网络与信息安全安全基础一

网络与信息安全安全基础一内容摘要：

文和客户算出来的 challenge密文。 如果相等的话，认证成功 NT Workstation认证协议 1. CS ReqChal,Cc SC Cs 2. C、 S计算会话密钥 Ks = E(PW[9..15],E(PW[0..6],Add(Cc,Cs))) 3. C: Rc = Cred(Ks,Cc) CS Authenticate, Rc 4. S: assert(Rc == Cred(Ks,Cc)) Rs = Cred(Ks,Cs), SC Rs C: assert(Rs == Cred(Ks,Cs)) From NT Domain Authentication Kerberos认证协议  Kerberos是一个经过长期考验的认证协议  Kerberos替代 NTLM的原因  功能  委托机制  可传递的信任关系  效率方面  服务器不需要每次都与域控制器联系  标准化 Kerberos概要 认证协议实例分析： HTTP认证协议  Web应用的认证机制  HTTP本身支持的认证协议  SSL协议  HTTP/  Basic Authentication  Digest Access Authentication 认证框架  基本思想： challengeresponse机制，服务器询问客户，客户提供认证信息  指明 authentication scheme  基本过程  当客户请求一个被保护的资源的时候，服务器返回401(Unauthorized)应答消息 应答头中包含一个 WWWAuthenticate域  然后开始认证过程  最后，如果服务器不能接受客户的 credential， 则应该返回一个 401消息，继续下一轮的认证  说明  Proxy在中间必须是透明的 认证框架 (续 )  一些消息类型  认证方案： authscheme = token authparam = token = ( token | quotedstring )  询问： challenge = authscheme 1*SP 1authparam  提供范围信息 (域 ) realm = realm = realmvalue realmvalue = quotedstring  客户提供认证信息 credentials = authscheme authparam Basic Authentication  认证的思想：对于每一个域 (realm)， 客户都需要提供一个用户 ID和口令  服务器检查用户 ID和口令  消息  challenge = “Basic” realm  credential = “Basic” basiccredentials Basic Authentication(续 )  过程  服务器发出 challenge， 例如 WWWAuthenticate: Basic realm=“xxx(URI)  客户收到之后，发送应答 basiccredentials = base64userpass base64userpass = base64 [4] encoding of userpass, except not limited to 76 char/line userpass = userid : password userid = *TEXT excluding : password = *TEXT  例如，如果用户 id为 aladdin， 口令为“ open sesame”， 则消息如下 Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== 插： Base64和 Radix64编码  特点：  转换到字符集，而不是字符集的编码  目标字符集包括 65个可打印字符，其中一个用于 padding， 其他的可用 6位表达  不包括控制字符，所以不怕传输过程中被滤掉  没有使用“ ”字符，避免与 RFC 822冲突  转换：  3个 8位 =24位 ——〉 4个 6位，每个 6位转换到一个字符，最终得到 4个字符，如果用 ASC码来表达，则为 4个字节 编码表 二进制数据的 Base64编码 数据尾部的编码处理  编码时，按 24位进行处理，到最后可能出现三种情况：  最后一组正好是 24位，则无需特殊处理  最后一组是 16位，则前两个 6位组按正常情形处理，剩下的 4位补上两位 0，当作一组编码，然后再补上一个 ‘ =’  最后一组是 8位，则第一个 6位组正常处理，剩下 2位补上 4位 0，当作一组编码，然后，再补上两个 ‘ =’ 作为输出。 Digest Access Authentication  仍然基于一个简单的 challengeresponse结构  但是它用一个 nonce值作为 challenge  应答是一个 hash值 (缺省 MD5算法 )，包括 用户名、口令、 nonce值、 HTTP方法、以及被请求的 URI  好处  口令不在网上传输 Digest Access Authentication  Hash值的编码 。