標(biāo)識(shí)：服務(wù)器標(biāo)識(shí)ADC：用戶網(wǎng)絡(luò)地址：用戶網(wǎng)絡(luò)地址搜索數(shù)據(jù)庫看用戶是否合法搜索數(shù)據(jù)庫看用戶是否合法如果合法，驗(yàn)證用戶口令是否如果合法，驗(yàn)證用戶口令是否正確正確如

38、果口令正確，檢查是否有權(quán)如果口令正確，檢查是否有權(quán)限訪問服務(wù)器限訪問服務(wù)器V用與用與AS共享密鑰解密票據(jù)共享密鑰解密票據(jù)檢查票據(jù)中的用戶標(biāo)識(shí)與網(wǎng)絡(luò)檢查票據(jù)中的用戶標(biāo)識(shí)與網(wǎng)絡(luò)地址是否與用戶發(fā)送的標(biāo)識(shí)及地址是否與用戶發(fā)送的標(biāo)識(shí)及其地址相同其地址相同如果相同，票據(jù)有效，認(rèn)證通如果相同，票據(jù)有效，認(rèn)證通過過用戶用戶認(rèn)證服務(wù)器認(rèn)證服務(wù)器應(yīng)用服務(wù)器應(yīng)用服務(wù)器Kerberos設(shè)計(jì)思路設(shè)計(jì)思路電影院電影院我要買票我要買票你的電影票你的電影票這是我的電影票這是我的電影票電影院售票處電影院售票處觀眾觀眾Kerberos設(shè)計(jì)思路設(shè)計(jì)思路電影院電影院我要買票，我要買票，這是我的信這是我的信用卡密碼用卡密碼你的電影票你

39、的電影票這是我的電影票這是我的電影票電影院售票處電影院售票處觀眾觀眾問題之一：信用卡問題問題之一：信用卡問題問題：如何買票問題：如何買票答案：出示信用卡卡號(hào)和密碼答案：出示信用卡卡號(hào)和密碼Kerberos設(shè)計(jì)思路設(shè)計(jì)思路電影院電影院你的電影票你的電影票這是我的電影票這是我的電影票電影院售票處電影院售票處這是我的電影票這是我的電影票這是我的電影票這是我的電影票觀眾觀眾問題之二：票的有效期問題問題之二：票的有效期問題我要買票，我要買票，這是我的信這是我的信用卡密碼用卡密碼Kerberos設(shè)計(jì)思路設(shè)計(jì)思路電影院甲電影院甲你的電影票你的電影票這是我的電影票這是我的電影票電影院售票處電影院售票處電影院乙

40、電影院乙這是我的電影這是我的電影票？票？觀眾觀眾問題之三：多個(gè)電影院問問題之三：多個(gè)電影院問題題我要買票，我要買票，這是我的信這是我的信用卡密碼用卡密碼Kerberos設(shè)計(jì)思路設(shè)計(jì)思路上述協(xié)議的問題：上述協(xié)議的問題：（1）口令明文傳送）口令明文傳送（2）票據(jù)的有效性（多次使用）票據(jù)的有效性（多次使用）（3）訪問多個(gè)服務(wù)器則需多次申請(qǐng)）訪問多個(gè)服務(wù)器則需多次申請(qǐng)票據(jù)（即口令多次使用）票據(jù)（即口令多次使用）如何解決如何解決上述協(xié)議問題？上述協(xié)議問題？l問題：問題：l用戶希望輸入口令的次數(shù)最少。用戶希望輸入口令的次數(shù)最少。l口令以明文傳送會(huì)被竊聽?？诹钜悦魑膫魉蜁?huì)被竊聽。l解決辦法解決辦法l 票據(jù)重

41、用（票據(jù)重用（ticket reusable）。）。l 引入票據(jù)許可服務(wù)器（引入票據(jù)許可服務(wù)器（TGS - ticket-granting server）l用于向用戶分發(fā)服務(wù)器的訪問票據(jù)；用于向用戶分發(fā)服務(wù)器的訪問票據(jù)；l認(rèn)證服務(wù)器認(rèn)證服務(wù)器 AS 并不直接向客戶發(fā)放訪問應(yīng)用服務(wù)器并不直接向客戶發(fā)放訪問應(yīng)用服務(wù)器的票據(jù)，而是由的票據(jù)，而是由 TGS 服務(wù)器來向客戶發(fā)放。服務(wù)器來向客戶發(fā)放。Kerberos設(shè)計(jì)思路設(shè)計(jì)思路Kerberos設(shè)計(jì)思路設(shè)計(jì)思路電影院售票處電影院售票處電影院乙電影院乙購票許可證購票許可證這是我的購票這是我的購票許可證許可證你的電影票你的電影票這是我的電影票這是我的電影票

42、許可證部門許可證部門觀眾觀眾我要買票，我要買票，這是我的信這是我的信用卡密碼用卡密碼問題：解決了重復(fù)使用信問題：解決了重復(fù)使用信用卡問題，但是其他兩個(gè)用卡問題，但是其他兩個(gè)問題沒有解決問題沒有解決引入了許可證可信問題引入了許可證可信問題l兩種票據(jù)兩種票據(jù)l票據(jù)許可票據(jù)（票據(jù)許可票據(jù)（Ticket granting ticket）l客戶訪問客戶訪問 TGS 服務(wù)器需要提供的票據(jù)，目的是為了申服務(wù)器需要提供的票據(jù)，目的是為了申請(qǐng)某一個(gè)應(yīng)用服務(wù)器的請(qǐng)某一個(gè)應(yīng)用服務(wù)器的 “服務(wù)許可票據(jù)服務(wù)許可票據(jù)”；l票據(jù)許可票據(jù)由票據(jù)許可票據(jù)由 AS 發(fā)放；發(fā)放；l用用 Tickettgs 表示訪問表示訪問 TGS

43、 服務(wù)器的票據(jù)；服務(wù)器的票據(jù)；lTickettgs 在用戶登錄時(shí)向在用戶登錄時(shí)向 AS 申請(qǐng)一次，可多次重復(fù)使申請(qǐng)一次，可多次重復(fù)使用；用；l服務(wù)許可票據(jù)（服務(wù)許可票據(jù)（Service granting ticket）l是客戶使用時(shí)需要提供的票據(jù)；是客戶使用時(shí)需要提供的票據(jù)；l用用 TicketV 表示訪問應(yīng)用服務(wù)器表示訪問應(yīng)用服務(wù)器 V 的票據(jù)。的票據(jù)。Kerberos的票據(jù)的票據(jù)Kerberos設(shè)計(jì)思路設(shè)計(jì)思路電影院售票處電影院售票處電影院電影院共享信用卡信息：共享信用卡信息：不用向許可證部不用向許可證部門初始信用卡密門初始信用卡密碼碼初始電影票初始電影票共享共享“購票許可證購票許可證”信

44、息：信息：不用出示信用卡及密碼不用出示信用卡及密碼共享共享“電影票電影票” 信息：信息：不用多次購買許可證不用多次購買許可證許可證部門許可證部門觀眾觀眾購買電影票購買電影票最后一個(gè)問題：票的有最后一個(gè)問題：票的有效期問題效期問題電影院電影院電影院電影院解決方法：時(shí)間解決方法：時(shí)間Kerberos設(shè)計(jì)思路設(shè)計(jì)思路票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）具有有效期的具有有效期的Ticket共享對(duì)稱密鑰共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰共享對(duì)稱密鑰Kv認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）共享用戶口令共享用戶口令Kc購買具有有效期的購買具有有效期的TicketKerberos

45、設(shè)計(jì)思路設(shè)計(jì)思路票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）我想看電影我想看電影EKcEktgs購票許可證購票許可證Ektgs購票許可證購票許可證Ekv票票Ekv票票共享對(duì)稱密鑰共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰共享對(duì)稱密鑰Kv共享用戶口令共享用戶口令KcKcKcKtgsKvKtgsKvKerberos設(shè)計(jì)思路設(shè)計(jì)思路票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）我想看電影我想看電影EKcEktgs購票許可證，時(shí)間購票許可證，時(shí)間限制限制Ektgs購票許可證，時(shí)購票許可證，時(shí)間限

46、制間限制Ekv票票,時(shí)間限制時(shí)間限制Ekv票，時(shí)間限制票，時(shí)間限制共享對(duì)稱密鑰共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰共享對(duì)稱密鑰Kv共享用戶口令共享用戶口令Kc可能被盜用可能被盜用KcKcKtgsKvKtgsKvKerberos設(shè)計(jì)思路設(shè)計(jì)思路票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）我想看電影我想看電影EKcKc,tgs, Ektgs含含Kc,tgs的購的購票許可證，時(shí)間限制票許可證，時(shí)間限制Ektgs含含Kc,tgs的購票許的購票許可證，時(shí)間限制可證，時(shí)間限制EKc,tgsEkv票票,時(shí)間限時(shí)間限制制Ekv票，時(shí)間限制票，時(shí)間限制共享

47、對(duì)稱密鑰共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰共享對(duì)稱密鑰Kv共享用戶口令共享用戶口令KcKc,tgs問題：單向認(rèn)證問題：單向認(rèn)證KcKcKtgsKvKtgsKvKerberos設(shè)計(jì)思路設(shè)計(jì)思路票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）我想看電影我想看電影EKcKc,tgs, Ektgs含含Kc,tgs的購的購票許可證，時(shí)間限制票許可證，時(shí)間限制Ektgs含含Kc,tgs的購票許的購票許可證，時(shí)間限制可證，時(shí)間限制EKc,tgsKc,v,Ekv含含Kc,v的票的票,時(shí)間限制時(shí)間限制Ekv含含Kc,v的票，時(shí)間限制的票，時(shí)間限制共享對(duì)稱密鑰

48、共享對(duì)稱密鑰Ktgs共享對(duì)稱密鑰共享對(duì)稱密鑰Kv共享用戶口令共享用戶口令KcKc,tgsKc,vEkc,v時(shí)間限制時(shí)間限制KcKcKtgsKvKtgsKvKerberos V4協(xié)議描述：第一階段協(xié)議描述：第一階段票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）IDC, IDtgs,TS1EKcKc,tgs,IDtgs,TS2, LT2, TickettgsTickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2KcKcKtgsKvKtgsKvKc,tgsKerberos V4協(xié)議描述：第二階段協(xié)議描述

49、：第二階段票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）IDV,Tickettgs, AUCEKC,tgsKC,V,IDV,TS4, TicketVTickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4AUCEKC,tgsIDC, ADC, TS3KcKcKtgsKvKtgsKvKc,tgsKc,vKerberos V4協(xié)議描述：第三階段協(xié)議描述：第三階段票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)

50、器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）TicketV, AUCEKC,VTS5+1TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4AUCEKc,vIDC, ADC, TS5KcKcKtgsKvKtgsKvKc,tgsKc,vKerberos V4協(xié)議描述：共享密鑰及會(huì)話密鑰協(xié)議描述：共享密鑰及會(huì)話密鑰票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）Kc認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）Kc,tgsKC,VKcKcKtgsKvKtgsKvKc,tgsK

51、c,vKerberos設(shè)計(jì)思路設(shè)計(jì)思路票據(jù)許可服務(wù)器票據(jù)許可服務(wù)器（TGS）服務(wù)器（服務(wù)器（V）認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（AS）用戶（用戶（C）IDC, IDtgs,TS1EKcKc,tgs,IDtgs,TS2, LT2, TickettgsIDV,Tickettgs, AUCEKc,tgsKc,V,IDV,TS4, TicketVTicketV, AUCEKC,VTS5+1TickettgsEKtgsKC,tgs, IDC, ADC, IDtgs, TS2, LT2TicketVEKVKC,V, IDC, ADC, IDV, TS4, LT4AUCEKC,tgsIDC, ADC, TS3KcKcKtgsKvKtgsKvKc,tgsKc,vAUCEKcvIDC, ADC, TS5l與授權(quán)機(jī)制相結(jié)合；與授權(quán)機(jī)制相結(jié)合；l實(shí)現(xiàn)了一次性簽放的機(jī)制，并且簽放的票據(jù)都實(shí)現(xiàn)了一次性簽放的機(jī)制，并且簽放的票據(jù)都有一個(gè)有效期；有一個(gè)有效期；l支持雙向的身份認(rèn)證；支持雙向的身份認(rèn)證；l支持分布式網(wǎng)絡(luò)環(huán)境下的域間認(rèn)證。支持分布式網(wǎng)絡(luò)環(huán)境下的域間認(rèn)證。