结合公钥认证方案的Kerberos研究.doc

摘 要：
身份认证是网络通信双方在通信时验证对方身份的技术。 Kerberos是基于可信第三方KDC使用对称密钥加密算法的认证协议。本文在对多种身份认证方法研究基础上，阐述了Kerberos的原理，并分析其安全性和缺陷，提出利用Kerberos公钥扩展方式来改善Kerberos系统。
关键词：身份认证； Kerberos；公钥证书；PKINIT协议
第一章 身份认证的研究与应用

身份认证的本质是被认证方有一些信息，如秘密的信息、个人持有的特殊硬件、个人特有的生物学信息，除被认证方自己外，该信息不能被任何第三方伪造。如果被认证方能采用某些方法，使认证方相信他确实拥有那些秘密，则他的身份就得到了认证。

根据被认证方赖以证明身份的秘密的不同，身份认证方法可以分为三大类:基于秘密信息的身份认证技术，基于信物的身份认证技术和基于生物特征的身份认证技术。大致来讲，有以下几种身份认证形式:
(1)根据用户所知道的某个信息，如口令、密码;
(2)根据用户所拥有的某个东西，用户必须持有的合法的物理介质，如智能卡、身份证、密钥盘;
(3)根据用户所具有的某种生物特征，如指纹、声音、视网膜扫描等。
l 基于口令的认证方式
基于口令的认证方式是较常用的一种技术。认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认对象是否为合法访问者。其优点在于简单易行，一般的系统，如Windows，Unix，Netware均提供对口令认证的支持。
但这种方式存在严重的安全问题。它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄漏，用户即可被冒充。也存在口令在传输过程中被截获的安全隐患。
2 基于信物(智能卡)的认证方式
智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。
但其缺陷在于智能卡也可能会丢失、被复制，在这种情况下，系统的安全性也无从保障。
3 基于生物特征的认证方式
这种认证方式以人体惟一的、可靠的、稳定的生物特征，如指纹、虹膜、掌纹等为依据，利用计算机的强大功能进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。但这种方案一般造价较高，适用于保密程度很高的场合。

如何有效的将各种身份认证技术有机的结合起来，设计和开发出更安全、便捷的身份认证系统，显得至关重要。
目前主要有以下几种身份认证技术。
PAP认证(Password Authentification Protocol)
PAP认证[1]是最基本的安全认证协议，主要是口令核对，用户输入用户名、密码的验证过程。用户与服务器建立连接后，服务器根据用户输入的信息判定是否通过认证。密码以明文方式传输。
CHAP认证(Challenge Handshake Authentification Protocol)
CHAP认证[2]是一种被广泛接受的工业标准，通过三次握手方式周期性的对被认证方的身份进行认证。其认证过程是，首先在通信双方链路建立阶段完成后，验证方向客户发送一个请求字符串，由标识符ID，随机数据，本地主机名或用户名组成；然后，客户方以请求的MDS哈希值作为响应;最后认证方对发回的值进行校验，接受认证，并返回成功与否的信息。在双方通信过程中系统将以随
机的时间间隔重复上述三步认证过程。
在CHAP协议的实际使用过程中，用户为了便于记忆，往往使用容易记忆的口令，这样的口令不能有效地抵抗攻击者的字典攻击；而在服务器端，用户的口令是以明文方式存放，如果攻击者攻破服务器，那么就能轻而易举取得用户的口令。这些都是CHAP协议使用过程中的巨大隐患。
一次性口令认证
一次性口令认证[3]在登录过程中加入不确定的因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。
但是一次性口令认证只能防止在初次登录到站点时的重放攻击。认证结束之后，如果再登录网内的其他机器时，口令将以明文方式传输，此时口令的安全性就取决于企业内部网的安全性了。并且还存在小数攻击的问题。
基于挑战/应答(Challenge/Response)方式的身份认证机制
每次认证时认证服务器都给客户端发送一个不同的“挑战”字串，客户端收到后做出相应的应答。RADIUS(Remote Authentication Dial-In User Service)认证[4]就是采用这种方式，是目前拨号业务中较为成熟的一种远程认证技术。