应用层安全协议-Kerberos

一、应用层安全协议

1.S-HTTP与HTTPS

（1）S-HTTP

S-HTTP（安全超文本传输协议）是 HTTP 的扩展，是一个面向报文的安全通信协议，使用TCP协议的端口80，位于应用层。

（2）HTTPS

HTTPS 是 HTTP + SSL，使用 TCP 协议的 443 端口，由于SSL的快速发展，使得 HTTPS 基本取代了S-HTTP。

① TLS（传输层安全协议）

是更为安全的升级版 SSL。 SSI7TLS 在Web安全通信中被称为HTTPS。 位于传输层。

2.PGP

是一个电子邮件加密软件包。 它提供应用层安全服务。

（1）优点

① 跨平台且免费，并且得到许多制造商的支持。

② 基于比较安全的加密算法（RSA、IDEA、MD5）。（用摘要算法从明文提取）

③ 具有广泛的应用领域，既可加密文件，也可以用于个人安全通信。

④ 该软件包不是由政府或标准化组织开发和控制的，这一点对于具有自由倾向的网民特具吸引力。

（2）PGP提供2种服务

① 数据加密

数据加密机制可以应用于本地存储的文件，也可以应用于网络上传输的电子邮件。

② 数字签名

数字签名机制用于数据源身份认证和报文完整性验证。

（3）PGP认证加密验证

PGP使用RSA公钥证书进行身份认证，使用IDEA(128位密钥)进行数据加密，使用MD5进行数据完整性验证。

3.SET（安全电子交易）

保证在互联网上进行安全的支付商业 活动。 它提供应用层安全服务。

（1）提供三种服务

① 在交易涉及的各方之间提供安全信道。 ② 使用 X.509 数字证书实现安全的电子交易。（在X.509标准中，数字证书的一般格式包含的数据域有版本号、序列号、签名算法、发行者、有效期、主体名、公钥、发行者ID、主体ID、扩展域和认证机构的签名。） ③ 保证信息的机密性。

二、Kerberos认证服务

是麻省理工为校园网用户访问服务器进行身份认证设计的安全认证协议。

1.Kerberos安全机制

（1）AS（认证服务器）

Authentication Server，为用户发放 TGT的服务器。

（2）TGS（票证授予服务器，加密解密）

负责发放访问应用服务器时需要的票证。

（3）KDC（密钥分发中心）

认证服务器 和 票证授予服务器 组成密钥分发中心（Key Distribution Center,KDC）。

（4）V（用户请求访问的应用服务器）

（5）TGT初始认证信息

Ticket Granting Ticket，用户向TGS证明自己身份的初始票据，即Ktgs（A，Ks）。

2.认证流程（重点）

PC端向AS（认证服务器）发送明文认证身份，AS会将它传给KDC（密钥分发中心），KDC就会注册PC端相关的账号和密码，然后返回给AS，AS再交给PC端； PC端访问TGS（票证授予服务器），TGS会返回给PC两个票据（1个是会话的密钥，1个是票据），TGS拿着票据交给目标（如谷歌浏览器），谷歌浏览器返回应答。

Kerberos认证流程.jpg

3.防止重放攻击

在Kerberos系统中，使用一次性密钥和时间戳来防止重放攻击。