基于公钥密码的Kerberos认证协议研究

基于公钥密码的Kerberos认证协议研究

任敏[1]2006年在《基于公钥密码的Kerberos认证系统的研究》文中指出计算机网络有效地实现了资源共享,也随之带来了一系列信息安全问题。在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客攻击,成为网络安全的主要内容。网络信息安全技术一般包括身份认证、授权控制、审计、数据保密和数据完整性等几个方面。其中,身份认证是网络安全的基石,其它的安全服务都要依赖于它。身份认证协议以及系统的安全性和可扩展性,已经成为了影响网络进一步发展的重要因素。Kerberos是基于可信第叁方KDC的认证协议,使用对称密钥加密算法,提供了网络通信方之间相互的身份认证手段,而且并不依赖于主机操作系统和地址,在一定程度上保证了网络的安全。但是,由于Kerberos自身的局限性,又影响了它在Internet中的推广应用。本文在对Kerberos协议的研究基础上,利用基于公钥密码的认证技术,并结合椭圆曲线密码体制,对开放网络环境下的身份认证机制进行了全面的研究。本文研究的主要内容有:1、研究了对称公钥密码体制和现有Kerberos协议分析和比较了叁种被认为是安全有效的公钥密码算法,指出ECC比RSA、ElGamal等传统公钥密码算法在安全性、计算速度、存储需求、带宽需求等方面所具有的优势。在此基础上,重点讨论了椭圆曲线密码体制的相关问题,如椭圆曲线数学原理、椭圆曲线离散对数问题、椭圆曲线密码体制的加解密过程、椭圆曲线上的公钥密码系统等。研究Kerberos协议的认证思想,并以Kerberos V5为例,详细分析了其域内认证和域间认证两种模式的认证过程,指出它的应用环境的局限性、口令攻击的脆弱性、密钥管理的困难性等不足。2、提出了一个新的基于公钥密码的Kerberos协议模型鉴于Kerberos的不足,目前有很多对Kerberos协议的改进方案。这些方案都是基于公钥密码的,比较着名的有Yaksha算法,它是RSA公钥密码算法的一种变形。本文分析了Yaksha算法在Kerberos上的应用及其优缺点,认为ECC和Kerberos结合是一个较好的解决方案。因此,本文在ECC的基础上,结合公钥构架PKI,对现有Kerberos协议进行改进,提出了在改进Kerberos协议的认证过程中如何使用公钥密码体制保证身份认证的安全性。同时,采用BAN逻辑对改进协议的正确性和安全性进行了证明。3、基于新的Kerberos协议模型设计开发了一个新型的Kerberos认证系统建立和实现了一个基于公钥密码体制的Kerberos身份认证系统的模型,提出模型的总体架构。该模型不是对Kerberos协议的直接修改,而是在客户端和应用服务器端设置代理软件。代理软件模拟实现一个基于公钥体制的改进Kerberos协议的认证过程,并且和原有Kerberos协议结合,实现了双重安全体系。改进的Kerberos身份认证系统继承了Kerberos协议,但在安全性上有较大的突破,在一定程度上改善了Kerberos协议的

安勇[2]2014年在《基于Kerberos的互联网安全传输软件的设计与实现》文中提出网络通信技术与Internet的联系日益增强,也带来了一系列的信息安全问题。如何保证合法用户对资源的合法访问和安全地传输数据,成为网络安全的主要内容。本文首先介绍了密码学的一些基本理论,尤其是对称密码和公钥密码作了详细地介绍,分析了对称加密和公钥加密算法的适用场合和密钥的分配方式,对对称加密和公钥加密各自的优缺点进行了对比。此外,还介绍了消息认证、散列函数、数字签名和认证协议等密码学中的相关技术。然后详细研究了Kerberos协议的认证思想,对其工作原理、系统组织结构以及认证的基本过程做了详细地介绍,指出了Kerberos协议在认证过程中存在的不足。并以Kerberos V4为例,分析了其域内认证过程,指出它应用环境的局限性、口令攻击的脆弱性、密钥管理的困难性等缺陷。针对Kerberos协议的特点和不足,以密码学作为基础理论,本文对kerberos协议的认证过程进行了改进,提出了基于公钥密码体制的kerberos认证过程,并对改进后的kerberos协议的系统结构、工作原理和认证过程做了详细的描述。重点阐述了服务认证、服务授权和应用服务的消息交换过程以及消息内容的基本组成元素,并分析了改进后协议的安全性能及与原协议的异同点。最后本文针对上述理论研究成果,设计并实现了基于kerberos的互联网安全传输软件,该软件系统的基本功能是为客户端与应用服务器提供聊天功能。为了保证通信双方的聊天内容不被第叁方非法盗取,本系统的身份认证采用本文第四章的研究内容作为理论依据,并且增加了选择会话期加密算法的功能。会话密钥采用RSA算法加密,明文用可选择的非对称加密算法加密,用SHA算法产生消息摘要来实现消息认证。这样系统即解决了密钥分配和管理的难题,也保证了通信双方所交换数据的完整性。该系统能够为用户提供身份认证服务,生成用户请求服务器各种服务的票据,根据用户选择的加密算法生成会话密钥并安全地分发会话密钥,通过实际使用证明了改进的kerberos认证协议能够对原协议进行很好的完善。但本系统还存在不足,例如身份认证仍然是利用时间戳来防止“重放攻击”,但是要保证系统内的时钟同步是非常难的。尽管改进的协议还不完美,但也能基本满足信息安全中对传送消息的可靠性、完整性、真实性和保密性的要求,能够有效的防止攻击者对信息的非法窃听、获取、修改和重放攻击。

许建[3]2004年在《基于Kerberos的身份认证机制研究》文中研究表明计算机网络有效地实现了资源共享,但资源共享和信息安全是一对矛盾体。随着资源共享进一步加强,随之而来的信息安全问题也日益突出。 在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客攻击,成为网络安全的主要内容。网络安全机制的基本要素包括:身份认证、访问控制授权、完整性检测、防否认机制、可靠性保护,而身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。 本文在对Kerberos协议的研究基础上,利用基于公钥体制的密码认证技术,并结合椭圆曲线密码理论体系,对开放网络环境下的身份认证机制安全性进行了全面的研究。研究的内容主要包括以下几个方面: 1、在对多种身份认证方法研究的基础上,详细阐述了Kerberos协议的认证原理,分析了其在身份认证安全性上的优势,同时也指出存在的种种安全隐患; 2、研究了基于公钥体制的密码算法,重点讨论了椭圆曲线密码体制的相关问题,如椭圆曲线离散对数问题、椭圆曲线的选取、加密体制原理等等; 3、利用基于公钥体制的加密技术改进Kerberos协议,改进协议中的安全隐患,摒弃原有协议的不足之处,设计出更高安全性的身份认证协议,使得整个协议的安全性和适应性得到了进一步的提高。并采用BAN逻辑理论证明改进协议的完备性、有效性; 4、提出了基于改进Kerberos协议和公钥密码体制的身份认证服务的模型,并给出模型的实际应用。

朱启胜[4]2007年在《基于WPKI的Kerberos身份认证的应用研究》文中提出Kerberos协议是当前应用最广的身份认证协议,但是它也存在固有的安全缺陷。本文在对Kerberos协议认证原理进行详细分析的基础上,采用公钥密码体制对其进行了改进,在不改变其原有框架的前提下,提高了其安全性能。改进的协议中引入X.509公钥证书,解决了原有系统中密钥管理的瓶颈问题,同时在认证的初始阶段采用公钥加密和数字签名技术,彻底解决了Kerberos协议最主要的安全隐患——口令的猜测式攻击问题。在此基础上,本文设计了一个基于WPKI框架的无线网络认证系统,该认证系统包括Kerberos认证系统和WCA证书管理系统。该认证系统对用户操作透明,安全高效,而且易于扩展,具有很高的实用性。本文最后讨论了采用公钥密码体制改进的跨域认证协议。改进的跨域认证协议在认证初始阶段采用公钥加密和数字签名技术,实现了认证信息在域间的安全传输。另外公钥证书的引入,解决了大量会话密钥安全管理的难题。

曹璞[5]2003年在《基于公钥密码的Kerberos认证协议研究》文中认为身份认证是网络安全的基石,是网络通信双方在通信时验证对方身份的技术。Kerberos是基于可信第叁方KDC使用对称密钥加密算法的认证协议,适合在一个物理网络并不安全的环境下使用。影响Kerberos可升级的潜在限制因素是它使用对称密钥加密,建立和维护大量共享密钥的难题影响了Kerberos在Internet中的推广应用。目前人们已经提出了很多Kerberos公钥扩展方案来改善了Kerberos系统,但是没有结合PKI来管理证书或者撤销列表。本文针对Kerberos本身上的弱点和与公钥结合上的不足,从Kerberos与公钥结合互操作性上进行研究,主要完成以下工作: (1).对Kerberos的设计思想,基本认证协议作了详细的探讨,并且分析了协议的安全性和缺陷。对PKI的体系结构以及它在证书层次、证书管理、以及标准化方面做了探讨。并对现有的一些Kerberos公钥扩展方案的设计思想和不足之处进行了分析。 (2).采用了CMS标准来定义PKINIT协议中的高层消息格式可以获得具有高度互操作性的Kerberos公钥扩展方案。在传递的公钥认证相关消息的签名和信封数据部分的格式采用加密消息语法中的SignedData格式和EnvelopedData格式来封装,这样为Kerberos与PKI的透明结合提供了途径。 (3).在Kerberos公钥认证的基础上,考虑到Kerberos服务器在认证请求增多的时候,由于采用了公钥算法,可能会出现的计算性能瓶颈问题。我们设计了一个应用服务器直接认证的方案,该方案可以将Kerberos服务器上的计算负载和集中式风险转移到应用服务器上,以满足不同安全环境的需求。 在身份认证系统的设计中,我们应该根据实际的需求和现实条件,选择当前合适的技术方案,同时为将来的过渡和移植留下空间。

王剑柯[6]2010年在《基于信任与零知识证明的Kerberos跨域认证模型》文中指出从20世纪70年代开始,人类逐渐进入信息化社会,互联网正以惊人的速度改变着人们的生活方式和工作效率。而随着分布式计算机网络的广泛使用,网络的安全问题也日益突出。网络安全技术,特别是作为整个安全系统第一道防线的身份认证技术,已经成为了影响网络进一步发展的重要因素。Kerberos认证协议作为由MIT在20世纪80年代提出的一种分布式认证协议,已经得到了广泛的应用。Kerberos认证协议包含域内认证和跨域认证两种模式,当用户进行跨域认证的时候,为了向外域票据许可服务器证明自己的身份,用户必须提交本域票据许可服务器为其签发的身份证明票据,该票据中包含了用户的相关身份信息。在票据提交和存储的过程中,就存在用户身份信息泄露的可能,也无法做到用户的匿名登录。对此,本文提出了一种新的结合零知识证明和信任值的Kerberos跨域认证模型。本文以公钥体制的Kerberos跨域认证模型为研究重点,首先介绍了公钥密码体制的发展现状和原理;其次,介绍了零知识证明的基本概念和原理;接着介绍了传统的Kerberos跨域认证模型及其改进模型,并在此基础上分析了这些模型的优缺点和局限性;最后,基于ELGamal公钥体制密码算法,结合零知识证明和信任值的相关思想和算法,提出并详细论述了一种在跨域认证过程中无需提交包含身份信息的证明票据,也能够证明用户合法性的Kerberos跨域认证模型。新模型针对各种Kerberos跨域认证模型中,用户在跨域认证过程中需要提交包含自己身份信息的证明票据的缺陷,运用零知识证明的思想,使得用户无需提交相关票据也能证明自己的合法身份,杜绝了用户信息泄露的可能性,也可以实现用户的匿名登录。并且新模型零知识证明在原有算法的基础上进行并行改进,并针对零知识证明需要多轮询问,交互时间较长的缺点,提出结合信任值的计算,使得来自信任度越高的域的用户,跨域认证过程中所需的询问轮数和一次发送的数据量越少,反之越高。提高了整个模型的认证效率和安全性。

巫平[7]2007年在《机场信息集成系统网络安全研究》文中指出随着Internet的发展和普及,网络逐渐改变了人类的生活方式和工作方式,也给当代人们的生活带来了巨大的便利,给社会、企业、组织创造了大量的财富。但同时,网络安全隐患也变得日益突出,网络安全事件也层出不穷,且有愈演愈烈之势。随着我国经济的高速发展,我国航空业也正处于前所未有的飞速发展阶段,我国民航业总体上以两倍于GDP的速度高速增长,运输总周转量、客货运输量均已跻身世界先进行列,成为了世界航空大国。重庆机场也步入了快速发展轨道,2006年,机场完成旅客吞吐量805万人次,货邮吞吐量12万吨,飞机起降88869架次,分别比去年增长21.3%、20%、22.28%;2007年前九个月已经完成旅客吞吐量775万人次,货邮吞吐量10.2万吨,飞机起降78733架次,预计增长速度将超过2006年。因此,客流量的增加使重庆机场的信息系统面临巨大的考验,同时机场的信息集成系统也越来越开放,开展了很多的互联网业务,如:网上值机、网上航班查询、网上订座等,使机场的内部网络面临互联网上的木马和病毒威胁,这些业务的开展给机场巨大的收益但同时带来了越来越多的不安全因素。本文主要的研究对象是机场的信息集成系统的安全性可靠性,防止非法用户的入侵,提出对系统的所有用户建立可靠性高的认证系统。本文做的主要工作如下:①本文首先对目前互联网安全状况,机场信息集成系统国内外现状及其安全因素作了简单的描述。分析了机场信息集成系统的技术架构,提出建立严密身份认证系统的可行性和必要性;②分析目前主流的对称加密算法和非对称加密算法,重点分析了Kerberos协议规范及其局限性,并针对其局限性提出了基于椭圆密码体制ECC的Kerberos改进方案,主要改进了:1)引入了ECC加AES改进了对用户的第一步认证,用随机的密钥改进了Kerberos以前的固定密钥,增强认证系统的健壮性和安全性。2)在AS服务器、TGS服务器和应用服务器之间引入了ECC密钥,进一步提高了服务器间的安全性,同时使得服务器密钥更加方便管理。③本着经济实用的原则,改进第一步的CA认证环节,搭建一个简单的测试环境,采用用户名、密码认证替换Kerberos认证第一步,对改进的Kerberos身份认证系统进行测试。经测试,改进后的Kerberos身份认证系统的安全性得到了极大的提高,能防范多种网络攻击,提高了整个信息系统运行的稳定性。安全稳定的信息系统也促进保障了机场的快速发展。

谢承洋, 刘嘉勇[8]2015年在《基于指纹USBkey的Kerberos改进协议》文中进行了进一步梳理Kerberos协议容易遭受口令攻击和重放攻击,且不能提供数字签名服务。针对这些问题,文中结合公钥密码体制、USB智能卡以及指纹识别技术对Kerberos协议加以改进,改进后的协议能够充分利用公钥密码体制的优点,极大降低密钥管理的风险和难度。此外,相比其他仅使用公钥密码体制的改进方案,本方案由于使用了指纹USBkey,实现了对系统使用者物理身份的认证,并节省了使用或建设认证机构CA的开销,使协议更适用于高安全应用场合。

杨世平[9]2007年在《安全协议及其BAN逻辑分析研究》文中研究说明随着计算机网络的广泛应用和各种应用领域的不断扩大,信息的安全问题成为大家关注的焦点。信息安全(Information Security)问题从某种程度上已成为制约计算机网络应用的一个瓶颈。传统的对信息的安全性处理是依赖于好的加解密算法来保证。但是,随着网络应用的深入,仅仅依赖一个好的加解密算法已经不能很好地解决信息的安全问题,它需要安全理论、安全措施和安全技术来保证。在这些信息安全的理论、措施和技术中,安全协议起着至关重要的作用。在实际应用中,人们需要可信的机制来为通信的各方进行身份认证和分发密钥,这就迫使人们研究和设计出了各种安全协议(Security Protocol)。然而事与愿违,已有的安全协议往往被证实并不如它们的设计者所期望的那样安全,开放的、复杂的网络环境使得攻击者可利用安全协议设计中的缺陷和漏洞来实施各种各样的攻击,从而非法获取网络资源,窃取非授权使用的信息,危及到网络的安全和应用。因此,安全协议自身的安全性成了网络安全的关键问题之一。考量和分析一个安全协议的安全性称为安全协议的分析。目前,使用最为广泛的安全协议分析方法是各种形式化分析方法,即采用各种形式化的语言或模型,为安全协议建立模型,并按照规定的假设、分析和验证规则,验证安全协议的安全性。本文以如何保障安全协议的安全性为切入点,研究和分析了与安全协议息息相关的密码学的诸多问题,例如,对称密码体制、公钥密码体制、椭圆曲线密码体制、数字签名等基本算法。进一步讨论了具有代表性的认证协议,密钥管理和分配的方法等。研究和分析了安全协议的非形式化分析的方法和形式化分析方法,重点是对BAN逻辑的分析和讨论,并利用BAN逻辑分析了部分认证协议。本文通过BAN逻辑的实例分析,说明了BAN逻辑在分析认证协议中具有积极的作用,发现了认证协议中一些原来没有发现的漏洞和冗余。但是,文中通过对两个认证协议的分析,指出了BAN逻辑在对中间人攻击和口令猜测攻击的安全协议分析中存在的缺陷,并对被分析的认证协议进行了改进。最后提出了基于安全协议的电子公文安全流转方案和基于安全协议的消息交换方案。将椭圆曲线密码体制引入到消息交换方案中,减少了消息交换中数字签名和密钥协商的计算量,也利用椭圆曲线离散对数的难解性来增强了消息交换的安全性。

叶玺臣[10]2013年在《基于改进型Kerberos协议的单点登录技术研究》文中指出随着信息化进程的飞速发展,企业中有着形式各样的开发于不同时期的业务应用系统。这些独立的业务应用系统有着自己各异的认证和授权模块,因此在实际使用中给需要访问多个不同应用系统的用户带来了不小的麻烦,同时也加大了用户密码丢失的风险。在这种情况下,开发一种能够让用户只需一次登录便可以访问所有授权的应用系统的技术便显得迫在眉睫,单点登录技术在这种背景下应运而生。本文研究了一套企业门户资源管理系统的单点登录需求,用户在门户上进行一次身份认证之后,便可以访问所有授权的业务应用系统资源。重点分析了单点登录及其相关技术,阐释了Kerberos协议所存在的安全性隐患和缺点,并在传统型Kerberos协议基础上提出了一个改进型的Kerberos单点登录模型。改进后的Kerberos协议模型中加入了双因素认证和轻量级票据等技术,大大提高了系统的安全性。根据现代企业的实际需要,本文在改进型的Kerberos协议模型基础上,设计出了一个单点登录系统,该系统的主要功能如下:①统一身份认证。②集中授权。③用户管理。④应用系统管理。本文在J2EE平台上实现了该系统。系统通过建立CA负责用户数字证书的签发和公钥/私钥对的生成,同时用户的数字证书和私钥储存在用户所持有的USBKey中,用户数字证书的副本存于系统的LDAP目录服务器中;系统通过Web Service所提供的接口用于统一身份认证。通过测试,本系统能够满足企业的实际需求,是实现单点登录的一个比较出色的解决方案。

参考文献:

[1]. 基于公钥密码的Kerberos认证系统的研究[D]. 任敏. 山东师范大学. 2006

[2]. 基于Kerberos的互联网安全传输软件的设计与实现[D]. 安勇. 吉林大学. 2014

[3]. 基于Kerberos的身份认证机制研究[D]. 许建. 河海大学. 2004

[4]. 基于WPKI的Kerberos身份认证的应用研究[D]. 朱启胜. 西安电子科技大学. 2007

[5]. 基于公钥密码的Kerberos认证协议研究[D]. 曹璞. 浙江工业大学. 2003

[6]. 基于信任与零知识证明的Kerberos跨域认证模型[D]. 王剑柯. 重庆大学. 2010

[7]. 机场信息集成系统网络安全研究[D]. 巫平. 重庆大学. 2007

[8]. 基于指纹USBkey的Kerberos改进协议[J]. 谢承洋, 刘嘉勇. 通信技术. 2015

[9]. 安全协议及其BAN逻辑分析研究[D]. 杨世平. 贵州大学. 2007

[10]. 基于改进型Kerberos协议的单点登录技术研究[D]. 叶玺臣. 武汉轻工大学. 2013

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于公钥密码的Kerberos认证协议研究
下载Doc文档

猜你喜欢