基于Kerberos的Internet密钥协商协议的研究

KINK是一个的基于Kerberos的密钥协商协议，它使用Kerberos机制实现密钥协商过程中的身份认证和密钥交换。本文主要描述了KINK中的密钥协商的实现过程，并对它的特点和安全性作了相应的分析。     

基于改进 GNY 逻辑的 Kerberos *协议安全性分析磁

为了增强通讯网络安全性,研究者致力于通讯协议的形式化分析与验证。 Abdelmajid 在 Kerberos 协议中添加用户物理位置作为新的认证因素得到改进协议,并用改进 BAN 逻辑说明改进协议的安全性。针对添加用户物理位置这一因素进一步完善后的协议 Kerberos *,结合可识别性和管辖性构造一种新的管辖规则,运用改进 GNY 逻辑对协议 Ker-beros *进行安全性分析。分析结果表明,协议 Kerberos *是安全的,运用改进 GNY 逻辑证明过程比改进 BAN 逻辑更详细、更严谨,此方法可运用于其它类似协议形式化分析。     

基于混合机制的Kerberos安全性增强方案

针对Kerberos协议的弱点和安全性问题,提出了一个基于混合加密机制的Kerberos改进方案,目的是防范口令攻击和内部攻击。给应用服务器和AS服务器分配公钥和私钥,用户与服务器之间的会话密钥由DH密钥交换生成。给出了改进后的 Kerberos 协议的六个步骤,并对安全性进行分析。分析结果表明,新方案能够增强Kerberos协议的安全性,而且比公钥加密机制高效。     

Kerberos身份认证在中间件Tuxedo中的应用

首先对Kerberos网络身份认证协议进行简单的介绍,然后对Kerberos插件的特征和预配置进行具体的阐述,最后对Kerberos插件在中间件Tuxedo中的配置进行详细的论述.     

一种基于令牌的单点登录认证服务

在企业计算网格中,单点登录能较大地提升企业应用的整体效能.通过分析基5-4"-牌的单点登录认证协议,结合Kerberos、JGSS、JASS及SPNEGO等相关技术,提出单点登录模型HSSO.在此基础上,着重讨论了HSSO应用Java技术解析SPNEGO令牌,通过Java Filter的方式实现与应用服务器的集成等关键技术.企业实际应用表明,HSSO是一种轻量级的,适用于Intranet环境下跨平台、跨应用服务器的单点登录解决方案.     

基于Weil对改进的Kerberos协议设计

Kerberos协议是一种具有广泛应用价值的身份认证协议,但该协议存在口令猜测及无客户端认证等安全问题,通过引入Weil对,成功对Kerberos协议进行了改进,改进后的协议具有更强的安全性和实用性。     

基于认证协议的Web单点登录优化设计

针对Kerberos认证协议Web环境中进行单点登录存在的安全隐患,基于Schnorr协议的挑战/响应方式,结合Secure Cookies、HttpSession解决Web环境下HTTP协议的无状态性及服务器间的安全会话。实验结果表明,该方案性能稳健,响应速度快,防攻击力强,具有良好的实用价值和应用前景。     

Providing EAP-based Kerberos pre-authentication and advanced authorization for network federations

Kerberos is a well-known standard protocol which is becoming one of the most widely deployed for authentication and key distribution in application services. However, whereas service providers use the protocol to control their own subscribers, they do not widely deploy Kerberos infrastructures to handle subscribers coming from foreign domains, as happens in network federations. Instead, the deployment of Authentication, Authorization and Accounting (AAA) infrastructures has been preferred for that operation. Thus, the lack of a correct integration between these infrastructures and Kerberos limits the service access only to service provider's subscribers. To avoid this limitation, we design an architecture which integrates a Kerberos pre-authentication mechanism, based on the use of the Extensible Authentication Protocol (EAP), and advanced authorization, based on the standards SAML and XACML, to link the end user authentication and authorization performed through an AAA infrastructure with the delivery of Kerberos tickets in the service provider's domain. We detail the interfaces, protocols, operation and extensions required for our solution. Moreover, we discuss important aspects such as the implications on existing standards.     

公钥基础设施在网络安全中的研究与应用

文章提出了一种基于ＰＫＩ的网络安全模型,旨在为网络服务提供有效认证、访问控制、授权、传输机密性、不可否认性等安全机制。该模型在 ＰＫＩ的基础上,结合了 Ｋｅｒｂｅｒｏｓ的优势,并扩展了其机制中服务票据的思想,提出了由授权服务器签名的授权证书的概念,以保证自治式与集中式访问控制相结合的安全管理模式。     

用Windows 2000构建企业网的安全体系

阐述了一种用Ｗｉｎｄｏｗｓ２０００构建企业Ｉｎｔｒａｎｅｔ的原理,并给出了一个应用实例。该方法适合中小企业以较高性价比,比较低的使用、维护费用通过公共网建立ＶＰＮ,并能安全地与Ｉｎｔｅｒｎｅｔ相连接,是一种切实可行的方案。