基于Kerberos身份认证的研究及改进.pdfVIP

维普资讯 堡墨塑 堡墨 ■圜 墨阀琶 薹嚣 基于Kerberos身份认证的研究及改进 ResearchandImprovementofIdentityAuthenticationBasedonKerberos 任 敏 刘冬霞 刘培玉 REN Min uUDong-xia LIUPei-yu Abstract Thispaperintroduceskerberosprotocolofidentityauthenticationindetail，andanalysesitslimitation． Accordingtohtelimiattion，na improvedprotocolaboutkerberosbasedonpublickeycryptographyhasbeenputforward． Keywords Kerberosprotocol Identiytauhtentication Publickeycryptography 步对V4中的某些安全缺陷做了改进，已于 1994年作为 In． 1 引言 temet标准(草稿)公布 (RFC1510)。 身份认证是信息安全理论和技术中非常重要的一个方 在讨论协议之前 ，需要定义一些符号和概念。 面，是实现网络安全的重要机制之一。它是网络应用中的第 C：客户机。、 一 道防线，是安全系统的门户。其它的安全服务，如访问控 AS：认证服务器。 制、审计系统都要依赖于它。一旦身份认证系统被攻破，那 V：服务器。 么系统的所有安全措施将形同虚设。尤其是在开放的分布 TGS：发放证书的服务器。 式网络环境中，对于某些需要授权访问的信息必须进行安全 tO~：客户名称 (身份)。 保护，以防止非法用户的恶意访问。 ID ：服务器名称。 在开放的分布式环境下，服务器仅对拥有权限的用户服 Pc：客户上用户的口令。 务，然而工作站本身很难正确地识别该用户是否合法。一些 ADc：客户的网址。 非授权的用户可能接入某一服务器取得服务，对非授权的信 l(c：C和KDC共享的密钥。 息进行存取。一般有以下三种攻击方式： ． ：c和V共享的密钥。 ●一用户已接入一工作站，企图冒充其他用户利用该 l(erbemsV5协议的认证过程分为三个阶段六个过程，如 工作站请求服务。 图1所示。 ●某一用户对往来信息进行窃听，然后重放它，达到扰 乱和破坏的目的。 ●用户更改工作站的网络地址 ，从改变 了地址的工作 站冒充别的工作站，请求服务。 Kerbems认证协议正是针对以上问题设计的。 2 Kerberos协议的局限性 2．1 Kerberos协议简介 Kerberos美国麻省理工学院(MrI)开发的基于 KDC(密钥 分发中心)方式的认证系统，它使用对称密钥加密算法来实 现通过可信第三方 KDC的认证服务，提供了网络通信方之 图 1 Kerberos协议认证过程 间相互的身份认证手段，而