【正文】 os認(rèn)證系統(tǒng) 概述 一 、 Kerberos 簡(jiǎn)介 Kerberos：希臘神話 “ 三個(gè)頭的狗 —— 地獄之門(mén)守護(hù)者 ” 有三個(gè)功能：身份認(rèn)證 、 記賬 、 審核 。 每個(gè)服務(wù)選擇自己信任的計(jì)算機(jī) ， 在認(rèn)證時(shí)檢查主機(jī)地址來(lái)實(shí)現(xiàn)認(rèn)證 。 Kerberos認(rèn)證系統(tǒng) 概述 Kerberos Client Server 認(rèn)證雙方與 Kerberos的關(guān)系 第 3講 物理安全與身份認(rèn)證 48 在申請(qǐng)認(rèn)證時(shí) ， C和 S都是 Kerberos認(rèn)證服務(wù)的用戶 ， 為了和其它服務(wù)的用戶區(qū)別 ， Kerberos用戶統(tǒng)稱(chēng)為當(dāng)事人(principle)， principle可以是用戶或者某項(xiàng)服務(wù) ， 當(dāng)用戶登錄到工作站時(shí) ， Kerberos對(duì)用戶進(jìn)行初始認(rèn)證 ， 此后用戶可以在整個(gè)登錄時(shí)間得到相應(yīng)的服務(wù) 。 3) 私有消息傳遞：不僅對(duì)每條消息進(jìn)行認(rèn)證 ， 而且對(duì)每條消息進(jìn)行加密 。 我們建議 ， 在 Kerberos引入序列號(hào)循環(huán)機(jī)制 ， 即讓傳送的消息帶上一定的序列號(hào) ， 這些序列號(hào)在由系統(tǒng)循環(huán)地賦予消息 ， 再結(jié)合系統(tǒng)原有的生存期控制 ， 將有效地保證一定的時(shí)間段里只能存在唯一的合法消息 ， 從而消除了重放的可能性 。 （ 1） PKI技術(shù)的信任服務(wù) 在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中 ， 特別是在電子政務(wù)和電子商務(wù)業(yè)務(wù)中 ， 最需要的安全保證有四個(gè)方面：身份標(biāo)識(shí)和認(rèn)證 、 保密或隱私 、 數(shù)據(jù)完整性和不可否認(rèn)性 。 （ 1） PKI的標(biāo)準(zhǔn) 從整個(gè) PKI體系建立與發(fā)展的歷程來(lái)看 ， 與 PKI相關(guān)的標(biāo)準(zhǔn)主要包括以下幾種： ① (1988) 。 ② 證書(shū)和證書(shū)庫(kù) 。 通常使用的是 符合 。如果首選 KDC 失效， Windows 2023 系統(tǒng)將確定一個(gè)替換 KDC 提供驗(yàn)證。 Win2K的 Kerberos V5驗(yàn)證機(jī)制 第 3講 物理安全與身份認(rèn)證 61 3. Kerberos驗(yàn)證的好處 （ 1）服務(wù)器更加高效的驗(yàn)證。 ? 上網(wǎng)了解 Windows 202 202 2023R2 Server版的相關(guān)知識(shí) 。分派依賴(lài)可信任的中級(jí)服務(wù)進(jìn)行分派。Win2023 系統(tǒng)使用域名服務(wù) (DNS) 查詢(xún)定位最近的可用域控制器。 公鑰基礎(chǔ)設(shè)施 PKI 56 第 3講 物理安全與身份認(rèn)證 57 身份認(rèn)證 — 公鑰證書(shū) （ 亦稱(chēng)數(shù)字證書(shū) ）： 它是由一個(gè)第三方證書(shū)授權(quán)中心 (CA)發(fā)行的，經(jīng) CA數(shù)字簽名的包含用戶的公鑰和與用戶身份相關(guān)的信息，是一個(gè)實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明，具有唯一性。 公鑰基礎(chǔ)設(shè)施 PKI 55 第 3講 物理安全與身份認(rèn)證 （ 2） PKI的體系結(jié)構(gòu) 完整的 PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu) 、 數(shù)字證書(shū)庫(kù) 、 密鑰備份及恢復(fù)系統(tǒng) 、證書(shū)作廢系統(tǒng) 、 應(yīng)用接口 （ API） 等基本構(gòu)成部分 ， 構(gòu)建 PKI也將圍繞著這五大系統(tǒng)來(lái)著手構(gòu)建 。 ② 可以在互連網(wǎng)中構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系 。 Kerberos認(rèn)證系統(tǒng) 局限性 第 3講 物理安全與身份認(rèn)證 PKI即公開(kāi)密鑰體系 ， 是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái) ， 它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系 ， PKI技術(shù)是信息安全技術(shù)的核心 ， 也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù) 。 針對(duì)這種無(wú)序的狀況 ， 應(yīng)有規(guī)劃有目的地建立起全球一體化的分層 （ 樹(shù)狀 ） 結(jié)構(gòu) ， 形成良好的信任鏈條 。 Kerberos提供三種安全等級(jí)： 1） 只在網(wǎng)絡(luò)開(kāi)始連接時(shí)進(jìn)行認(rèn)證 ， 認(rèn)為連接建立起來(lái)后的通信是可靠的 。 Kerberos認(rèn)證系統(tǒng) 概述 第 3講 物理安全與身份認(rèn)證 47 什么是 Kerberos Kerberos是網(wǎng)絡(luò)通信提供可信第三方服務(wù)的面向開(kāi)放系統(tǒng)的認(rèn)證機(jī)制 。 第 3講 物理安全與身份認(rèn)證 45 Kerberos的產(chǎn)生背景 用戶需要從多臺(tái)計(jì)算機(jī)得到服務(wù) ， 控制訪問(wèn)的方法有三種： a) 認(rèn)證工作由用戶登錄的計(jì)算機(jī)來(lái)管理 ， 服務(wù)程序不負(fù)責(zé)認(rèn)證 ， 這對(duì)于封閉式網(wǎng)絡(luò)是可行的方案 。將用于銀行等的身份識(shí)別系統(tǒng) 中。 身份認(rèn)證 主體特征認(rèn)證 2）語(yǔ)音驗(yàn)證 第 3講 物理安全與身份認(rèn)證 42 人的視網(wǎng)膜血管（即視網(wǎng)膜脈絡(luò)）的圖樣具有良好的個(gè)人特征。更高級(jí)的身份驗(yàn)證是根據(jù)被授權(quán)用戶的個(gè)人特征來(lái)進(jìn)行的確證，它是一種可信度高而又難以偽造的驗(yàn)證方法，這種方法在刑事案件偵破中早就采用了。 身份認(rèn)證 智能卡 第 3講 物理安全與身份認(rèn)證 33 IC卡基本原理 身份認(rèn)證 智能卡 第 3講 物理安全與身份認(rèn)證 34 IC卡操作系統(tǒng)的典型模塊結(jié)構(gòu) IC卡接口設(shè)備 身份認(rèn)證 智能卡 第 3講 物理安全與身份認(rèn)證 35 IC卡認(rèn)證是 IC卡和應(yīng)用終端之間通過(guò)相應(yīng)的認(rèn)證過(guò)程來(lái)相互確認(rèn)合法性，目的在于防止偽造應(yīng)用終端及相應(yīng)的 IC卡。為避免對(duì)口令的字典攻擊，口令應(yīng)當(dāng)保證一定的長(zhǎng)度，并且盡量采用隨機(jī)的字符。 根據(jù)安全水平、系統(tǒng)通過(guò)率、用戶可接受性、成本等因素，可以 選擇適當(dāng)?shù)慕M合設(shè)計(jì)實(shí)現(xiàn)一個(gè)自動(dòng)化身份證明系統(tǒng)。 一般方法是輸入個(gè)人信息 ， 經(jīng)運(yùn)算所得的結(jié)果與從卡上或庫(kù)中存的信息經(jīng)公式和算法運(yùn)算所得結(jié)果進(jìn)行比較 ， 得出結(jié)論 。 身份認(rèn)證概述 2）對(duì)身份證明系統(tǒng)的要求 第 3講 物理安全與身份認(rèn)證 27 （ 4） 計(jì)算有效性 ， 為實(shí)現(xiàn)身份證明所需的計(jì)算量要小 。 容災(zāi) 第 3講 物理安全與身份認(rèn)證 23 第 4章 身份認(rèn)證的主要內(nèi)容 身份認(rèn)證 Kerberos認(rèn)證系統(tǒng) 公鑰基礎(chǔ)設(shè)施 PKI 第 3講 物理安全與身份認(rèn)證 24 身份認(rèn)證概述 身份認(rèn)證 又稱(chēng)作識(shí)別 (Identification)、實(shí)體認(rèn)證 (Entity Authentication)、身份證實(shí) (Identity Verification)等。 ?鏡像：把一份工作交給兩個(gè)相同的部件同時(shí)執(zhí)行。 4） 對(duì)存放有重要信息的磁盤(pán) 、 磁帶 、 光盤(pán) ， 要備份兩份并分兩處保管 。 對(duì)設(shè)備的物理訪問(wèn)權(quán)限限制在最小范圍內(nèi) 。接地可以為計(jì)算機(jī)系統(tǒng)的數(shù)字電路提供一個(gè)穩(wěn)定的 0V參考電位，從而可以保證設(shè)備和人身的安全，同時(shí)也是防止電磁信息泄漏的有效手段。 16 第 3講 物理安全與身份認(rèn)證 電源系統(tǒng)安全技術(shù) 防靜電措施 不同物體間的相互摩擦、接觸會(huì)產(chǎn)生能量不大但電壓非常高的靜電。重要的計(jì)算機(jī)系統(tǒng)安放處還應(yīng)配備專(zhuān)用的空調(diào)系統(tǒng)，它比公用的空調(diào)系統(tǒng)在加濕、除塵等方面有更高的要求。 外來(lái)人員進(jìn)入辦理相關(guān)手續(xù)。