校园网身份认证安全优化的策略的研究.docVIP

校园网身份认证安全优化的策略的研究 　　摘要：在数字化校园网蓬勃发展的背景下，分析统一身份认证系统中身份认证环节中可能遇到的安全隐患，根据认证协议找出改进优化方案，提高身份认证系统的安全性，维护数据的统一存储。 　　关键词：身份认证；Kerberos ；网络安全 　　中图分类号：TP309.7文献标识码：A文章编号文章编号2013）0010014902 　　作者简介：周莹（1982-），女，硕士，南通高等师范学校讲师，研究方向为网络安全。 　　0引言 　　在数字校园环境下，基于网络的应用系统几乎存在于校园的每个角落，网络管理员不仅需要在不同的应用系统维护不同的用户数据，还必须维护各个应用系统信息，保持数据的一致性。因此，当前亟待解决的问题就是如何实现用户一次登录，即可在不同的应用系统下完成身份认证，对所有网络资源无缝访问，降低网络操作成本，提高网络管理效率，保障网络安全。 　　这种设计方式可以为校园网提供一种方便、安全的身份认证方法，实现单点登录[12]。由于校园网中存在多个不同的应用系统、不同的协议和认证技术，其在实现过程中也存在一些安全问题。因此，迫切需要从目前的认证方案中找出系统漏洞，改进现有认证方案确保认证网络安全运行。 　　1常见认证方案 　　1.1认证技术 　　Kerberos是目前比较成熟的一种网络认证协议[3]，是为TCP/IP协议服务的一种可信赖的第三方协议。它的设计目标是通过一个密钥系统为Client/Server应用提供强大的身份认证功能。Kerberos认证的过程不需要基于主机地址的信任，不依赖于主机操作系统认证，不需要所有主机在网络上的物理安全。它是一种可信任的第三方认证服务，通过传统的密码技术（如共享密钥技术）提供认证服务。 　　Kerberos认证系统构成不同于一般的认证系统，它除了客户外，还包括3个服务器，分别是认证服务器（AS）/许可证颁发服务器（TGS）/应用服务器（Server）。 　　1.2认证方案安全性分析 　　根据实际应用和Kerberos认证协议分析，在统一的身份认证系统中主要安全问题有：中间人攻击、重演攻击、口令猜测、时间同步、拒绝服务[4]等。 　　（1）中间人攻击。中间人攻击是一种黑客常用的攻击手段，它在网络通讯过程中，拦截正常的网络通信数据，进行数据的篡改，或者在网络中监听嗅探通信数据，控制双方的数据交换并进行数据重定向，而这种攻击通讯双方毫不知情。在网络安全方面，中间人攻击的使用非常广泛，特别是会话劫持、ARP欺骗和DNS欺骗等技术都是中间人攻击的典型手段。 　　（2）重放攻击。重放攻击又可称为重播攻击或者回放攻击，是指攻击者将一个目的主机已经接收过的包发送给目的主机，用于身份认证的目的，从而破坏了身份认证的正确性。尤其对于无连接协议，IP更易受到重放攻击的威胁。攻击者可能会利用网络监听或者其他方式盗取认证凭证，再重新发送给认证服务器，或者不断恶意或者欺诈性地重复一个有效的数据传输，占用接收系统资源。 　　（3）时间同步攻击。由于Kerberos协议为了防止攻击者非法拦截过期许可证进行重放攻击，需要用户提交许可证和认证标识来认证用户合法性，因此在信息中包含了时间戳和有效期信息。时间戳信息要求各个主机时间必须同步，而实现较好的时钟同步往往相当困难。如果设计网络时间服务器来同步各个主机时间，在保证时间服务器是可以信赖的前提下，时间是可以同步的。但是保证时间服务器可以被信赖，需要时间服务器向各个主机进行身份认证。如果时间服务器通过了各个主机的身份认证，为了确保所有主机时间同步，就必须不停地从时间服务器中获得时间，这样会增加系统负担。 　　（4）口令猜测攻击。顾名思义，它就是通过若干次猜测认证口令来进行身份认证的攻击。Kerberos协议中用户的口令可以不需要在网络上传输，但是在初始认证的过程中，认证服务器需要根据用户的请求返回给用户票据和会话密钥。这个初始请求可以明文传送，这样攻击者可在传送过程中骗取认证服务器发送的票据和会话密钥，然后计算和密钥分析解析认证服务器返回的消息。如果用户选择的口令强度不够，就更容易受到攻击者的口令猜测攻击。 　　（5）拒绝服务攻击。所谓拒绝服务攻击就是攻击者通过一些手段，让认证服务器拒绝合法用户的认证请求禁止其访问资源的攻击。在Kerberos协议中，当用户发送请求时提交的认证标识中包含时间戳信息，考虑到网络传输和系统处理的延时，在认证标识时间时，允许和服务器的时间有一定的间隔。这个间隔可以看成是有效生存周期，一旦认证标识时间与服务器时间超过了这个有效生存周期的期限，服务器就会认为这个认证标识不在有效期内而拒绝提供认证服务。如果攻击者利用这个时间周期，将服务器时间恶意篡改，这样每个请求的认证