网络安全协议知识概述课件.ppt

网络安全协议
按照其完成的功能可以分为:
（1）密钥交换协议 :一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密，通常用于建立在一次通信中所使用的会话密钥。
（2）认证协议:认证协议中包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。
（3）认证和密钥交换协议 ：这类协议将认证和密钥交换协议结合在一起，是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证，如果认证成功，进一步进行密钥交换，以建立通信中的工作密钥，也叫密钥确认协议。
*
网络安全协议知识概述
*
网络层的安全协议：IPSec
传输层的安全协议：SSL/TLS
应用层的安全协议：
SHTTP（Web安全协议）
PGP(电子邮件安全协议)
S/MIME(电子邮件安全协议)
MOSS(电子邮件安全协议)
PEM(电子邮件安全协议)
SSH（远程登录安全协议）
Kerberos(网络认证协议)等。
常见的网络安全协议
*
网络安全协议知识概述
*
Kerberos协议
在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务时，
一方面，工作站无法可信地向网络服务证实用户的身份，可能存在着以下三种威胁：
①用户可能访问某个特定工作站，并假装成另一个用户在操作工作站。
②用户可能会更改工作站的网络地址，使从这个已更改的工作站上发出的请求看似来自伪装的工作站。
③用户可能窃听他人的报文交换过程，并使用重放攻击来获得对一个服务器的访问权或中断服务器的运行。
*
网络安全协议知识概述
*
另一方面，在开放的网络环境中，客户也必须防止来自服务端的欺骗。
以自动取款机ATM为例，如果存在欺骗，那么客户将泄漏自己的帐户信息。
如何使用一个集中的认证服务器，提供用户对服务器的认证以及服务器对用户的认证，这就是Kerberos要解决的问题。
*
网络安全协议知识概述
*
Kerberos概述
Kerberos是由美国麻省理工学院(MIT)提出的基于可信赖的第三方的认证系统，它是基于Needham-Schroeder协议设计的，采用对称密码体制。
Kerberos一词源自希腊神话，在希腊神话故事中，Kerberos是一种长有三个头的狗，还有一个蛇形尾巴，是地狱之门的守卫者。现代取Kerberos这个名字意指要有三个“头”来守卫网络之门，这“三头”包括：
-认证(authentication)
-清算(accounting)
-审计(audit)
*
网络安全协议知识概述
*
Kerberos协议中的一些概念
Principal(安全个体)
被鉴别的个体，有一个名字(name)和口令(password)。
KDC(Key distribution center，密钥分配中心)
可信的第三方，即Kerberos服务器，提供ticket和临时的会话密钥。
Ticket（访问许可证）
是一个记录凭证，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密，密钥为服务器的密钥。
*
网络安全协议知识概述
*
Authenticator（认证符）
是另一个记录凭证，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥。
Credentials（证书）
由一个ticket加上一个秘密的会话密钥组成。
*
网络安全协议知识概述
*
Kerberos协议的工作过程
Kerberos基本思想
采用对称密钥体制对信息进行加密，能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前，必须先从第三方（Kerberos 服务器）获取该应用服务器的访问许可证（ticket）。
认证服务器AS(Authentication Server)
许可证颁发服务器TGS(Ticket Granting Server)
*
网络安全协议知识概述
*
Kerberos协议的工作过程
①
②
③
④
⑤
⑥
认证服务器AS
许可证颁发服务器TGS
用户C
应用服务器V
Kerberos的认证过程
*
网络安全协议知识概述
*
①用户想要获取访问某一应用服务器的许可证时，