基于公鑰密碼的Kerberos認(rèn)證系統(tǒng)的研究.pdf

1、計(jì)算機(jī)網(wǎng)絡(luò)有效地實(shí)現(xiàn)了資源共享，也隨之帶來了一系列信息安全問題。在網(wǎng)絡(luò)上如何保證合法用戶對資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客攻擊，成為網(wǎng)絡(luò)安全的主要內(nèi)容。 網(wǎng)絡(luò)信息安全技術(shù)一般包括身份認(rèn)證、授權(quán)控制、審計(jì)、數(shù)據(jù)保密和數(shù)據(jù)完整性等幾個(gè)方面。其中，身份認(rèn)證是網(wǎng)絡(luò)安全的基石，其它的安全服務(wù)都要依賴于它。身份認(rèn)證協(xié)議以及系統(tǒng)的安全性和可擴(kuò)展性，已經(jīng)成為了影響網(wǎng)絡(luò)進(jìn)一步發(fā)展的重要因素。Kerberos是基于可信第三方KDC的認(rèn)證協(xié)議，使用

2、對稱密鑰加密算法，提供了網(wǎng)絡(luò)通信方之間相互的身份認(rèn)證手段，而且并不依賴于主機(jī)操作系統(tǒng)和地址，在一定程度上保證了網(wǎng)絡(luò)的安全。但是，由于Kerberos自身的局限性，又影響了它在Internet中的推廣應(yīng)用。 本文在對Kerberos協(xié)議的研究基礎(chǔ)上，利用基于公鑰密碼的認(rèn)證技術(shù)，并結(jié)合橢圓曲線密碼體制，對開放網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證機(jī)制進(jìn)行了全面的研究。本文研究的主要內(nèi)容有： 1、研究了對稱公鑰密碼體制和現(xiàn)有Kerberos協(xié)議

3、分析和比較了三種被認(rèn)為是安全有效的公鑰密碼算法，指出ECC比RSA、ElGamal等傳統(tǒng)公鑰密碼算法在安全性、計(jì)算速度、存儲(chǔ)需求、帶寬需求等方面所具有的優(yōu)勢。在此基礎(chǔ)上，重點(diǎn)討論了橢圓曲線密碼體制的相關(guān)問題，如橢圓曲線數(shù)學(xué)原理、橢圓曲線離散對數(shù)問題、橢圓曲線密碼體制的加解密過程、橢圓曲線上的公鑰密碼系統(tǒng)等。 研究Kerberos協(xié)議的認(rèn)證思想，并以KerberosV5為例，詳細(xì)分析了其域內(nèi)認(rèn)證和域間認(rèn)證兩種模式的認(rèn)證過程，指出它

4、的應(yīng)用環(huán)境的局限性、口令攻擊的脆弱性、密鑰管理的困難性等不足。 2、提出了一個(gè)新的基于公鑰密碼的Kerberos協(xié)議模型鑒于Kerberos的不足，目前有很多對Kerberos協(xié)議的改進(jìn)方案。這些方案都是基于公鑰密碼的，比較著名的有Yaksha算法，它是RSA公鑰密碼算法的一種變形。本文分析了Yaksha算法在Kerberos上的應(yīng)用及其優(yōu)缺點(diǎn)，認(rèn)為ECC和Kerberos結(jié)合是一個(gè)較好的解決方案。因此，本文在ECC的基礎(chǔ)上，結(jié)

5、合公鑰構(gòu)架PKI，對現(xiàn)有Kerberos協(xié)議進(jìn)行改進(jìn)，提出了在改進(jìn)Kerberos協(xié)議的認(rèn)證過程中如何使用公鑰密碼體制保證身份認(rèn)證的安全性。同時(shí)，采用BAN邏輯對改進(jìn)協(xié)議的正確性和安全性進(jìn)行了證明。 3、基于新的Kerberos協(xié)議模型設(shè)計(jì)開發(fā)了一個(gè)新型的Kerberos認(rèn)證系統(tǒng)建立和實(shí)現(xiàn)了一個(gè)基于公鑰密碼體制的Kerberos身份認(rèn)證系統(tǒng)的模型，提出模型的總體架構(gòu)。該模型不是對Kerberos協(xié)議的直接修改，而是在客戶端和應(yīng)用