网络安全是指保护计算机网络不受未经授权的访问、破坏、修改或泄露的一系列技术和措施。网络安全可以分为三个方面:网络设备安全、网络软件安全和网络信息安全。
1.基于对称加密的密钥分配
基于密钥分发中心的会话密钥分发机制如下:
密钥分发技术:传递密钥给希望交换数据的双方,不允许其他人看见密钥的方法。
这里存在两种类型的密钥:
会话密钥(session Key):一次性会话使用 $K_s$
永久密钥(permanent Key):用于分发会话密钥
该机制存在重放攻击的可能,解决方案是:时间戳+临时值
2.Kerberos
一种认证服务,支持分布式鉴别,由麻省理工学院设计解决的问题:
在一个分布式的环境中,工作站的用户希望访问分布在网络各处的服务器上的服务。
困难:依靠工作站鉴别不可行
用户可能进入一个特定工作站,冒充该工作站用户;
可能改变工作站的网络地址;
可能窃听并重放。
基本思想:集中认证服务器实现
用户对服务器的认证
服务器对用户的认证
认证服务器提供一种票据(表示已鉴别的令牌,是不能伪造、不能重放、已鉴别的对象),基于对称密钥加密体制
注:
- 口令是集中存在
Kerberos服务器上的,不需在网络上传输ID和AD代表用户+IP地址
Kerberos 的优点:
网络中无口令通信–口令只存放在Kerberos服务器上
有限有效期—每个票据,防止暴力密码分析
时间戳阻止重放攻击—每个请求以请求时刻为标记.
相互鉴别—目标服务器只有在拥有与票据授权服务器共享的密钥时,才能对票据解密,获取会话密钥,用来解密用户请求.同时服务器返回一个用相同的会话密钥加密且包含1+用户时间戳给用户,可以判定服务器是可信的
3.基于非对称加密的密钥分配
- 公钥证书:公钥+公钥所有者的
ID+可信第三方签名
数字证书用于证实用户和公钥之间的绑定关系,包括用户名、公开密钥其他身份信息,由证书颁发机构对之的数字签名。
