李培培　曹芳

【摘 要】本文首先介紹了Kerberos身份認(rèn)證協(xié)議，指出了該協(xié)議存在的局限性，并提出了幾種改進(jìn)方案對Kerberos協(xié)議進(jìn)行改進(jìn)，在一定程度上消除了密鑰在交換、存儲和管理方面帶來的安全上的隱患，提高了身份認(rèn)證系統(tǒng)的安全性。

【關(guān)鍵詞】Kerberos協(xié)議；身份認(rèn)證；改進(jìn)方案

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的地位尤為突出。網(wǎng)絡(luò)操作系統(tǒng)的安全直接關(guān)系到企業(yè)網(wǎng)絡(luò)的安全。作為安全服務(wù)中的一種實(shí)體認(rèn)證變得尤為重要。在一個公開的分布式網(wǎng)絡(luò)環(huán)境中，工作站上的用戶希望訪問分布在網(wǎng)絡(luò)上的服務(wù)器資源。但網(wǎng)絡(luò)上的資源僅允許授權(quán)用戶的特定權(quán)限的訪問，因此，在分布式網(wǎng)絡(luò)中，必須提供一種機(jī)制來對用戶的身份進(jìn)行認(rèn)證。

1 Kerberos身份認(rèn)證

Kerberos是為TCP/ IP 網(wǎng)絡(luò)而設(shè)計的基于Client/ Server模式的三方驗證協(xié)議，廣泛應(yīng)用于Internet服務(wù)的訪問，網(wǎng)絡(luò)中的Kerberos服務(wù)起著可信仲裁者的作用。Kerberos基于對稱密碼體制，可提供安全的客體認(rèn)證。

Kerberos是一種適于在公共網(wǎng)絡(luò)上進(jìn)行分布計算的工業(yè)標(biāo)準(zhǔn)的安全認(rèn)證系統(tǒng)，是由MIT推出的基于可信賴第三方的用戶認(rèn)證系統(tǒng)?？蛻粼诘卿洉r，需要認(rèn)證即用戶必須獲得由認(rèn)證服務(wù)器發(fā)行的許可證，才能使用目標(biāo)服務(wù)器上的服務(wù)。許可證提供被認(rèn)證的用戶訪問一個服務(wù)時所需的授權(quán)資格。所有客戶和服務(wù)器間的會話都是暫時的。

Kerberos 協(xié)議通過網(wǎng)絡(luò)通信的實(shí)體可以互相證明彼此的身份，可以抵抗旁聽和重放等方式的攻擊，并且還可以保證通信數(shù)據(jù)的完整性和保密性。它廣泛應(yīng)用于Internet服務(wù)的安全訪問，具有“高度的安全性、可靠性、透明性和可伸縮性”等優(yōu)點(diǎn)。目前許多遠(yuǎn)程訪問認(rèn)證服務(wù)系統(tǒng)都支持Kerberos認(rèn)證協(xié)議。

2 Kerberos身份認(rèn)證的改進(jìn)

2.1 基于對稱密碼體制的Kerberos協(xié)議的改進(jìn)[1]

基于對稱密碼體制的Kerberos協(xié)議利用公開密鑰加密進(jìn)行對稱加密密鑰分配，該方法是在通信雙方通過公開密鑰證書得到對方的公開密鑰的基礎(chǔ)上實(shí)現(xiàn)的。

2.2 基于ECC+AES的數(shù)據(jù)傳輸加密的Kerberos改進(jìn)方案[2]

在Kerberos認(rèn)證協(xié)議中，全都采用公開密鑰密碼體制傳送機(jī)密信息是不夠安全的。在傳送機(jī)密信息的Client/Server雙方，如果使用某個對稱密鑰密碼體制并同時使用不對稱密鑰密碼體制傳送對稱密鑰密碼體制的密鑰，就可以綜合發(fā)揮兩種密碼體制的優(yōu)點(diǎn)，即對稱密鑰密碼體制的高速性、簡便性和不對稱密鑰密碼體制的密鑰管理的方便性、安全性。

基于ECC+AES的數(shù)據(jù)傳輸加密的Kerberos改進(jìn)方案綜合AES和ECC的優(yōu)點(diǎn)，得到一種新的加密方案，其基本原理為：數(shù)據(jù)在Kerberos Client/Server雙方通信之前，發(fā)送方隨機(jī)生成一個加密密鑰，用AES算法對需傳送的數(shù)據(jù)加密。然后再用ECC算法對該密鑰進(jìn)行加密并實(shí)現(xiàn)數(shù)字簽名。這樣接收方在接收到該密文和被加了密的密鑰后，同樣用ECC解密出此隨機(jī)密鑰，再用此隨機(jī)密鑰對密文解密。這樣的加密方案既有AES算法的快捷特點(diǎn)，又有ECC算法的保密性和方便性特點(diǎn)。

2.3 基于RSA協(xié)議的Kerberos協(xié)議的改進(jìn)

基于RSA協(xié)議的Kerberos與單純的Kerberos協(xié)議相比，Kerberos RSA以密碼強(qiáng)度更高、密鑰分配更具優(yōu)越性的RSA算法為加密和簽名工具，對票證和驗證碼的形式以及驗證協(xié)議做了改進(jìn)。票證帶有開票方的簽名且用服務(wù)器的公鑰加密，既使得服務(wù)器能驗證該票證是否是臆定的開票方簽發(fā)的，又能保證票證中信息（比如會話密鑰）的安全。開票方將票證傳給客戶時，又以簽名的方式進(jìn)行傳輸，使得客戶能夠判斷該票是否是臆定的開票方簽發(fā)的以及是否被修改過驗證碼與票證一起使用，使服務(wù)器能驗證客戶身份并判斷該客戶與票證合法所有者是否相同，防止攻擊者非法使用他人票證。這樣，Kerberos RSA有效地保證了驗證過程的安全性、真實(shí)性和可靠性。

2.4 基于RSA+AES數(shù)據(jù)加密傳輸?shù)腒erberos改進(jìn)方案

基于RSA+AES數(shù)據(jù)加密傳輸?shù)腒erberos協(xié)議的基本原理是：數(shù)據(jù)在Kerberos Client/Server雙方通信之前，生成一個隨機(jī)加密密鑰，用AES算法對需傳送的數(shù)據(jù)加密。然后再用RSA算法對該密鑰進(jìn)行加密，并實(shí)現(xiàn)數(shù)字簽名。這樣接收方在接收到該密文和被加了密的密鑰后，同樣用RSA解密出此隨機(jī)密鑰，再用此隨機(jī)密鑰對密文解密。

2.5 在Kerberos的基礎(chǔ)上采用了Yaksha算法的思想

采用Yaksha算法的思想[3]，聯(lián)網(wǎng)時不使用口令提高了安全性，在認(rèn)證過程中，由用戶對自已加益的時間峨進(jìn)行驗證，解決了Kerberos的時間同步的問題，并有效的防止了重放攻擊。

3 總結(jié)

Kerberos協(xié)議作為一種主要的身份認(rèn)證系統(tǒng)協(xié)議，自誕生以來已得到廣泛的應(yīng)用，增強(qiáng)了網(wǎng)絡(luò)通信安全，但此協(xié)議本身存在無法克服的缺陷，特別是Kerberos 設(shè)計之初是建立在單密鑰體制基礎(chǔ)之上的。

本文深入研究了的Kerberos身份認(rèn)證協(xié)議，并指出了其多方面的局限性。提出了多種方法對Kerberos協(xié)議進(jìn)行改進(jìn)，在一定程度上消除了密鑰在交換、存儲和管理方面帶來的安全上的隱患，提高了身份認(rèn)證系統(tǒng)的安全性。

總之，身份認(rèn)證只是網(wǎng)絡(luò)安全技術(shù)的一部分，它需要結(jié)合其他的防護(hù)措施和技術(shù)來保證網(wǎng)絡(luò)的安全。隨著Internet和密碼學(xué)技術(shù)的發(fā)展，還會有新的改進(jìn)措施和身份認(rèn)證技術(shù)不斷的出現(xiàn)。

【參考文獻(xiàn)】

[1]戈軍.基于Kerberos身份認(rèn)證的分析和改進(jìn)[J].沈陽工程學(xué)院學(xué)報（自然科學(xué)版），2006，7（3）.

[2]鄧永江.程轉(zhuǎn)流 一個改進(jìn)的Kerberos認(rèn)證協(xié)議設(shè)計與分析[J].福建電腦，2006（6）.

[3]莫燕，張玉清，李學(xué)干.對Kerberos協(xié)議的攻擊及對策研究[J].計算機(jī)T-程1， 2005（5）.

[4]張鳳梅.Kerberos系統(tǒng)例分析和改進(jìn)方案[J].遼寧稅務(wù)高等?？茖W(xué)校學(xué)報，2003， 8（4）.

[責(zé)任編輯：楊玉潔]