沈鑫剡编著(网络安全)教材配套课件第5章.pptx

网络安全;第5章 接入控制和访问控制;5.1 身份鉴别;一、 身份鉴别定义和分类;一、 身份鉴别定义和分类;二、主体身份标识信息;二、主体身份标识信息;三、单向鉴别过程;三、单向鉴别过程;三、单向鉴别过程;四、双向鉴别过程;四、双向鉴别过程;四、双向鉴别过程;五、第三方鉴别过程;五、第三方鉴别过程;五、第三方鉴别过程;5.2 Internet接入控制过程;一、终端接入Internet需要解决的问题;一、终端接入Internet需要解决的问题;一、终端接入Internet需要解决的问题;一、终端接入Internet需要解决的问题;二、 PPP与接入控制过程;二、 PPP与接入控制过程;二、 PPP与接入控制过程;二、 PPP与接入控制过程;二、 PPP与接入控制过程;5.3　EAP和802.1X;一、引出EAP的原因;一、引出EAP的原因;一、引出EAP的原因;二、 EAP操作过程;二、 EAP操作过程;三、 EAP over PPP;三、 EAP over PPP;四、802.1X操作过程;四、802.1X操作过程;四、802.1X操作过程;四、802.1X操作过程;四、802.1X操作过程;5.4 RADIUS;一、RADIUS功能;1．本地鉴别和统一鉴别 本地鉴别方式由接入控制设备完成对接入用户的身份鉴别过程，因此，对于允许同一用户多点接入Internet的情况，如果采用本地鉴别方式，每一个接入控制设备中需要存储所有接入用户的身份标识信息。 统一鉴别方式设置鉴别服务器，由鉴别服务器统一管理用户，完成对用户的身份鉴别、授权和计费操作。;一、RADIUS功能;二、RADIUS消息格式、类型和封装过程;二、RADIUS消息格式、类型和封装过程;二、RADIUS消息格式、类型和封装过程;二、RADIUS消息格式、类型和封装过程;三、RADIUS应用;5.5 Kerberos和访问控制过程;一、访问控制过程;一、访问控制过程;一、访问控制过程;二、鉴别服务器实施统一身份鉴别机制;设置统一的鉴别服务器，鉴别服务器中给出授权用户身份标识信息和授权访问的应用服务器； 鉴别服务器通过用户C与鉴别服务器之间的共享密钥KC,AS实现对用户C的身份鉴别； 应用服务器1和2通过与鉴别服务器之间的共享密钥K1,AS和K2,AS建立信任关系； 票据1必须证实两点：一是票据1由鉴别服务器签发，二是用户C具有访问应用服务器1的权限，且票据1中的信息能够证明票据1的拥有者是用户C； 鉴别信息1向应用服务器证实该访问请求确实由用户C发送 票据1＝EK1,AS（IDC‖ADC‖KC,1‖TS‖TE）； 鉴别信息1＝EKC,1（IDC‖ADC‖T‖SEQ）。 ;2．鉴别服务器实施用户权限鉴别的缺陷 一是一次事务中，如果用户需要访问多个应用服务器，同样需要进行多次身份鉴别过程。二是将用户身份标识信息和用户访问权限集中在鉴别服务器中，会使得鉴别服务器成为应用系统的性能瓶颈。 ;三、 Kerberos身份鉴别和访问控制过程;１．用户身份鉴别 鉴别服务器发送给用户C的票据TicketTGS证实：一是票据TicketTGS由鉴别服务器签发，用于向票据授权服务器证明用户C的身份，二是该票据由用户C拥有； 用户C通过证明已经获得会话密钥KC,TGS证明自己是用户C。;２．获取访问应用服务器票据 票据TicketTGS用于证实票据确实由鉴别服务器签发，由用户C拥有，用于证明用户C的身份和用户C访问票据授权服务器TGS的权限； 鉴别信息用于证实访问权限鉴别请求确实由用户C生成和发送； 票据TicketV表明用户C具有访问应用服务器IDV的权限。;３．访问应用服务器 票据TicketV证实用户C具有访问应用服务器的权限； 鉴别信息AUTHC2证实该访问请求确实由用户C生成和发送； 应用服务器IDV用票据授权服务器TGS动态生成???用户C与应用服务器IDV之间的会话密钥KC,V来证实自己的身份。