第5讲网络环境身份认证第4章：操作系统基础安全性第2部分/共5部分.

第5讲网络环境身份认证第4章：操作系统基础安全性第2部分/共5部分

本讲内容主题：网络环境身份认证教材内容：第4.3节：面向网络的身份认证第4.4节：基于PAM的统一认证框架
© 2009 电子工业出版社

例4.9 —网络环境中的身份认证方法第一部分：身份认证信息管理第二部分：客户机软件的功能第三部分：服务器软件的功能

例4.9—身份认证信息的管理帐户信息口令信息用户组信息
wenchang:x:500:300:Wenchang Shi:/home/wenchang:/bin/bash wenchang:$1$k7TyrJaO$DS/P61XHIz1xWAqLcdnQz1:14091:0:99999:7::: sisefellow:x:300:wenchang,binliang,zhiyong,zhaohui 帐户信息口令信息用户组信息 © 2009 电子工业出版社

例4.9—客户机软件的功能用户提供的：帐户信息+口令信息 身份认证请求把请求发送给服务器由服务器进行身份认证

例4.9—服务器软件的功能身份认证请求  帐户信息+口令信息
根据请求中的账户信息和口令信息，结合身份认证信息数据库中的对应信息，判断账户和口令的合法性。把判断结果返回给客户机 © 2009 电子工业出版社

例4.10—客户机和服务器兼顾的认证由客户机执行由服务器执行表示所有账户
root:x:0:0:root:/root:/bin/bash -wenchang::500:300::: +weinan::501:301::: +::999:999::: 由客户机执行由服务器执行表示所有账户 © 2009 电子工业出版社

例4.10—客户机和服务器兼顾的认证查询本机账户信息，判断是否由本机认证。若需本机认证，则客户机执行认证。
若需服务器认证，则向服务器发请求（含账户名和口令）。 © 2009 电子工业出版社

例4.11—Alice与Bob间的互认证与加密通信
设Alice和Bob是网络中需要相互通信的两个实体，请利用公开密钥密码算法和秘密密钥密码算法，给出一个Alice与Bob之间的身份认证和信息加密传输的方法。 © 2009 电子工业出版社

① Alice生成会话密钥Ksess，用Bob的公钥KPUB-B加密，结果为： [Ksess]KPUB-B ……⑴ ② Alice用自己的私钥KPRI-A对结果⑴签名，结果为： {[Ksess]KPUB-B}KPRI-A ……⑵ ③ Alice把结果⑵传送给Bob。 ④ Bob用Alice的公钥KPUB-A解开结果⑵，得到结果⑴，证明结果⑵是由Alice发送的，由此确认Alice的身份。Bob用自己的私钥KPRI-B对结果⑴解密，便得到Ksess。 © 2009 电子工业出版社

⑤ Bob用Alice的公钥KPUB-A对Ksess加密，结果为： [Ksess]KPUB-A ……⑶ ⑥ Bob用自己的私钥KPRI-B对结果⑶签名，结果为： {[Ksess]KPUB-A}KPRI-B ……⑷ ⑦ Bob把结果⑷传送给Alice。 ⑧ Alice用Bob的公钥KPUB-B解开结果⑷，得到结果⑶，证明结果⑷是由Bob发送的，由此确认Bob的身份。Alice用自己的私钥KPRI-A对结果⑶解密，便得到Ksess。如果这个Ksess就是Alice原来生成的那个Ksess，则表示，经过协商，Alice和Bob决定使用会话密钥Ksess。 ⑨ Alice和Bob开始进行信息传输，传输的信息采用Ksess进行加密和解密。 © 2009 电子工业出版社

例4.12—网上认证与加密通信在服务器上存放服务器和用户的密钥对。用户登录时把用口令加密的用户私钥传给用户。
若以输入的口令解密成功，则认证成功。协商会话密钥后进行加密通信。 © 2009 电子工业出版社

例4.13 —客户机和服务器兼顾的增强认证在客户机的账户信息中添加标识：+或-，分别标识服务器认证、客户机认证。（见例4.10）
在服务器中保存服务器和客户机的密钥对，客户机私钥加密存放。（见例4.12）用户登录时，若需服务器认证，则客户机把账户名信息传给服务器，服务器把密钥信息传给客户机（私钥是加密的）。（见例4.12）客户机用输入的口令解密私钥，解密成功则认证成功。若只需客户机认证，则认证直接由客户机实施即可。 © 2009 电子工业出版社

颐和园游玩的启示进园：购买门票划船：在门票的基础上，另外购买船票。特色服务项目：在颐和园划船推而广之：门票  通行证
船票  服务卡通行证+服务卡  获得特色服务 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 ① 用户在客户机上登录时，客户机把用户的帐户名传送给服务器Sauth，请求身份认证。
② 服务器Sauth验证帐户名的合法性，生成会话密钥Ksess-1和通行证Tgrant，其中，Ksess-1也成为Tgrant中的内容之一。用服务器Sgrant的密钥Kgrant加密Tgrant，结果为： [Tgrant]Kgrant ……⑴ 把Ksess-1和结果⑴组合在一起，并以用户口令Dpw为密钥加密，结果为： [Ksess-1, [Tgrant]Kgrant] Dpw ……⑵ 把结果⑵传送给客户机。 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 ③ 客户机用输入的口令对结果⑵解密，解密成功则表明口令正确，登录成功，得到会话密钥Ksess-1和结果⑴。客户机生成服务请求Qgrant，用Ksess-1加密，结果为： [Qgrant]Ksess-1 ……⑶ 把结果⑶和结果⑴传送给服务器Sgrant。 ④ 服务器Sgrant用自己的密钥Kgrant对结果⑴解密，得到Tgrant。从Tgrant中得到Ksess-1。用Ksess-1对结果⑶解密得到Qgrant。根据Qgrant和Tgrant分析服务请求并验证其合法性，生成会话密钥Ksess-2和服务卡Tserv，Ksess-2成为Tserv中的内容之一。用服务器Sserv的密钥Kserv加密Tserv，结果为： [Tserv]Kserv ……⑷ 把Ksess-2和结果⑷组合在一起，用Ksess-1加密，结果为： [Ksess-2, [Tserv]Kserv]Ksess-1 ……⑸ 把结果⑸传送给客户机。 © 2009 电子工业出版社

例4.14—身份认证+服务认证=服务认可 ⑤ 客户机用Ksess-1对结果⑸解密，得到会话密钥Ksess-2和结果⑷。客户机生成启动服务的请求Qserv，并用Ksess-2对它加密，结果为： [Qserv]Ksess-2 ……⑺ 把结果⑺和结果⑷传送给服务器Sserv。 ⑥ 服务器Sserv用自己的密钥Kserv对结果⑷解密，得到Tserv。从Tserv中得到Ksess-2。用Ksess-2对结果⑺解密得到Qserv。根据Qserv和Tserv分析启动服务的请求的合法性，如果合法，则启动相应服务。 © 2009 电子工业出版社

面向服务的网上认证系统Kerberos 美国麻省理工学院（MIT）开发的Kerberos认证系统实现了对例4.14中给出的方法的支持。

插拔式统一认证框架PAM PAM（Pluggable Authentication Modules）是一个统一的身份认证框架。
起初，它是由美国Sun公司为Solaris操作系统开发的。后来，很多操作系统都实现了对它的支持。 © 2009 电子工业出版社

PAM认证系统的构成 PAM应用编程接口（API） PAM模块（动态装载库），提供以下服务功能支持： PAM配置文件身份认证（auth）
账户管理（account）口令管理（password）会话管理（session） PAM配置文件 © 2009 电子工业出版社

例4.15—PAM配置文件/etc/pam.conf中示例
UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so © 2009 电子工业出版社

UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so 服务程序的名称 © 2009 电子工业出版社

UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so 服务类型 © 2009 电子工业出版社

UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so Requisite：模块执行失败时报告失败并结束认证。 Required：模块执行失败时报告失败但继续认证。 Sufficient：模块执行成功时报告成功并结束认证。 Optional：模块的执行不影响报告结果和认证过程。命令控制标记 © 2009 电子工业出版社

UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so 待执行的模块名称及必要的参数 © 2009 电子工业出版社

UNIX系统中为OpenSSH服务程序定义的配置信息 sshd auth required /lib/security/pam_env.so sshd auth sufficient /lib/security/pam_unix.so likeauth nullok sshd auth required /lib/security/pam_deny.so sshd account required /lib/security/pam_unix.so sshd password required /lib/security/pam_cracklib.so retry=3 sshd password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow sshd password required /lib/security/pam_deny.so sshd session required /lib/security/pam_limits.so sshd session required /lib/security/pam_unix.so OpenSSH进行身份认证时，首先执行pam_env模块，然后执行pam_unix模块，如果pam_unix执行成功且pam_env没有失败，则认证结束并报告成功。如果pam_unix执行失败，则接着执行pam_deny模块。 © 2009 电子工业出版社

第5讲网络环境身份认证第4章：操作系统基础安全性第2部分/共5部分.

Similar presentations

Presentation on theme: "第5讲网络环境身份认证第4章：操作系统基础安全性第2部分/共5部分."— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

第5讲 网络环境身份认证 第4章：操作系统基础安全性 第2部分/共5部分.

Similar presentations

Presentation on theme: "第5讲 网络环境身份认证 第4章：操作系统基础安全性 第2部分/共5部分."— Presentation transcript:

Similar presentations

About project

反馈

第5讲网络环境身份认证第4章：操作系统基础安全性第2部分/共5部分.

Presentation on theme: "第5讲网络环境身份认证第4章：操作系统基础安全性第2部分/共5部分."— Presentation transcript: