一种基于公钥的新型Kerberos域间认证方案讲解.pdfVIP

２５卷第９期２００８年９月 微电子学与计算机 ＭＩＣＲＯＥＬＥ（丌ＲｏＮＩＣＳ＆００ＭＰＵＴＥＲ Ｖｄ．２５Ｎｏ．９ Ｓｅｐｔｅｍｂｅｒ２００８ 一种基于公钥的新型Ｋｅｒｂｅｒｏｓ域间认证方案 田俊峰，毕志明，张 晶 （ｆｇ北大学数学与计算机学院，河北保定０７１００２） 摘要：描述了一种基于公钥加密的新型ＫｅｒｂｅｒｃＩｓ域间认证方案．鉴于 以往Ｋｅｒｂｅｒｏｓ域间认证方案中域间存在密钥数量庞大和系统安全性不够 强的问题，引入了中介ＫＤＣ和公钥加密体制对Ｋｅｒｂｅｒｃ８域间认证方案 进行改进．改进方案中，中介ＫＤＣ和与之相关的非中介ＫＤＣ共享对方公 钥．通过可行性、安全性分析可知，该方案使系统更安全．密钥的管理和维护更 容易． 关键词：Ｋｅｒｂｅｒｃ８域间认证；公钥加密；中介ＫＤＣ中图分类号：ＴＰ ３９１ 文献标识码：Ａ 文章编号：１０００ — ７１８０（２００８）０９ — ０１６１— ０４ ＡＮｏｖｅｌＫｅｒｂｅｒｏｓＣｒｏｓｓ．ＲｅａｌｍＡｕｔｈｅｎｔｉｃａ ｔｉｏｎＳｃｈｅｍｅＢａｓｅｄ ｏｎ ＰｕｂｌｉｃＫｅｙＥｎｃｒｙｐｔｉｏｎ ＴＩＡＮＪｕｎ — ｆｅｎｇ，ＢＩＺｈｉ — ｍｉｎｇ，ＺＨＡＮＧＪｉｎｇ （ＩｎｓｔｉｔｕｔｅｏｆＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋＴｅｃｈｎｏｌｏ ｇｙ，Ｈｅｂｅｉ Ａｂｓｔｒａｃｔ：Ｉｎｔｈｉｓｐａｐｅｒ，ａＩｎｏｒｄｅｒ ｔｏ Ｕｎｉｖｅｒｓｉｔｙ，Ｂａｏｄｉｎｇ ０７１００２，Ｃｈｉｎａ） ｎｏｖｅｌＫｅｒｂｅｒｏｓｃｒｏｓｓ－ｒｅａｌｍａｕｔｈｅｎｔｉｃａｔ ｉｏｎｓｃｈｅｆｎｅｂａｓｅｄ ｅｎｏｒｒｒｌｏｕｓ ｏｎ ｐｕｂｌｉｃｋｅｙｅｎｅｒｙｐｔｉｏｎｉｓｐｒｅｓｅｎｔｅｄ． ｓｏｌｖｅｔｈｅ ｐｒｏｂｌｅｍｓｏｆｋｅｙｓｉｎＫｅｒｂｅｒｏｓｃｒｏｓｓ－ｒｅａｌｍ ａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄｔｈｅｌｏｗｓｅｃｕｒｉｔｙ，ｔｈｉ ｓｐａｐｅｒｉｎ — ｔｏ ｔｒｏｄｕｃ器ｔｈｅｉｎｔｅｒｍｅｄｉａｒｙＫＤＣａｎｄｐｕｂｌｉｃｋ ｅｙｅｎｃｒｙｐｔｉｏｎｉｍｐｒｏｖｅｔｈｅＫｅｒｂｅｒｏｓｃｒｏｓｓ －ｒｅａｌｍａｕｔｈｅｎｔｉｃａｔｉｏｎ ｓｙｓｔｅｍ．Ｉｎ ｔｈｉｓｉｍｐｍｖｅｄｓｃｈｅｍｅｂｏｔｈｔｈｅｉｎｔｅｒｍｅｄｉａｒ ｙＫＤＣａｎｄｔｈｅｒｅｌａｔｅｄｃｏｍｍｏｎＫＤＣｓｈａｒｅｅａｃｈ ｏｔｈｅｒ ’Ｓｐｕｂｌｉｃｋｅｙ．Ｔｈｒｏｕｇｈ ｔｈｅ ａｎａｌｙｓｉｓｏｆｆｅａｓｉｂｉｌｉｔｙａｎｄｓｅｃｕｒｉｔｙ，ｔｈ ｉｓｂｅｃｏｍｅｓｅａｓｉｅｒ． ｓｃｈｅｍｅ ｍａｋｅｓｔｈｅｓｙｓｔｅｍｍｏｒｅｓｅｃｕｒｅ，ａｎｄｔｈｅｋｅｙｍ ａｎａｇｅｍｅｎｔａｎｄｍａｉｎｔｅ — ｎａｎｃｅ Ｋｅｙｗｏｒｄｓ：ｋｅｒｂｅｒｏｓ ｃｒｏｓｓ－ｒｅａｌｍａｕｔｈｅｎｔｉｃａｔｉｏｎ；ｐｕｂｌｉｃｋｅｙ ｅｎｃｒｙｐｔｉｏｎ；ｉｎｔｅｒｍｅｄｉａｒｙＫＤＣ １引言 计算机网络是一个开放的系统，也正由于其开放性导致计算机网络中存在许多安 全漏洞和安全威胁，网络中的各类资源很容易被人非法访问和复制．因此对网络 资源访问者的合法身份进行认证就显得非常重要．身份认证技术已经成为网络系 统安全中重要的技术之一．Ｋｅｒｂｅｒｏｓ【卜３Ｊ是一个典型的认证协议， 其使用专门的服务器进行统一的身份认证和权限管理．原始的Ｋｅｒｂｅｒｏｓ 域间身份认证中（假设域Ａ的客户Ｃ想访问域Ｂ的服务器Ｓ，域Ａ为第一 区域，域Ｂ为第二区域），客户Ｃ首先向本地的认证服务器ＡＳｌ申请访问本地 的ＴＧＳｌ服务器的初始 票据，本地认证服务器ＡＳｌ向Ｃ返回访问ＴＧＳｌ的 访问ＴＧＳｌ的票据后向ＴＧＳｌ申请访问远地嘲 的票据，ＴＧＳｌ返回给Ｃ访问远地ＴＧＳ２的票据以及会话密钥．然后，Ｃ向 远程的ＴＧＳ２申请访问远程 初始票据及同ＴＧＳｌ通信的会话密钥．客户Ｃ得到 应用服务Ｓ的票据及会话密钥．远程魄返回给 Ｃ访问远地应用服务Ｓ的票据以及会话密钥．本地Ｃ向远程应用服务Ｓ提出访问 请求．远程应用服务Ｓ对Ｃ提出的访问请求进行认证后，向Ｃ返回请求 收稿日期：２００８ — ０６— １８ 基金项目：河北省自然科学基金项目（Ｆ２００８００６４６）；河北省教育厅 自然科学基金重点项目（Ｚｈ２００６００６）；河北省教育厅基金资 助项目（＇２００５２１４，Ｚ２００７４４２） １６２ 微电子学与计算机 ２００８芷 应答，进而实现了客户与服务的双向认证． Ｋ