一種基于公鑰的新型Kerberos域間認(rèn)證方案講解.doc

卷第期年月微電子學(xué)與計算機(jī)（丌一種基于公鑰的新型域間認(rèn)證方案田俊峰，畢志明，張晶（北大學(xué)數(shù)學(xué)與計算機(jī)學(xué)院，河北保定）摘要：描述了一種基于公鑰加密的新型域間認(rèn)證方案鑒于以往域間認(rèn)證方案中域間存在密鑰數(shù)量龐大和系統(tǒng)安全性不夠強(qiáng)的問題，引入了中介和公鑰加密體制對域間認(rèn)證方案進(jìn)行改進(jìn)改進(jìn)方案中，中介和與之相關(guān)的非中介共享對方公鑰通過可行性、安全性分析可知，該方案使系統(tǒng)更安全密鑰的管理和維護(hù)更容易關(guān)鍵詞：域間認(rèn)證；公鑰加密；中介中圖分類號：文獻(xiàn)標(biāo)識碼：文章編號：（），（，：，），器，：；引言計算機(jī)網(wǎng)絡(luò)是一個開放的系統(tǒng)，也正由于其開放性導(dǎo)致計算機(jī)網(wǎng)絡(luò)中存在許多安全漏洞和安全威脅，網(wǎng)絡(luò)中的各類資源很容易被人非法訪問和復(fù)制因此對網(wǎng)絡(luò)資源訪問者的合法身份進(jìn)行認(rèn)證就顯得非常重要身份認(rèn)證技術(shù)已經(jīng)成為網(wǎng)絡(luò)系統(tǒng)安全中重要的技術(shù)之一【卜是一個典型的認(rèn)證協(xié)議，其使用專門的服務(wù)器進(jìn)行統(tǒng)一的身份認(rèn)證和權(quán)限管理原始的域間身份認(rèn)證中（假設(shè)域的客戶想訪問域的服務(wù)器，域為第一區(qū)域，域為第二區(qū)域），客戶首先向本地的認(rèn)證服務(wù)器申請訪問本地的服務(wù)器的初始票據(jù)，本地認(rèn)證服務(wù)器向返回訪問的訪問的票據(jù)后向申請訪問遠(yuǎn)地嘲的票據(jù)，返回給訪問遠(yuǎn)地的票據(jù)以及會話密鑰然后，向遠(yuǎn)程的申請訪問遠(yuǎn)程初始票據(jù)及同通信的會話密鑰客戶得到應(yīng)用服務(wù)的票據(jù)及會話密鑰遠(yuǎn)程魄返回給訪問遠(yuǎn)地應(yīng)用服務(wù)的票據(jù)以及會話密鑰本地向遠(yuǎn)程應(yīng)用服務(wù)提出訪問請求遠(yuǎn)程應(yīng)用服務(wù)對提出的訪問請求進(jìn)行認(rèn)證后，向返回請求收稿日期：基金項目：河北省自然科學(xué)基金項目（）；河北省教育廳自然科學(xué)基金重點(diǎn)項目（）；河北省教育廳基金資助項目（，）微電子學(xué)與計算機(jī)芷應(yīng)答，進(jìn)而實現(xiàn)了客戶與服務(wù)的雙向認(rèn)證認(rèn)證協(xié)議本身具有局限性，主要表現(xiàn)在以下幾個方面（）重放攻擊：在認(rèn)證方案中，為了防止重放攻擊引入了時間戳，但票據(jù)在其生命周期的有效時間內(nèi)仍然可以使用，攻擊者可以在得到許可證后發(fā)送偽造的消息，這在允許的時間內(nèi)是很難發(fā)現(xiàn)的（）口令猜測攻擊：認(rèn)證方案采用對稱密鑰加密方式這種密鑰加密方式具有局限性（）密鑰存儲問題：認(rèn)證中心要保存大量的共享密鑰，對密鑰進(jìn)行管理和更新有很大的難度，為此將付出極大的系統(tǒng)代價來保障整個系統(tǒng)安全鑒于在認(rèn)證方案中存在的問題，很多學(xué)者對其進(jìn)行研究并提出了改進(jìn)方案【最典型的改進(jìn)方案是用公鑰加密機(jī)制對其進(jìn)行改進(jìn)和擴(kuò)展，其簡要過程：發(fā)送方先用自己的私鑰加密，再用接收方的公鑰加密接收方收到發(fā)送方的消息后，先用自己的私鑰解密，然后用發(fā)送方的公鑰解密，這樣既使認(rèn)證系統(tǒng)具有抗否認(rèn)性也能很好地解決口令猜測攻擊問題域間的身份認(rèn)證以域內(nèi)的身份認(rèn)證為基礎(chǔ)，由于本身固有的局限性導(dǎo)致了其域間的身份認(rèn)證存在很多的不足之處，而且一些對域內(nèi)的認(rèn)證方法的改進(jìn)沒有很好的應(yīng)用到域間認(rèn)證方案中相關(guān)工作及分析域間身份認(rèn)證是采用對稱密鑰加密（對于對稱密鑰帶來的系統(tǒng)不安全性，在引言中已介紹），這樣會導(dǎo)致信息傳輸?shù)牟话踩矣騿枙捗荑€數(shù)量龐大，給密鑰的管理、分配、存儲帶來很大不便此外，這種域間認(rèn)證方式很容易遭到重放攻擊為了解決這一問題，一些工作在身份認(rèn)證過程中引入了時間戳的概念【，這樣就不可避免的面臨時鐘同步問題彭雙和、沈昌祥等人在原有域問身份認(rèn)證的基礎(chǔ)之上，結(jié)合應(yīng)用邊界安全設(shè)備對其進(jìn)行改進(jìn)【在改進(jìn)的方案中，域間連接只有次，這使得開銷明顯降低，為了摒棄時間戳所帶來的時鐘同步問題，此方案引入但是，這一方案既存在應(yīng)用邊界安全設(shè)備的特定環(huán)境限制，也沒有考慮使用對稱密鑰所帶來的密鑰數(shù)量龐大的問題在的工作中，他提到了利用中介（基于信任鏈）實現(xiàn)客戶到其他域的服務(wù)器的票據(jù)訪問和獲取在中介）的信任鏈域中的鏈節(jié)和非中介存在直接或間接的信任關(guān)系，一旦鏈中的某一個鏈節(jié)不可用，將使整個中介無法正常工作，最后導(dǎo)致認(rèn)證過程的失敗而且由于此認(rèn)證方案使用對稱密鑰加密，也導(dǎo)致了整個系統(tǒng)的不安全為了解決上述問題，提出了協(xié)議協(xié)議包含協(xié)議和、協(xié)議兩部分，這兩種協(xié)議針對不同的情況有著不同的用途協(xié)議中引入了公鑰系統(tǒng)，使得整個認(rèn)證系統(tǒng)的安全性有了進(jìn)一步的提高但是，協(xié)議還是沒能夠解決密鑰的龐大所帶來的問題一方面，為了解決密鑰龐大所帶來的問題，另一方面，為了使系統(tǒng)的的安全性更有保障，文中提出了一種基于公鑰的新型域問認(rèn)證方案一種基于公鑰的新型域間認(rèn)證方案符號簡介表示用密鑰加密信息是防止重放攻擊而設(shè)的，表示和共享的會話密鑰前綴、分別表示公鑰、私鑰，例如，、表示客戶的公鑰和私鑰，表示客戶去訪問服務(wù)器的票據(jù)中介和非中介（特點(diǎn)中介具備以下兩個特點(diǎn)：（）中介中除存儲自己的私鑰和公鑰外，還存儲各個非中介的公鑰（）中介直接接收到請求者發(fā)送的票據(jù)后，并不是直接返回給請求者所需要訪問的票據(jù)，而是直接向被訪問的索要訪問被訪問所在域的服務(wù)器的票據(jù)，然后由被訪問的）把訪問的票據(jù)傳給客戶對于非中介的需要保存自己的私鑰和中介的公鑰本方案的具體流程域的客戶想訪問域的服務(wù)器，如圖所示（）向本地的認(rèn)證服務(wù)器申請訪問本地的服務(wù)器的初始票據(jù)消息包括：客戶的客戶名、要申請訪問的名、消息首先用的私鑰加密，以證明消息確實是由發(fā)出的第期田俊峰，等：一種基于公鑰的新型域間認(rèn)證方案圖域的客戶想訪問域的服務(wù)器然后把加密后的信息用的公鑰加密，保證并且只有能解開此消息，以確認(rèn)的身份客戶端的客戶名放在簽名消息外，使得能得知消息來自哪一個客戶端，以便對客戶進(jìn)行身份認(rèn)證：，（）本地認(rèn)證服務(wù)器向返回訪問（詩的初始票據(jù)及同通信的會話密鑰，同時將加（用來保證不是截獲者重發(fā)的消息）并返回訪問的票據(jù)。嘲首先用的私鑰加密，然后用的公鑰加密然后整體消息（包括和的會話密鑰）用的公鑰進(jìn)行加密，這樣就保證了雙方的身份認(rèn)證：，懈（）向申請中介的票據(jù)首先由客戶產(chǎn)生，用來確保此次消息的新鮮性申請訪問中介的票據(jù)用的私鑰加密需要訪問的服務(wù)器名和用和的會話密鑰嗍加密整體消息用的公鑰加密：，嘲，（）本地先用自己的私鑰解密后得到被。嘲和的私鑰所加密的消息后，分別用嘲和解密得到票據(jù)確認(rèn)的身份后，向中介：，啦（）中介向遠(yuǎn)程申請訪問遠(yuǎn)程應(yīng)用服務(wù)的票據(jù)發(fā)送的消息還包括：客戶名、服務(wù)器名和這部分信息用中介（焉的私鑰加密整體消息用的公鑰進(jìn)行加密由于中介存有的公鑰，中有中介的公鑰這樣就可以實現(xiàn)的中介與的雙向認(rèn)證：，（）遠(yuǎn)程用自己的私鑰和中介的公鑰解析出訪問服務(wù)器的票據(jù)，和服務(wù)器名，并把解析到的加（使得能對此次回復(fù)進(jìn)行新鮮性的確認(rèn)）同時產(chǎn)生客戶和服務(wù)器的會話密鑰所有信息用客戶的公鑰加密后返回給一：，。，（）本地客戶得到的消息后，用自己的私鑰進(jìn)行解密，這樣實現(xiàn)了和的雙向認(rèn)證客戶得到訪問服務(wù)器的票據(jù)后，客戶處隨機(jī)產(chǎn)生（返回時需要服務(wù)器對進(jìn)行加操作），并向服務(wù)器提出訪問請求，把和用密鑰加密，連同票據(jù)發(fā)送給服務(wù)器：，。，（）遠(yuǎn)程應(yīng)用服務(wù)收到客戶提出的訪問請求后，先對票據(jù)進(jìn)行解析，得到。和客戶的相關(guān)信息，然后把解析出的客戶信息和用，解密，得到的信息進(jìn)行比較，進(jìn)一步對客戶驗證身份如果身份驗證無誤，則將加，并用加密返回給客戶：上述認(rèn)證過程實現(xiàn)了客戶和服務(wù)器之間的雙向認(rèn)證客戶和服務(wù)器可以用密鑰實現(xiàn)信息的安全傳輸可行性。安全性分析在分布式系統(tǒng)中，認(rèn)證中心數(shù)量很大通過對以往的跨域認(rèn)證方案分析可知，域間會話數(shù)量驚人如果認(rèn)證中心的數(shù)量過于龐大，密鑰的數(shù)量給認(rèn)證中心帶來很大的隱患由于每個認(rèn)證中心都要承受這樣的負(fù)擔(dān)，將有可能導(dǎo)致認(rèn)證過程的失敗中介的引入，使得非中介認(rèn)證部分的負(fù)擔(dān)明顯可行性分析發(fā)送請求的票據(jù)票據(jù)用中介的公鑰加密，用的私鑰加密會越來越多，密鑰的分配、管理、存儲等諸多問題，將微電子學(xué)與計算機(jī)拒降低對于原來跨域認(rèn)證協(xié)議，假設(shè)有個需要互相訪問的區(qū)域（），那么每個區(qū)域中，必須存有其他一個區(qū)域的密鑰，這些密鑰稱之為額外密鑰整體的額外密鑰的數(shù)量為（一）當(dāng)取值很大時，方案變得不現(xiàn)實假設(shè)同樣有個需要互相訪問的區(qū)域，每個非中介區(qū)域只要存儲中介的公鑰（一個額外密鑰），而中介區(qū)域的額外雖然作者對跨域認(rèn)證協(xié)議做了一些工作，但對這一領(lǐng)域的深人研究還要繼續(xù)進(jìn)行探討參考文獻(xiàn)：，（）刪，密鑰有個，即中介區(qū)域存儲了每個非中介區(qū)域的公鑰換言之，本方案中的額外密鑰數(shù)量為當(dāng)時，（一）對于實際情況而言，在分布式系統(tǒng)中的數(shù)量遠(yuǎn)遠(yuǎn)大于通過以上分析可知，密鑰的存儲和管理的開銷明顯降低中，（），：，介只對非中介認(rèn)證系統(tǒng)公鑰的管理和分配，雖然負(fù)擔(dān)相對較大，但總體來說使得整個認(rèn)證過程的負(fù)擔(dān)降低安全性分析蒙楊，劉克龍，卿斯?jié)h一種利用公鑰體制改進(jìn)協(xié)議的方法軟件學(xué)報，（）：，文中方案把公鑰體系引人到域問認(rèn)證中采用公鑰加密技術(shù)，便于密鑰的管理和分配，對系統(tǒng)的安全性有極大的增強(qiáng)：有效地解決了口令猜測攻擊，同時保證了認(rèn)證速度【以往的大部分認(rèn)證，（）：，協(xié)議使用對稱密碼體制加密信息，方案中采用非對稱加密體制對信息進(jìn)行加密在非對稱加密體制中，先用發(fā)送方的私有密鑰加密，再用接收方的公開密鑰加密，保證只有用接收方的私有密鑰解密后，才能知道用什么公開密鑰解密得到最終信息對客戶發(fā)出的消息設(shè)囂隨機(jī)的方法，既避免遭受重放攻擊，也能克服時鐘同步給整個認(rèn)證過程帶來的干擾在以往的域間認(rèn)證協(xié)議中，無論訪問區(qū)域還是被訪問區(qū)域都必須存放對方的密鑰，一旦這些密鑰被非法獲取，則會給系統(tǒng)造成重大影響本方案中，中介所在域的數(shù)據(jù)庫存放各個與之相關(guān)聯(lián)的非中介認(rèn)證系統(tǒng)中（、的公鑰，同樣，非中介認(rèn)證系統(tǒng)中存放的是中介的公鑰，即使數(shù)據(jù)庫被非法訪問也不會給對系統(tǒng)造成重大的危害這在很大程度上增強(qiáng)了整個系統(tǒng)的安全性，（）：，（）：彭雙和，韓臻，沈昌祥安全域間信息資源訪問的協(xié)議和方法計算機(jī)研究與發(fā)展，（）：，（）：，璐，：，。，：結(jié)束語文中結(jié)合協(xié)議發(fā)展現(xiàn)狀，針對跨