基于基于DESX的的Kerberos协议的分析与改进协议的分析与改进
Kerberos协议是一种基于可信第三方的身份认证协议,针对Kerberos协议具有口令猜测攻击、重放攻击等缺
陷,提出一种基于DESX算法和SHA函数的Kerberos协议改进方案,通过分析比较,改进协议不但摒弃了原
Kerberos协议存在的缺陷,且以相对较小的开销使Kerberos协议认证过程更安全可靠。
摘摘 要:要:
关键词:关键词: Kerberos协议;身份认证;DESX;
Kerberos协议是麻省理工学院(MIT)在20世纪80年代为Athena计划开发的一种基于可信第三方协助的统一身份认证协
议,它可以在不安全的网络环境中实现用户对远程服务器的访问,并提供自动鉴别、数据安全性和完整性服务,其特点是用户
只需输入一次身份验证信息就可以凭此验证获得访问服务器的
本文在深入分析Kerberos协议结构和认证过程的基础上,提出了基于DESX及SHA-2函数对Kerberos协议的改进方案,不但
摒弃了Kerberos协议存在的不足,增加了Kerberos协议的安全性,而且由于DESX算法是DES算法的变型,在不改变Kerberos
协议认证模型及开销较小的情况下弥补和修正了Kerberos协议的缺陷。
1 Kerberos协议及其安全性分析协议及其安全性分析
1.1 Kerberos认证协议认证协议
Kerberos体系结构由密钥分配中心KDC(Key Distribution Center)、应用服务器和客户3个部分组成,KDC在整个认证系
统中处于核心地位,由认证服务器AS(Authentication Server)、票据授权服务器TGS(Ticket Granting Service)及认证数
据库组成。
Kerberos协议以域为单位进行管理,每个域中包含若干客户、1个认证服务器AS、1个票据授权服务器TGS和若干应用服务
器。因此,Kerberos认证协议分为两种认证模式:域内认证和跨域认证。本文主要从域内认证模式阐述对Kerberos协议的改
进。Kerberos协议认证流程共有6个步骤,如图1所示。
本文用到的符号定义:
C:客户;
S:应用服务器;
IDc:用户的身份标识;
ADc:用户的地址;
Kx:X与AS的共享密钥;
Kx,y:x、y共享的会话密钥;
Ticketx,y:访问时的票据;
Lifetime:生存时间;
TS:时间戳,信息的发送时间;
Authenticationc:由客户产生,用于验证用户所持票据的真实性;
{M}Kc:密钥Kc加密信息M;
Option:可选项,用于请求在票据中设置相应的标志位,通过设置相应的标志,可以在协议中添加一些控制;
Nonce:一个保鲜数,它表示回应的信息是新鲜的,预防遭到重放攻击;
Times:客户请求在票据中设置时间,包括请求票据的起始时间、过期时间和过期时间的更新时间,从而允许票据拥有任意长
度的有效期;
Subsky:子密钥,用以保护某一特定的应用程序会话;
Seq:可选项,说明在此次会话中服务器向客户发送消息的序列号,将消息排序可以防止重放攻击。
Kerberos协议的信息交换过程共分3个阶段6个步骤[6-7]:
(1)客户C请求AS发放访问TGS的许可票据Tickettgs。C发送明文请求消息到AS,AS返回1张加密过的票据,加密密钥Kc
由用户口令Password得到。当AS回应的信息到达客户端,客户提示用户C输入口令,由此产生密钥Kc,并对收到的报文解
密,得到Tickettgs,若口令正确,票据正确解密,恢复加密的许可票据Tickettgs,否则提示错误返回。
①C→AS:{Options,IDc,IDtgs,Times,Nonce1}
②AS→C:{IDc,Tickettgs{Kc,tgs,Times,Nonce1,IDtgs}Kc}
Tickettgs={flags,Kc,tgs,IDc,ADc,Times}Ktgs
(2)客户C访问TGS获得访问应用服务器S的服务许可票据Tickets。TGS对收到的许可票据Tickettgs解密,并核查解密后
的信息,检查票据有效期Times和新鲜数Nonce2,核定该票据是否过期;比较票据中的用户信息与收到的数据包中的用户鉴
别信息是否一致,确定用户是否为合法用户,如用户合法,发放访问应用服务器的许可票据Tickets。用户鉴别信息
Authenticationc1由用户C与TGS之间的共享密钥加密Kc,tgs。
③C→TGS:{Options,IDs,Times,Nonce2,Tickettgs,Authenticationc1}
Authenticationc1={IDc,TS1}Kc,tgs
④TGS→C:{IDc,Tickets,{Kc,s,Times,Nonce2,IDs}Kc,tgs}
Tickets={flags,Kc,s,IDc,ADc,Times}Ks
(3)客户C据许可票据Tickets访问应用服务器,并进行相互身份验证。客户持许可票据Tickets申请访问应用服务器S,S解
密信息(实现客户对应用服务器身份确认),并根据Tickets和用户鉴别信息Authenticationc2,验证用户身份,构建回应信息
资源评论
weixin_38594252
- 粉丝: 7
- 资源: 920
最新资源
- 基于 DirectX 9 的游戏的覆盖 API .zip
- 基于 DirectX 9 的 Orbiter Spaceflight Simulator 图形客户端.zip
- 基于 DirectX 12 的实时渲染管线游乐场.zip
- TPLink-TLPS110U-V2-110329打印服务器
- 21122222222222222222
- 1.绚丽的城市.sb3
- 动漫风格迁移-基于python和PaddlePaddle的图像风格转换项目源码+部署文档.zip
- C# 数据加密与解密实践:提升数据安全性的技术指南
- 修订版《数据库原理》课程实验报告内容及指导(2024-秋)cx.docx
- 软件定义数据驱动下的智能网联汽车操作系统技术进展与挑战
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
