安全协议复习修订版

PAP验证用户以明文的形式把用户名和口令传递给NAS。NAS把用户名和加密过的口令放到包的相应属性中传递给RADIUS服务器。RADIUS服务器返回结果。NAS来决定是否允许用户上网。把口令加密passwdXORmd5(S||RA)S是共享秘密，RA是一次性随机值PAP：anAccess-RequestUDPpacketTheRequestAuthenticatorisa16octetrandomnumbergeneratedbytheNAS.TheUser-Passwordis16octetsofpasswordpaddedatendwithnulls,XORedwithMD5(sharedsecret|RequestAuthenticator).010000380f403f9473978057bd83d5cb98f4227a01066e656d6f02120dbe708d93d413ce3196e43f782a0aee0406c0a801100506000000031Code=Access-Request(1)1ID=02Length=5616RequestAuthenticatorAttributes:6User-Name=nemo18User-Password6NAS-IP-Address=192.168.1.166NAS-Port=3PAP：anAccess-AcceptUDPpacketTheResponseAuthenticatorisa16-octetMD5checksumofthecode(2),id(0),Length(38),theRequestAuthenticatorfromabove,theattributesinthisreply,andthesharedsecret.0200002686fe220e7624ba2a1005f6bf9b55e0b20606000000010f06000000000e06c0a801031Code=Access-Accept(2)1ID=0(sameasinAccess-Request)2Length=3816ResponseAuthenticatorAttributes:6Service-Type(6)=Login(1)6Login-Service(15)=Telnet(0)6Login-IP-Host(14)=192.168.1.3CHAP:ChallengeandResponseTheResponseValueistheone-wayhashcalculatedoverastreamofoctetsconsistingoftheIdentifier,followedby(concatenatedwith)thesecret,followedby(concatenatedwith)theChallengeValue.ThelengthoftheResponseValuedependsuponthehashalgorithmused(16octetsforMD5).||当用户请求上网时，NAS产生一个16字节的随机码给用户。用户端得到这个包后使用MD5生成一个response传给NAS（还有ID/username等信息）。NAS把传回来的username和ID/Response作为用户名和口令，并把原来的16字节随机码传给RADIUS服务器。RADIUS根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的Password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问（Challenge）。Pam由四部分组成第一部分是libpam,是实现PAMAPI的库，第二部分是PAM配置文件，/etc/pam.conf,第三部分有一套动态可装载两进位对象组成，常常用来调用一些处理实际鉴别(authentication)工作的服务模块。最后模块是使用PAMAPI的系统命令组成，如login,us,ftp,telnetetcHTTP是最常用的SOAP消息传送机制，而SSL(HTTPS)可以保证HTTP消息（包含SOAP消息）在传输层的安全性，进而保证SOAP消息的安全性，包括：认证机制、机密性和完整性。但是SSL有以下几点局限性：只适用于HTTP，不适用于JMS,SMTP等其他消息传送机制；只提供点对点(Point-to-Point)的安全性；只能对整个消息进行加密，不能针对消息的某一部分进行加密。LDAP是一种较为简单的基于TCP/IP的DAP版本，主要用于因特网，用来查询私有目录和开放X.500目录上的数据DAP是directoryaccessprotocol的缩写，意为：目录访问协议。属于ISO/ITU-TX.500协议，LDAP的基础。XKMS的主要目标在应用程序与PKI解决方案之间创建一个抽象层，允许应用程序根据需要采用不同的PKI解决方案，而不需要对应用程序本身作任何修改，以降低开发、推广和部署成本。将复杂性从客户机应用程序转移到基础设施层，从而允许应用程序更简单、更小巧，更利于小设备利用PKI。提供一种基于XML的简单协议，使应用程序不必理解复杂的PKI语法和语义。平台无关、供应商无关和传输协议无关。//接口XKMS是基于XML的密钥管理规范是针对XML应用优化的新一代PKI服务体系和接口。可以在客户端到客户端、服务器到客户端、服务器到服务器等连接中实施。XKMS利用一个基于XML的协议取代了许多PKI协议和数据格式。证书撤销清单CRL在线证书状态协议OCSP轻型目录访问协议LDAP证书管理协议简单证书注册协议PKCS#10在使用XKMS时，客户端和服务器共享XKMS服务来相互验证和处理相互之间的请求。XML密钥注册服务规范(X-KRSS)批量注册密钥规范(X-Bulk)()XML密钥信息服务规范(X-KISS)有两种方式将密钥注册到XKMS服务客户自己生成密钥对。XKMS服务为客户机生成密钥对（私钥可恢复）X-KRSS服务规范定义了四种操作：注册（Register）重新发行（Reissue）撤销（Revoke）恢复（Recover）仅在XKMS服务为客户机生成密钥对时有效XML密钥对的批量注册可以处理客户机和服务器生成的密钥对的批量注册。X-Bulk处理在一条请求消息内同时注册多个密钥对，而X-KRSS只处理一次注册一个密钥对的情况。X-Bulk规范定义了一个批量元素这种元素可以有多个注册请求或者多个服务器响应，所有这些请求或响应都遵从XKMS消息格式。与X-KRSS一样，X-Bulk服务支持所有四种操作注册（Register）/重新发行（Reissue）撤销（Revoke）/恢复（Recover）为客户机应用程序认证经过加密/签名的数据。客户机通过将相应的密钥信息传递给服务提供程序来认证经过加密或签名的数据。而服务提供程序则以true或false响应。X-KISS服务规范定义了下面两种操作：定位（Locate）：定位操作解析可能与XML加密或XML签名有关的ds:KeyInfo元素，但是没有证明ds:KeyInfo元素中数据绑定的有效性。确认（Validate）：定位操作能做的一切该操作都能做，而且还可以做更多的事情。而确认操作不仅可以搜索ds:KeyInfo元素所对应的公钥，而且还保证它返回的密钥绑定信息是值得信任的。XMLSignature规范是将数字签名和XML组合而成的产物但不仅仅是将数字签名技术应用于XML文件XMLSignature的功能：可以对整个文件做签名，也可以对XML文件中的任一元素做签名。可以对任何能够以URI形式定位的资源做签名，可以是非XML形式的资源(比如一个图形文件)，只要能被URI定位到的资源都可以，这也代表了XML签名的对象可以是动态的变化。XMLSignature既可以用非对称密钥做签名，也可以用对称密钥做签名(HMAC)。PMI授权管理基础设施（PrivilegeManagementInfrastructure）PMI授权技术的基本思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构去管理，即由资源的所有者来进行访问控制管理。与PKI信任相比，两者的区别主要在于PKI证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；而PMI则证明这个用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在属性证书（又称管理证书）中。SAML即安全断言标记语言，英文全称是SecurityAssertionMarkupLanguage。它是一个基于XML的标准，用于在不同的安全域(securitydomain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identityprovider)和服务提供者(serviceprovider)，这两者构成了前面所说的不同的安全域。SAML（SecurityAssertionMarkupLanguage）是一个XML框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也可以采用SAML来传输，传输的数据以XML形式，符合SAML规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解SAML规范即可，显然比传统的方式更好。SAML主要包括三个方面：1.认证申明。表明用户是否已经认证，通常用于单点登录。2.属性申明。表明某个Subject的属性。3.授权申明。表明某个资源的权限。钓鱼式攻击（Phishing，与钓鱼的英语fishing发音一样，又名“网钓法”或“网络网钓”，以下简称网钓）是一种企图从电子通信中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。手段：链接操控，过滤器规避，网站伪造，电话网钓对策：协助识别合法网站安全浏览的保全模型基础漏洞浏览器提醒用户欺诈网站增加密码登录消除网钓邮件监测和移除ASN.1是描述数据的表示、编码、传输、解码的灵活标准，它提供了一套正式、无歧义和精确的规则以描述独立于特定计算机硬件的对象结构。ASN.1是ISO(/OSI)和ITU-T的联合标准1984年的CCITTX.409:1984的一部分后由其广泛应用，1988年成为独立标准X.2081995年进行全面修订后变成X.680系列标准ASN.1只定义表示信息的抽象句法，不限定其编码的方法。①.WS安全:–XMLSignature:XML签名XMLSignature规范是将数字签名和XML组合而成的产物但不仅仅是将数字签名技术应用于XML文件XMLSignature的功能：可以对整个文件做签名，也可以对XML文件中的任一元素做签名。可以对任何能够以URI形式定位的资源做签名，可以是非XML形式的资源(比如一个图形文件)，只要能被URI定位到的资源都可以，这也代表了XML签名的对象可以是动态的变化。XMLSignature既可以用非对称密钥做签名，也可以用对称密钥做签名(HMAC)。XML签名提供完整、信息认证,和/或认证服务,为数据的签名者任何类型,是否包括区域范围内的XML签名或者其他地方。–XMLEncrypt：XML加密XMLEncrypt用于对对数据加密并得到XML文档数据可以任意数据(包括一个XML文档),一个XML元素或XML元素的内容。加密数据的结果是一个XML元素或参考包含加密密码的数据。–WebServiceSecurityWS-Security规范主要描述了用XMLSignature和XMLEncryption，结合已有的安全技术(Kerberos,X.509,SAML)，并把它们绑定到SOAP中，来保证WebService消息的完整性(Integrity)和机密性–SAML：SAML断言——安全标记语言可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可