共查询到20条相似文献,搜索用时 146 毫秒
1.
Kerberos协议是一个被广泛采用的、基于可信任第三方提供安全认证服务的网络认证协议。利用共享的会话密钥,Kerberos协议保证了通信的机密性和完整性。描述了Kerberos5协议最新版本的基本原理,介绍了协议的详细过程,通过对比前一版本,分析了其改进之处和仍存在的不足。 相似文献
2.
基于PKI的Kerberos跨域认证协议的实现与分析 总被引:3,自引:0,他引:3
一、引言认证是一种用于确认实际通信双方是否是对方所声称的人的一种技术。随着网络应用日益普及、电子商务的日渐发展,网上交易、网上支付等的安全性越来越受到人们的重视。而在这些过程中,确认通信双方的身份是十分重要的。在传统的Kerberos协议中,用户根据职能、单位、需求等可以划分为不同的域,每个域中有各自的Ker-beros服务器,域中用户通过该Kerberos服务器认证,以访问域中服务。Kerberos协议本身就支持跨域认证:在实现过程中,首先通过交换域间密钥将两个域中的票证发放服务器(TGS)互相注册为对方域中的用户(两个方向上的域间密钥往往不同),然后,当一个域中的注册用户希望访问外域服务时,他向本地TGS服务器发送一个请求,申请外域TGT,本地TGS服务器用域间密钥加密外域TGT发放给用户;用户向外域 相似文献
3.
4.
网络安全认证技术应用最广泛的是Kerberos认证机制和基于X.509证书的认证机制,两种机制都无法直接单一地应用在网格环境下,设计一种层次域的认证模型,将网格环境分为3个层次信任域。主要解决如何将X.509证书转化为Kerberos票据的问题,提出一种协议密钥独立于用户口令的密钥生成方式,最后通过实验和理论分析,来验证改进的方案安全性。 相似文献
5.
网络安全认证技术应用最广泛的是Kerberos认证机制和基于X.509证书的认证机制,两种机制都无法直接单一地应用在网格环境下,设计一种层次域的认证模型,将网格环境分为3个层次信任域.主要解决如何将X.509证书转化为Kerberos票据的问题,提出一种协议密钥独立于用户口令的密钥生成方式,最后通过实验和理论分析,来验证改进的方案安全性. 相似文献
6.
7.
Kerberos是目前广泛被采用的成熟的认证协议,跨域认证是Kerberos在网络中的应用,实现远距离网络认证功能.传统的Kerberos基于对称密钥加密技术,为了使网络认证更加安全有效,在Kerberos认证过程中采用公钥加密.对kerberos集成公钥跨域认证进行深入研究,并对集成公钥后的Kerberos跨域过程进行模拟环境测试和性能分析. 相似文献
8.
9.
10.
针对Kerberos单点登录协议存在的口令攻击、重放攻击、密钥需要托管和效率不高等问题,引入一种无对数运算的无证书隐式认证与密钥协商协议对其进行了改进。在随机预言机模型下证明了新协议的强安全性,分析了改进后Kerberos单点登录协议的优势。引入的密钥协商协议仅需3次点乘运算和2次哈希运算,计算开销较低。采用隐式认证方式,避免了原Kerberos中第三方对信息的无举证窃听,有效克服了中间人攻击。 相似文献
11.
对SSL握手协议密钥交换方式的改进与应用 总被引:3,自引:0,他引:3
本文分析了SSL协议的握手协议中密钥交换方式及匿名交换的不安全性,提出了用认证协议Kerberos来进行认证的设计思想。对于SSLVPN系统存在的安全风险,提出用Kerbero s认证方法对SSI。VPN设计方案进行改进,从而有效地提高了SSLVPN系统的安全性。 相似文献
12.
刘艳慧 《数字社区&智能家居》2007,1(5):1242-1243
网络信息安全是电子商务交易中不可回避的问题,而认证服务及信息的不可抵赖性是其交易过程中的重要安全保障。因此,本文将基于PKI技术的数字签名技术应用于网上书店,着重讲述购书交易过程中与大客户相关的数字认证、签名等一些关键技术,提出了一种解决方案。 相似文献
13.
F. Pereñíguez-García R. Marín-López G. Kambourakis A. Ruiz-Martínez S. Gritzalis A. F. Skarmeta-Gómez 《International Journal of Information Security》2013,12(6):505-525
In Next Generation Networks, Kerberos is becoming a key component to support authentication and key distribution for Internet application services. However, for this purpose, Kerberos needs to rectify certain deficiencies, especially in the area of privacy, which allow an eavesdropper to obtain information of the services users are accessing. This paper presents a comprehensive privacy framework that guarantees user anonymity, service access unlinkability and message exchange unlinkability in Kerberos both in single-domain and multi-domain scenarios. This proposal is based on different extensibility mechanisms already defined for Kerberos, which facilitate its adoption in already deployed systems. Apart from evaluating our proposal in terms of performance to prove its lightweight nature, we demonstrate its capability to work in perfect harmony with a widely used anonymous communication system like Tor. 相似文献
14.
Kerberos系统的分析和改进方案 总被引:2,自引:0,他引:2
综述了Kerberos的认证过程,特别分析了Kerberos认证协议的局限性,在Kerberos原有基础上采用了现在广泛流行的公钥加密体制,引入第三方认证机构CA,对Kerberos进行了改进。 相似文献
15.
基于公钥密码体制的Kerberos协议的改进 总被引:2,自引:0,他引:2
随着计算机网络的发展,网络安全问题已变得日益重要,而身份认证在安全系统中的地位极其关键,是最基本的安全服务。Kerberos协议是基于私钥密码系统的身份认证协议。文中首先对Kerberos协议的认证原理进行分析;然后基于公钥体制的加密技术和Kerberos协议,提出了一个安全性更高的身份认证协议;最后分析了两种协议的异同。 相似文献
16.
可信计算组织(TCG,trusted computing group)提出的虚拟机远程证明方案可以为云计算平台提供虚拟机完整性验证服务,而直接使用 TCG 提出的方案性能较低,并且会受到布谷鸟攻击的威胁。利用虚拟机自省技术(VMI,virtual machine introspection)设计了新的虚拟机远程证明方案。通过在虚拟机监视器(VMM,virtual machine monitor)中获取虚拟机远程验证证据的方法消除在虚拟机内执行布谷鸟攻击的路径,利用物理可信平台模块(TPM,trusted platform module)保证虚拟机远程验证证据的完整性,减少了身份证明密钥(AIK,attestation identity key)证书的产生数量,降低了私有证书颁发机构的负载。实验表明,方案可以有效验证虚拟机的完整性状态,在虚拟机数量较多的情况下,性能优于TCG提出的虚拟机远程证明方案。 相似文献
17.
该文设计了一种适用于B/S结构的,复杂度和安全性适中的SSO协议,它在设计上吸取了很多Kerberos和CAS的设计思想,比如Kerberos协议的票据与CAS协议中的重定向和Cookie管理技术。它的特点有:使用加强的密码校验协议,不需传输密码或加密密码即可完成校验;采用简化的Kerberos票据管理技术;增加票据有效性的检验;由于鉴权服务器和应用服务器之间使用对称密码,所以在票据的加密时,使用主密钥分散技术,更安全的保护主密钥;改进Kerberos票据,增加application server seque ncenumber,与时间戳共同解决重传攻击问题。 相似文献
18.
公钥Kerberos协议是目前广泛使用的一类认证协议。本文使用安全协议验证工具SPVT对公钥Kerberos协议(PKINIT)的认证服务过程进行了形式化的建模与验证。SPVT自动地检测出PKINIT存在一个中间人攻击,该攻击可使攻击者假冒密钥发布中心和终端服务器,骗取用户信任,窃取重要数据。本文首次使用验证工具检测出公钥Kerberos协议的攻击,该攻击的自动检测对大型复杂协议的自动验证具有重大意义。借助于SPVT,人们能尽早发现协议缺陷。这充分说明,SPVT能够对大型复杂安全协议进行建模与验证,是一个有效的协议验证工具。 相似文献
19.
该文设计了一种适用于B/S结构的,复杂度和安全性适中的SSO协议,它在设计上吸取了很多Kerberos和CAS的设计思想,比如Kerberos协议的票据与CAS协议中的重定向和Cookie管理技术。它的特点有:使用加强的密码校验协议,不需传输密码或加密密码即可完成校验;采用简化的Kerberos票据管理技术;增加票据有效性的检验;由于鉴权服务器和应用服务器之间使用对称密码,所以在票据的加密时,使用主密钥分散技术,更安全的保护主密钥;改进Kerberos票据,增加application server sequence number,与时间戳共同解决重传攻击问题。 相似文献
20.
《Journal of Network and Computer Applications》2012,35(3):974-981
As more and more component-based systems (CBS) run in the open and dynamic Internet, it is very important to establish trust between clients and CBS in mutually distrusted domains. One of the key mechanisms to establish trust among different platforms in an open and dynamic environment is remote attestation, which allows a platform to vouch for its trust-related characteristics to a remote challenger. This paper proposes a novel attestation scheme for a dynamically reconfigurable CBS to reliably prove whether its execution satisfies the specified security model, by introducing a TPM-based attestation service to dynamically monitor the execution of the CBS. When only parts of the dynamic CBS are concerned, our scheme enables fine-grained attestation on the execution of an individual component or a sub-system in the dynamic CBS, such that it involves only minimal overhead for attesting the target parts of the CBS. With flexible attestation support, the proposed attestation service can attest a CBS at the granularity from an individual component to the whole CBS. As a case study, we have applied the proposed scheme on OSGi systems and implemented a prototype based on JVMTI for Felix. The evaluation results show that the proposed scheme is both effective and practical. 相似文献