专题资料（2021-2022年）Kerberos身份认证协议的改进.doc

《专题资料（2021-2022年）Kerberos身份认证协议的改进.doc》由会员分享，可在线阅读，更多相关《专题资料（2021-2022年）Kerberos身份认证协议的改进.doc（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Kerberos 身份认证协议的改进【摘 要】本文首先介绍了 Kerberos 身份认证协议，指出了该协议存在的局限性，并提出了几种改进方案对Kerberos 协议进行改进，在一定程度上消除了密钥在交换、存储和管理方面带来的安全上的隐患，提高了身份认证系统的安全性。【关键词】Kerberos 协议；身份认证；改进方案0 引言随着网络技术的发展，网络安全的地位尤为突出。网络操作系统的安全直接关系到企业网络的安全。作为安全服务中的一种实体认证变得尤为重要。在一个公开的分布式网络环境中，工作站上的用户希望访问分布在网络上的服务器资源。但网络上的资源仅允许授权用户的特定权限的访问，因此，在分布式网络中

2、，必须提供一种机制来对用户的身份进行认证。1 Kerberos 身份认证Kerberos 是为 TCP/IP 网络而设计的基于 Client/Server模式的三方验证协议，广泛应用于 Internet 服务的访问，网络中的 Kerberos 服务起着可信仲裁者的作用。Kerberos 基于对称密码体制，可提供安全的客体认证。Kerberos 是一种适于在公共网络上进行分布计算的工业标准的安全认证系统，是由 MIT 推出的基于可信赖第三方的用户认证系统。客户在登录时，需要认证即用户必须获得由认证服务器发行的许可证，才能使用目标服务器上的服务。许可证提供被认证的用户访问一个服务时所需的授权资格。

3、所有客户和服务器间的会话都是暂时的。Kerberos 协议通过网络通信的实体可以互相证明彼此的身份，可以抵抗旁听和重放等方式的攻击，并且还可以保证通信数据的完整性和保密性。它广泛应用于 Internet 服务的安全访问，具有“高度的安全性、可靠性、透明性和可伸缩性”等优点。目前许多远程访问认证服务系统都支持Kerberos 认证协议。2 Kerberos 身份认证的改进2.1 基于对称密码体制的 Kerberos 协议的改进1基于对称密码体制的Kerberos协议利用公开密钥加密进行对称加密密钥分配，该方法是在通信双方通过公开密钥证书得到对方的公开密钥的基础上实现的。2.2 基于 ECC+AE

4、S 的数据传输加密的 Kerberos 改进方案2在 Kerberos 认证协议中，全都采用公开密钥密码体制传送机密信息是不够安全的。在传送机密信息的 Client/Server双方，如果使用某个对称密钥密码体制并同时使用不对称密钥密码体制传送对称密钥密码体制的密钥，就可以综合发挥两种密码体制的优点，即对称密钥密码体制的高速性、简便性和不对称密钥密码体制的密钥管理的方便性、安全性。基于ECC+AES的数据传输加密的 Kerberos 改进方案综合AES 和 ECC 的优点，得到一种新的加密方案，其基本原理为：数据在 Kerberos Client/Server 双方通信之前，发送方随机生成一个

5、加密密钥，用 AES 算法对需传送的数据加密。然后再用 ECC 算法对该密钥进行加密并实现数字签名。这样接收方在接收到该密文和被加了密的密钥后，同样用 ECC 解密出此随机密钥，再用此随机密钥对密文解密。这样的加密方案既有 AES 算法的快捷特点，又有 ECC 算法的保密性和方便性特点。2.3 基于 RSA 协议的 Kerberos 协议的改进基于 RSA 协议的 Kerberos 与单纯的 Kerberos 协议相比，Kerberos RSA 以密码强度更高、密钥分配更具优越性的 RSA算法为加密和签名工具，对票证和验证码的形式以及验证协议做了改进。票证带有开票方的签名且用服务器的公钥加密，

6、既使得服务器能验证该票证是否是臆定的开票方签发的，又能保证票证中信息（比如会话密钥）的安全。开票方将票证传给客户时，又以签名的方式进行传输，使得客户能够判断该票是否是臆定的开票方签发的以及是否被修改过验证码与票证一起使用，使服务器能验证客户身份并判断该客户与票证合法所有者是否相同，防止攻击者非法使用他人票证。这样，Kerberos RSA 有效地保证了验证过程的安全性、真实性和可靠性。2.4 基于 RSA+AES 数据加密传输的 Kerberos 改进方案基于RSA+AES数据加密传输的Kerberos协议的基本原理是：数据在 Kerberos Client/Server 双方通信之前，生成一

7、个随机加密密钥，用 AES 算法对需传送的数据加密。然后再用RSA 算法对该密钥进行加密，并实现数字签名。这样接收方在接收到该密文和被加了密的密钥后，同样用 RSA 解密出此随机密钥，再用此随机密钥对密文解密。2.5 在 Kerberos 的基础上采用了 Yaksha 算法的思想采用 Yaksha 算法的思想3，联网时不使用口令提高了安全性，在认证过程中，由用户对自已加益的时间峨进行验证，解决了 Kerberos 的时间同步的问题，并有效的防止了重放攻击。3 总结Kerberos 协议作为一种主要的身份认证系统协议，自诞生以来已得到广泛的应用，增强了网络通信安全，但此协议本身存在无法克服的缺陷

8、，特别是 Kerberos 设计之初是建立在单密钥体制基础之上的。本文深入研究了的 Kerberos 身份认证协议，并指出了其多方面的局限性。提出了多种方法对Kerberos协议进行改进，在一定程度上消除了密钥在交换、存储和管理方面带来的安全上的隐患，提高了身份认证系统的安全性。总之，身份认证只是网络安全技术的一部分，它需要结合其他的防护措施和技术来保证网络的安全。随着 Internet和密码学技术的发展，还会有新的改进措施和身份认证技术不断的出现。【参考文献】1戈军.基于 Kerberos 身份认证的分析和改进J.沈阳工程学院学报（自然科学版），2006，7（3）.2邓永江.程转流 一个改进的 Kerberos 认证协议设计与分析J.福建电脑，2006（6）.3莫燕，张玉清，李学干.对 Kerberos 协议的攻击及对策研究J.计算机 T-程 1，2005（5）.4张凤梅.Kerberos 系统例分析和改进方案J.辽宁税务高等专科学校学报，2003，8（4）.责任编辑：杨玉洁