李培培　曹芳

【摘 要】本文首先介紹了Kerberos身份認證協(xié)議，指出了該協(xié)議存在的局限性，并提出了幾種改進方案對Kerberos協(xié)議進行改進，在一定程度上消除了密鑰在交換、存儲和管理方面帶來的安全上的隱患，提高了身份認證系統(tǒng)的安全性。

【關(guān)鍵詞】Kerberos協(xié)議；身份認證；改進方案

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的地位尤為突出。網(wǎng)絡(luò)操作系統(tǒng)的安全直接關(guān)系到企業(yè)網(wǎng)絡(luò)的安全。作為安全服務(wù)中的一種實體認證變得尤為重要。在一個公開的分布式網(wǎng)絡(luò)環(huán)境中，工作站上的用戶希望訪問分布在網(wǎng)絡(luò)上的服務(wù)器資源。但網(wǎng)絡(luò)上的資源僅允許授權(quán)用戶的特定權(quán)限的訪問，因此，在分布式網(wǎng)絡(luò)中，必須提供一種機制來對用戶的身份進行認證。

1 Kerberos身份認證

Kerberos是為TCP/ IP 網(wǎng)絡(luò)而設(shè)計的基于Client/ Server模式的三方驗證協(xié)議，廣泛應(yīng)用于Internet服務(wù)的訪問，網(wǎng)絡(luò)中的Kerberos服務(wù)起著可信仲裁者的作用。Kerberos基于對稱密碼體制，可提供安全的客體認證。

Kerberos是一種適于在公共網(wǎng)絡(luò)上進行分布計算的工業(yè)標準的安全認證系統(tǒng)，是由MIT推出的基于可信賴第三方的用戶認證系統(tǒng)。客戶在登錄時，需要認證即用戶必須獲得由認證服務(wù)器發(fā)行的許可證，才能使用目標服務(wù)器上的服務(wù)。許可證提供被認證的用戶訪問一個服務(wù)時所需的授權(quán)資格。所有客戶和服務(wù)器間的會話都是暫時的。

Kerberos 協(xié)議通過網(wǎng)絡(luò)通信的實體可以互相證明彼此的身份，可以抵抗旁聽和重放等方式的攻擊，并且還可以保證通信數(shù)據(jù)的完整性和保密性。它廣泛應(yīng)用于Internet服務(wù)的安全訪問，具有“高度的安全性、可靠性、透明性和可伸縮性”等優(yōu)點。目前許多遠程訪問認證服務(wù)系統(tǒng)都支持Kerberos認證協(xié)議。

2 Kerberos身份認證的改進

2.1 基于對稱密碼體制的Kerberos協(xié)議的改進[1]

基于對稱密碼體制的Kerberos協(xié)議利用公開密鑰加密進行對稱加密密鑰分配，該方法是在通信雙方通過公開密鑰證書得到對方的公開密鑰的基礎(chǔ)上實現(xiàn)的。

2.2 基于ECC+AES的數(shù)據(jù)傳輸加密的Kerberos改進方案[2]

在Kerberos認證協(xié)議中，全都采用公開密鑰密碼體制傳送機密信息是不夠安全的。在傳送機密信息的Client/Server雙方，如果使用某個對稱密鑰密碼體制并同時使用不對稱密鑰密碼體制傳送對稱密鑰密碼體制的密鑰，就可以綜合發(fā)揮兩種密碼體制的優(yōu)點，即對稱密鑰密碼體制的高速性、簡便性和不對稱密鑰密碼體制的密鑰管理的方便性、安全性。

基于ECC+AES的數(shù)據(jù)傳輸加密的Kerberos改進方案綜合AES和ECC的優(yōu)點，得到一種新的加密方案，其基本原理為：數(shù)據(jù)在Kerberos Client/Server雙方通信之前，發(fā)送方隨機生成一個加密密鑰，用AES算法對需傳送的數(shù)據(jù)加密。然后再用ECC算法對該密鑰進行加密并實現(xiàn)數(shù)字簽名。這樣接收方在接收到該密文和被加了密的密鑰后，同樣用ECC解密出此隨機密鑰，再用此隨機密鑰對密文解密。這樣的加密方案既有AES算法的快捷特點，又有ECC算法的保密性和方便性特點。

2.3 基于RSA協(xié)議的Kerberos協(xié)議的改進

基于RSA協(xié)議的Kerberos與單純的Kerberos協(xié)議相比，Kerberos RSA以密碼強度更高、密鑰分配更具優(yōu)越性的RSA算法為加密和簽名工具，對票證和驗證碼的形式以及驗證協(xié)議做了改進。票證帶有開票方的簽名且用服務(wù)器的公鑰加密，既使得服務(wù)器能驗證該票證是否是臆定的開票方簽發(fā)的，又能保證票證中信息（比如會話密鑰）的安全。開票方將票證傳給客戶時，又以簽名的方式進行傳輸，使得客戶能夠判斷該票是否是臆定的開票方簽發(fā)的以及是否被修改過驗證碼與票證一起使用，使服務(wù)器能驗證客戶身份并判斷該客戶與票證合法所有者是否相同，防止攻擊者非法使用他人票證。這樣，Kerberos RSA有效地保證了驗證過程的安全性、真實性和可靠性。

2.4 基于RSA+AES數(shù)據(jù)加密傳輸?shù)腒erberos改進方案

基于RSA+AES數(shù)據(jù)加密傳輸?shù)腒erberos協(xié)議的基本原理是：數(shù)據(jù)在Kerberos Client/Server雙方通信之前，生成一個隨機加密密鑰，用AES算法對需傳送的數(shù)據(jù)加密。然后再用RSA算法對該密鑰進行加密，并實現(xiàn)數(shù)字簽名。這樣接收方在接收到該密文和被加了密的密鑰后，同樣用RSA解密出此隨機密鑰，再用此隨機密鑰對密文解密。

2.5 在Kerberos的基礎(chǔ)上采用了Yaksha算法的思想

采用Yaksha算法的思想[3]，聯(lián)網(wǎng)時不使用口令提高了安全性，在認證過程中，由用戶對自已加益的時間峨進行驗證，解決了Kerberos的時間同步的問題，并有效的防止了重放攻擊。

3 總結(jié)

Kerberos協(xié)議作為一種主要的身份認證系統(tǒng)協(xié)議，自誕生以來已得到廣泛的應(yīng)用，增強了網(wǎng)絡(luò)通信安全，但此協(xié)議本身存在無法克服的缺陷，特別是Kerberos 設(shè)計之初是建立在單密鑰體制基礎(chǔ)之上的。

本文深入研究了的Kerberos身份認證協(xié)議，并指出了其多方面的局限性。提出了多種方法對Kerberos協(xié)議進行改進，在一定程度上消除了密鑰在交換、存儲和管理方面帶來的安全上的隱患，提高了身份認證系統(tǒng)的安全性。

總之，身份認證只是網(wǎng)絡(luò)安全技術(shù)的一部分，它需要結(jié)合其他的防護措施和技術(shù)來保證網(wǎng)絡(luò)的安全。隨著Internet和密碼學(xué)技術(shù)的發(fā)展，還會有新的改進措施和身份認證技術(shù)不斷的出現(xiàn)。

【參考文獻】

[1]戈軍.基于Kerberos身份認證的分析和改進[J].沈陽工程學(xué)院學(xué)報（自然科學(xué)版），2006，7（3）.

[2]鄧永江.程轉(zhuǎn)流 一個改進的Kerberos認證協(xié)議設(shè)計與分析[J].福建電腦，2006（6）.

[3]莫燕，張玉清，李學(xué)干.對Kerberos協(xié)議的攻擊及對策研究[J].計算機T-程1， 2005（5）.

[4]張鳳梅.Kerberos系統(tǒng)例分析和改進方案[J].遼寧稅務(wù)高等?？茖W(xué)校學(xué)報，2003， 8（4）.

[責(zé)任編輯：楊玉潔]