Kerberos

摘要： Kerberos是广泛应用于云计算、物联网等场景下的身份认证系统,其密钥分发中心(key distribution center,KDC)的数据库存储着明文的密钥信息,在分布式环境中存在存储管理、内存泄露等安全隐患,进而影响身份认证系统的安全.因此提出基于Intel SGX(software guard extensions)的Kerberos安全增强方案,将密钥的初始化和身份认证流程中涉及密钥使用模块迁移至SGX提供的安全隔离区域Enclave中,通过基于硬件支持的内存隔离机制动态保护密钥;在安全区内使用密封机制密封存储至数据库.通过实验证明了该方案能够保障密钥动态和静态的机密性和完整性,减小了可信计算基础的范围.而性能评估显示,该方案在保障密钥运行和存储安全的同时,性能的额外开销也在可接受范围之内.

摘要： Kerberos是广泛应用于云计算、物联网等场景下的身份认证系统,其密钥分发中心(keydistribution center,KDC)的数据库存储着明文的密钥信息,在分布式环境中存在存储管理、内存泄露等安全隐患,进而影响身份认证系统的安全.因此提出基于Intel SGX(software guard extensions)的Kerberos安全增强方案,将密钥的初始化和身份认证流程中涉及密钥使用模块迁移至SGX提供的安全隔离区域Enclave中,通过基于硬件支持的内存隔离机制动态保护密钥;在安全区内使用密封机制密封存储至数据库.通过实验证明了该方案能够保障密钥动态和静态的机密性和完整性,减小了可信计算基础的范围.而性能评估显示,该方案在保障密钥运行和存储安全的同时,性能的额外开销也在可接受范围之内.

摘要： 文章提出一种基于物理不可克隆函数(PUF)的Kerberos扩展协议.基于PUF的激励响应认证机制,利用PUF激励响应对代替Kerberos标准协议中的口令或数字证书,可以抵抗口令猜测攻击和假冒攻击.该协议优势在于实现认证服务器与设备的双向认证、设备端无须预存储口令或密钥、降低存储开销和口令或密钥泄露的风险.文章基于BAN逻辑进行形式化分析,证明该协议的安全性;同时与其他协议进行比较,证明该协议能够抵抗物理克隆、建模攻击等威胁.

摘要： 大数据平台安全与其承载数据的安全同生共息,分布式存储和计算等新技术的应用为大数据安全带来新的挑战.首先分析大数据平台面临的安全威胁,在NIST大数据平台参考架构的基础上,提出大数据平台安全总体框架,研究目前主流大数据平台Hadoop的安全机制,分析现有安全机制存在的问题并提出解决建议.

摘要： 大数据平台安全与其承载数据的安全同生共息，分布式存储和计算等新技术的应用为大数据安全带来新的挑战。首先分析大数据平台面临的安全威胁，在NIST大数据平台参考架构的基础上，提出大数据平台安全总体框架，研究目前主流大数据平台Hadoop的安全机制，分析现有安全机制存在的问题并提出解决建议。

摘要： 基于校园网的WEB应用不断增加,各应用都有自己的安全策略,给统一管理和用户使用带来不便.本文以高校校园网为背景,分析单点登录、KdMos认证技术的必要性和优势,并针对认证接口子系统、客户端登录子系统的框架结构、实现技术以及访问流程给予设计和论证.

摘要： A mobile terminal authentication scheme based on information hiding technology instead of encryption technology is put forward.In this scheme,the image is used as the carrier of information hiding,and the authentication of the mobile terminal is realized by using the mutual authentication of Kerberos authentication protocol.In the authentication process,steganography and digital watermarking are used.The former is used to transfer the authentication information,the latter is to ensure the uniqueness of the authentication image,and to realize the authentication between the servers.The two complement each other,to ensure that the certification of information security and security.For the replay attack that may occur in the Kerberos system,this paper adopts the method of the time stamp and the random number.%提出了一种用信息隐藏技术代替加密技术来实现的移动终端认证方案,以图像作为信息隐藏的载体,借鉴Kerberos[1]认证协议中相互认证的思想,实现了移动终端身份认证.在认证过程中使用了隐写术[2]和数字水印[3],前者用于认证信息的传递,后者保证认证图像的唯一性,同时实现各服务器之间的身份认证.二者相辅相成,更好地保证了认证信息的隐蔽与安全.针对于Kerberos系统中可能会发生的重放攻击,文中采用时间戳连同协商随机数的方法得以解决.

摘要： 在分布式网络的身份认证体系中,最具代表性的是基于对称密码体制的Kerberos认证模式,它引入了可信的第三方秘钥分配中心.该文先详细叙述了Kerberos协议的认证过程,分析其还存在的不足——对称密码体制安全性低、易受重放攻击.为此,尝试使用非对称秘钥以及随机数和秘钥链关联机制来增加秘钥强度,尽量减少秘钥被破解的可能性.同时,随机数也和时间戳共同使用判定消息是合法用户的重复请求还是非法用户的重放攻击,最后给出改进后认证过程.

摘要： On the basis of analyzing authentication mechanism which is broadly adopted today，we integrated the needs of grid'S development and researched GSI and KX.509 in different grid environment．Drawing the proxy idea of KX.509，we built a grid authentication model in the Globus environment，the model adopt web-login module and it provided three main functions for the campus grid users：transparent creating certificate，enable users using certificate easily．and managing certificate safety．In the process of registration and authentication，web-login module could create digital proxy certificate for users automatically,and users needn't have their own digital certificate．

摘要： On the basis of analyzing authentication mechanism which is broadly adopted today，we integrated the needs of grid'S development and researched GSI and KX.509 in different grid environment．Drawing the proxy idea of KX.509，we built a grid authentication model in the Globus environment，the model adopt web-login module and it provided three main functions for the campus grid users：transparent creating certificate，enable users using certificate easily．and managing certificate safety．In the process of registration and authentication，web-login module could create digital proxy certificate for users automatically,and users needn't have their own digital certificate．

摘要： On the basis of analyzing authentication mechanism which is broadly adopted today，we integrated the needs of grid'S development and researched GSI and KX.509 in different grid environment．Drawing the proxy idea of KX.509，we built a grid authentication model in the Globus environment，the model adopt web-login module and it provided three main functions for the campus grid users：transparent creating certificate，enable users using certificate easily．and managing certificate safety．In the process of registration and authentication，web-login module could create digital proxy certificate for users automatically,and users needn't have their own digital certificate．

摘要： On the basis of analyzing authentication mechanism which is broadly adopted today，we integrated the needs of grid'S development and researched GSI and KX.509 in different grid environment．Drawing the proxy idea of KX.509，we built a grid authentication model in the Globus environment，the model adopt web-login module and it provided three main functions for the campus grid users：transparent creating certificate，enable users using certificate easily．and managing certificate safety．In the process of registration and authentication，web-login module could create digital proxy certificate for users automatically,and users needn't have their own digital certificate．

摘要： On the basis of analyzing authentication mechanism which is broadly adopted today，we integrated the needs of grid'S development and researched GSI and KX.509 in different grid environment．Drawing the proxy idea of KX.509，we built a grid authentication model in the Globus environment，the model adopt web-login module and it provided three main functions for the campus grid users：transparent creating certificate，enable users using certificate easily．and managing certificate safety．In the process of registration and authentication，web-login module could create digital proxy certificate for users automatically,and users needn't have their own digital certificate．

摘要： 文中对信息家电的安全性进行了分析.家庭网络中安全涉及三个层面:数字媒体的版权管理和内容保护、家庭中网络设备和终端设备本身的安全机制,以及实现整个家庭网络的安全机制.并提出了利用ACL,IPv6和Kerberos来建立信息家电的安全的通信环境,为信息家电提供了完整性、机密性和访问控制的保护.保证了家庭网络与外部网络的信息隔离,保护了家庭的隐私.

摘要： 文中对信息家电的安全性进行了分析.家庭网络中安全涉及三个层面:数字媒体的版权管理和内容保护、家庭中网络设备和终端设备本身的安全机制,以及实现整个家庭网络的安全机制.并提出了利用ACL,IPv6和Kerberos来建立信息家电的安全的通信环境,为信息家电提供了完整性、机密性和访问控制的保护.保证了家庭网络与外部网络的信息隔离,保护了家庭的隐私.

摘要： 文中对信息家电的安全性进行了分析.家庭网络中安全涉及三个层面:数字媒体的版权管理和内容保护、家庭中网络设备和终端设备本身的安全机制,以及实现整个家庭网络的安全机制.并提出了利用ACL,IPv6和Kerberos来建立信息家电的安全的通信环境,为信息家电提供了完整性、机密性和访问控制的保护.保证了家庭网络与外部网络的信息隔离,保护了家庭的隐私.

摘要： 文中对信息家电的安全性进行了分析.家庭网络中安全涉及三个层面:数字媒体的版权管理和内容保护、家庭中网络设备和终端设备本身的安全机制,以及实现整个家庭网络的安全机制.并提出了利用ACL,IPv6和Kerberos来建立信息家电的安全的通信环境,为信息家电提供了完整性、机密性和访问控制的保护.保证了家庭网络与外部网络的信息隔离,保护了家庭的隐私.

摘要： 文中对信息家电的安全性进行了分析.家庭网络中安全涉及三个层面:数字媒体的版权管理和内容保护、家庭中网络设备和终端设备本身的安全机制,以及实现整个家庭网络的安全机制.并提出了利用ACL,IPv6和Kerberos来建立信息家电的安全的通信环境,为信息家电提供了完整性、机密性和访问控制的保护.保证了家庭网络与外部网络的信息隔离,保护了家庭的隐私.

摘要： 本发明公开了一种基于物理不可克隆函数的Kerberos鉴权系统和方法，本发明系统包括设备A、设备B、密钥分配中心KDC，所述密钥分配中心KDC中包括：认证服务器AS、票据授权服务器TGS、数据库DB；本发明方法包括以下步骤：对设备A和设备B在密钥分配中心KDC进行注册；设备A向认证服务器AS请求票据授权票据TGT；设备A获得票据授权票据TGT；设备A向TGS请求服务授权票据；设备A获得服务授权票据SGT；设备A向设备B请求通信服务。本发明能够防止攻击者通过入侵、半入侵及侧信道攻击等物理攻击造成的密钥泄露，同时克服公钥计算复杂度高、速度慢，通信带宽占用过多的问题，适合资源受限的网络应用。

摘要： 本发明公开了一种针对多个KERBEROS集群的并发访问方法和装置，方法包括：创建新进程，并基于新进程而从读写需求中解析出作为请求对象的目标集群和作为请求内容的数据请求指令；基于确定的目标集群从票据管理库提取预先存储的相对应的用户安全认证信息和服务端程序配置；基于用户安全认证信息和服务端程序配置执行针对目标集群的安全认证；响应于安全认证成功而基于数据请求指令在目标集群中执行数据读写操作以满足读写需求。本发明能够并发地认证和访问多个KERBEROS集群，在保证数据安全性的同时提升集群访问的灵活性。

摘要： 本发明提出了一种基于Kerberos身份鉴别协议的智慧教育安全防护方法和系统，所述安全防护方法包括：用户通过密码向Kerberos服务器进行身份验证，身份验证后的有效性在用户本地保留到预设的预留时间段；利用Kerberos服务器根据用户的申请，联合用户所需服务对应的后台服务器对用户的真实性进行验证，并根据验证结果确定后台服务器是否对所述用户进行服务连接；将真实用户所需服务需求发送至区块链网络中，所述区块链网络对用户需求进行对应处理。所述系统包括与所述方法步骤对应的模块。

摘要： 本发明涉及一种单JVM进程中同时支持多个Kerberos认证的方法，步骤如下：对多个使用Kerberos认证的Hadoop集群，逐个执行以下操作；步骤2.1，选定一个Hadoop集群；步骤2.2，设置Kerberos认证的环境变量及参数；步骤2.3，发起Kerberos认证请求，生成票据并返回；步骤2.4，选定下一个Hadoop集群，重复步骤2.2及2.3，直至多个Hadoop集群均执行过Kerberos认证操作。本发明，在一个JVM进程(单JVM进程)中，同时可以使用(支持)两种以上Kerberos认证，实现了在单JVM进程中同时对多个Kerberos域中的软件服务进行访问，对两个以上均开启了Kerberos认证的软件服务的数据交互，提供了高效、便利的Kerberos认证。

摘要： 本发明公开了一种基于群组密钥池和改进Kerberos的User‑to‑User身份认证系统和方法，进行身份认证时包括：步骤A、主动方群组中的一用户端依据预设的主动方通信范围向量子网络服务站申请TGT(A)；所述用户端还向被动方群组中的一用户端申请TGT(B)；步骤B、主动方群组中的所述用户端再依据TGT(A)以及TGT(B)向量子网络服务站申请主动方会话密钥以及与预设的被动方通信范围相应的Ticket，并在主动方通信范围内共享所述Ticket以及主动方会话密钥；步骤C、主动方通信范围内的一用户端A向被动方通信范围内的一用户端B发送所述Ticket，所述Ticket中也包含有被动方会话密钥，使得用户端A和用户端B共享用于实施加密通信的会话密钥。

摘要： 本发明涉及一种联盟链的Kerberos及PKI安全域间的跨域认证方法，属于计算机安全技术领域。包括构建基于联盟链的Kerberos及PKI域间身份认证模型、Kerberos安全域到PKI安全域初次跨域身份认证、PKI安全域到Kerberos安全域初次跨域身份认证、Kerberos安全域到PKI安全域的跨域重身份认证。本发明以区块链模型作为基础，采用联盟链的共识机制，提出PKI域与Kerberos域间实体认证方法，使得跨域认证证书可以可靠、防篡改地存放在不同安全域中，在保证安全性、可靠性的同时实现了跨域的身份认证。

摘要： 本发明涉及一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法，该方法中安全域内的实体节点在发起跨域认证请求时，首先通过协议认证目标域实体身份信息，然后将实体的身份信息生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现实体认证信息存储的去中心化；安全域中实体节点请求认证一个已经经过跨域认证的实体节点时，为了提高认证效率，可以直接将跨域证书发送至目标实体节点，目标实体节点经过区块链验证合法性之后，即可完成实体身份的重认证服务。解决了Kerberos与IBC间跨域认证中心化模型复杂、认证信息管理困难等技术问题。

摘要： 本发明公开了一种基于国密算法的Kerberos身份认证协议改进方法，利用会话密钥动态化，以及基于国密算法的混合密码体制改进传统的Kerberos协议，改进后的Kerberos协议包括注册过程和认证过程；所述认证过程包括三个阶段，分别为：客户端与AS互相认证；客户端与TGS通信；以及客户端与应用服务器通信；客户端与AS之间的共享密钥使用动态密钥，认证过程中采用基于国密算法的混合密码体制进行加解密。本发明可有效抵抗弱口令导致的彩虹表攻击、爆破攻击、假冒用户攻击、时间同步导致的重放攻击、中间人攻击等，提高了Kerberos身份认证协议的安全性和效率。

摘要： 本发明涉及跨域认证技术领域，其公开了一种基于Bulletproofs的Kerberos跨域认证方法，在进行跨域认证时，用户无需提交含自身身份信息的相关票据也能证明自己的合法身份，避免了用户身份信息的泄露。该方法包括：a.用户向本域认证服务器AS1请求访问服务器S；b.AS1向用户发送访问域内票据许可服务器TGS1的票据；c.用户向TGS1请求访问外域票据许可服务器TGS2的票据；d.TGS1向用户发送访问TGS2的票据；e.用户通过构造非交互Bulletproofs的参数向TGS2请求访问服务器S；f.TGS2通过非交互Bulletproofs的验证方法验证用户信息的合法性，然后向用户发送访问服务器S的票据；g.用户向服务器S发送认证请求；h.服务器S接受用户的认证，并向用户发送建立通信的消息，双方建立正式通信。

摘要： 本发明提供了一种基于Kerberos机制实现数据库登录认证的方法，包括准备认证和动态认证两个阶段，准备认证阶段调取插件，建立Kerberos与数据库间的联系，动态认证阶段客户端将用户名发送到服务端；服务端解析用户名信息，确定否为Kerberos认证方式，若是，则进行标记并将相关认证数据发给客户端；客户端收到认证数据进行客户端身份验证；验证通过后，客户端把服务端的认证主体信息发给KDC，KDC对客户端和服务端均进行身份合法信息认证；客户端通过票据授权服务获取授权票据凭证cred进而发送给服务端；服务端解密cred获得客户端信息，与客户端认证标识进行比较，相同则登录成功，kerberos认证杜绝了登录密码泄露的可能性，并且保证了数据请求方的合法性和数据供给方的合法性。