【正文】 認證 47 什么是 Kerberos Kerberos是網(wǎng)絡(luò)通信提供可信第三方服務(wù)的面向開放系統(tǒng)的認證機制 。 Kerberos認證系統(tǒng) 概述 第 3講 物理安全與身份認證 49 Kerberos保存當事人及其密鑰的數(shù)據(jù)庫 。 Kerberos提供三種安全等級： 1） 只在網(wǎng)絡(luò)開始連接時進行認證 ， 認為連接建立起來后的通信是可靠的 。 Kerberos認證系統(tǒng) 概述 第 3講 物理安全與身份認證 50 1． 時間同步問題： 整個 Kerberos的協(xié)議都嚴重地依賴于時鐘 ， 而實際證明 ，要求在分步式系統(tǒng)環(huán)境中實現(xiàn)良好的時鐘同步 ， 是一個很難的課題 。 針對這種無序的狀況 ， 應(yīng)有規(guī)劃有目的地建立起全球一體化的分層 （ 樹狀 ） 結(jié)構(gòu) ， 形成良好的信任鏈條 。 Kerberos認證系統(tǒng) 局限性 第 3講 物理安全與身份認證 53 5． 密鑰的存儲問題： Kerberos認證中心要求保存大量的共享私鑰 ， 無論是管理還是更新都有很大的困難 ， 需要特別細致的安全保護措施 （ 甚至應(yīng)采用硬件 /物理方法 ） ， 將付出極大的系統(tǒng)代價 。 Kerberos認證系統(tǒng) 局限性 第 3講 物理安全與身份認證 PKI即公開密鑰體系 ， 是一種遵循既定標準的密鑰管理平臺 ， 它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系 ， PKI技術(shù)是信息安全技術(shù)的核心 ， 也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù) 。 ① 認證 。 ② 可以在互連網(wǎng)中構(gòu)建一個完整的授權(quán)服務(wù)體系 。 ③ (1993)信息技術(shù)之開放系統(tǒng)互連：鑒別框架 。 公鑰基礎(chǔ)設(shè)施 PKI 55 第 3講 物理安全與身份認證 （ 2） PKI的體系結(jié)構(gòu) 完整的 PKI系統(tǒng)必須具有權(quán)威認證機構(gòu) 、 數(shù)字證書庫 、 密鑰備份及恢復系統(tǒng) 、證書作廢系統(tǒng) 、 應(yīng)用接口 （ API） 等基本構(gòu)成部分 ， 構(gòu)建 PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建 。 ④ 密鑰和證書的更新 。 公鑰基礎(chǔ)設(shè)施 PKI 56 第 3講 物理安全與身份認證 57 身份認證 — 公鑰證書 （ 亦稱數(shù)字證書 ）： 它是由一個第三方證書授權(quán)中心 (CA)發(fā)行的，經(jīng) CA數(shù)字簽名的包含用戶的公鑰和與用戶身份相關(guān)的信息，是一個實體在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明，具有唯一性。 第 3講 物理安全與身份認證 58 Windows 2023 安全模型的主要特性： 用戶驗證和訪問控制。Win2023 系統(tǒng)使用域名服務(wù) (DNS) 查詢定位最近的可用域控制器。默認情況下，只有域管理員才被賦予該權(quán)限。分派依賴可信任的中級服務(wù)進行分派。 （ 3）授權(quán)驗證。 ? 上網(wǎng)了解 Windows 202 202 2023R2 Server版的相關(guān)知識 。 （ 5）協(xié)同工作能力。 Win2K的 Kerberos V5驗證機制 第 3講 物理安全與身份認證 61 3. Kerberos驗證的好處 （ 1）服務(wù)器更加高效的驗證。 在一個 N 級應(yīng)用程序中，用戶針對中級服務(wù)進行驗證。如果首選 KDC 失效， Windows 2023 系統(tǒng)將確定一個替換 KDC 提供驗證。 Win2023的 Kerberos V5驗證機制 第 3講 物理安全與身份認證 59 1. Kerberos V5 和域控制器 Kerberos V5 服務(wù)安裝在每個域控制器上； Kerberos 客戶機安裝在每個 Windows 2023 工作站和服務(wù)器上。 通常使用的是 符合 。 ⑥ 客戶端軟件 。 ② 證書和證書庫 。 ⑤ OCSP在線證書狀態(tài)協(xié)議 。 （ 1） PKI的標準 從整個 PKI體系建立與發(fā)展的歷程來看 ， 與 PKI相關(guān)的標準主要包括以下幾種： ① (1988) 。 ③ 完整性與不可否認 。 （ 1） PKI技術(shù)的信任服務(wù) 在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中 ， 特別是在電子政務(wù)和電子商務(wù)業(yè)務(wù)中 ， 最需要的安全保證有四個方面：身份標識和認證 、 保密或隱私 、 數(shù)據(jù)完整性和不可否認性 。 所以 ， 必須花一定的系統(tǒng)代價去防范對認證系統(tǒng)本身的集中攻擊 。 我們建議 ， 在 Kerberos引入序列號循環(huán)機制 ， 即讓傳送的消息帶上一定的序列號 ， 這些序列號在由系統(tǒng)循環(huán)地賦予消息 ， 再結(jié)合系統(tǒng)原有的生存期控制 ， 將有效地保證一定的時間段里只能存在唯一的合法消息 ， 從而消除了重放的可能性 。 Kerberos認證系統(tǒng) 局限性 第 3講 物理安全與身份認證 51 3． 認證域之間的信任問題： 認證域之間的多級跳躍過程復雜且不明確 ， 相互信任和協(xié)調(diào)不方便 。 3) 私有消息傳遞：不僅對每條消息進行認證 ， 而且對每條消息進行加密 。 使用共享密鑰 ，Kerberos可以創(chuàng)建消息使一個當事人相信另一個當事人的真實性 。 Kerberos認證系統(tǒng) 概述 Kerberos Client Server 認證雙方與 Kerberos的關(guān)系 第 3講 物理安全與身份認證 48 在申請認證時 ， C和 S都是 Kerberos認證服務(wù)的用戶 ， 為了和其它服務(wù)的用戶區(qū)別 ， Kerberos用戶統(tǒng)稱為當事人(principle)， principle可以是用戶或者某項服務(wù) ， 當用戶登錄到工作站時 ， Kerberos對用戶進行初始認證 ， 此后用戶可以在整個登錄時間得到相應(yīng)的服務(wù) 。 3)透明性：用戶覺察不到認證服務(wù) ， 只是輸入口令 。 每個服務(wù)選擇自己信任的計算機 ， 在認證時檢查主機地址來實現(xiàn)認證 。 許可證提供被認證的用戶訪問一個服務(wù)時所需的授權(quán)資格 。 身份認證 主體特征認證 4）臉型驗證 第 3講 物理安全與身份認證 44 Kerberos認證系統(tǒng) 概述 一 、 Kerberos 簡介 Kerberos：希臘神話 “ 三個頭的狗 —— 地獄之門守護者 ” 有三個功能：身份認證 、 記賬 、 審核 。 身份認證 主體特征認證 3）視網(wǎng)膜圖樣驗證 第 3講 物理安全與身份認證 43 利用圖像識別、神經(jīng)網(wǎng)絡(luò)和紅外掃描探測，對人臉的 “熱點”進行采樣、處理和提取圖樣信息。可根據(jù)對圖樣的節(jié)點和分支的檢測結(jié)果進行分類識別。這種存儲的語音稱作為語音聲紋(Voiceprint)。自動指紋認證的過程是按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫中的模板指紋調(diào)出來，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出