计算机网络安全课件(沈鑫剡)第3章精选.pptVIP

* 授权用户的标志是注册信息库中存有用户名和对应的口令； 认证服务器确认为授权用户的标志是使用户拥有密钥KTGS； 通行证服务器确认用户具有访问应用服务器V的权限的标志是使用户拥有密钥KV。 应用服务器提供服务的依据是用户拥有密钥KV。 Kerberos * TLS TLS记录协议是TLS的传输协议，用于传输上层协议数据单元（PDU）； TLS握手协议、安全参数切换协议完成对服务器身份认证、安全参数协商（加密解密算法、压缩算法和密钥等）功能； 报警协议用于在用户和服务器之间传输出错信息； 在TLS完成服务器身份认证、安全参数协商后，用户和服务器之间可以必威体育官网网址传输HTTP报文。 基于TCP/IP的TLS协议结构 * TLS记录协议报文封装过程 TLS 内容类型：上层协议报文类型； 主版本号：2； 次版本号：1； 压缩长度：加密运算前上层消息长度； TLS记录协议报文格式 * 对于TCP，TLS记录协议报文就是数据段，由TCP实现TLS记录协议报文的排序、检错和可靠传输。 对于基于链路层协议的TLS记录协议报文传输过程，每一个TLS记录协议报文作为链路层帧的净荷，必须完整包含上层协议消息。 TLS * TSL的作用是实现通信双方身份认证和加密解密算法及密钥等安全参数的约定； 认证身份的关键是用证书证明客户C和服务器V与公钥PKC和PKV的绑定，同时证实客户C和服务器V拥有PKC和PKV对应的私钥SKC和SKV； 以双方交换的随机数为随机数种子，产生密钥； 最后证实双方新的安全参数相同。 TLS * 这是以种子和密钥作为随机数种子，产生任意长度随机数的伪随机数生成算法； HAMC保证随机数种子和随机数一一对应，且又无法根据随机数推导出随机数种子。 TLS * EAP和802.1X 实现不同认证机制需要交换的认证消息均可封装成EAP报文； EAP报文作为不同链路层帧的净荷，可以通过不同的网络实现传输。 EAP封装不同认证机制认证消息的过程 * 通过反复的请求和响应过程交换认证消息； 不同认证机制需要交换不同的认证消息，有着不同的请求响应过程； EAP报文作为对应链路层帧净荷，才能通过互连用户和认证者的网络实现传输过程。 EAP和802.1X * EAP和802.1X 协议字段值C227表明PPP帧净荷是EAP报文； 当EAP报文中的类型字段值为4时，表明采用CHAP认证机制，EAP报文中数据字段内容为CHAP相关认证数据。 EAP报文封装成PPP帧过程 * 用户A和远程用户接入设备之间是点对点语音信道； 基于点对点语音信道的链路层协议是PPP； EAP报文封装成PPP帧； EAP的请求/响应模式及EAP报文中封装的数据和采用的认证机制－CHAP有关。 EAP和802.1X 数据字段给出随机数：challenge 数据字段给出： MD5(标识符‖challenge‖口令） * 交换机端口逻辑上分为受控端口、非受控端口，受控端口必须在完成接入者身份认证后，才能正常输入/输出数据帧，非受控端口只能接收EAP报文和广播帧； EAP报文封装成以太网MAC帧； EAP报文中的数据字段值和采用的认证机制相关； 可以统一由认证服务器完成用户身份认证，这种情况下，认证者作为中继系统完成EAP报文用户和认证服务器之间的转发功能。 EAP和802.1X * EAP和802.1X EAP报文封装成MAC帧过程 类型字段值888E表明MAC帧净荷是EAP报文； 版本字段值固定为2； 报文类型：0－报文体是EAP报文，1－报文体是EAPOL-Start，2－报文体是EAPOL-Logoff，3 －报文体是EAPOL-Key，4 －报文体是EAPOL-ASF-Alert； 报文体和长度由报文类型决定。 * EAP和802.1X 数据字段给出随机数：challenge 数据字段给出： MD5(标识符‖challenge‖口令） 用户A和远程用户接入设备之间是以太网； EAP报文封装成MAC帧； EAP的请求/响应模式及EAP报文中封装的数据和采用的认证机制－CHAP有关。 * EAP和802.1X 802.1X是基于端口认证协议，一旦确定连接用户身份，端口处于正常转发状态，这对于通过以太网接入Internet的用户是不适用的； 基于MAC地址的802.1X作了调整，用户一旦通过认证，其MAC地址记录在端口的访问控制列表中，只有源地址包含在访问控制列表中的MAC帧，才能正常转发。 * RADIUS 由接入控制设备（如宽带接入服务器）实现用户注册和认证是不适当的，因为，用户是移动的，不会和单一接入控制设备绑定在一起； 为了统一用户注册和认证，也需要设置独立的认证服务器； 讨论了基于特定传输网络传输EAP报文的机制，如何实现基于互连网的EAP报文传输？RADIUS。 *