一种新基于Kerberos认证授权协议.docVIP

一种新的基于Kerberos的认证授权协议 　　摘 要： Kerberos协议是近年来广泛应用的身份认证协议之一，但是Kerberos协议的研究主要集中在身份认证部分，并未提供授权管理。这里在对Kerberos协议的基本原理及安全性进行分析的基础上，提出一种基于EAP和XACML授权框架的Kerberos认证授权模型，最后对此模型的认证授权能力进行分析。 　　关键词： Kerberos协议； XACML框架； 安全认证； EAP 　　中图分类号： TN911?34； TP309 文献标识码： A 文章编号： 1004?373X（2015）04?0035?04 　　随着基于网络的应用的迅速发展，网络信息安全问题越来越突出，其中身份认证及访问授权问题显得尤为重要。Kerberos是近年来应用广泛的安全认证协议之一，由于Kerberos协议中身份认证服务和票据授权服务是集中式管理的，容易形成瓶颈，系统的性能和安全性也过分依赖于服务的性能和安全。当前对Kerberos协议的研究主要集中在身份认证部分，而对访问授权问题仅提供了基本扩展方式，并未提供具体访问授权策略。 　　本文将基于XACML授权模型的与Kerberos协议集成，为Kerberos协议增加访问授权管理。在此基础上，使用SAML安全断言机制进行消息的传送，并且增加基于EAP?Md5的身份预验证机制，力求加强Kerberos协议的安全性。 　　1 协议概述 　　1.1 Kerberos 　　Kerberos作为一个分布式的认证服务系统，是目前互联网上一个重要的身份认证协议。Kerberos协议主要用于网络身份认证服务（Authentication），它的特点是用户只要输入一次身份认证信息，通过验证后即可获得可用于访问多个服务的票据[1]，即SSO（Single Sign On）。 　　Kerberos模型涉及以下术语： 　　（1） Client，用户。可以是正在运行的进程，也可以是普通的用户。 　　（2） Server，应用服务器。向用户提供所请求服务的实体。 　　（3） TGS（Ticket?Granting Server），票据发放服务器。为用户发放票据的服务器，用户使用该票据向应用服务器表明自己的身份。 　　（4） AS（Authentication Server），身份认证服务器。为用户发放票据，用户可以使用该票据向TGS表明自己的身份。 　　（5） KDC（Key Distribution Center）。TGS与AS统称为KDC，即密钥分配中心。 　　（6） Ticket，票据。是一种有TGS发放的一种数据结构，在Kerberos协议中用来记录信息、密钥等，Clien向Server出示票据以证明身份，票据中包括了Client的身份标识、时间戳、会话密钥等信息。 　　（7） TGT（Ticket?Granting Ticket），票据授权票据。Client用TGT向TGS证明自己的身份。由AS发放。 　　（8） ST（service ticket），服务票据。Client用ST向Server证明自己的身份，由TGS发放。 　　Kerberos协议的执行过程如图1所示： 　　Kerberos协议执行过程包括6个过程： 　　（1） C_AS_REQ：Client向AS申请票据TGT，消息中包括自己的主体标识，TGS的主体标识及产生随机数串； 　　（2） C_AS_REP：AS向Client发送票据TGT以及Client与TGS的会话密钥； 　　（3） C_TGS_REQ：Client向TGS申请访问应用服务器Server的票据ST，发送的消息包括票据TGT，Server的标识和随机数； 　　（4） C_TGS_REP：TGS接受到消息（3）后，首先验证票据TGT，如果验证通过，则验证CLient的身份，通过验证后，生成一个CLient与Server共享的密钥和一个服务票据ST给Client； 　　（5） C_S_REQ：Client用收到的ST向应用服务器认证； 　　（6） 应用服务器接收到消息（5）后，解密得到ST，验证有效性后，完成应用服务器对用户的认证过程。 　　1.2 EAP?MD5可扩展身份认证协议 　　EAP协议是由点对点协议 PPP（Peer?Peer Protocol）扩展而来，可以在EAP协议的基础上扩展多种认证机制，是一种建立在挑战/响应通信模型上的通信协议。认证服务器通过EAP机制向客户端提问，所有的认证都由后台服务器完成。 　　EAP?MD5认证协议流程如图2所示： 　　无论何时Server发出EAP?Failure消息，都表示认证过程从此终止。 　　1.3 SAML/XACML