Kerberos认证协议的研究和改进

分析比较了新Kerberos认证协议与原Kerberos认证协议,指出了对Kerberos改进的一些主要方面,并指出了其局限性。在此基础上提出了将公钥密码体制ECC与对称密码体制AES引入到Kerberos认证协议中的方案。该方案不仅解决了Kerberos认证协议中密钥的分配和管理问题,而且提高了Kerberos认证协议的安全性,使其遭受口令攻击的危险得到降低,更好地解决了工业控制网络的身份认证问题。     

对基于对称密码体制的Kerberos协议改进

介绍了Kerberos协议的原理、认证过程以及它的局限性,在此基础上提出将公钥密码体制与对称密码体制相结合的改进方法,将认证中心CA引入Kerberos协议中,解决了Kerberos协议中密钥分配和管理问题以及容易遭受口令攻击的危险。     

安全消息中间件的设计

为提高消息中间件的安全性,分析了消息中间件的特点和Kerberos协议的认证过程,考虑到Kerberos认证模型的安全缺陷,采用公钥密码体制和椭圆曲线的Diffie-Hellman算法改进Kerberos认证模型。该模型引入了可信的第三方CA,有效地防止了口令猜测攻击和重放攻击。采用椭圆曲线的Diffie-Hellman算法,密钥由通信双方共同决定,防止了Kerberos本身进行攻击。将改进后的Kerberos认证模型运用到消息中间件当中,在一定程度上增强了消息中间件的安全性。     

改进的Kerberos单点登录协议

现有Kerberos协议易受密码猜测字典攻击和报文重放攻击。为此,提出一个改进的Kerberos单点登录协议。在认证报文中添加随机数并使用动态密钥,防止密码猜测字典攻击,为每个报文添加一个唯一的序列号,防止报文重放攻击。实验结果证明了改进协议的有 效性。     

基于DESX的Kerberos协议的分析与改进

Kerberos协议是一种基于可信第三方的身份认证协议,针对Kerberos协议具有口令猜测攻击、重放攻击等缺陷,提出一种基于DESX算法和SHA函数的Kerberos协议改进方案,通过分析比较,改进协议不但摒弃了原Kerberos协议存在的缺陷,且以相对较小的开销使Kerberos协议认证过程更安全可靠。     

一种利用Diffie-Hellman密钥协商改进的Kerberos协议

身份认证是成功实现安全的基础.Kerberos协议提供了一种通过可信第三方来实现身份认证的可靠方案,但是Kerberos协议不能很好地防范口令猜测攻击.提出了一种利用DiffieHellman密钥协商对Kerberos协议进行改进的身份认证协议-KDH协议.性能分析与实验结果表明,此协议能有效地防范口令猜测攻击.     

Kerberos身份认证协议分析与改进

对Kerberos协议及安全性进行了较详细地分析,针对该协议存在的缺陷,提出了一种改进的认证模型。该模型引入轻量级票据,采用混合密码体制和USBKey双因素认证,较好地解决了口令猜测攻击、重放攻击、密钥存储困难等问题,具有较好的安全性与易实现性。     

基于混合体制的Kerberos身份认证协议的研究

对Kerberos身份认证协议方案进行了详细的分析,针对Kerberos协议本身存在的局限性,从系统安全性和实际执行性能角度出发,提出了一种混合加密体制的Kerberos改进协议。并且解决了Kerberos认证协议可能存在窃听通信双方会话的问题,从而防止内部攻击。     

对Kerberos协议的攻击及对策研究

Kerberos协议是当今最重要的实用认证协议,但是它也存在着一些局限性和缺陷,文章主要分析了Kerberos协议的两种最重要的攻击：口令攻击和重放攻击,以Windows2000环境下对Kerberos协议进行的攻击为例进行了具体分析。并且把对Keerteros的各种改进方案作了一个全面的分析和总结,把各种方法作了一个对比,找出各种方法的优缺点,这将对以后Kerberos协议更完美的改进起参考作用。     

一种提高Kerberos协议安全性能的策略

研究和分析了Kerberos认证机制的利弊及ECC算法的优点,提出了改进的Kerberos安全身份认证机制,将ECC算法嵌入到Kerberos认证过程中,解决了Kerberos协议中存在的口令猜测攻击和重放攻击的问题,使Kerberos认证机制安全性能有很大的提高。     

一种单点登录协议的设计

Kerberos单点登录协议存在口令猜测、重放攻击、缺乏认证等安全问题,该文以Kerberos协议为基础,设计一种新的单点登录协议,该协议修改了Kerberos协议的框架,引入一次性口令和授权服务机制,解决了Kerberos协议存在的问题,提供一种更安全、且扩展性强的单点登录协议。     

新的域间身份认证协议及其形式化验证

Internet上不同的安全域间要实现信息资源的安全访问首先需要认证.目前常用的认证协议是Kerberos协议,但在网络环境下,该协议无法对真实的客户端进行认证.因此,给出了新的域间身份认证协议以及相应的"现时"产生方案,并利用改进的Spi演算对所设计的认证协议进行了分析,证明了该协议的安全性,能够有效地解决网间的信息安全传输.     

网络和分布式系统中的认证

文中在Ｋｅｒｂｅｒｏｓ认证协议的基础上，采用Ｙａｋｓｈｅ体制，提出了一个公钥密码交互式认证体制。     

无证书隐式认证改进的Kerberos单点登录协议

针对Kerberos单点登录协议存在的口令攻击、重放攻击、密钥需要托管和效率不高等问题,引入一种无对数运算的无证书隐式认证与密钥协商协议对其进行了改进。在随机预言机模型下证明了新协议的强安全性,分析了改进后Kerberos单点登录协议的优势。引入的密钥协商协议仅需3次点乘运算和2次哈希运算,计算开销较低。采用隐式认证方式,避免了原Kerberos中第三方对信息的无举证窃听,有效克服了中间人攻击。     

基于公钥的Kerberos分布式认证方法研究

文章描述了在Kerberos票据框架中,应用公钥密码体制实现分布式认证的三种方法。分析了三种协议(PKINIT,PKCROSS和PKDA)的不同安全认证过程,找出了它们基于公钥的“把繁重的分布式认证工作分配到通信各方”的共性,实现了一个较Kerberosv5使用范围更广、安全性更强的方法。同时,客户方的隐私一样得到了保护,从而,补充扩展了基于公钥的Kerberos安全认证。     

更安全的匿名三因子多服务器身份认证协议研究

多服务器架构下的身份认证协议是远程认证的关键,但许多现有方案都存在潜在的攻击,未实现三因子安全性,忽略了匿名性。因此,需要指出其中的错误,并提出一个匿名的三因子方案。通过攻击者模型,攻击了温翔等人的方案,检验了新方案;使用椭圆曲线密码,保障认证阶段的核心安全性;使用模糊提取器与验证器,保护生物特征与口令;经与同类协议比较,分析了新协议的优势。分析表明,温翔等人的方案不能抵抗服务器仿冒用户,不具匿名性等。而新协议能有效防范智能卡丢失攻击、仿冒攻击等更多样的攻击,实现了匿名性、前向安全性等更全面的功能,计算效率也比前人提高了约14.8%。因此,可以应用于对安全性、可靠性要求较高的多服务器认证网络。     

基于无证书密钥协商的Kerberos改进协议

Kerberos认证协议容易遭受口令攻击和重放攻击,且需要2次双线性对运算、2次指数运算和1次椭圆曲线上的点乘运算,计算量大。为此,利用高效的无证书密钥协商对Kerberos协议进行改进。用户与认证服务器之间通过使用无证书签密技术抵抗伪造攻击。分析结果证明,改进协议符合密钥协商的6个基本安全要求,满足已知密钥安全性、完美前向安全性、抗未知密钥共享安全性、密钥不可控性、已知会话临时信息安全性,能抵抗口令攻击、重放攻击、中间人攻击及密钥泄漏伪装攻击,并且仅需3次点乘运算,具有较高的效率。     

基于视觉密码的远程访问控制

分析了传统远程访问控制方案中的不足,并基于视觉密码构造了一种高效、可靠的远程访问控制方案。方案中仅使用了视觉密码和对称密码算法这两种密码组件,不涉及到非对称密码、消息认证码等,可以提高访问控制的处理速度。方案分为离线注册和远程在线登录验证两个阶段,认证协议简单,易于实现。最后分析了方案的安全性,说明其能有效抵抗常见的攻击方式。