See Data：密码行业系列深度报告(32页).pdf

1、密码行业深度报告之密码行业深度报告之 PKI系统结构 PKI介绍 行业发展 01 0204 目录 客户分析03 PKIPKI结构结构 当前，网络安全在某种意义上已经成为一个事关国家安全和社会经济稳定的重大问题，受到越来越 多的重视。在网络安全中，身份认证是第一道，甚至是最重要的一道防线。身份认证就是在网络系统 中通过某种手段确认操作者身份的过程，其目的在于判明和确认通信双方和信息内容的真实性。 一般情况下，用户在访问系统之前，首先 要经过身份认证系统来识别身份，而后才 能访问监视器。根据用户的身份和授权数 据库来决定用户是否有权访问某个资源， 审计系统记录用户的请求和行为，同时入 侵检测系统会

2、实时或非实时地检测是否有 入侵行为。可以看出，身份认证是网络安 全体系中的第一道关卡，其它的安全服务 如访问控制、审计等都依赖于它。一旦非 法用户通过了身份认证，就会对系统和资 源的安全构成极大的威胁。因此，身份认 证是网络安全中的一个重要环节。 在整个安全系统中，身份认证技术是重点，基本安全服务就是身份认证，其他安全服务也 都建立在身份认证的基础上。这使得身份认证系统具有十分重要的地位，也最容易遭受攻击。 因此，建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基 于口令的身份认证机制、挑战/响应认证机制、基于DCE/Kerberos的认证机制以及基于公共 密钥的认证

3、机制。 PKIPKI机制机制 （1 1）基于口令的认证）基于口令的认证机制：机制：基于口令的身份认证技术一般包括账户名和密码，用户通过固定 的用户名确认身份信息，通过密码验证是否是本人。因简单易用，基于口令的身份认证技术 是目前使用最为广泛的身份认证方式，一般包括基于静态口令的认证方式和动态口令认证。 基于口令的身份认证系统简单效率高，但安全性比较差，仅依赖于口令，口令一旦泄露，用 户即可被冒充。容易受到攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻 击等很容易攻破该认证系统。 （2 2）基于挑战）基于挑战/ /响应的认证响应的认证机制：机制：基于挑战/响应的身份认证机制，即认证服

4、务器端向客户端 发送不同的挑战码，客户端程序收到挑战码后，根据客户端和服务器之间共享的密钥信息， 以及服务器端发送的挑战码，做出相应应答。服务器根据应答的结果确定是否接受客户端的 身份声明。本质上讲，这种机制也是一次性口令。 PKIPKI机制机制 具体认证过程为：1）客户向认证服务器发出请求，要求进行身份认证；2）认证服务器 从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；3）认证服务器内 部产生一个随机数，作为挑战码，发送给客户；4）客户将用户名字和随机数合并，使用单 向Hash函数（例如MD5算法）生成一个字节串作为应答；5）认证服务器将应答串与自己的 计算结果比较，若二

5、者相同，则通过一次认证；否则，认证失败；6）认证服务器通知客户认 证成功或失败。 基于挑战/响应认证机制的身份认证系统 一定程度上加强了安全性，但并不能完全 阻止黑客破坏。比如未验证黑客身份为超 级用户，黑客有可能使用拒绝服务性的攻 击方式，使得授权用户不能通过认证。 PKIPKI机制机制 （3 3）基于基于DCE/KerberosDCE/Kerberos的的认证认证机制：机制：Kerberos是为解决分布式网络认证而设计的可信第三方认证协议。 网络上的每个实体持有不同的密钥，是否知道该密钥便是身份的证明。网络上的Kerberos服务起着可信仲 裁者的作用，可提供安全的网络认证。 与传统的认证

6、协议相比，Kerberos协议具有一系列的优势。首先，它支持双向的身份认证，而大部分传统 的认证协议都是基于服务器可信的网络环境，往往都是只验客户，但客户无法验证服务器。Kerberos协议 中只有AS和TGS是可信的，网络的所有工作站、服务器都是不可信的。当用户与服务器进行交互时， Kerberos为客户抵挡了网络恶意攻击和欺骗。其次，Kerberos实现了一次性签放，在有效期内可多次使 用。假如用户在一个开放网络环境中需要访问多个服务器，如查询邮件、打印文件、访问FTP等都在不同 的服务器上，用户通过AS申请TGS的证书后，在有效期内利用该证书与TGS多次请求不同访问授权票据。 降低了用户