freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

結(jié)合公鑰認(rèn)證方案的kerberos研究(編輯修改稿)

2025-06-16 20:00 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 GS 通信時(shí)使用的票據(jù)以及會(huì)話密鑰的過(guò)程,在 RFC1510 中被稱(chēng)為認(rèn)證服務(wù)交換。 用戶進(jìn)行網(wǎng)絡(luò)登錄時(shí),需要輸入用戶名和口令,客戶方通過(guò)發(fā)出消息KRB_AS_REQ 向 AS 申請(qǐng) TGT, AS 以消息 KRB_AS_REQ 作為響應(yīng)。 KRB_AS_REQ 中主要包含有客戶方名字,服務(wù)器名字和一個(gè) Nonce,這里的服務(wù)器是特殊的服務(wù)器(票據(jù)發(fā)放服務(wù)器 TGS)。 AS 收到請(qǐng)求后判斷請(qǐng)求的客戶方確實(shí)存在,然后隨機(jī)生成一個(gè)加密密鑰 Kc,tgs 作為下一階段客戶方與 TGS 通信時(shí)使用的會(huì)話密鑰,構(gòu)造一個(gè)特殊的票據(jù) TGT。 TGT 中列出了客戶方,會(huì)話密鑰,以及開(kāi)始和時(shí)效時(shí)間等信息,用 TGS 的秘密密鑰進(jìn)行加密。 AS 將新的會(huì)話密鑰和 Nonce 用客戶方的密鑰 Kc 加密,完成一個(gè)簡(jiǎn)單的挑戰(zhàn) /響應(yīng)過(guò)程以保證消息的新鮮性,再將這些消息與 TGT 一起構(gòu)成 KRB_AS_REQ 作為消息 2送回給客戶方??蛻舴接?jì)算機(jī)利用用戶輸入的口令變換出 K。就能獲得會(huì)話密鑰 Kc,tgs,并且從 Nonce 可以驗(yàn)證該消息是新鮮的,確信獲得的 TGT 是剛從 AS最新生成的。 服務(wù)器票據(jù)的獲得 消息 3和 4構(gòu)成了服務(wù)器票據(jù)交換過(guò)程,使客戶方向 TGS 請(qǐng)求與最終應(yīng)用服務(wù)器進(jìn)行通信所需要的票據(jù)和會(huì)話密鑰的過(guò)程。票據(jù)發(fā)放服務(wù)交換是在客戶方與TGS 之間進(jìn)行的消息交換,當(dāng)客戶方需要與某個(gè)特定的服務(wù)器進(jìn)行通信時(shí)需要向TGS 申請(qǐng)?jiān)L問(wèn)該服務(wù)所需要的票據(jù)。對(duì)已有的票據(jù)進(jìn)行更新,確認(rèn)等也可以利用這一交換。 TGS 交換的消息的格式與 AS交換的消息的格式相類(lèi)似,但是有一個(gè)顯著的區(qū)別在于這里使用的加密解密密鑰是會(huì)話密鑰而不是客戶方的共享密鑰。 TGS交換由 KRB_TG_REQ和 KRB_TG_REP兩個(gè)消息組成在 KRB_TG_REQ中包含有客戶方訪問(wèn) TGS 的 TGT,需要訪問(wèn)的服務(wù)器名字,保證消息新鮮性的 Nonce 以及一個(gè)身份認(rèn)證者 (就是用會(huì)話密鑰簽名的客戶方信息 ),這是為了保證這些數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。 TGS用自己的密鑰 Ktgs驗(yàn)證了 TGT后獲得會(huì)話密鑰和客戶方要訪問(wèn)的應(yīng)用服務(wù)器名稱(chēng),從數(shù)據(jù)庫(kù)中獲得應(yīng)用服務(wù)器的密鑰 K:后隨機(jī)生成客戶方與應(yīng)用服務(wù)器之間通信用的會(huì)話密鑰和票據(jù)。 TGS 將客戶與服務(wù)器之間使用的新的會(huì)話密鑰和 Nonce 用它從客戶方發(fā)過(guò)來(lái)的 TGT 中獲得的會(huì)話密鑰 Kc,tgs 加密后與新的服務(wù)器票據(jù)一起構(gòu)成響應(yīng)消息 KRB_TGS_REP 傳回給客戶方,完成 TGS 交換。 應(yīng)用服務(wù)請(qǐng)求 經(jīng)過(guò) AS交換和 TGS 交換后,客戶方獲得了與服務(wù)器方進(jìn)行通信所需要的票據(jù)和會(huì)話密鑰。下面只要通過(guò)客戶 /服務(wù)器認(rèn)證交換就可以完成雙方的認(rèn)證過(guò)程??蛻?/服務(wù)器認(rèn)證交互是由 KRB_TG_REQ 和 KRB_AP_REP 兩個(gè)消息組成的,其中后一個(gè)消息只是在需要雙向認(rèn)證,服務(wù)器向客戶證實(shí)自己的身份時(shí)才使用的,對(duì)應(yīng)于圖 21 中的消息 5和 6。 KRB_AP_REQ 的結(jié)構(gòu)很簡(jiǎn)單,包含 有認(rèn)證者信息和提交給服務(wù)器的票據(jù)。票據(jù)本身己經(jīng)完全能夠證明客戶方的身份,認(rèn)證者標(biāo)記這是防止票據(jù)被篡改。服務(wù)器通過(guò)解密 KRB_AP_REQ 中的認(rèn)證者標(biāo)記獲得客戶方的時(shí)間標(biāo)記或者是序列號(hào),將這些信息用會(huì)話密鑰加密后就構(gòu)成了消息 KRB_AP_REP??蛻舴奖A粲凶罱舾煞昼妰?nèi)所有接收到的時(shí)間標(biāo)記或者序列號(hào)的最大值,來(lái)防止重放攻擊。 第三章 Kerberos 協(xié)議安全分析和改進(jìn)措施 網(wǎng)絡(luò)安全技術(shù) 課程論文 — 5 — Kerberos 協(xié)議安全分析 盡管 Kerberos 的公開(kāi)報(bào)告 [STEI88]聲稱(chēng) Kerberos 具有“高度的安全性、可靠性、透 明性和可伸縮性 :如果系統(tǒng)自身是安全的,則 Kerberos 身份驗(yàn)證服務(wù)就是安全的”等優(yōu)點(diǎn),但從第二章的 Kerberos 系統(tǒng)具體的密鑰分配、認(rèn)證過(guò)程和攻擊的角度來(lái)看, Kerberos 的局限性也是比較明顯的 [10],有以下幾個(gè)方面存在不足之處 : : 整個(gè) Kerberos 的協(xié)議都嚴(yán)重地依賴(lài)于時(shí)鐘,實(shí)際證明,要求在分布式系統(tǒng)環(huán)境中實(shí)現(xiàn)良好的時(shí)鐘同步,是一個(gè)很難的課題,而且大多數(shù)網(wǎng)絡(luò)的時(shí)間協(xié)議都是不安全的。但這并不是說(shuō) Kerberos 沒(méi)有出路可言。如果能夠?qū)崿F(xiàn)一種基于安全機(jī)制的時(shí)間服務(wù),或是研制一種相對(duì) 獨(dú)立于計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境、且基于一種或幾種世界標(biāo)準(zhǔn)時(shí)鐘的,能夠準(zhǔn)確進(jìn)行時(shí)間轉(zhuǎn)化和時(shí)間服務(wù)的聯(lián)機(jī)物理時(shí)鐘,這種問(wèn)題將得到較好的解決。 : Kerberos 的口令沒(méi)有進(jìn)行額外的特殊處理,攻擊者可以收集大量的許可證,通過(guò)計(jì)算和密鑰分析進(jìn)行口令猜測(cè)。攻擊者使用強(qiáng)力攻擊 (即窮舉法 )的時(shí)間復(fù)雜度僅和用戶口令的長(zhǎng)度成比例。若是增加密鑰長(zhǎng)度換取更高的安全,會(huì)造成用戶的使用困難和增加系統(tǒng)加 /解密開(kāi)銷(xiāo)。 : 認(rèn)證域之間的多級(jí)跳躍過(guò)程復(fù)雜且不明確,相互信任和協(xié)調(diào)不方便。若各Kerberos 區(qū) 域形成復(fù)雜或不規(guī)則的網(wǎng)狀結(jié)構(gòu),則要求方便的域間服務(wù),將付出極大的代價(jià),即系統(tǒng)的可擴(kuò)充性不強(qiáng)。針對(duì)這種無(wú)序的狀況,應(yīng)有規(guī)劃有目的地建立起全球一體化的分層 (樹(shù)狀 )結(jié)構(gòu),形成良好的信任鏈條。 : Kerberos 認(rèn)證中心要求保存大量的共享私鑰,隨網(wǎng)絡(luò)用戶數(shù)量的增加,密鑰管理與分配較復(fù)雜,需要特別細(xì)致的安全保護(hù)措施 (甚至應(yīng)采用硬件 /物理方法 ),將付出極大的系統(tǒng)代價(jià)。 、完整性問(wèn)題 : 對(duì) Kerberos 系統(tǒng)程序進(jìn)行攻擊,特別是惡意篡改登錄程序,是有效的攻擊方法。所以,必須花一定的 系統(tǒng)代價(jià)去防范對(duì)認(rèn)證系統(tǒng)本身的集中攻擊。其中,
點(diǎn)擊復(fù)制文檔內(nèi)容
環(huán)評(píng)公示相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1