一種基于無證書公鑰密碼學(xué)思想的Kerberos認(rèn)證方案的改進(jìn)

王 娟

(合肥工業(yè)大學(xué) 計算機與信息學(xué)院，安徽 合肥 230009；池州學(xué)院 數(shù)學(xué)與計算機科學(xué)系，安徽 池州 247000)

一種基于無證書公鑰密碼學(xué)思想的Kerberos認(rèn)證方案的改進(jìn)

王 娟

(合肥工業(yè)大學(xué) 計算機與信息學(xué)院，安徽 合肥 230009；池州學(xué)院 數(shù)學(xué)與計算機科學(xué)系，安徽 池州 247000)

本文全面總結(jié)了國、內(nèi)外許多文獻(xiàn)中對Kerberos認(rèn)證方案的各種改進(jìn)，分析了各改進(jìn)方案存在的局限性。最后基于無證書公鑰密碼思想，結(jié)合Elgamal算法對混合Kerberos認(rèn)證協(xié)議進(jìn)行了改進(jìn)。本改進(jìn)方案較好地解決了原協(xié)議中共享會話密鑰需要托管、存在中間人攻擊等缺陷，在網(wǎng)絡(luò)身份認(rèn)證中，具有一定的安全性和實用性。

Kerberos；安全性；無證書公鑰思想；ElGamal算法

Kerberos是目前應(yīng)用較為廣泛的一種身份認(rèn)證協(xié)議，起初是麻省理工學(xué)院為MIT Athena項目而開發(fā)。Kerberos的核心構(gòu)成是認(rèn)證中心KDC，KDC又由認(rèn)證服務(wù)器AS和票據(jù)發(fā)放服務(wù)器TGS構(gòu)成。其基本原理是：用戶如果要訪問某個應(yīng)用服務(wù)器，必須先到KDC進(jìn)行身份認(rèn)證，取得訪問應(yīng)用服務(wù)器的票據(jù)憑證；應(yīng)用服務(wù)器對持有訪問憑證的用戶直接提供服務(wù)。本文在分析比較國、內(nèi)外許多文獻(xiàn)中對Kerberos協(xié)議改進(jìn)方案的基礎(chǔ)上，指出了各改進(jìn)方案的不足。并以無證書公鑰密碼學(xué)理論思想為基礎(chǔ)，結(jié)合Elgamal算法，對混合Kerberos認(rèn)證協(xié)議進(jìn)行了改進(jìn)，從而使Kerberos認(rèn)證協(xié)議更加完善。

1 Kerberos認(rèn)證協(xié)議簡介

1.1 傳統(tǒng)Kerberos認(rèn)證協(xié)議[1]

傳統(tǒng)Kerberos協(xié)議的認(rèn)證過程分為三個階段，每一階段包括兩個過程，如圖1

圖1 傳統(tǒng)Kerber的認(rèn)證

第一階段（1,2）：用戶向AS發(fā)出申請，從AS處獲得訪問TGS的許可票據(jù)。

第二階段 （3,4）：用戶持有AS發(fā)放的許可票據(jù)，向TGS發(fā)出申請，從TGS處獲得訪問服務(wù)器的服務(wù)票據(jù)。

第三階段（5,6）：用戶憑借TGS發(fā)放的服務(wù)票據(jù)訪問應(yīng)用服務(wù)器，從而獲得服務(wù)。

傳統(tǒng)的Kerberos協(xié)議采用的是對稱數(shù)據(jù)加密體制DES。存在時鐘難于同步、口令猜測攻擊、密鑰的存儲和管理復(fù)雜、不提供數(shù)字簽名和不可否認(rèn)機制等局限性，協(xié)議的安全性較差。

1.2 Kerberos RSA認(rèn)證協(xié)議[2]

基于傳統(tǒng)Kerberos協(xié)議本身存在的局限性，在國、內(nèi)外許多文獻(xiàn)中都采用了公鑰加密體制RSA對其進(jìn)行了改進(jìn)，簡稱Kerberos RSA協(xié)議，這在一定程度上解決了傳統(tǒng)Kerberos存在的局限性。但是RSA本是也不是盡善盡美的，它存在著加解密速度較慢、效率不高的缺點，在實際應(yīng)用中一般不直接使用其來加密傳輸?shù)臄?shù)據(jù)。如果在傳輸數(shù)據(jù)的過程中都使用公鑰體制加、解密，勢必會影響認(rèn)證的效率。

1.3 混合體制Kerberos認(rèn)證協(xié)議[3]

為了彌補對稱密鑰體制安全性較差和公鑰體制執(zhí)行效率低的缺陷，有關(guān)文獻(xiàn)中又采用了對稱加密體制DES和非對稱加密（公鑰）體制RSA相結(jié)合的方法對Kerberos協(xié)議進(jìn)行了改進(jìn)，簡稱混合體制Kerberos認(rèn)證協(xié)議。此種改進(jìn)主要是利用對稱加密密鑰來加密要交換的重要信息，而使用公鑰來加密用于雙方通信的會話密鑰。用公式符號化描述和解釋混合體制Kerberos認(rèn)證協(xié)議如下：

本文有關(guān)符號說明：E表示加密算法，D表示解密算法；KUx、KRx分別表示X的公鑰、私鑰；例如：EKUx(M)表示用X的公鑰對信息M進(jìn)行加密，DKRx(M)有兩種含義：一種含義是用X的私鑰對信息M進(jìn)行解密，另一種含義是用X的私鑰對信息M進(jìn)行數(shù)字簽名。IDx、CERT－x分別表示X的身份和數(shù)字證書；Kx.y表示X與Y之間的共享會話密鑰。

步驟一：

（1）C－＞AS:IDc||CERT－c||IDtgs||DKRc(R1)

客戶C向AS發(fā)出一個訪問TGS的請求信息，該信息包括C的身份信息、數(shù)字證書和TGS的身份信息，另外還包括一個用客戶C的私鑰簽名的隨機數(shù)R1，該隨機數(shù)用來代替?zhèn)鹘y(tǒng)Kerberos協(xié)議中的時間戳T1，用于向AS說明這一訪問請求是新的。

（2）AS－＞C:CERT－as||EKUc (Kc.tgs||R1’||IDtgs||ADtgs||DKRas(IDc||TGT))

AS驗證C的身份后，向C發(fā)送自己的數(shù)字證書CERT－as、C與TGS的共享會話密鑰Kc.tgs以及用AS的私鑰簽名，再用TGS的公鑰加密的票據(jù)TGT， 即 TGT=EKUtgs[DKRas(IDc,ADc,Lifetimes1,R1’,Kc.tgs)]。

通過上述兩個過程，C與AS完成了雙向身份認(rèn)證，并且C從AS處獲得了訪問TGS的票據(jù)TGT。

步驟二：

（3）C－＞TGS:TGT||Authenticator_c1

客戶C向TGS出示TGT，并向TGS提交認(rèn)證單 Authenticator－c1=EKc.tgs[DKRc(IDc||IDs||R2’)]，C先用自己的私鑰對Authenticator－c1進(jìn)行簽名、再用與TGS的共享會話密鑰對其加密。

（4）TGS－＞C:EKc.tgs(Kc.s||IDtgs||DKRtgs(ST||Kc.s)||R2’)

TGS生成票據(jù)ST=EKUs[DKRtgs(IDc||ADc||IDs||Lifetimes2||Kc.s)]，TGS用自己的私鑰對其簽名，再用S的公鑰加密。然后向C發(fā)送ST、C與S之間的共享會話密鑰Kc.s。

通過以上兩個過程，C從TGS處成功獲得訪得應(yīng)用服務(wù)器的服務(wù)票據(jù)ST。

步驟三：

（5）C－＞S:ST,Authenticator－c2

客戶C向應(yīng)用服務(wù)器S提交TGS發(fā)放的服務(wù)票據(jù) ST和身份認(rèn)證單 Authenticator－c2=EKc.s（EKRc(IDc||IDs||R3’)）。

（6）S－＞C:EKc.s(R3’)

S向C返送R3’。

以上兩步實際完成了C和S之間的雙向身份認(rèn)證，這時，兩者通過共享會話密鑰Kc.s就可以交換信息了。

以上改進(jìn)中，主要利用了對稱加密體制安全性較低但執(zhí)行效率高、公鑰加密體制執(zhí)行效率低但安全性較高的特點，兩者相結(jié)合，取長補短，在一定程度上緩解了傳統(tǒng)Kerberos和Kerberos RSA存在的局限性。

但筆者通過對混合體制Kerberos認(rèn)證協(xié)議的分析發(fā)現(xiàn)：該協(xié)議雖然解決了Kerberos固有的一些安全缺陷，但又產(chǎn)生了新的問題：密鑰需要托管，存在中間人攻擊等，也是不安全的。這是因為，用戶和應(yīng)用服務(wù)器經(jīng)過雙向身份認(rèn)證后進(jìn)行通信，所采用的會話密鑰Kc.s是Kerberos產(chǎn)生的，并由Kerberos托管。也就是說，用戶C、應(yīng)用服務(wù)器S、Kerberos三者都知道Kc.s，這就無法保證在客戶C和應(yīng)用服務(wù)器S之間的通話是絕對保密的。假設(shè)C向S發(fā)送信息M時，C先用共享密鑰Kc.s加密M，形成密文EKc.s(M)，發(fā)至S，如果在發(fā)送過程中被Kerberos截獲，由于Kerberos知道Kc.s，就能用Kc.s輕松解密該密文，而不被舉證。

為堵住以上漏洞，我們需要對上述協(xié)議進(jìn)行再次改進(jìn)：在客戶C和應(yīng)用服務(wù)器S進(jìn)行雙向身份認(rèn)證后，臨時產(chǎn)生僅為C和S知曉的共享會話密鑰，來實現(xiàn)雙方的絕對保密通信。本文基于無證書公鑰密碼思想，結(jié)合Elgamal算法對上述協(xié)議進(jìn)行改進(jìn)。

2 新改進(jìn)協(xié)議所需預(yù)備知識

2.1 Elgamal算法[4]

Elgamal是一個比RSA更為安全的公鑰密碼體制，既可用于信息加解密又可用于數(shù)字簽名，其安全性基于計算離散對數(shù)的困難性，加上它只需解密一次，其效率明顯優(yōu)于其它公鑰體制，因此該算法在密碼學(xué)中應(yīng)用十分廣泛。該算法簡述如下：

先選擇一個素數(shù)p，兩個隨機數(shù)整數(shù)g、x (且g＜p,x＜p)，計算 y=gx(mod p)。 y、g、p 可作為公鑰，x 可作為私鑰。

（1）要加密信息M時，須進(jìn)行如下步驟：

——先選取一個與p－1互質(zhì)的隨機整數(shù)k；

——計算a=gkmod p，b=gkM mod p，則（a，b）為加密過的密文。

（2）解密信息M時，可計算公式：M=b/ax(mod p)。

（3）用戶A對消息M數(shù)字簽名時，須進(jìn)行如下步驟：

——先選取一個與p－1互質(zhì)的隨機整數(shù)k；

——計算a=gkmod p；

——根據(jù)方程M=xa+kb(mod(p－1))，求解b。則對M的簽名就是（a，b），此時丟棄隨機數(shù)k。

——要驗證簽名 （a,b）可用ya*ab(mod p)=gM(mod p)式子進(jìn)行驗證。為防止簽名被偽造，同時還要驗證1＜=a＜p是否成立。

2.2 無證書公鑰密碼學(xué)[5]

無證書公鑰密碼學(xué)是基于這樣的一種思想：A和B之間要傳遞秘密信息，通信雙方先自行產(chǎn)生自己的私鑰，然后在自己私鑰的基礎(chǔ)上通過計算生成公鑰，最后通信雙方通過秘密通道交換公鑰。這樣，不但解決了公鑰系統(tǒng)中的密鑰托管問題，而且通信雙方利用對方的公鑰加密信息，在信息傳輸過程中，即使被第三者截獲，也不會被破譯。因為通信雙方的私鑰只有本人知道。

假設(shè)A和B希望通過密鑰協(xié)商產(chǎn)生公鑰進(jìn)行安全通信，根據(jù)無證書公鑰密碼學(xué)思想，結(jié)合Elgamal算法。A、B按照如下步驟進(jìn)行獲得對方的公鑰：

（1）密鑰生成中心首先選擇兩個大的素數(shù)p和g（g＜p）作為部分公鑰，發(fā)送給用戶 A 和 B。

（2）A、B 分別選取隨機整數(shù) x1、x2（x1＜p，x2＜p）作為各自的私鑰，并分別計算y1=gx1 mod p、y2=gx2 mod p作為各自的公鑰。

（3）A、B 交換公鑰。 y1→B，y2→A。

這樣，A、B之間如果要傳遞秘密信息，就可以使用新交換的公鑰加密信息，接收方再用各自的私鑰解密。

（4）A向B傳送秘密信息 M。Ex1(M)→B，則 B就可用A的公鑰y1解密M，Dy1(M)。反之亦然。

2.3 新改進(jìn)協(xié)議

根據(jù)以上無證書公鑰密碼學(xué)思想，我們對Kerberos協(xié)議進(jìn)行改進(jìn)。客戶C和應(yīng)用服務(wù)器S分別和KDC進(jìn)行雙向身份認(rèn)證后，KDC通過秘密安全信道將部分公鑰pkdc、gkdc(pkdc＜gkdc)發(fā)至 C和S。C和S分別生成KDC所不知道的私鑰Xc、Xs，各自再結(jié)合KDC發(fā)來的部分公鑰，生成各自的公 鑰 Yc=gkdc Xc mod pkdc、Ys=gkdc Xs mod pkdc。 C和S通過秘密安全通道交換彼此的公鑰。

由此我們對混合Kerberos協(xié)議步驟三改為步驟三、四：

步驟三：

（5）KDC→C：EKRkdc(pkdc||gkdc)

（6）KDC→S：EKRkdc(pkdc||gkdc)

步驟四：

（7）C→S：ST||Authenticator－C||EKc.s(Yc)

（8）S→C：EKc.s(Ys)

2.4 新改進(jìn)協(xié)議安全性分析

在本文新改進(jìn)的協(xié)議中，基本解決了原混合Kerberos協(xié)議中共享會話密鑰需要托管、存在中間人攻擊的缺陷，其安全性是顯而易見的。因為在C和S進(jìn)行雙向身份認(rèn)證后，傳遞秘密信息，不是使用Kerberos產(chǎn)生的共享密鑰Kc.s，而是用通信雙方新交換的無證書公鑰對信息進(jìn)行加密，接收方再用各自的私鑰解密，也就是說，此時在C和S之間通信，是絕對不會被包括Kerberos在內(nèi)的第三者劫獲了。

3 結(jié)束語

本文基于無證書公鑰密碼學(xué)思想對混合Kerberos認(rèn)證協(xié)議進(jìn)行了改進(jìn)，經(jīng)分析表明，本改進(jìn)方案較好地解決了混合Kerberos認(rèn)證協(xié)議中共享會話密鑰需要托管，以及第三者可能對秘密信息進(jìn)行的無舉證竊聽問題，提高了系統(tǒng)的安全性，具有較強的實用性。但本方案也存在一定的不足，那就是比原協(xié)議多了一步，增加了系統(tǒng)的計算量，隨著進(jìn)一步研究的深入，會采取相應(yīng)的優(yōu)化措施進(jìn)一步改進(jìn)，以適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境中，人們對身份認(rèn)證技術(shù)安全性、實用性的更高要求。

[1]莫燕,張玉清,李學(xué)干.對Kerberos協(xié)議的攻擊及對策研究[J].計算機工程,2005,31(10):66－69.

[2]湯衛(wèi)東,李為民,周永權(quán).利用 ElGamal算法改進(jìn) Kerberos協(xié)議[J].計算機工程與設(shè)計,2006(6):2063－2065.

[3]胡宇,王世倫.基于混合體制的Kerberos身份認(rèn)證協(xié)議的研究[J].計算機應(yīng)用,2009(6):1659－1661.

[4]柳毅,郝彥軍,龐遼軍.基于ElGamal密碼體制的可驗證秘密共享方案[J].計算機科學(xué)，2010(8):80－82.

[5]陳家琪,馮俊,郝妍.無證書密鑰協(xié)商協(xié)議對跨域Kerberos的改進(jìn)[J].計算機工程，2010(10):150－152.

TP393

A

1674-1102(2011)03-0016-03

2011-03-14

王娟（1977-），女，安徽霍邱人，池州學(xué)院數(shù)學(xué)計算機科學(xué)系講師，合肥工業(yè)大學(xué)計算機與信息學(xué)院在讀碩士，主研方向為網(wǎng)絡(luò)信息安全，計算機基礎(chǔ)教育。

[責(zé)任編輯：曹懷火]