但是你服务器在国外,可以当做你为国外网站,因为整个是否备案的审核过程是由服务器提供商进行的,而国外无备案这一规定,因此您的提供商显然不可能进行备案审核,因此法律不禁则为充许的原则下,您的网站服务器在国外是合法的身份认证是访问控制和审计的前提。身份认证概述:证实主体的真实身份与其所声称的身份是否相符的过程,是用户对资源访问的第一道关卡,是访问控制和审计的前提。身份认证(1)认证系统组成:认证服务器、认证系统用户端软件、认证设备、认证协议(2)认证依据:根据安全从低到高依次为用户所知、用户所有、用户特征(3)认证机制:非密码、基于密码算法、零知识证明协议访问控制的概念:依据授权规则,对提出的资源访问加以控制,如限制访问主体对任何资源的未授权访问,决定用户能做什么访问控制的组成访问控制三要素:主体、客体、安全访问策略形式化描述:三元函数f(s,a,o)Kerberos的认证原理:
Kerberos采用可信赖第三方服务器进行密钥分发和身份确认,包括:
① 对用户认证
② 对应用服务的提供者进行认证。
此外,还可根据用户要求提供客户/服务器间的数据加密与完整性服务。
RFC1510协议文件对V5作了如下说明:
Kerberos提供了在开放型网络中进行身份认证的方法,认证实体可以是用户或用户服务。这种认证不依赖宿主机的 *** 作系统或主机的IP地址,不需要保证网络上所有主机的物理安全性,并且假定数据包在传输中可被随机窃取篡改。
2�Kerberos的主要概念及一个工作
模型
DES:对信息加密的算法。V4只支持这一DES(数据加密标准)算法,V5采用独立的加密模块,可用其它加密算法替换。
主体Principal:用户或服务,具体格式为〈登录名Primary name,实体名lnstance,域名realm〉
许可证Ticket:向Kerberos server认证的凭证。
格式〈Primary name,会话密钥Sessionkey,时间戳Timestamp〉会话密钥Session key:两个主体通信的临时密钥。
KDC(密钥发送中心):包括认证服务器AS(Authenticatin server)
用于用户的初始认证服务。
和TGS(Ticket Granting server)许可证认证服务器。
AS和TGS同驻于一台主机上。
认证符Authenticator用户创建的令牌。发送给服务器用于证明用户身份
格式〈primary name ,timestamp>
一个Kerberos服务器也称为密钥分发中心KDC,维护着一个数据库里面保存着所辖域内的用户及服务器的DES密钥。DES密钥基于用户口令而生。用户首次注册时,系统根据用户口令生成密钥。应用服务器向KDC注册也生成密钥,这个密钥既存放在KDC上,也存于该服务器的主机上。
现在假定一用户需要某应用服务器提供服务,工作模型如下:
从此例可以看出,基于Needham-schroeder密钥协议的Kerberos系统保障了网络传输和通信的安全。
但用户的负担十分繁重:用户的目的是得到应用服务器S的服务,却不得不积极地申请许可证!
在KerberosV4版里,为防止“重放”攻击,nonce由时间戳实现,这就带来了时间同步问题。即使利用网络时间协议(Network Time Protocol)或国际标准时间(Coordinated universal time)能在一定程度上解决时间同步问题,用户需要承担的责任也令人忍受。
Kerberos V5 版允许nonce可以是一个数字序列,但要求它唯一。由于服务器无法保证不同用户的nonce不冲突,偶然的冲突可能将合法用户的服务器申请当作重放攻击而拒之门外。
简言之,从没有网络安全知识的用户角度来看,Kerberos以加大用户参与安全保证的力度(而他们并不具备这方面的知识更没有耐心)来保障通信的安全,这种做法并不可行。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)