第5讲 网络环境身份认证 第4章:操作系统基础安全性 第2部分/共5部分.

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介.
我的家乡 南通 ….
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Http://
客户农行绑定流程.
《电算化会计》形成性考核 简易操作流程.
python中使用requests实现自动回帖
基于工作过程的网页设计与网站开发教程 英语等级考试专题学习网站发布测试 主编:张洪斌 刘万辉 机械工业出版社.
实用操作系统概念 张惠娟 副教授 1.
Oracle数据库 Oracle 子程序.
五、学习方法及应考对策 (一)学习方法 1.保证复习时间,吃透教材:上课之前应该对课程相关内容进行预习,把不理解的问题记录下来,带着问题听课。考试之前务必把课本看3遍以上,第一遍一定要精读,最好能做笔记,边读边记,不要快,要记牢。第二、三遍可以查缺补漏型的看,通过做题目看书,加深课本印象。 2.加强概念、理论性内容的重复记忆:概念、理论性内容一般比较抽象,所以在理解的基础上一定要重复记忆,在接受辅导之后,再加以重点记忆,以便及时巩固所学内容,切忌走马观花似的复习,既浪费时间,效果也不好。
Tutorial on Overseas Module User Registration 海外学员注册指南
第十讲公钥加密算法 (续) 公钥密码(续) RSA \ ElGamal algorithms.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第8讲 文件加密与系统审计 第4章:操作系统基础安全性 第5部分/共5部分.
SVN的基本概念 柳峰
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SVN服务器的搭建(Windows) 柳峰
SQL Injection.
Qt网络编程实战之HTTP服务器 安晓辉(foruok)
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
第一单元 初识C程序与C程序开发平台搭建 ---观其大略
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第五讲 四则运算计算器(一) 精品教程《C#程序设计与应用(第2版)清华大学出版社 谭恒松 主编
第17章 网站发布.
PaPaPa项目架构 By:Listen 我在这.
ENS 10.1安装配置指南 王俊涛 | SE.
貨幣需求與貨幣市場的均衡.
Windows 7 的系统设置.
任务1-3 使用Dreamweaver创建ASP网页
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
程序设计工具实习 Software Program Tool
SOA – Experiment 2: Query Classification Web Service
SSL(Security Socket Layer)
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
第二章 登录UNIX操作系统.
電子郵件簡介.
续签协议&修改密码操作手册 GDP项目组 2019/01/30.
第四章 团队音乐会序幕: 团队协作平台的快速创建
DQMClientDim.cxx及双光子练习
基于X-Service的移动服务平台开发
商業行為成立的要件 動動腦 Q 請試著判斷下列何者為商業行為? 請試著判斷下列何者為商業行為?.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
姚金宇 MIT SCHEME 使用说明 姚金宇
工业机器人知识要点解析 (ABB机器人) 主讲人:王老师
IT 安全 第 11节 加密控制.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
Web安全基础教程
你没看到的开幕式 超越电视画面 来自现场的照片.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
iSIGHT 基本培训 使用 Excel的栅栏问题
iReader R6003 外观设计 产品类型:电子书阅读器 建议零售价格:958元 上市时间:2017 年 6 月
OpenStack vs CloudStack
Python 环境搭建 基于Anaconda和VSCode.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
106年免試入學第一次模擬 選填重要日程表說明 1.106年1月10日中午12時~106年1月16日中午12時完成第一次模擬
第四章 UNIX文件系统.
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
第六讲 酒店客房管理系统(二) 教育部“十二五”职业教育国家规划教材
1 Web基础知识 1.1 HTTP协议 1.2 Web服务器和浏览器 1.3 C/S模式与B/S模式 1.4 Web的访问原理
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
Presentation transcript:

第5讲 网络环境身份认证 第4章:操作系统基础安全性 第2部分/共5部分

本讲内容 主题:网络环境身份认证 教材内容: 第4.3节:面向网络的身份认证 第4.4节:基于PAM的统一认证框架 © 2009 电子工业出版社

网络环境中的用户身份认证需求 © 2009 电子工业出版社

例4.9 —网络环境中的身份认证方法 请参考本地主机上的身份认证方法的思路,给出一个在网络环境中进行用户身份认证的方法,要求使同一个合法用户可以在不同的主机上顺利进行身份认证。 © 2009 电子工业出版社

例4.9 —网络环境中的身份认证方法 第一部分:身份认证信息管理 第二部分:客户机软件的功能 第三部分:服务器软件的功能 © 2009 电子工业出版社

例4.9—身份认证信息的管理 帐户信息 口令信息 用户组信息 wenchang:x:500:300:Wenchang Shi:/home/wenchang:/bin/bash wenchang:$1$k7TyrJaO$DS/P61XHIz1xWAqLcdnQz1:14091:0:99999:7::: sisefellow:x:300:wenchang,binliang,zhiyong,zhaohui 帐户信息 口令信息 用户组信息 © 2009 电子工业出版社

例4.9—客户机软件的功能 用户提供的:帐户信息+口令信息 身份认证请求 把请求发送给服务器 由服务器进行身份认证 © 2009 电子工业出版社

例4.9—服务器软件的功能 身份认证请求  帐户信息+口令信息 根据请求中的账户信息和口令信息,结合身份认证信息数据库中的对应信息,判断账户和口令的合法性。 把判断结果返回给客户机 © 2009 电子工业出版社

例4.10—客户机和服务器兼顾的认证 请给出一个在网络环境中的客户机/服务器模式的用户身份认证方法,要求客户机和服务器都可以执行认证工作,允许根据用户来确定哪些认证由服务器执行,哪些认证由客户机执行。 © 2009 电子工业出版社

例4.10—客户机和服务器兼顾的认证 由客户机执行 由服务器执行 表示所有账户 root:x:0:0:root:/root:/bin/bash -wenchang::500:300::: +weinan::501:301::: +::999:999::: 由客户机执行 由服务器执行 表示所有账户 © 2009 电子工业出版社

例4.10—客户机和服务器兼顾的认证 查询本机账户信息,判断是否由本机认证。 若需本机认证,则客户机执行认证。 若需服务器认证,则向服务器发请求(含账户名和口令)。 © 2009 电子工业出版社

例4.10—客户机和服务器兼顾的认证 服务器根据认证请求和认证信息数据库进行认证。 把认证结果返回给客户机。 © 2009 电子工业出版社

网上身份认证系统NIS 美国Sun公司开发的NIS(Network Information Service)系统实现了对例4.10中给出的方法的支持。 © 2009 电子工业出版社

密码体制 秘密密钥密码体制—单钥密码体制 公开密钥密码体制—双钥密码体制 © 2009 电子工业出版社

公钥加密与数字签名 公钥加密 数字签名 © 2009 电子工业出版社

例4.11—Alice与Bob间的互认证与加密通信 设Alice和Bob是网络中需要相互通信的两个实体,请利用公开密钥密码算法和秘密密钥密码算法,给出一个Alice与Bob之间的身份认证和信息加密传输的方法。 © 2009 电子工业出版社

例4.11—Alice与Bob间的互认证与加密通信 Alice的密钥对:KPUB-A,KPRI-A Bob的密钥对:KPUB-B,KPRI-B © 2009 电子工业出版社

例4.11—Alice与Bob间的互认证与加密通信 ① Alice生成会话密钥Ksess,用Bob的公钥KPUB-B加密,结果为: [Ksess]KPUB-B ……⑴ ② Alice用自己的私钥KPRI-A对结果⑴签名,结果为: {[Ksess]KPUB-B}KPRI-A ……⑵ ③ Alice把结果⑵传送给Bob。 ④ Bob用Alice的公钥KPUB-A解开结果⑵,得到结果⑴,证明结果⑵是由Alice发送的,由此确认Alice的身份。Bob用自己的私钥KPRI-B对结果⑴解密,便得到Ksess。 © 2009 电子工业出版社

例4.11—Alice与Bob间的互认证与加密通信 ⑤ Bob用Alice的公钥KPUB-A对Ksess加密,结果为: [Ksess]KPUB-A ……⑶ ⑥ Bob用自己的私钥KPRI-B对结果⑶签名,结果为: {[Ksess]KPUB-A}KPRI-B ……⑷ ⑦ Bob把结果⑷传送给Alice。 ⑧ Alice用Bob的公钥KPUB-B解开结果⑷,得到结果⑶,证明结果⑷是由Bob发送的,由此确认Bob的身份。Alice用自己的私钥KPRI-A对结果⑶解密,便得到Ksess。如果这个Ksess就是Alice原来生成的那个Ksess,则表示,经过协商,Alice和Bob决定使用会话密钥Ksess。 ⑨ Alice和Bob开始进行信息传输,传输的信息采用Ksess进行加密和解密。 © 2009 电子工业出版社

例4.12—网上认证与加密通信 设有一个客户机/服务器模式的网络环境,请给出一个通过服务器认证客户机上的用户的身份的方法,要求不能在网络中传输明文的或者加密过的用户口令。 © 2009 电子工业出版社

例4.12—网上认证与加密通信 在服务器上存放服务器和用户的密钥对。 用户登录时把用口令加密的用户私钥传给用户。 若以输入的口令解密成功,则认证成功。 协商会话密钥后进行加密通信。 © 2009 电子工业出版社

例4.13 —客户机和服务器兼顾的增强认证 设有一个客户机/服务器模式的网络环境,请给出在客户机上登录的用户身份认证方法,要求客户机和服务器都可以执行认证工作,允许根据用户来确定哪些认证由服务器执行,哪些认证由客户机执行,而且,不能在网络中传输明文的或者加密过的用户口令。 © 2009 电子工业出版社

例4.13 —客户机和服务器兼顾的增强认证 在客户机的账户信息中添加标识:+或-,分别标识服务器认证、客户机认证。(见例4.10) 在服务器中保存服务器和客户机的密钥对,客户机私钥加密存放。(见例4.12) 用户登录时, 若需服务器认证,则客户机把账户名信息传给服务器,服务器把密钥信息传给客户机(私钥是加密的)。(见例4.12) 客户机用输入的口令解密私钥,解密成功则认证成功。 若只需客户机认证,则认证直接由客户机实施即可。 © 2009 电子工业出版社

网上身份认证系统NIS+ 美国Sun公司开发的Secure RPC实现了对例4.12中给出的方法的支持,而Sun公司开发的以Secure RPC为基础的NIS+系统实现了对例4.13中给出的方法的支持。 © 2009 电子工业出版社

颐和园游玩的启示 进园:购买门票 划船:在门票的基础上,另外购买船票。 特色服务项目:在颐和园划船 推而广之: 门票  通行证 船票  服务卡 通行证+服务卡  获得特色服务 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 设在一个网络环境中,用户必须拥有服务认可才能获得特定的服务,请给出用户身份认证和服务认证的一种方法,要求不能在网络中传输明文的或者加密过的用户口令,而且,不能使用公开密钥密码算法。 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 ① 用户在客户机上登录时,客户机把用户的帐户名传送给服务器Sauth,请求身份认证。 ② 服务器Sauth验证帐户名的合法性,生成会话密钥Ksess-1和通行证Tgrant,其中,Ksess-1也成为Tgrant中的内容之一。用服务器Sgrant的密钥Kgrant加密Tgrant,结果为: [Tgrant]Kgrant ……⑴ 把Ksess-1和结果⑴组合在一起,并以用户口令Dpw为密钥加密,结果为: [Ksess-1, [Tgrant]Kgrant] Dpw ……⑵ 把结果⑵传送给客户机。 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 ③ 客户机用输入的口令对结果⑵解密,解密成功则表明口令正确,登录成功,得到会话密钥Ksess-1和结果⑴。 客户机生成服务请求Qgrant,用Ksess-1加密,结果为: [Qgrant]Ksess-1 ……⑶ 把结果⑶和结果⑴传送给服务器Sgrant。 ④ 服务器Sgrant用自己的密钥Kgrant对结果⑴解密,得到Tgrant。从Tgrant中得到Ksess-1。用Ksess-1对结果⑶解密得到Qgrant。 根据Qgrant和Tgrant分析服务请求并验证其合法性,生成会话密钥Ksess-2和服务卡Tserv,Ksess-2成为Tserv中的内容之一。用服务器Sserv的密钥Kserv加密Tserv,结果为: [Tserv]Kserv ……⑷ 把Ksess-2和结果⑷组合在一起,用Ksess-1加密,结果为: [Ksess-2, [Tserv]Kserv]Ksess-1 ……⑸ 把结果⑸传送给客户机。 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 ⑤ 客户机用Ksess-1对结果⑸解密,得到会话密钥Ksess-2和结果⑷。客户机生成启动服务的请求Qserv,并用Ksess-2对它加密,结果为: [Qserv]Ksess-2 ……⑺ 把结果⑺和结果⑷传送给服务器Sserv。 ⑥ 服务器Sserv用自己的密钥Kserv对结果⑷解密,得到Tserv。从Tserv中得到Ksess-2。用Ksess-2对结果⑺解密得到Qserv。根据Qserv和Tserv分析启动服务的请求的合法性,如果合法,则启动相应服务。 © 2009 电子工业出版社

面向服务的网上认证系统Kerberos 美国麻省理工学院(MIT)开发的Kerberos认证系统实现了对例4.14中给出的方法的支持。 © 2009 电子工业出版社

插拔式统一认证框架PAM PAM(Pluggable Authentication Modules)是一个统一的身份认证框架。 起初,它是由美国Sun公司为Solaris操作系统开发的。 后来,很多操作系统都实现了对它的支持。 © 2009 电子工业出版社

PAM认证系统的构成 PAM应用编程接口(API) PAM模块(动态装载库),提供以下服务功能支持: PAM配置文件 身份认证(auth) 账户管理(account) 口令管理(password) 会话管理(session) PAM配置文件 © 2009 电子工业出版社

PAM认证系统的工作原理 © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例 UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例 UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so 服务程序的名称 © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例 UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so 服务类型 © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例 UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so Requisite:模块执行失败时报告失败并结束认证。 Required:模块执行失败时报告失败但继续认证。 Sufficient:模块执行成功时报告成功并结束认证。 Optional:模块的执行不影响报告结果和认证过程。 命令控制标记 © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例 UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so 待执行的模块名称及必要的参数 © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例 UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so OpenSSH进行身份认证时,首先执行pam_env模块,然后执行pam_unix模块,如果pam_unix执行成功且pam_env没有失败,则认证结束并报告成功。如果pam_unix执行失败,则接着执行pam_deny模块。 © 2009 电子工业出版社

问题? wenchang@ruc.edu.cn © 2009 电子工业出版社