【正文】 認(rèn)證 47 什么是 Kerberos Kerberos是網(wǎng)絡(luò)通信提供可信第三方服務(wù)的面向開(kāi)放系統(tǒng)的認(rèn)證機(jī)制 。 Kerberos認(rèn)證系統(tǒng) 概述 第 3講 物理安全與身份認(rèn)證 49 Kerberos保存當(dāng)事人及其密鑰的數(shù)據(jù)庫(kù) 。 Kerberos提供三種安全等級(jí)： 1） 只在網(wǎng)絡(luò)開(kāi)始連接時(shí)進(jìn)行認(rèn)證 ， 認(rèn)為連接建立起來(lái)后的通信是可靠的 。 Kerberos認(rèn)證系統(tǒng) 概述 第 3講 物理安全與身份認(rèn)證 50 1． 時(shí)間同步問(wèn)題： 整個(gè) Kerberos的協(xié)議都嚴(yán)重地依賴于時(shí)鐘 ， 而實(shí)際證明 ，要求在分步式系統(tǒng)環(huán)境中實(shí)現(xiàn)良好的時(shí)鐘同步 ， 是一個(gè)很難的課題 。 針對(duì)這種無(wú)序的狀況 ， 應(yīng)有規(guī)劃有目的地建立起全球一體化的分層 （ 樹(shù)狀 ） 結(jié)構(gòu) ， 形成良好的信任鏈條 。 Kerberos認(rèn)證系統(tǒng) 局限性 第 3講 物理安全與身份認(rèn)證 53 5． 密鑰的存儲(chǔ)問(wèn)題： Kerberos認(rèn)證中心要求保存大量的共享私鑰 ， 無(wú)論是管理還是更新都有很大的困難 ， 需要特別細(xì)致的安全保護(hù)措施 （ 甚至應(yīng)采用硬件 /物理方法 ） ， 將付出極大的系統(tǒng)代價(jià) 。 Kerberos認(rèn)證系統(tǒng) 局限性 第 3講 物理安全與身份認(rèn)證 PKI即公開(kāi)密鑰體系 ， 是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái) ， 它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系 ， PKI技術(shù)是信息安全技術(shù)的核心 ， 也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù) 。 ① 認(rèn)證 。 ② 可以在互連網(wǎng)中構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系 。 ③ (1993)信息技術(shù)之開(kāi)放系統(tǒng)互連：鑒別框架 。 公鑰基礎(chǔ)設(shè)施 PKI 55 第 3講 物理安全與身份認(rèn)證 （ 2） PKI的體系結(jié)構(gòu) 完整的 PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu) 、 數(shù)字證書(shū)庫(kù) 、 密鑰備份及恢復(fù)系統(tǒng) 、證書(shū)作廢系統(tǒng) 、 應(yīng)用接口 （ API） 等基本構(gòu)成部分 ， 構(gòu)建 PKI也將圍繞著這五大系統(tǒng)來(lái)著手構(gòu)建 。 ④ 密鑰和證書(shū)的更新 。 公鑰基礎(chǔ)設(shè)施 PKI 56 第 3講 物理安全與身份認(rèn)證 57 身份認(rèn)證 — 公鑰證書(shū) （ 亦稱數(shù)字證書(shū) ）： 它是由一個(gè)第三方證書(shū)授權(quán)中心 (CA)發(fā)行的，經(jīng) CA數(shù)字簽名的包含用戶的公鑰和與用戶身份相關(guān)的信息，是一個(gè)實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明，具有唯一性。 第 3講 物理安全與身份認(rèn)證 58 Windows 2023 安全模型的主要特性： 用戶驗(yàn)證和訪問(wèn)控制。Win2023 系統(tǒng)使用域名服務(wù) (DNS) 查詢定位最近的可用域控制器。默認(rèn)情況下，只有域管理員才被賦予該權(quán)限。分派依賴可信任的中級(jí)服務(wù)進(jìn)行分派。 （ 3）授權(quán)驗(yàn)證。 ? 上網(wǎng)了解 Windows 202 202 2023R2 Server版的相關(guān)知識(shí) 。 （ 5）協(xié)同工作能力。 Win2K的 Kerberos V5驗(yàn)證機(jī)制 第 3講 物理安全與身份認(rèn)證 61 3. Kerberos驗(yàn)證的好處 （ 1）服務(wù)器更加高效的驗(yàn)證。 在一個(gè) N 級(jí)應(yīng)用程序中，用戶針對(duì)中級(jí)服務(wù)進(jìn)行驗(yàn)證。如果首選 KDC 失效， Windows 2023 系統(tǒng)將確定一個(gè)替換 KDC 提供驗(yàn)證。 Win2023的 Kerberos V5驗(yàn)證機(jī)制 第 3講 物理安全與身份認(rèn)證 59 1. Kerberos V5 和域控制器 Kerberos V5 服務(wù)安裝在每個(gè)域控制器上； Kerberos 客戶機(jī)安裝在每個(gè) Windows 2023 工作站和服務(wù)器上。 通常使用的是 符合 。 ⑥ 客戶端軟件 。 ② 證書(shū)和證書(shū)庫(kù) 。 ⑤ OCSP在線證書(shū)狀態(tài)協(xié)議 。 （ 1） PKI的標(biāo)準(zhǔn) 從整個(gè) PKI體系建立與發(fā)展的歷程來(lái)看 ， 與 PKI相關(guān)的標(biāo)準(zhǔn)主要包括以下幾種： ① (1988) 。 ③ 完整性與不可否認(rèn) 。 （ 1） PKI技術(shù)的信任服務(wù) 在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中 ， 特別是在電子政務(wù)和電子商務(wù)業(yè)務(wù)中 ， 最需要的安全保證有四個(gè)方面：身份標(biāo)識(shí)和認(rèn)證 、 保密或隱私 、 數(shù)據(jù)完整性和不可否認(rèn)性 。 所以 ， 必須花一定的系統(tǒng)代價(jià)去防范對(duì)認(rèn)證系統(tǒng)本身的集中攻擊 。 我們建議 ， 在 Kerberos引入序列號(hào)循環(huán)機(jī)制 ， 即讓傳送的消息帶上一定的序列號(hào) ， 這些序列號(hào)在由系統(tǒng)循環(huán)地賦予消息 ， 再結(jié)合系統(tǒng)原有的生存期控制 ， 將有效地保證一定的時(shí)間段里只能存在唯一的合法消息 ， 從而消除了重放的可能性 。 Kerberos認(rèn)證系統(tǒng) 局限性 第 3講 物理安全與身份認(rèn)證 51 3． 認(rèn)證域之間的信任問(wèn)題： 認(rèn)證域之間的多級(jí)跳躍過(guò)程復(fù)雜且不明確 ， 相互信任和協(xié)調(diào)不方便 。 3) 私有消息傳遞：不僅對(duì)每條消息進(jìn)行認(rèn)證 ， 而且對(duì)每條消息進(jìn)行加密 。 使用共享密鑰 ，Kerberos可以創(chuàng)建消息使一個(gè)當(dāng)事人相信另一個(gè)當(dāng)事人的真實(shí)性 。 Kerberos認(rèn)證系統(tǒng) 概述 Kerberos Client Server 認(rèn)證雙方與 Kerberos的關(guān)系 第 3講 物理安全與身份認(rèn)證 48 在申請(qǐng)認(rèn)證時(shí) ， C和 S都是 Kerberos認(rèn)證服務(wù)的用戶 ， 為了和其它服務(wù)的用戶區(qū)別 ， Kerberos用戶統(tǒng)稱為當(dāng)事人(principle)， principle可以是用戶或者某項(xiàng)服務(wù) ， 當(dāng)用戶登錄到工作站時(shí) ， Kerberos對(duì)用戶進(jìn)行初始認(rèn)證 ， 此后用戶可以在整個(gè)登錄時(shí)間得到相應(yīng)的服務(wù) 。 3)透明性：用戶覺(jué)察不到認(rèn)證服務(wù) ， 只是輸入口令 。 每個(gè)服務(wù)選擇自己信任的計(jì)算機(jī) ， 在認(rèn)證時(shí)檢查主機(jī)地址來(lái)實(shí)現(xiàn)認(rèn)證 。 許可證提供被認(rèn)證的用戶訪問(wèn)一個(gè)服務(wù)時(shí)所需的授權(quán)資格 。 身份認(rèn)證 主體特征認(rèn)證 4）臉型驗(yàn)證 第 3講 物理安全與身份認(rèn)證 44 Kerberos認(rèn)證系統(tǒng) 概述 一 、 Kerberos 簡(jiǎn)介 Kerberos：希臘神話 “ 三個(gè)頭的狗 —— 地獄之門守護(hù)者 ” 有三個(gè)功能：身份認(rèn)證 、 記賬 、 審核 。 身份認(rèn)證 主體特征認(rèn)證 3）視網(wǎng)膜圖樣驗(yàn)證 第 3講 物理安全與身份認(rèn)證 43 利用圖像識(shí)別、神經(jīng)網(wǎng)絡(luò)和紅外掃描探測(cè)，對(duì)人臉的 “熱點(diǎn)”進(jìn)行采樣、處理和提取圖樣信息?？筛鶕?jù)對(duì)圖樣的節(jié)點(diǎn)和分支的檢測(cè)結(jié)果進(jìn)行分類識(shí)別。這種存儲(chǔ)的語(yǔ)音稱作為語(yǔ)音聲紋(Voiceprint)。自動(dòng)指紋認(rèn)證的過(guò)程是按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫(kù)中的模板指紋調(diào)出來(lái)，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出