————————————
基金项目:江苏省自然科学基金资助项目“时间相关密码协议逻辑系统研究”(BK2008090)
作者简介:刘 军(1969-),男,副教授、硕士,主研方向:信息安全,软件工程;樊琳娜、吴兆峰、郭继斌,硕士
收稿日期:2012-06-19 修回日期:2012-08-08 E-mail:fanlinnafanlinna@163.com
基于
Kerberos
和
HIBC
的网格认证模型
刘 军,樊琳娜 ,吴兆峰 ,郭继斌
(解放军理工大学通信工程学院,南京 210007)
摘 要:针对网格安全基础设施中公钥基础设施(PKI)认证机制效率较低的缺点,提出一种基于 Kerberos 和 HIBC 的网格认
证模型,分别设计域内、域间和私钥产生器之间的认证机制。一级信任域使用 Kerberos 完成认证,二级信任域通过 HIBC
完成相互认证。该模型能够实现相互认证、抗中间人攻击,具有不可抵赖性。分析结果表明,无论从计算量还是通信量方
面,该模型均优于原有的公钥基础设施认证机制,具有较高的安全性且对系统参数无限制,能较好地满足网格的自治性。
关键词:安全认证;网格;信任域;私钥产生器;公钥基础设施
Grid Authentication Model Based on Kerberos and HIBC
LIU Jun, FAN Lin-na, WU Zhao -feng, GUO Ji-bin
(Institute of Communication Engineering, PLA University of Science and Technology, Nanjing 210007, China)
【Abstract】Because of the low efficiency of Public Key Infrastructure(PKI) authentication mechanism in Grid Security
Infrastructure(GSI), this paper designs an authentication model based on Kerberos and Hierarchical ID-based Cryptography(HIBC).
Authentication methods between two grid entities in a domain, from two domains and authentication method between PKG are
illustrated. Entities in first domain authenticates to each other through Kerberos. Entities in second domain authenticates to each
other through HIBC. This model can meet the demand of authentication need in large scale grid. Analysis result shows that the new
model is better than previous PKI authentication method in computation and communication. At the same time, it has better security
and meets demand of autonomous grid.
【Key words】security authentication; grid; trust domain; Private Key Generator(PKG); Public Key Infrastructure(PKI)
DOI: 10.3969/j.issn.1000-3428.2013.05.030
计 算 机 工 程
Computer Engineering
第 39 卷 第 5 期
Vol.39 No.5
2013 年 5 月
May 2013
·安全技术·
文章编号:1000—3428(2013)05—0140—04
文献标识码:A
中图分类号:TP309.2
1
概述
网格 是一个集成的计算与资源环境
[1]
。由于网格环境中
主体动态特性 、资源开放性以及网格自身的一些其他特征 ,
使得网格安全问题一直是网格计算领域的研究重点和热
点 ,而身份鉴别是保证网格安全的重要机制之一
[2]
。与传统
网络环境相比 , 网格计算环境极其复杂 , 它具有大规模 、
高速 、分布 、异构 、动态 、可扩展等特性
[3]
。这就对网格安
全控制提出了一个极高的要求 。 网格安全基础设施
(Grid
Security Infrastructure , GSI )
是一个解决网格系统的安全问
题的集成方案 。它为网格提供了基本的安全服 务
[4]
。
GSI
采
用公钥基础设施
(Public Key Infrastructure, PKI)
和
X.509
认
证 。 但
PKI
系统的建设和维护成本高 , 同时证书链处理和
证书传递开销较大
[5]
。为了解决
PKI
中存在的证书处理过程
繁重 、 计算负担和时间延迟较 大的问题 ,
1984
年
Shamir
提出了基于身份的加密思想 , 即以用户的名字作为公钥 ,
摒弃了
PKI
中将用户身份和公钥通过证书绑定 的做法 ,
2001
年 ,
Boneh
和
Franklin
提出了第一个实用的基于身份
的加密
(Identity Based Encryption, IBE )
方案
[6]
。
2002
年 ,
Craig Gentry
和
Alice Silverberg
在
IBE
的基础上 ,提出了改
进的方案
HIBC (Hierarchical ID -based Cryptography)
[7]
, 该
方案具有
IBE
的优点 , 并减轻了 私钥产生器
(Private Key
Generator , PKG )
的负担 。
文献
[8]
构建了具有反馈功能的安全网格认证模型 , 该
模型仍使用
PKI
认证机制 , 不能从根本上解决
GSI
认证效
率较低的问题 。 文献
[9]
是一种基于
HIBC
的网格身份认证
方案 ,但该方案假设所有的信任域都使用 相同的系统参数 ,
除了主密钥和系统公钥不同 , 这样的限制不符合网格的动
态性和自治性 。文献
[10]
采用了
HIBC
密码体制并解决了跨
域认证问题 , 但要求不同信任域中散列函数相同 , 不能完
全达到网格自治的要求 。
针对上述问题 , 本文 提出一种基于
Kerberos
和
HIBC
的网格身份认证模型
(KHIBC )
,该模型中各个信任域可以自
行选择系统参数 , 从而 更适合网格特点 。
资源评论
weixin_38740144
- 粉丝: 1
- 资源: 972
最新资源
- Screenshot_20241116_215300_com.baidu.netdisk.jpg
- java医院人事管理系统源码数据库 MySQL源码类型 WebForm
- 道路养护病害数据集-含原图和标签
- 2023-04-06-项目笔记 - 第三百一十九阶段 - 4.4.2.317全局变量的作用域-317 -2025.11.16
- 2023-04-06-项目笔记 - 第三百一十九阶段 - 4.4.2.317全局变量的作用域-317 -2025.11.16
- 1503ANDH1503002016_20241116222825
- 时间序列-黄金-15秒数据
- C#HR人事管理系统源码数据库 MySQL源码类型 WebForm
- C#CS餐饮管理系统源码数据库 SQL2008源码类型 WinForm
- 蛾类识别系统(深度学习+UI可视化)
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
