結合公鑰認證方案的kerberos研究(論文)

1、結合公鑰認證方案的結合公鑰認證方案的KerberosKerberos研究研究摘要：要：身份認證是網(wǎng)絡通信雙方在通信時驗證對方身份的技術。身份認證是網(wǎng)絡通信雙方在通信時驗證對方身份的技術。KerberosKerberos是基于可信第三方基于可信第三方KDCKDC使用對稱密鑰加密算法的認證協(xié)議。本文在對多種身使用對稱密鑰加密算法的認證協(xié)議。本文在對多種身份認證方法研究基礎上，闡述了份認證方法研究基礎上，闡述了KerberosKerberos

2、的原理，并分析其安全性和缺的原理，并分析其安全性和缺陷，提出利用陷，提出利用KerberosKerberos公鑰擴展方式來改善公鑰擴展方式來改善KerberosKerberos系統(tǒng)。系統(tǒng)。關鍵詞：身份認證；關鍵詞：身份認證；KerberosKerberos；公鑰證書；；公鑰證書；PKINITPKINIT協(xié)議協(xié)議第一章第一章身份認證的研究與應用身份認證的研究與應用1.1身份認證概述身份認證的本質是被認證方有一些信息，如秘密的信息、個人持有

3、的特殊硬件、個人特有的生物學信息，除被認證方自己外，該信息不能被任何第三方偽造。如果被認證方能采用某些方法，使認證方相信他確實擁有那些秘密，則他的身份就得到了認證。1.2身份認證方法的分類根據(jù)被認證方賴以證明身份的秘密的不同，身份認證方法可以分為三大類:基于秘密信息的身份認證技術，基于信物的身份認證技術和基于生物特征的身份認證技術。大致來講，有以下幾種身份認證形式:(1)根據(jù)用戶所知道的某個信息，如口令、密碼(2)根據(jù)用戶所擁有的某個東

4、西，用戶必須持有的合法的物理介質，如智能卡、身份證、密鑰盤(3)根據(jù)用戶所具有的某種生物特征，如指紋、聲音、視網(wǎng)膜掃描等。l基于口令的認證方式基于口令的認證方式是較常用的一種技術。認證方收到口令后，將其與系統(tǒng)中存儲的用戶口令進行比較，以確認對象是否為合法訪問者。其優(yōu)點在于簡單易行，一般的系統(tǒng)，如Windows，Unix，ware均提供對口令認證的支持。但這種方式存在嚴重的安全問題。它是一種單因素的認證，安全性僅依賴于口令，口令一旦泄漏，

5、用戶即可被冒充。也存在口令在傳輸過程中被截獲的安全隱患。2基于信物(智能卡)的認證方式智能卡具有硬件加密功能，有較高的安全性。每個用戶持有一張智能卡，智能卡存儲用戶個性化的秘密信息，同時在驗證服務器中也存放該秘密信息。但其缺陷在于智能卡也可能會丟失、被復制，在這種情況下，系統(tǒng)的安全性也無從保障。3基于生物特征的認證方式這種認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征，如指紋、虹膜、掌紋等為依據(jù)，利用計算機的強大功能進行圖像處理和模式識別

6、。該技術具有網(wǎng)絡安全技安全技術課術課程論文免責聲明：文檔在線網(wǎng)中所有的文檔資料均由文檔在線網(wǎng)會員提供該文檔資料的版權屬于提供者所有。文檔在線網(wǎng)會對會員提供的文檔資料進行篩選和編輯，但是并不聲明或保證其內容的合法性和正確性?！?—Stard，數(shù)據(jù)加密標準)作為協(xié)議的基礎，這就帶來了密鑰交換、密鑰存儲、以及密鑰管理的困難，N個用戶想同時通信，就需要N(N1)2個密鑰沒有提供有效抵御口令猜測攻擊的手段，同時還存在時鐘同步問題。1.3.6X.5

7、09基于X.509證書[6][6]的認證技術類似于Kerberos技術，它也依賴于共同依賴的第三方來實現(xiàn)認證，這里可依賴的第三方是指CA(CertificateAuthity)的認證機構。該認證機構負責認證用戶的身份并向用戶簽發(fā)數(shù)字證書。數(shù)字證書遵循X.509標準所規(guī)定的格式，因此稱為X.509證書。持有此證書的用戶就可以憑此證書訪問那些信任CA的服務器?；赬.509證書的認證實際上是將個體之間的信任轉化為個體對組織機構的信任，因此這

8、種認證系統(tǒng)需要有CA的支持。目前，使用最多的認證方式還是最簡單的口令形式，類似于系統(tǒng)登錄過程中輸入用戶名口令的基本認證方式系統(tǒng)事先保存每個用戶的二元組信息，進入系統(tǒng)時用戶輸入其對應的用戶名和密碼，系統(tǒng)根據(jù)保存的用戶信息與用戶輸入的信息相比較，從而判斷用戶身份的合法性。其安全性僅基于用戶口令的保密性，不能有效的抵御口令猜測攻擊并且用戶名和口令都是以明文方式在網(wǎng)絡中傳輸，極易遭受重放攻擊(ReplayAttack)。攻擊者通過監(jiān)聽網(wǎng)絡連接來

9、獲得合法用戶的登錄名和口令等認證信息，隨后利用這個獲得的登錄用戶名和口令對系統(tǒng)進行非法訪問。1.4身份認證技術的評價身份認證在一個安全系統(tǒng)中起著至關重要的作用，因此認證技術決定了系統(tǒng)安全程度。如何評價某一認證技術，可以遵循以下幾個標準[7][7]:(l)可行性(2)認證強度(3)認證粒度(4)認證數(shù)據(jù)正確。在深入比較和分析各種認證方法的基礎上，Kerberos協(xié)議是身份認證領域中較為成熟的應用協(xié)議，具有如下的一些優(yōu)點：它是基于可信賴的第

10、三方的認證方式，適合于開放式的復雜網(wǎng)絡環(huán)境認證過程設計合理，安全性高采用集中的用戶帳號管理，減少了系統(tǒng)維護的負擔采用雙向認證機制等等。第一章第一章KerberosKerberos協(xié)議分析協(xié)議分析2.1Kerberos概述Kerberos是MIT在80年代中期為其Athena[8]計劃開發(fā)的一種基于KDC概念和Needhamschroeder方法的分布式認證服務系統(tǒng)，它可以在不安全的網(wǎng)絡環(huán)境中為用戶對遠程服務器的訪問提供自動的鑒別，數(shù)據(jù)安

11、全性和完整性服務，以及密鑰管理服務。Kerberos的設計是針對以下要求實現(xiàn)的：(l)安全性:網(wǎng)絡中的竊聽者不能獲得必要的信息來假冒網(wǎng)絡的用戶(2)可靠性:Kerberos應該具有高度的可靠性，并采用一個系統(tǒng)支持另一個系統(tǒng)的分布式服務結構(3)透明性:用戶除了被要求輸入密碼外，不會覺察出認證的進行過程(4)可擴充性:系統(tǒng)應能夠支持更多的用戶和服務器，具有較好的伸縮性Kerberos的設計目的分為三個領域:認證、授權、記賬，可用作建造安全