一种基于公钥的新型Kerberos域间认证方案讲解(共11页).doc

《一种基于公钥的新型Kerberos域间认证方案讲解(共11页).doc》由会员分享，可在线阅读，更多相关《一种基于公钥的新型Kerberos域间认证方案讲解(共11页).doc（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上卷第期年月微电子学与计算机（丌一种基于公钥的新型域间认证方案田俊峰，毕志明，张晶（北大学数学与计算机学院，河北保定）摘要：描述了一种基于公钥加密的新型域间认证方案鉴于以往域间认证方案中域间存在密钥数量庞大和系统安全性不够强的问题，引入了中介和公钥加密体制对域间认证方案进行改进改进方案中，中介和与之相关的非中介共享对方公钥通过可行性、安全性分析可知，该方案使系统更安全密钥的管理和维护更容易关键词：域间认证；公钥加密；中介中图分类号：文献标识码：文章编号：（），（，：，），器，：；引言计算机网络是一个开放的系统，也正由于其开放性导致计算机网络中存在许多安全漏洞和安全威胁，

2、网络中的各类资源很容易被人非法访问和复制因此对网络资源访问者的合法身份进行认证就显得非常重要身份认证技术已经成为网络系统安全中重要的技术之一【卜是一个典型的认证协议，其使用专门的服务器进行统一的身份认证和权限管理原始的域间身份认证中（假设域的客户想访问域的服务器，域为第一区域，域为第二区域），客户首先向本地的认证服务器申请访问本地的服务器的初始票据，本地认证服务器向返回访问的访问的票据后向申请访问远地嘲的票据，返回给访问远地的票据以及会话密钥然后，向远程的申请访问远程初始票据及同通信的会话密钥客户得到应用服务的票据及会话密钥远程魄返回给访问远地应用服务的票据以及会话密钥本地向远程应用服务提出访

3、问请求远程应用服务对提出的访问请求进行认证后，向返回请求收稿日期：基金项目：河北省自然科学基金项目（）；河北省教育厅自然科学基金重点项目（）；河北省教育厅基金资助项目（，）微电子学与计算机芷应答，进而实现了客户与服务的双向认证认证协议本身具有局限性，主要表现在以下几个方面（）重放攻击：在认证方案中，为了防止重放攻击引入了时间戳，但票据在其生命周期的有效时间内仍然可以使用，攻击者可以在得到许可证后发送伪造的消息，这在允许的时间内是很难发现的（）口令猜测攻击：认证方案采用对称密钥加密方式这种密钥加密方式具有局限性（）密钥存储问题：认证中心要保存大量的共享密钥，对密钥进行管理和更新有很大的难度，为此

4、将付出极大的系统代价来保障整个系统安全鉴于在认证方案中存在的问题，很多学者对其进行研究并提出了改进方案【最典型的改进方案是用公钥加密机制对其进行改进和扩展，其简要过程：发送方先用自己的私钥加密，再用接收方的公钥加密接收方收到发送方的消息后，先用自己的私钥解密，然后用发送方的公钥解密，这样既使认证系统具有抗否认性也能很好地解决口令猜测攻击问题域间的身份认证以域内的身份认证为基础，由于本身固有的局限性导致了其域间的身份认证存在很多的不足之处，而且一些对域内的认证方法的改进没有很好的应用到域间认证方案中相关工作及分析域间身份认证是采用对称密钥加密（对于对称密钥带来的系统不安全性，在引言中已介绍），这

5、样会导致信息传输的不安全而且域问会话密钥数量庞大，给密钥的管理、分配、存储带来很大不便此外，这种域间认证方式很容易遭到重放攻击为了解决这一问题，一些工作在身份认证过程中引入了时间戳的概念【，这样就不可避免的面临时钟同步问题彭双和、沈昌祥等人在原有域问身份认证的基础之上，结合应用边界安全设备对其进行改进【在改进的方案中，域间连接只有次，这使得开销明显降低，为了摒弃时间戳所带来的时钟同步问题，此方案引入但是，这一方案既存在应用边界安全设备的特定环境限制，也没有考虑使用对称密钥所带来的密钥数量庞大的问题在的工作中，他提到了利用中介（基于信任链）实现客户到其他域的服务器的票据访问和获取在中介）的信任链

6、域中的链节和非中介存在直接或间接的信任关系，一旦链中的某一个链节不可用，将使整个中介无法正常工作，最后导致认证过程的失败而且由于此认证方案使用对称密钥加密，也导致了整个系统的不安全为了解决上述问题，提出了协议协议包含协议和、协议两部分，这两种协议针对不同的情况有着不同的用途协议中引入了公钥系统，使得整个认证系统的安全性有了进一步的提高但是，协议还是没能够解决密钥的庞大所带来的问题一方面，为了解决密钥庞大所带来的问题，另一方面，为了使系统的的安全性更有保障，文中提出了一种基于公钥的新型域问认证方案一种基于公钥的新型域间认证方案符号简介表示用密钥加密信息是防止重放攻击而设的，表示和共享的会话密钥前

7、缀、分别表示公钥、私钥，例如，、表示客户的公钥和私钥，表示客户去访问服务器的票据中介和非中介（特点中介具备以下两个特点：（）中介中除存储自己的私钥和公钥外，还存储各个非中介的公钥（）中介直接接收到请求者发送的票据后，并不是直接返回给请求者所需要访问的票据，而是直接向被访问的索要访问被访问所在域的服务器的票据，然后由被访问的）把访问的票据传给客户对于非中介的需要保存自己的私钥和中介的公钥本方案的具体流程域的客户想访问域的服务器，如图所示（）向本地的认证服务器申请访问本地的服务器的初始票据消息包括：客户的客户名、要申请访问的名、消息首先用的私钥加密，以证明消息确实是由发出的第期田俊峰，等：一种基于

8、公钥的新型域间认证方案图域的客户想访问域的服务器然后把加密后的信息用的公钥加密，保证并且只有能解开此消息，以确认的身份客户端的客户名放在签名消息外，使得能得知消息来自哪一个客户端，以便对客户进行身份认证：，（）本地认证服务器向返回访问（诗的初始票据及同通信的会话密钥，同时将加（用来保证不是截获者重发的消息）并返回访问的票据。嘲首先用的私钥加密，然后用的公钥加密然后整体消息（包括和的会话密钥）用的公钥进行加密，这样就保证了双方的身份认证：，懈（）向申请中介的票据首先由客户产生，用来确保此次消息的新鲜性申请访问中介的票据用的私钥加密需要访问的服务器名和用和的会话密钥嗍加密整体消息用的公钥加密：，嘲

9、，（）本地先用自己的私钥解密后得到被。嘲和的私钥所加密的消息后，分别用嘲和解密得到票据确认的身份后，向中介：，啦（）中介向远程申请访问远程应用服务的票据发送的消息还包括：客户名、服务器名和这部分信息用中介（焉的私钥加密整体消息用的公钥进行加密由于中介存有的公钥，中有中介的公钥这样就可以实现的中介与的双向认证：，（）远程用自己的私钥和中介的公钥解析出访问服务器的票据，和服务器名，并把解析到的加（使得能对此次回复进行新鲜性的确认）同时产生客户和服务器的会话密钥所有信息用客户的公钥加密后返回给一：，。，（）本地客户得到的消息后，用自己的私钥进行解密，这样实现了和的双向认证客户得到访问服务器的票据后，

10、客户处随机产生（返回时需要服务器对进行加操作），并向服务器提出访问请求，把和用密钥加密，连同票据发送给服务器：，。，（）远程应用服务收到客户提出的访问请求后，先对票据进行解析，得到。和客户的相关信息，然后把解析出的客户信息和用，解密，得到的信息进行比较，进一步对客户验证身份如果身份验证无误，则将加，并用加密返回给客户：上述认证过程实现了客户和服务器之间的双向认证客户和服务器可以用密钥实现信息的安全传输可行性。安全性分析在分布式系统中，认证中心数量很大通过对以往的跨域认证方案分析可知，域间会话数量惊人如果认证中心的数量过于庞大，密钥的数量给认证中心带来很大的隐患由于每个认证中心都要承受这样的负担

11、，将有可能导致认证过程的失败中介的引入，使得非中介认证部分的负担明显可行性分析发送请求的票据票据用中介的公钥加密，用的私钥加密会越来越多，密钥的分配、管理、存储等诸多问题，将微电子学与计算机拒降低对于原来跨域认证协议，假设有个需要互相访问的区域（），那么每个区域中，必须存有其他一个区域的密钥，这些密钥称之为额外密钥整体的额外密钥的数量为（一）当取值很大时，方案变得不现实假设同样有个需要互相访问的区域，每个非中介区域只要存储中介的公钥（一个额外密钥），而中介区域的额外虽然作者对跨域认证协议做了一些工作，但对这一领域的深人研究还要继续进行探讨参考文献：，（）删，密钥有个，即中介区域存储了每个非中介

12、区域的公钥换言之，本方案中的额外密钥数量为当时，（一）对于实际情况而言，在分布式系统中的数量远远大于通过以上分析可知，密钥的存储和管理的开销明显降低中，（），：，介只对非中介认证系统公钥的管理和分配，虽然负担相对较大，但总体来说使得整个认证过程的负担降低安全性分析蒙杨，刘克龙，卿斯汉一种利用公钥体制改进协议的方法软件学报，（）：，文中方案把公钥体系引人到域问认证中采用公钥加密技术，便于密钥的管理和分配，对系统的安全性有极大的增强：有效地解决了口令猜测攻击，同时保证了认证速度【以往的大部分认证，（）：，协议使用对称密码体制加密信息，方案中采用非对称加密体制对信息进行加密在非对称加密体制中，先用发

13、送方的私有密钥加密，再用接收方的公开密钥加密，保证只有用接收方的私有密钥解密后，才能知道用什么公开密钥解密得到最终信息对客户发出的消息设嚣随机的方法，既避免遭受重放攻击，也能克服时钟同步给整个认证过程带来的干扰在以往的域间认证协议中，无论访问区域还是被访问区域都必须存放对方的密钥，一旦这些密钥被非法获取，则会给系统造成重大影响本方案中，中介所在域的数据库存放各个与之相关联的非中介认证系统中（、的公钥，同样，非中介认证系统中存放的是中介的公钥，即使数据库被非法访问也不会给对系统造成重大的危害这在很大程度上增强了整个系统的安全性，（）：，（）：彭双和，韩臻，沈昌祥安全域间信息资源访问的协议和方法计算机研究与发展，（）：，（）：，璐，：，。，：结束语文中结合协议发展现状，针对跨域认证协议的缺陷，提出了采用公钥加密体制结合中介的方法对整个密钥管理和分配方式进行改进，并将引入替代时间戳来防止重放攻击分析表明，本方案既提高整个系统的安全性，同时也解决了认证中心密钥庞大所带来的弊端张玉清，王磊，肖国镇公钥协议的模型检测分析软件学报，（）：作者简介：田俊峰男，（一），博士，教授研究方向为信息安全、网络技术毕志明男，（一），硕士研究生研究方向为信息安全张晶男，（），硕士研究生研究方向为信息安全专心-专注-专业