基于公鑰的Kerberos身份認證系統(tǒng)的設計與實現(xiàn).pdf

1、在當前分布式網(wǎng)絡環(huán)境中，Kerberos是應用最廣泛的身份認證協(xié)議。Kerberos是一種基于可信賴第三方的認證協(xié)議，使用對稱密鑰加密算法DES實現(xiàn)KDC的認證服務，提供了網(wǎng)絡通信方之間相互的身份認證，在一定程度上保證了網(wǎng)絡的安全。 由于Kerberos 存在口令猜測、重放攻擊、時間同步和密鑰存儲等方面的安全缺陷，近年來許多研究者提出了Kerberos與公鑰系統(tǒng)結合的Kerberos公鑰擴展方案，部分改善了Kerberos系統(tǒng)的

2、安全性能，但是并沒有結合PKI來管理證書和撤銷列表，在系統(tǒng)性能瓶頸上的處理也還存在不足。 本文闡述了Kerberos協(xié)議、PKI技術以及Kerberos的幾種公鑰擴展協(xié)議的認證方式，分析了Kerberos協(xié)議存在的幾個問題。針對Kerberos協(xié)議存在的問題，通過把PKI技術、訪問控制與Kerberos協(xié)議相結合，提出了一種基于公鑰的Kerberos改進協(xié)議，闡述了其在認證服務交換、票據(jù)許可服務交換及客戶端與應用服務器交換的思想

3、。經(jīng)與原Kerberos協(xié)議在性能方面的對比分析表明，在不改變其原有框架的前提下，采用了雙因子認證方式的改進協(xié)議在密鑰存儲、時鐘同步、口令猜測、票據(jù)的不可否認性等多項性能方面加強了Kerberos的安全性。 在該改進協(xié)議的基礎上，建立了一個安全高效、易于擴展和具有實用性的身份認證系統(tǒng)模型，模型包括客戶端、服務器端和證書管理中心三個部分。文章還闡述了認證模型的總體設計方案，認證系統(tǒng)的流程，并對認證系統(tǒng)模型的模塊結構、功能模塊以及在