網路環境的身份認證機制,可以從三個部分來看:身份認證資訊管理(就是金鑰,口令等資訊如何存,存在哪兒)、客戶端和伺服器端。在了解身份認證機制之前,首先介紹下加密。
加密可以簡單地分為對稱密碼體制(也叫單鑰加密)和非對稱密碼體制(也叫雙鑰加密):簡單地說,對稱密碼體制就是加密解密採用相同金鑰的加密方法;非對稱密碼體制就是加密解密採用不同金鑰的加密方法。其中,對稱密碼體制效率高,可以用於對大量資料的加密,而非對稱密碼體制開銷比較大,效率不高。而非對稱密碼體制又可以分為兩種,即公鑰加密和數字簽名:公鑰加密是指加密的時候採用公開的金鑰,解密的時候採用私有的金鑰;數字簽名是指加密的時採用私有金鑰,解密的時採用公開金鑰的方法。公鑰加密和數字簽名分別用於不同的應用場景:公鑰加密是一種主要用於確定收信人的方法,具體地,好多人都可以用a的公鑰對某資訊進行加,密然後將資訊發給a,但是只有用a的私鑰才可以將資訊正確解密,而a的私鑰只有a本人才有(不然怎麼叫私鑰呢),這樣就可以保證只有a才可以收到該資訊;數字簽名是一種主要用來確定發信人的方法,具體地,a用自己的私鑰對某資訊加密後,發給了多個收信人(都有a的公鑰),收信人用a的公鑰對該資訊進行解密,這樣只有a發的資訊才可以被收信人解密,從而保證了發信人只能是a。
網路通訊肯定要求時效性,因此採用的肯定是對稱金鑰體制。然而兩者如何協商通訊採用的金鑰呢?接下來解決這個問題,如下圖。
如圖,假定網路上要進行通訊的兩個人是alice和bob。首先由alice生成乙個會話金鑰ksess,對改金鑰用bob的公鑰進行加密,然後對該結果用其私鑰進行加密後發給bob。bob收到後,用alice的公鑰對其解密(解密成功,說明該資訊來自於alice),然後對該結果用其私鑰對其解密,從而得到會話金鑰ksess。然後bob用alice的公鑰對ksess進行加密,並對該結果用自己的私鑰加密後發給alice。alice收到後,用bob的公鑰對其解密(解密成功,說明來自bob),然後對該結果用自己的私鑰解密,從而得到ksess。將該結果和一開始發出的ksess比對,兩者相同說明,bob已經收到了自己發的會話金鑰並確認。最後alice和bob就可以用該會話金鑰相互傳遞資訊。
網路身份認證 Kerberos配置及認證
教材 資訊系統安全概論 windows域下kerberos的實現,對使用者是否透明,盡可能多的描述細節。學習kerberos的安裝和配置方法,掌握和了解kerberos的工作原理和實現原理,使用kerberos實現網路身份認證。1 閱讀教材4.6節內容,分別說明客戶機與三類伺服器所需完成的任務及以及...
網路嗅探與身份認證
實驗目的 1 通過使用wireshark軟體掌握sniffer 嗅探器 工具的使用方法,實現捕捉http等協議的資料報,以理解tcp ip協議中多種協議的資料結構 通過實驗了解http等協議明文傳輸的特性。2 研究交換環境下的網路嗅探實現及防範方法,研究並利用arp協議的安全漏洞,通過arpspoo...
網路安全 1 身份認證
網路資料安全 身份認證 使用證書進行身份認證 使用公開的證書 使用預設定的證書 在搭建vpn伺服器的時候,也可以通過手動在本地儲存對方伺服器的證書,從而在之後進行雙方伺服器的身份認證。伺服器都先在本地生成公私鑰對,然後將公鑰拷貝到對方的機器上,這樣之後在進行通訊的時候,就可以使用公私鑰對來進行身份確...