Kerberos 認證協(xié)議的分析與改進.doc

精品論文kerberos 認證協(xié)議的分析與改進卓見，孫斌（北京郵電大學信息安全中心，北京 100876）5摘要：kerberos 是一個研究較多、應(yīng)用廣泛且較成熟的身份認證協(xié)議；但是它也存在著一些 局限性和缺陷。本文首先闡述 kerberos 認證流程，并分析該協(xié)議存在的安全缺陷。介紹了pki 和 usbkey 雙因子認證技術(shù)，最后提出通過 pki 和 usbkey 雙因子認證技術(shù)改善基于kerberos 認證協(xié)議的認證系統(tǒng)。改進后的 kerberos 認證協(xié)議保證了原 kerberos 協(xié)議的優(yōu)點10的同時有效地解決了時間同步、密鑰管理、口令猜測和重放攻擊等安全問題。關(guān)鍵詞：kerberos；usbkey；pki；認證協(xié)議；對稱密碼體制中圖分類號：tp393analysis and improvement of the kerberos authentication15protocolzhuo jian, sun bin(information security centre, beijing university of posts and telecommunications, beijing100876)abstract: kerberos protocol is the most important practical authentication protocol which is20wildly researched and used, but it also has some limitations and shortcomings. this paper begins by describing the kerberos authentication process, and analyzes the safety defects of theprotocol.then the paper brifely introduces the pki and usbkey two-factor authentication technology,through the use of pki and usbkey two-factor authentication technology to improve the kerberos authentication protocol based authentication system.the improved kerberos25authentication protocol not only ensure the advantages of the original kerberos protocol but alse solve the problem of time synchronization, key management, password guessing and replay attacks and other security issues.key words: kerberos; usbkey; pki; authentication protocol; symmetric key cryptosystem300引言kerberos 協(xié)議1 2以希臘神話中的條兇猛的三頭保衛(wèi)神犬 kerberos 命名，kerberos 到目 前為止共有 5 個版本，其中 1、2、3 版為實驗版；在 1980 年末發(fā)布了 steve miller 和 clifford neumann 設(shè)計的 kerberos 版本 4；在 1993 年發(fā)布了 john kohl 和 clifford neumann 設(shè)計的 kerberos 版本 5；于 2005 年 7 月麻省理工學院（mit）就 kerberos v5 協(xié)議推出了改進的35kerberos 協(xié)議規(guī)范。kerberos 身份驗證方案適用于存在攻擊、竊取、破壞等開放的不安全的 網(wǎng)絡(luò)中，是一種 c/s 結(jié)構(gòu)的可結(jié)合多種身份驗證技術(shù)為一體的身份驗證方案。在云計算、物 聯(lián)網(wǎng)、4g 時代以及無線終端設(shè)備（例如，手機、pad 等）廣泛普及的無線網(wǎng)絡(luò)新興時代， kerberos 身份驗證有著更加廣闊的應(yīng)用場景。kerberos 是一個研究較多、應(yīng)用廣泛且較成熟 的身份認證協(xié)議；但是它也存在著一些局限性和缺陷。本文首先闡述 kerberos 認證流程，40并分析該協(xié)議存在的安全缺陷。介紹了 pki 和 usbkey 雙因子認證技術(shù)，最后提出通過 pki 和 usbkey 雙因子認證技術(shù)改善基于 kerberos 認證協(xié)議的認證系統(tǒng)。改進后的 kerberos 認 證協(xié)議保證了原 kerberos 協(xié)議的優(yōu)點的同時有效地解決了時間同步、密鑰管理、口令猜測作者簡介：卓見（1987-），女，碩士研究生，主要研究方向：信息安全通信聯(lián)系人：孫斌（1967-），女，副教授，主要研究方向：多媒體通信與網(wǎng)絡(luò)安全. e-mail: - 8 -和重放攻擊等安全問題。451kerberos 協(xié)議介紹1.1kerberos 模型kerberos 認證模型3包含四個實體，如圖 1 所示：(1)client：用戶終端；(2)server：業(yè)務(wù)服務(wù)器；50(3)as：認證服務(wù)器；(4)tgs：票據(jù)發(fā)放服務(wù)器。kdc(key distribution center) ：密鑰分配中心，它由 as 和 tgs 組成的，用來提供會 話密鑰以及票據(jù)。tgsc_tgs_reqc_tgs_repc_as_reqasc_as_repclientc_s_reqc_s_repserver55圖 1. kerberos 認證流程figure 1. authentication process of the kerberos protocol四個實體及實體間的密鑰：(1)kc：用戶終端 client 的密鑰；60(2)ks：業(yè)務(wù)服務(wù)器 server 的密鑰；(3)kas：認證服務(wù)器 as 的密鑰；(4)ktgs：票據(jù)發(fā)放服務(wù)器 tgs 的密鑰。(5)kc.tgs：用戶終端 client 和票據(jù)發(fā)放服務(wù)器 tgs 共享的會話密鑰。(6)kc.s：用戶終端 client 和業(yè)務(wù)服務(wù)器 server 共享的會話密鑰。65如圖 1 所示，kerberos 協(xié)議4認證過程由以下六個步驟組成：(1)c_as_req：c,tgs,timestamp,ip用戶終端 client 向認證服務(wù)器 as 以明文方式發(fā)送消息，申請對票據(jù)發(fā)放服務(wù)器 tgs的訪問請求。該明文消息中含有用戶終端 client 的身份信息。(2)c_as_rep：kc.tgs,tc.tgskc70認證服務(wù)器 as 收到用戶終端 client 請求消息，密鑰分發(fā)中心 kdc 數(shù)據(jù)庫4驗證用戶終端 client 的身份，認證服務(wù)器 as 本身就是一個密鑰分發(fā)中心 kdc，驗證通過后認證服 務(wù)器 as 隨機產(chǎn)生的用戶終端 client 與票據(jù)發(fā)放 tgs 間會話密鑰為 kc.tgs 和發(fā)送給 tgs 的 認證票據(jù) tgt，該消息用用戶終端 client 的密鑰 kc 加密。其中 tc.tgs 為tgs，c，timestamp,ip， lifetime，kc.tgsktgs。用戶終端 client 接收到認證服務(wù)器 as 的回復(fù),用用戶終端的密鑰 kc75解密報文得到用戶終端 client 和票據(jù)發(fā)放服務(wù)器 tgs 之間的會話密鑰 kc.tgs 和票據(jù) tc.tgs， 但是用戶終端 client 是無法獲知該票據(jù)對應(yīng)的明文內(nèi)容的。(3)c_tgs_req：s,tc.tgsktgs,ac.tgs用戶終端 client 向票據(jù)發(fā)放服務(wù)器 tgs 發(fā)送訪問應(yīng)用服務(wù)器 s 的請求，其中認證符ac.tgs 為c，timestamp，ipkc.tgs，票據(jù)發(fā)放服務(wù)器 tgs 接收到該消息用自己的密鑰 ktgs80進行解密，獲取與用戶終端 client 的會話密鑰 kc.tgs。票據(jù)發(fā)放服務(wù)器 tgs 用 kc.tgs 解密 認證符 ac.tgs，然后對比，這樣就能驗證票據(jù)發(fā)放服務(wù)器 tgt 真實性。(4)c_tgs_rep：kc.s,tc.skc.tgs票據(jù)發(fā)放服務(wù)器 tgs 驗證用戶終端 client 身份通過后，票據(jù)發(fā)放服務(wù)器 tgs 隨機產(chǎn)生 與業(yè)務(wù)服務(wù)器 s 之間的會話密鑰 kc.s 和訪問業(yè)務(wù)服務(wù)器 s 的票據(jù) tc.s,并用會話密鑰 kc.tgs85加密發(fā)送給用戶終端 client。其中 tc.s=s,c,timestamp,ip,lifetime,kc.sks。用戶終端 client 接收到票據(jù)發(fā)放服務(wù)器tgs 的應(yīng)答消息，用會話密鑰 kc.tgs 進行解密操作得到票據(jù) tc.s 和共享密鑰 kc.s。(5)c_s_req：s,tc.s,ac.s9095100認證符 ac.s 為c，addr，timestampkc.s。業(yè)務(wù)服務(wù)器 s 接收到該消息，用自身的密鑰ks 對票據(jù) tc.s 解密獲取共享密鑰 kc.s 等消息，再用剛獲取的 kc.s 對驗證符 ac.s 解密；再 將票據(jù) tc.s，認證符 ac.s 解密的消息一一對比，用來確認票據(jù) tc.s 的實際持有者用戶終端 c 與票據(jù) tc.s 的發(fā)送者為同一實體。這樣用戶終端 client 的就身份就被驗證成功。(6)c_s_rep：timestamp+1kc.s業(yè)務(wù)服務(wù)器 s 對用戶終端 client 的身份合法性進行驗證以后，時間戳 timetamp 加上 1 用共享密鑰 kc.s 加密后發(fā)送給用戶終端 client。用戶終端 client 收到消息用共享密鑰 kc.s 解密，對新的時間戳 timestamp 進行驗證，對業(yè)務(wù)服務(wù)器 s 的認證是通過時間戳 timestamp 的有效性。1.2kerberos 協(xié)議的缺陷分析kerberos 協(xié)議能提供身份認證和數(shù)據(jù)保密性，但它具有局限性；kerberos 認證協(xié)議的局 限性，主要表現(xiàn)在以下幾個方面：(1)重放攻擊：在 kerberos 認證方案中，引入了時間戳 timestamp 來對重放攻擊進行遏止，但是票據(jù)有生命周期 lifetime，在其生命周期的有效時間內(nèi)仍然可以使用。如果收到消息的 時間是在規(guī)定允許的范圍之內(nèi)，那么就認為該消息具有新鮮性。但是，在得到許可證后的攻 擊者可以發(fā)送偽造的消息，這樣的話，在允許的時間內(nèi)是很難發(fā)現(xiàn)的。105110115(2)口令猜測攻擊：原始 kerberos 認證方案采用對稱密鑰加密方式，這種密鑰加密方式具有局限性。當 client 向 as 發(fā)送請求報文，以獲取訪問 tgs 的票據(jù)時；as 發(fā)往客戶終端 client 的消息是由用戶終端 client 產(chǎn)生的密鑰 kc 來加密的。采用單向 hash 函數(shù)對 client 口 令進行加密后得到的是客戶的密鑰，這樣一來，攻擊者完全可以對大量的票據(jù)信息進行收集， 通過計算和密鑰分析方式進行口令猜測。(3)密鑰存儲問題：kerberos 認證中心要存儲大量的共享密鑰，對密鑰進行管理和更新都 有很大的難度，為此將付出極大的系統(tǒng)代價來保障整個系統(tǒng)安全。(4)時間同步缺陷：kerberos 協(xié)議要求是基于網(wǎng)絡(luò)中時鐘同步，要實現(xiàn)大型分布式系統(tǒng)的 時間同步很困難5。2pki 與 usbkey 技術(shù)2.1usbkey 雙因子身份認證120125130135usbkey 從智能卡技術(shù)上發(fā)展而來，是結(jié)合了密碼學技術(shù)、智能卡技術(shù)和 usb 技術(shù)的新一代身份認證產(chǎn)品。usbkey 的內(nèi)嵌芯片和芯片操作系統(tǒng)(cos)需要提供私鑰的生成、安 全存儲和公鑰密碼算法等功能。由于其具有獨立的數(shù)據(jù)處理能力和良好的安全性，usbkey 成為數(shù)字證書和簽名私鑰的安全載體。由于數(shù)字證書包括證書擁有者的個人信息、證書擁有 者的公鑰、公鑰的有效期、頒發(fā)數(shù)字證書的 ca、ca 的數(shù)字簽名等，所以網(wǎng)上雙方經(jīng)過相 互驗證數(shù)字證書后，即可確認對方身份的合法性。在進行數(shù)字簽名時，用來簽名的私鑰在 key 中產(chǎn)生并保存在 key 中，任何情況不能讀出，簽名的過程在 key 中完成，比傳統(tǒng)方式 下在主機端用私鑰實現(xiàn)簽名更安全可靠。每一個 usbkey 都具有硬件 pin 碼保護，pin 碼和硬件構(gòu)成了用戶使用 usbkey 的兩 個必要因素。即所謂雙因子認證，用戶只有同時取得保存了相關(guān)認證信息的 usbkey 和用 戶 pin 碼，才可以登錄系統(tǒng)6。即使用戶的 pin 碼被泄漏，只要用戶持有的 usbkey 不被 盜取，合法用戶的身份就不會被仿冒；如果用戶的 usb key 遺失，拾到者由于不知道用戶 pin 碼，也無法仿冒合法用戶的身份。2.2pki 公開密鑰體系pki(public key infrastructure)即公開密鑰體系7，是一種遵循既定標準的密鑰管理平臺， 能夠為網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理體系。 pki 提供了四種主要的安全功能：保密性，保證信息的私有性；完整性，保證信息沒有被篡 改；真實性，證明一個人或一個應(yīng)用的身份；不可否認性，保證信息不能被否認。pki 最 主要的任務(wù)就是確立可信任的數(shù)字身份，而這些身份可以被用來和密碼機制相結(jié)合，提供認 證、授權(quán)或者數(shù)字簽名驗證等服務(wù)，這些服務(wù)的用戶可以在相當程度上確信自己沒有被誤導。140145這個可信任的數(shù)字身份通過公鑰證書來實現(xiàn)，公鑰證書（x.509 證書）8是用戶身份和他所 持有的公鑰的結(jié)合。首先，由一個可信任的權(quán)威機構(gòu) ca 來證實用戶的身份，然后該 ca 對用戶身份和公鑰的散列值進行數(shù)字簽名，以證明該公鑰的確屬于該用戶。一個實用的 pki體系必須充分考慮互操作性和可擴展性。它所包含的認證機構(gòu)（certificate authority，ca）、 注冊機構(gòu)（registration authority，ra）、密鑰（key）與證書（certificate）管理、密鑰備 份及恢復(fù)、撤銷系統(tǒng)等功能模塊應(yīng)該有機地結(jié)合在一起。ca 中心，又稱為數(shù)字證書認證中 心，在 pki 體系中，認證中心 ca 是整個 pki 體系中各方都承認的一個值得信賴的公正的 第三方機構(gòu)，專門解決公鑰體系中公鑰的合法性問題。ca 的主要功能是簽發(fā)證書和管理證 書。具體包括用戶注冊、證書簽發(fā)、證書撤銷、密鑰恢復(fù)、密鑰更新、證書使用和安全管理 等。3運用pki和usbkey技術(shù)改進kerberos認證協(xié)議3.1 改進后 kerberos 認證模型150如圖 2 所示，改進后的認證協(xié)議有五個實體：（1）client:用戶終端，用 usbkey 保存用戶數(shù)字證書的公私密鑰對。（2）server:業(yè)務(wù)服務(wù)器。（3）ca:證書認證中心，采用 pki 公鑰基礎(chǔ)設(shè)施。（4）as:認證服務(wù)器。（5）tgs:票據(jù)發(fā)放服務(wù)器。ascaclienttgsserver155160圖 2. 改造后的 kerberos 認證實體figure 2. authentication entity of the kerberos protocol after modification改進后的認證協(xié)議實體間的共享密鑰：（1）kc.as: client 和 as 的共享密鑰。（2）kc.tgs:client 和 tgs 的共享密鑰。（3）kc.s:client 和 server 的共享密鑰。實體的公私鑰表示：（1）client 的公私鑰分別為 pubkc 和 prvkc。（2）as 的公私鑰分別為 pubkas 和 prvkas。（3）server 的公私鑰分別為 pubks 和 prvks。165（4）tgs 的公私鑰分別為 pubktgs 和 prvktgs。（5）nonce 為不重數(shù)，即不重復(fù)使用的大隨機數(shù)。3.2 改進后 kerberos 認證流程改進后的 kerberos 認證協(xié)議，具體認證流程如圖 3 所示：tgs(3)c_tgs_req (4)c_tgs_rep(1)c_as_reqas(2)c_as_repclient(5)c_s_req(6)c_s_repserver170175180185190ca圖 3. 改造后的 kerberos 認證流程figure 3. authentication process of the kerberos protocol after modification(1)c_as_req: c, address, tgs,kc.as,nonce1prvkcpubkas原 kerberos 協(xié)議，用戶終端 client 向認證服務(wù)器 as 發(fā)送明文請求，因此無法驗證用戶 終端 client 的身份。在運用 pki 公鑰技術(shù)改進的 kerberos 認證協(xié)議中，用戶終端 client 向 認證服務(wù)器 as 發(fā)送請求消息，使用認證服務(wù)器 as 的公鑰 pubkas 加密后發(fā)送給認證服務(wù) 器 as，確保只有認證服務(wù)器 as 才能解開。nonce1 為不重數(shù)，即不重復(fù)使用的大隨機數(shù)， 并且隨票據(jù)服務(wù)器 tgs 標識 tgs 和用戶終端 client 和認證服務(wù)器 as 的共享密鑰 kc.as 用 client 的私鑰 prvkc 簽名；as 收到該消息后，使用用戶終端 client 的公鑰 pubkc 驗證用戶 終端 client 的身份。改進的認證協(xié)議傳輸不重復(fù)的大隨機數(shù) nonce1 而不傳輸 timestamp 可以 避免原 kerberos 認證系統(tǒng)對時間同步的要求。(2)c_as_rep: kc.tgs,tgs, nonce1+1kc.as,tgt tgt=as,c,tgs,addr,lifetime,kc.tgs prvkaspubktgs認證服務(wù)器 as 生成用戶終端 client 和票據(jù)發(fā)放服務(wù)器 tgs 通信的會話密鑰 kc.tgs，并將 nonce1 加 1，隨同票據(jù)發(fā)放服務(wù)器 tgs 的標識 tgs 一同用 kc.as 加密。組織消息c,tgs,addr,lifetime,kc.tgs用認證服務(wù)器 as 的私鑰 prvkas 簽名，并使用票據(jù)發(fā)放服務(wù)器 tgs 的公鑰 pubktgs 加密消息。用戶終端 client 收到該回復(fù)消息時，用用戶終端 client 的私鑰 prvkc 解密獲得 kc.tgs。(3)c_tgs_req:s,addr,lifetime,nonce2kc.tgs,tgt tgt=as,c,tgs,addr,lifetime,kc.tgsprvkaspubktgs195用戶終端 client 向票據(jù)發(fā)放服務(wù)器 tgs 發(fā)送訪問業(yè)務(wù)服務(wù)器 s 的請求消息，該消息包括票據(jù) tgt。票據(jù)發(fā)放服務(wù)器 tgs 收到該請求消息后用自己的私鑰 prvktgs 解密票據(jù) tgt， 在根據(jù)得到的認證服務(wù)器標識 as 選擇對應(yīng)的認證服務(wù)器 as 的私鑰 prvkas 驗證，驗證成功 后便可以獲取會話密鑰 kc.tgs，tgs 在利用剛剛解密獲取的 kc.tgs 解密s,addr,lifetime,nkc.tgs 獲取 s,addr,lifetime 和 nonce2。(4)c_tgs_rep:s,kc.s,nonce2+1 kc.tgs,tsts=tgs,s,c,addr,kc.s,lifetime prvktgspubks200205210215票據(jù)發(fā)放服務(wù)器 tgs 向用戶終端 client 發(fā)送應(yīng)答消息，票據(jù)發(fā)放服務(wù)器 tgs 產(chǎn)生用戶終端 client 和業(yè)務(wù)服務(wù)器 s 之間通信的會話密鑰 kc.s，并將 nonce2 加 1，隨同業(yè)務(wù)服務(wù)器 的標識 s 用用戶終端 client 和票據(jù)發(fā)放服務(wù)器 tgs 之間的共享密鑰 kc.tgs 加密。同時產(chǎn)生 用戶終端 client 用于訪問業(yè)務(wù)服務(wù)器 s 的票據(jù) ts。該票據(jù)使用業(yè)務(wù)服務(wù)器 s 的公鑰 pubks 加密，確保只有正確的業(yè)務(wù)服務(wù)器 s 才能解開經(jīng)過 tgs 服務(wù)器的簽名。(5)c_s_req:c,addr,lifetime,nonce3kc.s,tsts=tgs,s,c,addr,kc.s,lifetime prvktgspubks用戶終端 client 向業(yè)務(wù)服務(wù)器 s 發(fā)送認證符c,addr,lifetime,nkc.s 和票據(jù) ts。業(yè)務(wù)服務(wù) 器 s 用私鑰 prvks 解密票據(jù) ts，再根據(jù)得到的票據(jù)發(fā)放服務(wù)器的標識 tgs 選擇對應(yīng)的票據(jù)發(fā) 放服務(wù)器的公鑰 pubktgs 驗證 tgs 身份，成功驗證后獲取如下信息 s,c,addr,kc.s,lifetime， 用剛剛解密獲得的 kc.s 解密認證符c,addr,lifetime, nonce3kc.s，獲取消息 c,addr,lifetime, nonce3。將二者解密得到的消息作比對，驗證消息的發(fā)送者和持有者為同一人。(6)c_s_rep:nonce3+1kc.s業(yè)務(wù)服務(wù)器 s 驗證消息的持有者即為消息的發(fā)送者時， 將 nonce3 加 1 后用用戶終端 client 和業(yè)務(wù)服務(wù)器之間的通信密鑰 kc.s 加密后發(fā)送給用戶終 端 client。3.3 改進后 kerberos 授權(quán)票據(jù)驗證性能分析改進后的 kerberos 認證方案有效地克服了身份認證中要求嚴格的的時間同 步；采用 pki 技術(shù)以及有時限的會話密鑰等統(tǒng)一進行密鑰管理有效地避免了 kerberos 中 kde 密鑰分發(fā)管理等問題；采用智能卡 usbkey 技術(shù)實現(xiàn)了防止口 令猜測攻擊以及重放攻擊等安全缺陷，其中授權(quán)票據(jù)驗證性能指標分析如下：表 1會話密鑰的性能指標表tab.1 the session key performance indicator加密密鑰長度加密數(shù)據(jù)大小平均時間硬件環(huán)境128 位128 位10m100m1.745s17.519sintel 奔騰雙核 e2200cpu 主頻：2200mhz128 位1g193.323s內(nèi)存大?。?024mb ddrii128 位10m1.745s220從流程上看，授權(quán)票據(jù)對業(yè)務(wù)系統(tǒng)的性能影響主要是一次授權(quán)票據(jù)驗證的解析延時。表 3-1 列出了會話密鑰的性能指標：225230235因此如果以一個授權(quán)票據(jù)大小為 5k 的數(shù)據(jù)量來算的話，一次解密的時間大概是 0.87ms。業(yè)務(wù)服務(wù)器驗證完一次授權(quán)票據(jù)需要解密一個授權(quán)票據(jù)和一次認 證票據(jù)，認證票據(jù)的大小只有幾十個字節(jié)，解密的時間大概在 1ms 左右。所以 一次授權(quán)票據(jù)驗證的時間在 1.5ms 以內(nèi)。4結(jié)論綜上，改進后的認證協(xié)議有如下優(yōu)點：(1)保持了對主機不要求主機操作系統(tǒng)以及是否被授信，以及人適用于存在攻擊、竊取 等不安全的公開網(wǎng)絡(luò)傳輸?shù)膬?yōu)點。(2)采用 pki 公鑰密碼技術(shù)，引入專用 ca 對密鑰的產(chǎn)生、存儲、管理、更新等工作進 行管理。有效的防止了原 kerberos 協(xié)議的 kdc 被攻破后整個系統(tǒng)便攻破的危險性，系統(tǒng)的 安全性有了較好的保障。(3)采用 usbkey 智能卡存儲用戶密鑰，usbkey 雙因子認證，大大提高了登錄系統(tǒng)的安 全性。