Kerberos认证协议的教学设计-电子科技大学.PDFVIP

Kerberos 认证协议的教学设计 计算机系统与网络安全技术课题组 电子科技大学计算机科学与工程学院，四川成都 611731 一、引言 作为采用对称密钥技术的 Kerberos 协议堪称安全协议的典范。它不仅涉及密 钥交换、认证、加密等安全协议的关键技术，也涵盖了设计一个实用安全协议必 须考虑的各种问题。因此，如何让学生掌握 Kerberos 协议的基本概念、方法以 及掌握设计实用安全协议的技能，是讲述 Kerberos 安全协议必须考虑的问题。 但是，由于 Kerberos 协议非常复杂，而在讲述该协议之前，学生还从未接触 过实用的安全协议。因此，必须寻求好的教学方法，才能让学生快速掌握 Kerberos 协议的精华，实现预定的教学目的。 二、Kerberos 协议的教学重点及难点 从本课程组多年的教学经验来看，讲述 Kerberos 协议的过程中，有如下教学 重点及难点： （1）Kerberos 的“双头” Kerberos 的本意是希腊神话中守护地狱之门的守护者，该守护者是一个有两 个头的“怪物” 。在Kerberos 协议中，“双头”是指该协议提供了两个服务器：认证 服务器（AS ：Authentication Server ）和票据准许服务器（TGS ：Ticket-Granting Server ）。 因此，如何让学生真正认识到“双头”对于 Kerberos 协议的重要性，是教学的重点 和难点之一。 （2 ）Kerberos 的密钥共享机制 参与 Kerberos 协议的协议主体包括客户、服务器、认证服务器和票据准许服 务器四个角色。为了实现保密通信，这些协议主体之间总共需要共享 3 对密钥。 因此，如何让学生理解和掌握密钥共享的必要性和重要性，也是讲述 Kerberos 协议的重点和难点。 （3 ）Kerberos 的密钥交换方法 在讲述本课程中关于密钥及安全协议基本理论的时候已经提到，共享的主密 钥一般不能直接用于数据加密。否则，当加密数据积累到一定程度会泄漏密钥的 信息。在 Kerberos 协议中，非常好的解决了客户与票据准许服务器、客户与服 务器之间的会话密钥交换问题。因此，让学生掌握这些会话密钥如何生成、如何 安全交换，也是讲述 Kerberos 协议的重点和难点。 （4 ）Kerberos 的抗重放攻击机制 抗重放攻击是任何一个实用安全协议必须考虑的问题。在 Kerberos 中，大量 实用“时戳”机制来解决针对 Kerberos 协议的重放攻击。因此，如何讲述 Kerberos 的时戳机制，也是Kerberos 教学的重点和难点。 三、Kerberos 协议“双头”教学设计 首先，由于 Kerberos 使用对称加密机制，因此 Kerberos 中必然存在类似于口 令的密钥。在讲述过程中，我们以多次出示信用卡消费密码购买电影票将提高泄 漏消费密码的概率为例，引出 Kerberos 的基本目标避免口令在网络上的传递， 并尽量减少口令的使用次数。 我们通过讨论现实生活中的一个例子，来说明这一目标的重要性。在该例子 中，用户Alice 使用带有消费密码的信用卡购买电影票看电影。为此，Alice 需向 电影院售票处出示自己的信用卡，并输入自己的信用卡密码才能购到自己所需要 的电影票，从而持票进入电影院。电影院检票员验证Alice 所持有的票的有效性， 决定是否允许 Alice 进电影院观看电影。 Alice 出示自己的信用卡及密码是关键的一步，如果周围有不怀好意者，他 可能窃听到 Alice 的信用卡卡号及密码，从而盗用 Alice 的信用卡。如果 Alice 希望多次观看电影，或者希望到其他电影院购票观看电影，她必须多次出示自己 的信用卡及密码进行购票。依据概率论知识，在此条件下Alice 的信用卡和口令 被盗取的概率随着其观看电影的次数增加而增加。因此，为了减少 Alice 信用卡 及其密码被盗取的概率，应该减少初始信用卡及密码的次数。 解决方法之一就是在各电影院之间引入一个专门销售“通用电影票” 的售票 机构。当 Alice 希望观看电影时，她不是直接到各电影院的售票处出示自己的信 用卡及密码购买电影票，而是向该售票机构出示自己的信用卡和密码购买一张 “