Kerberos身份认证协议的改进

Kerberos 身份认证协议的改进 摘 要 本文首先介绍了 Kerberos 身份认证协议 指出了该协议存在的局限性 并提出了几种改进方案对 Kerberos 协议进行改进 在一定程度上消除了密钥在交换 存储和管理方面带来的安全上的隐患 提高了身份认证系 统的安全性 关键词 Kerberos 协议 身份认证 改进方案 0 引言 随着网络技术的发展 网络安全的地位尤为突出 网 络操作系统的安全直接关系到企业网络的安全 作为安全 服务中的一种实体认证变得尤为重要 在一个公开的分布 式网络环境中 工作站上的用户希望访问分布在网络上的 服务器资源 但网络上的资源仅允许授权用户的特定权限 的访问 因此 在分布式网络中 必须提供一种机制来对 用户的身份进行认证 1 Kerberos 身份认证 Kerberos 是为 TCP IP 网络而设计的基于 Client Server 模式的三方验证协议 广泛应用于 Internet 服务的访问 网 络中的 Kerberos 服务起着可信仲裁者的作用 Kerberos 基 于对称密码体制 可提供安全的客体认证 Kerberos 是一种适于在公共网络上进行分布计算的工业 标准的安全认证系统 是由 MIT 推出的基于可信赖第三方 的用户认证系统 客户在登录时 需要认证即用户必须获 得由认证服务器发行的许可证 才能使用目标服务器上的 服务 许可证提供被认证的用户访问一个服务时所需的授 权资格 所有客户和服务器间的会话都是暂时的 Kerberos 协议通过网络通信的实体可以互相证明彼此 的身份 可以抵抗旁听和重放等方式的攻击 并且还可以 保证通信数据的完整性和保密性 它广泛应用于 Internet 服 务的安全访问 具有 高度的安全性 可靠性 透明性和 可伸缩性 等优点 目前许多远程访问认证服务系统都支 持 Kerberos 认证协议 2 Kerberos 身份认证的改进 2 1 基于对称密码体制的 Kerberos 协议的改进 1 基于对称密码体制的 Kerberos 协议利用公开密钥加密 进行对称加密密钥分配 该方法是在通信双方通过公开密 钥证书得到对方的公开密钥的基础上实现的 2 2 基于 ECC AES 的数据传输加密的 Kerberos 改进方 案 2 在 Kerberos 认证协议中 全都采用公开密钥密码体制 传送机密信息是不够安全的 在传送机密信息的 Client Server 双方 如果使用某个对称密钥密码体制并同时 使用不对称密钥密码体制传送对称密钥密码体制的密钥 就可以综合发挥两种密码体制的优点 即对称密钥密码体 制的高速性 简便性和不对称密钥密码体制的密钥管理的 方便性 安全性 基于 ECC AES 的数据传输加密的 Kerberos 改进方案综 合 AES 和 ECC 的优点 得到一种新的加密方案 其基本原 理为 数据在 Kerberos Client Server 双方通信之前 发送方 随机生成一个加密密钥 用 AES 算法对需传送的数据加密 然后再用 ECC 算法对该密钥进行加密并实现数字签名 这 样接收方在接收到该密文和被加了密的密钥后 同样用 ECC 解密出此随机密钥 再用此随机密钥对密文解密 这样的 加密方案既有 AES 算法的快捷特点 又有 ECC 算法的保密 性和方便性特点 2 3 基于 RSA 协议的 Kerberos 协议的改进 基于 RSA 协议的 Kerberos 与单纯的 Kerberos 协议相比 Kerberos RSA 以密码强度更高 密钥分配更具优越性的 RSA 算法为加密和签名工具 对票证和验证码的形式以及验证 协议做了改进 票证带有开票方的签名且用服务器的公钥 加密 既使得服务器能验证该票证是否是臆定的开票方签 发的 又能保证票证中信息 比如会话密钥 的安全 开 票方将票证传给客户时 又以签名的方式进行传输 使得 客户能够判断该票是否是臆定的开票方签发的以及是否被 修改过验证码与票证一起使用 使服务器能验证客户身份 并判断该客户与票证合法所有者是否相同 防止攻击者非 法使用他人票证 这样 Kerberos RSA 有效地保证了验证过 程的安全性 真实性和可靠性 2 4 基于 RSA AES 数据加密传输的 Kerberos 改进方案 基于 RSA AES 数据加密传输的 Kerberos 协议的基本原 理是 数据在 Kerberos Client Server 双方通信之前 生成一 个随机加密密钥 用 AES 算法对需传送的数据加密 然后 再用 RSA 算法对该密钥进行加密 并实现数字签名 这样 接收方在接收到该密文和被加了密的密钥后 同样用 RSA 解密出此随机密钥 再用此随机密钥对密文解密 2 5 在 Kerberos 的基础上采用了 Yaksha 算法的思想 采用 Yaksha 算法的思想 3 联网时不使用口令提高了 安全性 在认证过程中 由用户对自已加益的时间峨进行 验证 解决了 Kerberos 的时间同步的问题 并有效的防止 了重放攻击 3 总结 Kerberos 协议作为一种主要的身份认证系统协议 自诞 生以来已得到广泛的应用 增强了网络通信安全 但此协 议本身存在无法克服的缺陷 特别是 Kerberos 设计之初是 建立在单密钥体制基础之上的 本文深入研究了的 Kerberos 身份认证协议 并指出了 其多方面的局限性 提出了多种方法对 Kerberos 协议进行 改进 在一定程度上消除了密钥在交换 存储和管理方面 带来的安全上的隐患 提高了身份认证系统的安全性 总之 身份认证只是网络安全技术的一部分 它需要 结合其他的防护措施和技术来保证网络的安全 随着 Internet 和密码学技术的发展 还会有新的改进措施和身份 认证技术不断的出现 参考文献 1 戈军 基于 Kerberos 身份认证的分析和改进 J 沈阳工 程学院学报 自然科学版 2006 7 3 2 邓永江 程转流 一个改进的 Kerberos 认证协议设计 与