基于身份的密钥协商改进Kerberos协议

需积分: 14 0 下载量 107 浏览量 更新于2024-08-11 收藏 3.26MB PDF 举报
"这篇论文是2010年发表在《上海理工大学学报》上的科研成果,由邬春学和刘柳生合作完成,属于工程技术类论文,得到了国家自然科学基金和湖北省自然科学基金的支持。文章主要关注的是如何通过基于身份的密钥协商协议改进Kerberos协议,以提高其安全性、管理和维护的便捷性。" Kerberos协议是网络认证领域中的一个重要协议,它采用预共享密钥的方式来实现用户和服务之间的安全通信。协议的主要流程包括三个步骤:首次认证(Ticket Granting Ticket, TGT)获取、服务票证请求和服务验证。然而,Kerberos协议存在一些固有的问题,例如: 1. **依赖中央权威机构**:Kerberos依赖于认证服务器(KDC),任何对KDC的攻击都可能导致整个系统的安全性下降。 2. **密钥管理复杂**:每个用户和服务都需要预先共享密钥,当用户或服务数量庞大时,密钥管理变得极为困难。 3. **时间同步要求**:Kerberos依赖于精确的时间同步,时间差异可能导致认证失败。 4. **不支持非对称加密**:Kerberos主要使用对称密钥,这限制了其在某些情况下的应用。 基于身份的公钥密码学理论引入了新的安全模型,其中用户的公钥就是其身份,简化了密钥管理。论文提出的基于身份的可认证密钥协商协议(Identity-Based Authenticated Key Exchange, IBAKE)解决了Kerberos的一些问题: 1. **减少信任中心**:在IBAKE中,不再需要中央认证服务器,而是利用可信的密钥分发中心(PKG)生成用户的公钥,降低了单点故障的风险。 2. **密钥管理简化**:用户不再需要与每个服务预先共享密钥,只需要维护与PKG的关系。 3. **适应非对称加密**:IBAKE允许使用非对称加密技术,提供更强的隐私保护和可扩展性。 通过对Kerberos协议的改进,论文提出的新方案在安全性上有所增强,包括抵御中间人攻击、重放攻击和密钥泄露等威胁。此外,由于减少了对中央权威的依赖,系统更易于管理和维护,同时支持动态密钥更新和撤销,提高了系统的整体弹性。 安全性能分析显示,改进后的协议在安全性、效率和可扩展性方面都有显著提升,使得它更适合现代网络环境的需求。这种改进对于网络安全领域的研究和实践具有重要的指导意义,为网络认证提供了新的思路和解决方案。 关键词:Kerberos协议,认证,基于身份,密钥协商,中图分类号:TP309,文献标志码:A