一种基于公钥的新型Kerberos域间认证方案讲解

1、2 5卷第9期2 008年9月 微电子学与计算机MICROELECTRONICS & 0 0 MPUTER Vd.25No.9September2008一种基于公钥的新型Kerber间认域方案 田俊峰，毕志明，张晶(fg北大学数学与算机学院，河北保定0 7 1 0 0 2 ) 摘要：描述了一种基于公钥加密的新型Kerber可认证方案.鉴于以往Kerber os域认证方案中域间存在密钥数量庞大和系统安全性不够强的问题，引入了中 介KDC和公钥加密体制对Kerber间认域方案进行改进.改进方案中，中介K DC和与之相关的非中介KDC共享对方公钥.通过可行性、安全性分析可知，该 方 案使系统更安全.

2、密钥的管理和维护更容易.关键词：Kerbe间认8i域 公钥加密；中介KDC图分类号：TP391 文献标识码：A文章编号：1 0 (07 1 8 0 ( 2 0 0 00196 0 4 ANovelKerberosCross.RealmAuthenticationSchemeB onPublicKeyEncryptionTIANJifneng，B-InZihnig，ZHANGJing (InstituteofComputerNetworkTechnology，HebeiAbstract：Inthispaper，aInordertoUniversity，Baoding 071002，China)

3、novelKerberoscrossrealmauthenticationschefneb enorrrlouson publickeyeneryptionispresented.solvethe problemsofkeysinKerberoscrossrealmauthenticat ，thispa-perintotroduc 器thcintcrmcdiaryKDCandpublickcycncryptio: crossrealmauthenticationsystem.In thisimpmvedschemeboththeintermediaryKDCandther* shareeac

4、hSp tuhbel rickey.Throughthe analysisoffeasibilityandsecurity,thisbecomesea scheme makesthesystemmoresecure,andthekeyrmanagementan， nanceKeywords:kerberoscross realmauthentication;publickeyencryption;1引言计算机网络是一个开放的系统，也正由于其开放性导致计算机网络中存在许多安 全漏洞和安全威胁，网络中的各类资源很容易被人非法访问和复制因此对网络资 源访问者的合法身份进行认证就显得非常重要身份认证技

5、术已经成为网络系统 安全中重要的技 术之一 .Kerberos【卜3J是一个典型的认证协议 ，其使用专 门的服务器进行统一的身份认证和权限管理.原始的Kerber间身份认证中(假设 域A的客户C想访问域E的服务器S,域助第一区域，域E为第二区域)，护C首先向本地的认证服务器ASl请访问本地的TGS l脳器的初始票据，本地认证服务器ASl向C返访I问TGSl的访问TGSl的票据后向TGSft访问远地嘲的票据，TGSl返回C访问远地TGS2的票据以及会话密钥.然后，C程的TGS2电青访问远程初始票据及同TGSl通信的话密钥.客户C得到 应用服务S的票据及会话密钥.远程魄返回给C访问远地应用服务S的

6、票据以及会话密钥.本地C向远程应用服务S提出访问请 求.远程应用服务S对C提出的访问请求进行认证后，向C返回请求收稿日期：2 0 08 0 6- 1 8基金项目：河北省自然科学基金项目(F200800646);河北省教科学基 金重点项目(Zh2006006);河寸厅基金资助项目(，2005214，Z2007442)16 2微电子学与计算机2 0 0 8 芷应答，进而实现了客户与服务的双向认证 Kerbe认证协议本身具有局限性，主要表现在以下几个方面.(1) 重放攻：在Kerb认证方案中，为了防止重放攻击引入了时间戳，但票据 在其生命周期的有效 时间内仍然可以使用，攻击者可以在得到许可证后发送伪

7、造 的消息，这在允许的时间内是很难发现的.(2) 口令测攻击：Kerb认证:方案采用对称密钥加密方式.这种密钥加密方式具有局限性4|.(3) 钥存储问题：Kerb认证(中心要保存大量的共享密钥，对密钥进行管理和更新有很大的难度，为此将付出极大的系统代 价来保障整个系统安全.鉴于在Kerbe认证方案中存在的问题，很多学者对其进行研究并提出了改 进方 案【4 7J.最典型的改进方案是用公钥加密机制对其进行改进和扩展，其简要过程:发送方先用自己的私钥加密，再用接收方的公钥加密.接收方收 到发送方的消息后，先用自己的私钥解密，然后用发送方的公钥解密，这样 既使认证系统具有抗否认性也能很好地解决口令猜测

8、攻击问题.Kerber、间的身份认证以Kerberos域内认身份基础，由于 Kerberos本身固有的局限了其域间的身份认证存在很多的不足之 处，而且一些对域内的认证方法的改进没有很好的应用到域间认证方案中.2相关 工作及分析Kerber间身份认证是采用对称密钥加密对于对称密钥带来的系统不安全性 ，在引言中已介绍)这样会导致信息传输的不安全.而且域问会话密钥数量庞大，给密钥的管理、分配、存储带 来很大不便.此外，这种域间认证方式 很容易遭到重放攻击为了解决这一问题，一些工作在身份认证过程中 引入了时间戳的概念【88，这样 就不可避免的面临时钟同步问题. 彭双和、沈昌祥等人在原有Kerberos

9、域问 身份认证的基础之上，结合应用边界安全设备对其进行改进【99 .在改进 的方案中，域间连接只有2次，这使得开销明显降低，为了摒弃 时间戳所带来的时钟同步问题，此方案引入n once10这但是，案既存在应 用边界安全设备的特定环境限制，也没有考虑使用对称密钥所带来的密钥数量庞 大的问题.在Zrel li的工作中11J，他提到了利用中介KDC(基于信任链)实现客户C到其他域的服务器S的票据访问和获取在中介幻)C的 信任链域中的链节KDC和非中介KDC存在直接1间接的信任关系，一旦链中的某一个链节KDC不 可用，将使整个中介KDC无法正常工作，最后导致认证过程的失败而且由于此认 证方案使用对称密

10、钥加密，也导致了整个系统的不安全.为了解决上述问题，Zrelli 提出了XKDC1&议111.XK协议包含XAS协议和X1、GSP协议 两部分， 这两种协议针对不同的情况有着不同的用途.XKDC协议中引入了公钥系统，使 得整个KerbeU系统的安全性有了进一步的提高.但是，XKDC协议还是没 能够解决密钥的庞大所带来的问题.一方面，为了解决密钥庞大所带来的问题，另一方面，为了使系统的的安全性更有 保障，文中提出了一种基于公钥的新型Kerber问认域方案.3种基于公钥的新型Kerber间认域 3.1符号?介MK表示用钥K加密信息M.N ONCE是防止重放击而设的n once.Kx.，表 示X和y

11、共享的会舌密钥.前缀pub K、prvK分别 表示公钥、私钥， 例如，pubKc、prvKc表示客户 C的公钥和私钥.Tc，X表示客C去访问服务器X的票据.3.2中介KDC和非中介1 (DC特点中介KD备具下两个特点：(1) 中1C中除存储自己的私钥pry.Km和 公钥pubKm外还存储各个非中介KDC的公钥.(2) 中介KDC直接接收请求者发送的票据后，并不是直接返回给请求者所需要 访问TGS的票据，而是直接向被访可的KDC索要访可被访问KDC所在域的服务器 S的票据，然后由被访问的幻)C扌访问S的票据传给客户C.对于非中介的KDC需要保存自己的私钥和中介KDC的公钥pubKm.3.3本方

12、案的具体流程域A的客户C想访问域E的服务器S,女图1所示.(1)C向本地认证服务器AS1W访问本地的TGS1务器的初始票据.消息包括:客C的客户名、要申请访问的TGS1名、N ONCE1 .消息首先用C的私钥力卩密，以 证明消息确实是由C发出的.第9期田俊峰，等：一种基于公钥的新型Kerber阊认域方案16 3图1域A的客户C想访问域E的服务器S然后把加密后的信息用AS1的公钥加密，保证AS1并且只有AS1能解开此消息，以 确认AS1的身份.客户端C的客户名放在签名消息外，使得AS1能得 知消息来自哪一个客户端，以便对客户C进行身份认证.C-+AS1:C,TGS1,NONCE1prv-Kcpu

13、b Kasl.(2) 本认证服务器AS1向C返访问T诗的初始票据及同TGS1通信的術密钥， 同时将N ONCE1加1(用证保是截获者重发的消息)并返回.访问TGS1的票据Tc。嘲首先用AS1的私 钥加密，然后用TGS1的钥加密.然后整体消息(包括C和TGS1白话密钥)用C 的公钥进行加密，这样就保证了双方的身份 认证.AS1 /.C:Kc.TGSI，NONCE1 + 1，Tc .懈 1prvKas1pubK-CK tgs1pub(3) C向TG请中介TGS的票据.首先由特C产生N ONCE2，用来确保此次 消息的新鲜性.申请访问中介TGS的票据Tc.TGS用C的私 加密.需要访问的服务器名S和

14、N ONCE2用C和TGS1的会密钥Kc嗍加密.整体消息用TGS1 的公钥加密.CTGS1:S，NONCE21c .嘲，TC，(4) 本地TGS1先用自己的解密后得到被Ic。嘲和C的私钥 所加密的消息后，分别用IN2对于实际情况而言，在分布式系统中N的数量远 远大于6 .通寸以上分析可知，密钥的存储和管理的开销明显降低.中2 KohlJ，Neuman B.Thekerberosnetworkauthentication Sciences service（V5）C/RFCl5l0，USC/IrdormationInstitute.USA5l993.3YuT:Thekerberossionnetw

15、orkauthenticationservic -ver5C/E/FInternetdraftRequestforComments,RFCl5l0USA52006.介KDC只对非中介认证系统公钥的管理和分配，虽然负担相对较大，但总体来说使得整个认证过程的负担降低.4.2安全性分析4 蒙，刘克龙，卿斯汉.一种利用公钥体制改进Kerberos协议的方法J软件学报，2 0 0 l,l 2 （ 6 ） 8 87刀2 5Tung ence2 0 0 2.B,DanielA, Menasce.Pubickeycryptographyfor initialauthenticationinkerberosC/

16、8thACMConn on文中方案把公钥体系引人到域问认证中采用 公钥加密技术，便于密钥的管理和分配，对系统的安全性有极大的增 强：有效地解 决了 口令猜测攻击，同时保证了认证速度【12J 以往的大部分KerberoS认 证Computerandcommunications security.USA,extensionsinto6 IanDownnardk ePyubliccrytography KerberosJ.IEEEPotentia s3, 42 0 073, Z2hlu (5):30 L,TungB. Publickeycryptographyforinitial all?协议使用对

17、称密码体制加密信息，方案中采用非对 称加密体制对信息进行加密.在非对称加密体制中，先用发送方的私有密钥加密， 再用接收方的公开密钥加密，保证只有用接收方的私有密 钥解密后，才能知道用什 么公开密钥解密得到最终信息.对客户C发出的消息设嚣随机N ONCE的方法，既避免遭受重放攻击，也能克服时 钟同步给整个认证过程带来的干扰.在以往的Kerberos证协议中，无论访问区域还是被访问区域都必须存放对 方的密钥，一旦这些密钥被非法获取，则会给系统造成重大影响.本方案中，中介 KDC所在域的数据库存放各个与之相关联的非中介认证系统中T(、s的公钥，同样 ，非中介认证系统中存放的是中介TGS的公钥，即使数

18、据库被非法访问也不会给 对系统造成重大的危害.这在很大程度上增强了整个系统的安全性.thenticationinkerberosJ.Intemet & aft，IETF，200i (10):21.8ManikIAADas，AshutoshSaxenauserA,幻 PGulati，et scheme usingal.novelremoteauthentication bilinearpairingsJ.Computers & Secu ity,2006 (25):18418 9.9彭双和韩臻，沈昌祥安全域间信息资源访问的协议和方法J计算机研究与发展，2005,42 (9)1583.10ungWoonLee,H 厂 U rungKim,K YoungYoo.Efficie n-tbnaosnecderemoteuserauthenticationschemeusingsmartcar & EJ.Appl