基于PKI的Kerberos跨域认证协议的实现与分析

一、引言认证是一种用于确认实际通信双方是否是对方所声称的人的一种技术。随着网络应用日益普及、电子商务的日渐发展,网上交易、网上支付等的安全性越来越受到人们的重视。而在这些过程中,确认通信双方的身份是十分重要的。在传统的Kerberos协议中,用户根据职能、单位、需求等可以划分为不同的域,每个域中有各自的Ker-beros服务器,域中用户通过该Kerberos服务器认证,以访问域中服务。Kerberos协议本身就支持跨域认证:在实现过程中,首先通过交换域间密钥将两个域中的票证发放服务器(TGS)互相注册为对方域中的用户(两个方向上的域间密钥往往不同),然后,当一个域中的注册用户希望访问外域服务时,他向本地TGS服务器发送一个请求,申请外域TGT,本地TGS服务器用域间密钥加密外域TGT发放给用户;用户向外域     

基于Kerberos协议的用户到用户认证系统的研究

基于Kerberos协议的典型系统为单点登录身份认证系统,即单域身份认证系统,而关于用户到用户的身份认证系统,多采用NTLM协议.为了研究基于Kerberos协议的用户到用户认证系统,在充分研究Kerberos协议的体系结构和工作流程的基础上,对用户到用户的Kerberos身份认证系统的认证过程进行了详细的设计,分析了用户到用户的Kerberos身份认证系统的典型结构.研究表明,当一个客户端需要访问另一个客户端中运行的服务时,Kerberos身份认证协议支持在两个客户端之间的身份认证.     

基于Kerberos认证的虚拟专用拨号网络研究

本文介绍了实现VPDN常用的第二层隧道协议(L2TP)以及基于L2TP的VPDN中的用户认证过程,分析了Kerberos认证协议和基于Kerberos认证的VPDN的实现。     

用TPM增强Kerberos协议的安全性

根据Kerberos协议基本原理和可信计算的特点,提出把TPM(可信平台模块)加入到Kerberos认证系统中,在用户请求认证的过程中对终端平台的完整性进行测量,并分析此平台的可信性,从而确保加入该Kerberos域的终端平台安全可靠.通过在Kerberos认证中心加入TPM增强Kerberos认证协议所信赖的可信第三方的安全性.这样,确保整个Kerberos认证系统安全可靠,并通过Kerberos的跨域认证实现基于Kerberos认证的可信网络.     

Kerberos在既有系统身份认证中的应用

[目的/意义]在大量用户接入各网络应用的过程中,应用服务提供商极易遭受到不法用户入侵,因此为现有应用系统添加或改进身份认证功能,以确认用户身份的合法性,对维护系统安全具有十分重要的现实意义。[方法/过程]Kerberos协议具有高效、成熟和易用的特点,因此对Kerberos协议进行分析和优化,提出了将其应用到现有系统身份认证过程的技术框架。为了提高测试方法的有效性,开发了原型系统对技术框架进行验证。[结果/结论]原型系统测试验证结果显示,改进后的Kerberos协议能在不影响系统已有功能的前提下,优化系统的身份认证功能,以较小的改动代价进一步提升了系统的安全性。同时,证明了Kerberos能在既有系统中阻止其遭受不法用户的侵害。     

中科红旗的解决方案：用Linux自由软件构建企业网站

本文以北京中科红旗软件技术有限公司(简称红旗软件)的企业门户网站—红旗网站www.redflag-linux.com为例,介绍如何采用基于Linux的自由软件构建企业网站。红旗Linux网站是一个典型的企业门户网站,内容包括公司介绍、产品/解决方案介绍、直接服务、在线培训等,是用户了解、购买红旗Linux最快捷的途径,是用户寻求服务的最佳场所。一、目标和设计理念1．面向注册用户(UserBased)红旗网站是基于用户的,在这里注册的“网站”用户,可以享用网站为用户设计的各种功能,浏览网站的所有资料。与一般的注册用户网站不同,这里为用户的产品、…     

Linux操作系统的文件系统建立过程的研究靠

Linux文件系统的建立过程包括文件系统的注册和安装.该文深入研究了Linux文件系统的注册和注销、安装和卸载过程,并详细分析了整个过程中采用的数据结构,以及文件系统建立的整体结构.     

Linux操作系统的文件系统建立过程的研究

Linux文件系统的建立过程包括文件系统的注册和安装。该文深入研究了Linux文件系统的注册和注销、安装和卸载过程,并详细分析了整个过程中采用的数据结构,以及文件系统建立的整体结构。     

Kerberos与盲签名的结合

提出了Kerberos与广泛应用于电子现金中的盲签名技术结合的想法,并具体给出了一个初步的实现方案,不仅加强了Kerberos的安全性,更重要的是为用户提供了服务的匿名性,某种程度上保证了用户的隐私。同时提出了Kerberos与电子现金系统结合的思想方法。     

Java实现运用Kerberos协议的客户机／服务器程序

因特网的日益发展给人们提供了更多的机会和方便快捷,同时也带来了更多的安全隐患。Kerberos解决了这个问题。Kerberos是一种身份认证协议,提供了集中的身份验证服务器,提供了从服务器端验证用户、用户端验证服务器,以及用户和服务器之间加密报文传输的安全功能。文中研究了Kerberos身份认证协议,完成和分析了运用Kerberos协议实现身份认证和安全通信的客户机/服务器程序的Java实现。     

Kerberos5协议的形式化分析综述

网络认证协议Kerberos 5提供三方认证机制,允许客户在单次登录的前提下实现对多个网络应用服务器的身份认证,目前该协议已得到广泛应用.FreeBSD,Linux服务器以及微软公司的Windows系列均采用该协议提供网络安全认证,因而该协议自身的安全性引起人们的广泛关注.由于该协议采用时间戳机制,同时涉及4个参与方,协议的复杂度较高,如何对其安全性进行全面的形式化分析与验证,一直是安全协议分析领域的研究热点与难点.目前国际上对其验证的方法主要分为两类,分别是基于符号模型的验证方法和基于计算模型的验证方法.全面系统地介绍和分析了目前国际上对该协议的形式化验证工作,在此基础上简要介绍作者目前的研究工作.     

基于Linux Shell的安全审计机制

用户登录后在Linux Shell中留下的历史记录是审计信息的重要来源,但未能包含判断入侵与否的足够信息,且很容易被篡改。文中基于shell机制,利用可装入内核模块/、proc虚拟文件系统和系统调用劫持技术,实现了一个较全面的入侵检测的审计机制,同时给出了一个用其进行安全监测的简单实例以及该方法的优点。     

基于Linux Shell的安全审计机制

用户登录后在Linux Shell中留下的历史记录是审计信息的重要来源,但未能包含判断入侵与否的足够信息,且很容易被篡改。文中基于shell机制,利用可装入内核模块/、proc虚拟文件系统和系统调用劫持技术,实现了一个较全面的入侵检测的审计机制,同时给出了一个用其进行安全监测的简单实例以及该方法的优点。     

一种基于证书的统一身份管理技术研究

文章提出了一种移动安全接入方案,并针对移动安全接入方案中存在终端登陆、无线VPDN接入、IPSecVPN接入和应用访问等多类用户认证过程,采用基于数字证书的统一身份管理,对用户和智能手机终端进行用户信息标识,可提高移动终端安全接入系统的可管理性和安全性,     

基于ASP技术的用户登录系统的实现

在Internet上进行网页浏览时,随处可见用户的登录界面,为了防止一些非法用户登录网站并破坏网站,一般的网站都设置用户登录系统来验证用户的身份,这样可以有效地防止非法用户登录网站,提高网站的安全性。以用ASP技术开发的“用户登录系统”为例,介绍设计构思、实现、数据安全等内容。     

基于ASP技术的用户登录系统的实现

在Internet上进行网页浏览时,随处可见用户的登录界面,为了防止一些非法用户登录网站并破坏网站,一般的网站都设置用户登录系统来验证用户的身份,这样可以有效地防止非法用户登录网站,提高网站的安全性。以用ASP技术开发的"用户登录系统"为例,介绍设计构思、实现、数据安全等内容。     

ASP技术在用户登录系统中的应用

应用ASP技术开发用户登录系统,实现了用户注册、登录、资料更新和安全验证.此系统通过对用户名和密码进行验证,正确后才能进入权限网页,从而阻止非法用户对重要网页的访问.增强了网站门户的安全性.     

Windows NT的安全问题

本文从ＷｉｎｄｏｗｓＮＴ的交式登录过程、Ｗｉｎ３２ＷｉｎＬｏｇｏｎ进程进行用户信息登录、管理员利用域用户管理器用户建立帐号及设置安全属性、设置用户权限、目录访问权限类型、文件系统和打印机的安全性能、设置访问许可权、ＮＴＦＳ目录级别权限、对服务器系统进行物理性能方面的设置、审计、设置登录标语、注册表面的安全性,安全保障的几个方面、ＷｉｎｄｏｗｓＮＴ中的缺陷等诸多方面讨论了ＷｉｎｄｏｗｓＮＴ的安全问题     

基于混合机制的Kerberos安全性增强方案

针对Kerberos协议的弱点和安全性问题,提出了一个基于混合加密机制的Kerberos改进方案,目的是防范口令攻击和内部攻击。给应用服务器和AS服务器分配公钥和私钥,用户与服务器之间的会话密钥由DH密钥交换生成。给出了改进后的 Kerberos 协议的六个步骤,并对安全性进行分析。分析结果表明,新方案能够增强Kerberos协议的安全性,而且比公钥加密机制高效。     

SmartK: Smart cards in operating systems at kernel level

A smart card is a tamper-resistant miniature computer that performs some basic computations on input a secret information. So far, smart cards have been widely used for securing many digital transactions (e.g., pay television, ATM machines).We focus on the implementation of operating system security services leveraging on smart cards. This very challenging feature allows one to personalize some functionalities of the operating system by simply changing a smart card. Current solutions for integrating smart card features in operating system services require at least a partial execution of some of the operating system functionalities at “user level”. Unfortunately, system functionalities built on top of components lying at both kernel and user levels may negatively affect the overall system security, due to the introduction of multiple points of failure.In this work, we present the design and implementation of SmartK: a framework that integrates features of smart cards uniquely in the Linux kernel. In order to validate our approach, we propose a host of enhancements to the Linux operating system built on top of SmartK: 1) in-kernel clients' authentication with Kerberos; 2) execution of trusted code; 3) key management in secure network filesystems.In particular, we present an experimental Linux OS distribution (SalSA), which addresses the security issues related to downloading packages and to updating an operating system through the Internet.