请告诉我们您的知识需求以及对本站的评价与建议。
满意 不满意
Email:
建筑扬尘污染监控平台中的Kerberos协议改进
栏目最新
- 工程爆破行业的信息化发展现状、实施问题和建议
- BIM技术及在工程项目管理模式中的应用
- 云计算安全研究参考文献
- 云计算安全研究报告(5):云计算安全关键技术研究
- 云计算安全研究报告(4):云计算安全技术框架建议
- 云计算安全研究报告(3):云计算安全现状
- 云计算安全研究报告(2):云计算安全挑战
- 云计算安全研究报告(1):云计算发展趋势
- 大型集团型建筑企业工程管理信息化工作探索
- 通过双机备份和异地数据复制提升跨地区企业信息系统安全性
网站最新
内容提示:为了解决建筑扬尘污染监控平台的网络安全问题,平台采用了安全强度较高的kerberos实体身份验证协议;并对其认证方案做了详细分析,针对不足建立一个改进的Kerberos协议模型.改进后的Kerberos协议在平台身份确认信息中加入了属性证书,更好地将实施融合到现有的系统机制中;调换了Kerberos协议中用户与服务提供者的身份,保证了原有安全机制不受影响,在一定程度上提高了身份认证系统的安全性.
0 引 言
随着城市建设的发展,对众多分散的工程施工现场进行远程在线监控、及时发现违反防尘要求事件、对出现扬尘污染的施工地点及时处理,已成为环保、城管等部门的工作重点.监管工作需要和网络技术结合起来,施行新的监督监察模式,其中网络安全问题也凸现出来.在安全接入平台中,不同密级网络间的实体通信频繁.为保证该产品具有较高强度的安全性,抵抗通过冒充、中间人攻击等网络攻击,在平台中必然应采取广泛且安全强度较高的实体身份验证手段.在分布式计算网络环境中,Kerberos 可以提供一种通信双方进行验证的认证方式.Kerberos 系统具有高安全性、透明性好、可扩展等性能,因此在分布式计算环境中得到了广泛的应用.
但是国家保密局规定,凡是涉密系统的政府内网必须和外网进行物理隔离.目前政府监管部门的网络结构一般采用“三网架构”,即公共网、外网和内网.内网为政府的安全环境;公共网可以是互联网或其它不信任网;外网介于公共网和内网之间,是监管部门对外服务的缓冲网络.外网和公共网之间由防火墙或VPN 隔离.外网为政府监管部门服务提供一个基本的运行环境,但不作为一个信任环境;内网是一个信任环境.外网和内网之间采用物理隔离设备(网闸)隔离,网闸是这个网络之间的唯一通道.由于外网不是一个信任环境,当敏感数据通过外网时都不得解密,而且外网也不得存有对内网敏感信息存取的密码.
根据这些要求,为了保证建筑扬尘污染监控平台既具有网闸隔离,又能确保信息交换的安全,身份认证成为其最基本的一种保障.因此将身份认证应用于建筑扬尘污染监控平台有一定现实意义和实用价值.Kerberos 身份认证协议是应用较为广泛的一种机制,但仍有许多不足.本文对Kerberos 认证机制进行了分析,在此基础上针对其不足提出一种改进的协议模型,以及此协议在建筑扬尘污染监控平台中的具体应用.
1 Kerberos 系统简介
Kerberos[1-3]最初是1985 年麻省理工学院(MIT)的雅典娜(Athena)项目中被开发的认证协议.其安全机制建立在用户的身份验证上,对于通信的发出请求方,可以确认其是否为合法用户,以此判定申请用户是否有权访问主机系统.为了减轻每个服务器的负担,Kerberos 把身份认证的任务集中在身份认证服务器上.Kerberos 的认证服务任务被分配到两个相对独立的服务器:认证服务器AS(Authenticator Server)和票据许可服务器TGS(Ticket Granting Server),它们同时连接并维护一个中央数据库,存放用户口令、标识等重要信息.
整个Kerberos 系统由四部分组成:AS,TGS,Client,Server.
Kerberos 协议的基本工作原理[4-5]如图1:分为3个阶段共6个步骤.
第1阶段 :是客户端(C)与认证服务器(AS)相互交换认证服务的过程[6-8].
(1)客户(C)向认证服务器(AS)发送包含有客户方名字(用户名)、服务器名字的消息,这些由客户在工作站上完成.C - > AS:C,tgs.
(2)认证服务器验证客户(C)的合法身份(真实性和访问权限)后,返回会话密钥和授权票据(TGT)给客户.AS - > C: { Kctgs ,{ Tc,tgs} Ktgs}Kc.
第2阶段:客户(C)与票据服务器(TGS)相互交换认证服务的过程.
(3) C - > TGS: {AC} Kc,tgs, { Tc,tgs} Ktgs.
(4) TGS - > C:{ Kc,S ,{ Tc,S} KS} Kc,tgs.
第3阶段:用户(C)与应用服务器(S)相互完成用户服务认证请求.
(5) C - > S:{AC} Kc,s,{ TC,S} KS.
(6) S - > C: {t} Kc ,s.
2 Kerberos 协议的缺陷
在分布式计算网络环境中,Kerberos可以提供一种通信双方进行验证的认证方式,但是它存在着一定的缺陷,如果不加以改进直接应用,会带来一定的安全隐患.主要的缺陷[9-10]如下:
(1)实体身份的认证主要依赖于主机的时钟始终保持统一,然而保持较好的时钟同步实际很困难.
(2)Kerberos 是一种建立在对称加密算法DES基础上的协议,抗击冒充攻击的能力相当弱,这就给密钥的交换、存储和管理带来极大的安全隐患,不适合接入平台系统.
(3)在接入平台的授权体系中必须采用属性证书AC来对资源申请者的操作权限进行控制,并且AC不能暴露在外网环境,因此不能直接沿用Kerberos协议中由用户申请票据这一动作.
3 Kerberos 协议的改进和应用
原有的建筑扬尘污染监控平台,客户端每次访问服务提供者都必须询问授权服务中心该用户的身份和权限,这样增加了时间开销.因此在原系统中引入Kerberos 体系,就是为了提高认证授权的速度,同时也不影响原有系统的安全强度.鉴于Kerberos自身的局限性以及安全接入平台的特征,本文对Kerberos 协议进行了改进,在身份确认信息中加入了属性证书,更好地将实施融合到现有的系统机制中,调换了Kerberos 中用户与服务提供者的身份,将协议中的C 更换为内网服务(service)或用户(client)用A来表示,将S更换为外网服务(service)或用户(client)用B 来表示.
3.1 身份验证体系逻辑结构
身份验证体系逻辑结构如图2.
图2 中包含4 个实体:
(1)AS:负责密钥分发,其职责和功能包括保管与用户共享的密钥,随机生成会话密钥(SessionKey),生成时间戳,保管属性证书;
(2)TGS:票据授予中心,负责分发票据;
(3)A:内网服务(service)或用户(client),合法用户拥有公钥证书和属性证书;
(4)B:外网服务(service)或用户(client).由于接入平台的安全体系机制中不提供外网服务直接访问可信中心的机制,因此每一次身份验证过程都必须由内网实体发出请求.A 首先向CA中心发出要与另一实体B 通信的请求,发出的请求信息中包括证明自己合法身份的公钥证书、会话密钥,以及能够证明自己合法操作权限的属性证书和另一实体的身份标识.若A 的身份被确认为合法且具有相应的权限,CA 中心将A、B 间通信的会话密钥(Session Key)连同给B 的信息一道发送给A,该请求用CA 与A 之间的共同密钥加密KA,B 的信息用B 的密钥加密KB,A 留下自己的信息,转发B 信息.B 解密,只要简单确认一下参数时间戳和过期时间是否吻合即可以确认A 的身份.
3.2 实验测试步骤
在启动Kerberos 机制以前,实体TGS、A 和B,首先从授权认证中心CA 获取公钥证书,能够用Diffie Hellmen(简称DH)算法生成密钥对公钥(Kp)和私钥(Ks):
A 与B 建立了安全绑定,协商得到密钥对KAP,KAS,KBP,KBS;
A 与TGS 协商得到KTP,KTS.
由于内网是可信任网段,A 与KDC 通信可以使用AES 格式的密码.实验的测试共分三个步骤:步骤1 完成认证业务交换,首先是内网实体A 向AS 发送请求,然后在接收TGS 通信时使用的凭据.
(1)A->AS:A 向AS 发送身份证明ACA,B 的身份标识以及访问TGS 的请求;KAES{Aname,TGSname, Bname};
(2)AS->A:AS 用KAES 解密,确认了A 的身份后,询问CA,B 用户是否合法,询问AA 中心B是否拥有所要求的权限,并取回属性证书AC.如通过,AS 将构造一个包含B 的名字、KKP 以及属性证书AC(内容包括有效时间L、操作权限等信息)的凭证票据TGT,用KAP 对该申请授权票据进行加密.得到KAP{ KTP {Aname ,Bname , AC}};步骤2 票据中心确认申请者身份以及票据分发阶段.
(3)A->TGS:A 用私钥KAS 解密,得到KTP{Aname , Bname, AC},将其转发给TGS;
(4)TGS->A:TGS用私钥解密KTS{ KTP {Aname ,KAP,, AC}},得到Aname ,Bname, AC;将KAP{KTS{ Bname,AC}}发给A.步骤3 A 确认B 的身份并转发票据阶段.这里由KAP 和KAS 组成的密钥对称为会话密钥,与KBP 和KBS 组成的密钥对相等.
(5)A->B:A 用私钥若能解开,则得到KTS{ Bname,AC},然后KBP{KTS { Bname ,AC}}转给B;
(6)B->A:B 解密取出信息, 用A 的公钥加密KAP{Bname , KTS { Bname ,AC} },这就是票据,只要在有效期内,每次与A 通信只要出具该票据即可.A 如果能解密,并且用TGS 的公钥能够解密,说明B 正是所称用户,允许进行操作.
随着城市建设的发展,对众多分散的工程施工现场进行远程在线监控、及时发现违反防尘要求事件、对出现扬尘污染的施工地点及时处理,已成为环保、城管等部门的工作重点.监管工作需要和网络技术结合起来,施行新的监督监察模式,其中网络安全问题也凸现出来.在安全接入平台中,不同密级网络间的实体通信频繁.为保证该产品具有较高强度的安全性,抵抗通过冒充、中间人攻击等网络攻击,在平台中必然应采取广泛且安全强度较高的实体身份验证手段.在分布式计算网络环境中,Kerberos 可以提供一种通信双方进行验证的认证方式.Kerberos 系统具有高安全性、透明性好、可扩展等性能,因此在分布式计算环境中得到了广泛的应用.
但是国家保密局规定,凡是涉密系统的政府内网必须和外网进行物理隔离.目前政府监管部门的网络结构一般采用“三网架构”,即公共网、外网和内网.内网为政府的安全环境;公共网可以是互联网或其它不信任网;外网介于公共网和内网之间,是监管部门对外服务的缓冲网络.外网和公共网之间由防火墙或VPN 隔离.外网为政府监管部门服务提供一个基本的运行环境,但不作为一个信任环境;内网是一个信任环境.外网和内网之间采用物理隔离设备(网闸)隔离,网闸是这个网络之间的唯一通道.由于外网不是一个信任环境,当敏感数据通过外网时都不得解密,而且外网也不得存有对内网敏感信息存取的密码.
根据这些要求,为了保证建筑扬尘污染监控平台既具有网闸隔离,又能确保信息交换的安全,身份认证成为其最基本的一种保障.因此将身份认证应用于建筑扬尘污染监控平台有一定现实意义和实用价值.Kerberos 身份认证协议是应用较为广泛的一种机制,但仍有许多不足.本文对Kerberos 认证机制进行了分析,在此基础上针对其不足提出一种改进的协议模型,以及此协议在建筑扬尘污染监控平台中的具体应用.
1 Kerberos 系统简介
Kerberos[1-3]最初是1985 年麻省理工学院(MIT)的雅典娜(Athena)项目中被开发的认证协议.其安全机制建立在用户的身份验证上,对于通信的发出请求方,可以确认其是否为合法用户,以此判定申请用户是否有权访问主机系统.为了减轻每个服务器的负担,Kerberos 把身份认证的任务集中在身份认证服务器上.Kerberos 的认证服务任务被分配到两个相对独立的服务器:认证服务器AS(Authenticator Server)和票据许可服务器TGS(Ticket Granting Server),它们同时连接并维护一个中央数据库,存放用户口令、标识等重要信息.
整个Kerberos 系统由四部分组成:AS,TGS,Client,Server.
Kerberos 协议的基本工作原理[4-5]如图1:分为3个阶段共6个步骤.
第1阶段 :是客户端(C)与认证服务器(AS)相互交换认证服务的过程[6-8].
(1)客户(C)向认证服务器(AS)发送包含有客户方名字(用户名)、服务器名字的消息,这些由客户在工作站上完成.C - > AS:C,tgs.
(2)认证服务器验证客户(C)的合法身份(真实性和访问权限)后,返回会话密钥和授权票据(TGT)给客户.AS - > C: { Kctgs ,{ Tc,tgs} Ktgs}Kc.
第2阶段:客户(C)与票据服务器(TGS)相互交换认证服务的过程.
(3) C - > TGS: {AC} Kc,tgs, { Tc,tgs} Ktgs.
(4) TGS - > C:{ Kc,S ,{ Tc,S} KS} Kc,tgs.
第3阶段:用户(C)与应用服务器(S)相互完成用户服务认证请求.
(5) C - > S:{AC} Kc,s,{ TC,S} KS.
(6) S - > C: {t} Kc ,s.
2 Kerberos 协议的缺陷
在分布式计算网络环境中,Kerberos可以提供一种通信双方进行验证的认证方式,但是它存在着一定的缺陷,如果不加以改进直接应用,会带来一定的安全隐患.主要的缺陷[9-10]如下:
(1)实体身份的认证主要依赖于主机的时钟始终保持统一,然而保持较好的时钟同步实际很困难.
(2)Kerberos 是一种建立在对称加密算法DES基础上的协议,抗击冒充攻击的能力相当弱,这就给密钥的交换、存储和管理带来极大的安全隐患,不适合接入平台系统.
(3)在接入平台的授权体系中必须采用属性证书AC来对资源申请者的操作权限进行控制,并且AC不能暴露在外网环境,因此不能直接沿用Kerberos协议中由用户申请票据这一动作.
3 Kerberos 协议的改进和应用
原有的建筑扬尘污染监控平台,客户端每次访问服务提供者都必须询问授权服务中心该用户的身份和权限,这样增加了时间开销.因此在原系统中引入Kerberos 体系,就是为了提高认证授权的速度,同时也不影响原有系统的安全强度.鉴于Kerberos自身的局限性以及安全接入平台的特征,本文对Kerberos 协议进行了改进,在身份确认信息中加入了属性证书,更好地将实施融合到现有的系统机制中,调换了Kerberos 中用户与服务提供者的身份,将协议中的C 更换为内网服务(service)或用户(client)用A来表示,将S更换为外网服务(service)或用户(client)用B 来表示.
3.1 身份验证体系逻辑结构
身份验证体系逻辑结构如图2.
图2 中包含4 个实体:
(1)AS:负责密钥分发,其职责和功能包括保管与用户共享的密钥,随机生成会话密钥(SessionKey),生成时间戳,保管属性证书;
(2)TGS:票据授予中心,负责分发票据;
(3)A:内网服务(service)或用户(client),合法用户拥有公钥证书和属性证书;
(4)B:外网服务(service)或用户(client).由于接入平台的安全体系机制中不提供外网服务直接访问可信中心的机制,因此每一次身份验证过程都必须由内网实体发出请求.A 首先向CA中心发出要与另一实体B 通信的请求,发出的请求信息中包括证明自己合法身份的公钥证书、会话密钥,以及能够证明自己合法操作权限的属性证书和另一实体的身份标识.若A 的身份被确认为合法且具有相应的权限,CA 中心将A、B 间通信的会话密钥(Session Key)连同给B 的信息一道发送给A,该请求用CA 与A 之间的共同密钥加密KA,B 的信息用B 的密钥加密KB,A 留下自己的信息,转发B 信息.B 解密,只要简单确认一下参数时间戳和过期时间是否吻合即可以确认A 的身份.
3.2 实验测试步骤
在启动Kerberos 机制以前,实体TGS、A 和B,首先从授权认证中心CA 获取公钥证书,能够用Diffie Hellmen(简称DH)算法生成密钥对公钥(Kp)和私钥(Ks):
A 与B 建立了安全绑定,协商得到密钥对KAP,KAS,KBP,KBS;
A 与TGS 协商得到KTP,KTS.
由于内网是可信任网段,A 与KDC 通信可以使用AES 格式的密码.实验的测试共分三个步骤:步骤1 完成认证业务交换,首先是内网实体A 向AS 发送请求,然后在接收TGS 通信时使用的凭据.
(1)A->AS:A 向AS 发送身份证明ACA,B 的身份标识以及访问TGS 的请求;KAES{Aname,TGSname, Bname};
(2)AS->A:AS 用KAES 解密,确认了A 的身份后,询问CA,B 用户是否合法,询问AA 中心B是否拥有所要求的权限,并取回属性证书AC.如通过,AS 将构造一个包含B 的名字、KKP 以及属性证书AC(内容包括有效时间L、操作权限等信息)的凭证票据TGT,用KAP 对该申请授权票据进行加密.得到KAP{ KTP {Aname ,Bname , AC}};步骤2 票据中心确认申请者身份以及票据分发阶段.
(3)A->TGS:A 用私钥KAS 解密,得到KTP{Aname , Bname, AC},将其转发给TGS;
(4)TGS->A:TGS用私钥解密KTS{ KTP {Aname ,KAP,, AC}},得到Aname ,Bname, AC;将KAP{KTS{ Bname,AC}}发给A.步骤3 A 确认B 的身份并转发票据阶段.这里由KAP 和KAS 组成的密钥对称为会话密钥,与KBP 和KBS 组成的密钥对相等.
(5)A->B:A 用私钥若能解开,则得到KTS{ Bname,AC},然后KBP{KTS { Bname ,AC}}转给B;
(6)B->A:B 解密取出信息, 用A 的公钥加密KAP{Bname , KTS { Bname ,AC} },这就是票据,只要在有效期内,每次与A 通信只要出具该票据即可.A 如果能解密,并且用TGS 的公钥能够解密,说明B 正是所称用户,允许进行操作.
原文网址:http://www.pipcn.com/research/201303/15208.htm
也许您还喜欢阅读: