Kerberos协议

摘要： 针对在分布式网络环境中安全可靠认证用户身份的需求,提出一种基于国密算法的改进的Kerberos身份认证协议。改进的协议通过动态密钥协商技术实现双向安全认证,同时在协议过程中使用了基于国密算法SM2、SM3、SM4的混合密码体制,可抵抗爆破攻击、假冒用户攻击、重放攻击等。通过Python程序模拟认证过程,改进的Kerberos协议安全完成客户端与认证服务器、票据服务器、应用服务器间的相互认证。

摘要： 为解决Kerberos身份认证协议易遭受口令猜测攻击和重放攻击等局限和不足,提出一种基于物理不可克隆函数(physical unclonable function,PUF)的Kerberos改进协议。该协议的优势在于利用物理不可克隆函数生成的激励响应对代替原协议中的密钥,降低密钥存储开销和密钥泄露的风险;使用随机数与用户口令相结合生成会话密钥,用于抵抗口令猜测攻击;在抗重放攻击方面,采用随机数代替时间戳的方式减少同步需求。使用Scyther形式化分析工具分析该协议的安全性,验证了该协议可以抵抗口令攻击、重放攻击等威胁。

摘要： Kerberos协议源于MIT学院,旨在为开放的网络环境中的用户提供强大的身份验证服务.随着网络技术的发展,Kerberos协议已经不能满足日益复杂的网络环境的安全性需求,并且Kerberos协议本身还存在了一些安全缺陷.本文对Kerberos协议的安全性进行了分析,并结合公钥系统、无证书密钥协商协议、基于USBKey的双因子认证以及票据引用等技术对Kerberos进行改进,可以很好地解决Kerberos协议的安全隐患.

摘要： 随着分布式文件系统在国家电网公司等电力企业的广泛应用,分布式文件系统安全已经变得日益重要,而身份认证作为第一道防线,在分布式文件系统安全体系中具有重要地位.结合国家电网公司现有系统现状及基础设施条件,设计了国家电网公司分布式文件系统身份认证解决方案.方案以Kerberos改进公钥证书协议为基础,并引入国网公司数字证书库和CA系统作为可信任第三方,实现了国家电网公司分布式文件系统的加密身份认证,提升了安全性.此外,还将认证系统与国家电网公司现有统一权限系统进行集成,利用统一权限系统的LDAP来管理用户和权限信息,具有安全性高、扩展性强、管理方便等诸多优点,同时在LDAP协议的支持下加快了应用认证速度.%With the development of application of distributed file system in state grid,its security has become more and more important.In the security mechanism,the authentication is one of cores.On the base of existing infrastructure,the authentication solution of distributed file system is provided.In the solution,by use of improved Kerberos protocol which is base of public key certificate,authentication of distributed file system and encryption management are achieved in which the digital certificate repository and CA system are as the trusted third party.In addition,the authentication system is integrated with existing unified authority system.With its LDAP protocol,the user and permission can be supervised.The solution can accelerate the application certification and has the advantage of convenient management,safe,scalable,etc.

摘要： 由于无线网络与移动设备的特点,无线网络安全协议的执行环境变得更为复杂.对比了网络安全协议WAP、IEE802.1X、EAP、WPA认证协议和Kerberos协议.Kerberos协议在身份委派和身份验证方面较为高效,成为常用的无线网络安全协议.Petri网作为信息化建模仿真的常用工具,能以图形化、层次化的方式描述系统.在分析Kerberos协议工作原理的基础上,采用Petri网工具CPNTools对Kerberos协议进行建模与仿真,采用图形化方式,直观地表达了该协议特点.

摘要： 视频监控安全问题一直备受关注,如何保障信息传输安全是人们研究的重点.传统基于口令的身份认证协议存在弱口令隐患,导致攻击者利用口令猜测攻击获取非法信息.然而使用Kerberos协议要求用户设置强口令以增强认证安全,用户的体验方式差.设计了一种基于三元对等身份鉴别的视频监控管理方案,引入可信第三方鉴别机制,实现对等实体之间的双向认证,有效地解决了设备认证的安全问题.

摘要： 为了保证在开往网络中通信的安全性,认证机制是不可缺少的工具.该文围绕信息认证方式中的Kerberos认证系统,阐述了Kerberos协议的基本思想,实现目标,详细地介绍了Kerberos系统中所涉及到的相关概念,认证原理和流程,其认证流程包括3个子交换,分别是认证服务器交换,票据服务器交换,客户/服务器认证应用交换.此外,从单区域下的Kerberos认证扩展到多区域下的Kerberos协议工作方式,指出了其存在的局限性.Kerberos认证协议主要应用于网络环境中的身份识别,已经得到了广泛的使用.

摘要： 太阳能是一种清洁、安全的可再生能源，对保护环境有着十分重大的意义，已经成为未来能源发展的大趋势。研究信息型光伏电站实现了电站间相互通信互联化，由于电站暴露在十分复杂的物理环境下，容易遭受各种网络入侵。在分析网络入侵的基础上，建立了一种类跳频系统通信模型，同时提出了一种基于 Kerberos 的动态口令认证方式，该方式能有效地解决节点之间的相互认证，防止恶意节点的伪装和节点传输的信息被截获。%Solar energy,as clean,safe,renewable energy,plays an important role in protecting the envi-ronment,and it has become a major trend of the future energy development.The information-type photo-voltaic power plant has achieved inter-station communication interconnection,Because of its exposure to the complex physical environment,it is vulnerable to suffer a variety of network intrusions.This paper has analysised the network intrusion,and then put forward a model of hopping-like communication. In ad-dtion,a way of dynamic password authentication based on Kerberos protocol is proposed.This method can effectively solve the mutual authentication between nodes,which can prevent disguised malicious nodes and interception of node transmission information.

摘要： 本文首先介绍了Kerberos身份认证协议，指出了该协议存在的局限性，并提出了几种改进方案对Kerberos协议进行改进，在一定程度上消除了密钥在交换、存储和管理方面带来的安全上的隐患，提高了身份认证系统的安全性。

摘要： 随着互联网业务的高速发展,计算机网络已成为信息交流的主要手段.在网络带来便利的同时,也带来了隐私信息泄露的问题.为保障信息安全,人们投入大量的人力物力,其中认证协议的安全性是重点研究的内容之一.形式化分析方法是辅助协议设计、弥补协议安全漏洞的有效手段,大致分成模型检测方法、定理证明方法和信仰逻辑方法.AVISPA工具融合了模型检测等形式化分析方法,而SPAN工具将AVISPA的功能形象化、本地化,表现为信息序列图表的形式.文章选用SPAN工具分析了SSL协议和Kerberos协议的安全生.分析表明,SSL协议易遭受证书伪造、篡改攻击,而Kerberos协议使用的对称密钥体系存在安全生不足的问题.根据分析结果,改进SSL协议,促使用户不完全信任SSL证书,且入侵者无法获取用于加密证书的公钥;改进Kerbers协议,用公钥密码体系取代对称密钥,这样能够在一个密钥被破解时保障其他密钥的安全.

摘要： Kerberos协议由于是上世纪八十年代末开发的产物,主要被用于网络间设备的身份认证.但随着当下网络环境的复杂化,原有Kerberos协议已不能满足目前网络环境的安全性要求.本文对原Kerberos协议从加密机制、认证手段和票据三方面做出了改进,结合密码体制、设立专用CA、采用USBKey双因素认证以及将票据分为票据和票据引用等安全技术来提高协议的安全性,在原Kerberos协议存在的5个安全隐患都得以很好地解决.

摘要： Kerberos协议由于是上世纪八十年代末开发的产物,主要被用于网络间设备的身份认证.但随着当下网络环境的复杂化,原有Kerberos协议已不能满足目前网络环境的安全性要求.本文对原Kerberos协议从加密机制、认证手段和票据三方面做出了改进,结合密码体制、设立专用CA、采用USBKey双因素认证以及将票据分为票据和票据引用等安全技术来提高协议的安全性,在原Kerberos协议存在的5个安全隐患都得以很好地解决.

摘要： Kerberos协议由于是上世纪八十年代末开发的产物,主要被用于网络间设备的身份认证.但随着当下网络环境的复杂化,原有Kerberos协议已不能满足目前网络环境的安全性要求.本文对原Kerberos协议从加密机制、认证手段和票据三方面做出了改进,结合密码体制、设立专用CA、采用USBKey双因素认证以及将票据分为票据和票据引用等安全技术来提高协议的安全性,在原Kerberos协议存在的5个安全隐患都得以很好地解决.

摘要： Kerberos协议由于是上世纪八十年代末开发的产物,主要被用于网络间设备的身份认证.但随着当下网络环境的复杂化,原有Kerberos协议已不能满足目前网络环境的安全性要求.本文对原Kerberos协议从加密机制、认证手段和票据三方面做出了改进,结合密码体制、设立专用CA、采用USBKey双因素认证以及将票据分为票据和票据引用等安全技术来提高协议的安全性,在原Kerberos协议存在的5个安全隐患都得以很好地解决.

摘要： 智能配电网建设的不断推进给配电网带来了强有力的电能保障和自愈能力,但也给智能配电网的信息通信安全带来了很大的挑战.为了防止非法终端设备接入到智能配电网通信系统,在分析智能配电网系统结构和其所面临的信息安全问题的基础上,通过对Kerberos协议的分析,提出了一种基于Kerberos协议的智能配电网身份认证方案,用来解决终端设备的合法性认证问题.

摘要： 智能配电网建设的不断推进给配电网带来了强有力的电能保障和自愈能力,但也给智能配电网的信息通信安全带来了很大的挑战.为了防止非法终端设备接入到智能配电网通信系统,在分析智能配电网系统结构和其所面临的信息安全问题的基础上,通过对Kerberos协议的分析,提出了一种基于Kerberos协议的智能配电网身份认证方案,用来解决终端设备的合法性认证问题.

摘要： 智能配电网建设的不断推进给配电网带来了强有力的电能保障和自愈能力,但也给智能配电网的信息通信安全带来了很大的挑战.为了防止非法终端设备接入到智能配电网通信系统,在分析智能配电网系统结构和其所面临的信息安全问题的基础上,通过对Kerberos协议的分析,提出了一种基于Kerberos协议的智能配电网身份认证方案,用来解决终端设备的合法性认证问题.

摘要： 智能配电网建设的不断推进给配电网带来了强有力的电能保障和自愈能力,但也给智能配电网的信息通信安全带来了很大的挑战.为了防止非法终端设备接入到智能配电网通信系统,在分析智能配电网系统结构和其所面临的信息安全问题的基础上,通过对Kerberos协议的分析,提出了一种基于Kerberos协议的智能配电网身份认证方案,用来解决终端设备的合法性认证问题.

摘要： 本文通过研究Kerberos协议的认证过程和分析Kerberos协议的缺陷并结合公钥密码体制的优点,对基于对称密码体制的Kerberos协议进行了改造,以加强Kerberos协议认证过程的安全性.文章详细描述了基于这种改造的一种认证方案的认证过程.

摘要： 本文通过研究Kerberos协议的认证过程和分析Kerberos协议的缺陷并结合公钥密码体制的优点,对基于对称密码体制的Kerberos协议进行了改造,以加强Kerberos协议认证过程的安全性.文章详细描述了基于这种改造的一种认证方案的认证过程.

摘要： 本发明提出了一种基于Kerberos身份鉴别协议的智慧教育安全防护方法和系统，所述安全防护方法包括：用户通过密码向Kerberos服务器进行身份验证，身份验证后的有效性在用户本地保留到预设的预留时间段；利用Kerberos服务器根据用户的申请，联合用户所需服务对应的后台服务器对用户的真实性进行验证，并根据验证结果确定后台服务器是否对所述用户进行服务连接；将真实用户所需服务需求发送至区块链网络中，所述区块链网络对用户需求进行对应处理。所述系统包括与所述方法步骤对应的模块。

摘要： 本发明提供了一种基于Kerberos机制实现数据库登录认证的方法，包括准备认证和动态认证两个阶段，准备认证阶段调取插件，建立Kerberos与数据库间的联系，动态认证阶段客户端将用户名发送到服务端；服务端解析用户名信息，确定否为Kerberos认证方式，若是，则进行标记并将相关认证数据发给客户端；客户端收到认证数据进行客户端身份验证；验证通过后，客户端把服务端的认证主体信息发给KDC，KDC对客户端和服务端均进行身份合法信息认证；客户端通过票据授权服务获取授权票据凭证cred进而发送给服务端；服务端解密cred获得客户端信息，与客户端认证标识进行比较，相同则登录成功，kerberos认证杜绝了登录密码泄露的可能性，并且保证了数据请求方的合法性和数据供给方的合法性。

摘要： 本发明公开了一种基于物理不可克隆函数的Kerberos鉴权系统和方法，本发明系统包括设备A、设备B、密钥分配中心KDC，所述密钥分配中心KDC中包括：认证服务器AS、票据授权服务器TGS、数据库DB；本发明方法包括以下步骤：对设备A和设备B在密钥分配中心KDC进行注册；设备A向认证服务器AS请求票据授权票据TGT；设备A获得票据授权票据TGT；设备A向TGS请求服务授权票据；设备A获得服务授权票据SGT；设备A向设备B请求通信服务。本发明能够防止攻击者通过入侵、半入侵及侧信道攻击等物理攻击造成的密钥泄露，同时克服公钥计算复杂度高、速度慢，通信带宽占用过多的问题，适合资源受限的网络应用。

摘要： 本发明公开了一种针对多个KERBEROS集群的并发访问方法和装置，方法包括：创建新进程，并基于新进程而从读写需求中解析出作为请求对象的目标集群和作为请求内容的数据请求指令；基于确定的目标集群从票据管理库提取预先存储的相对应的用户安全认证信息和服务端程序配置；基于用户安全认证信息和服务端程序配置执行针对目标集群的安全认证；响应于安全认证成功而基于数据请求指令在目标集群中执行数据读写操作以满足读写需求。本发明能够并发地认证和访问多个KERBEROS集群，在保证数据安全性的同时提升集群访问的灵活性。

摘要： 本发明涉及一种单JVM进程中同时支持多个Kerberos认证的方法，步骤如下：对多个使用Kerberos认证的Hadoop集群，逐个执行以下操作；步骤2.1，选定一个Hadoop集群；步骤2.2，设置Kerberos认证的环境变量及参数；步骤2.3，发起Kerberos认证请求，生成票据并返回；步骤2.4，选定下一个Hadoop集群，重复步骤2.2及2.3，直至多个Hadoop集群均执行过Kerberos认证操作。本发明，在一个JVM进程(单JVM进程)中，同时可以使用(支持)两种以上Kerberos认证，实现了在单JVM进程中同时对多个Kerberos域中的软件服务进行访问，对两个以上均开启了Kerberos认证的软件服务的数据交互，提供了高效、便利的Kerberos认证。

摘要： 本发明公开了一种基于国密算法的Kerberos身份认证协议改进方法，利用会话密钥动态化，以及基于国密算法的混合密码体制改进传统的Kerberos协议，改进后的Kerberos协议包括注册过程和认证过程；所述认证过程包括三个阶段，分别为：客户端与AS互相认证；客户端与TGS通信；以及客户端与应用服务器通信；客户端与AS之间的共享密钥使用动态密钥，认证过程中采用基于国密算法的混合密码体制进行加解密。本发明可有效抵抗弱口令导致的彩虹表攻击、爆破攻击、假冒用户攻击、时间同步导致的重放攻击、中间人攻击等，提高了Kerberos身份认证协议的安全性和效率。

摘要： 本发明提出了一种基于Kerberos身份鉴别协议的智慧教育安全防护方法和系统，所述安全防护方法包括：用户通过密码向Kerberos服务器进行身份验证，身份验证后的有效性在用户本地保留到预设的预留时间段；利用Kerberos服务器根据用户的申请，联合用户所需服务对应的后台服务器对用户的真实性进行验证，并根据验证结果确定后台服务器是否对所述用户进行服务连接；将真实用户所需服务需求发送至区块链网络中，所述区块链网络对用户需求进行对应处理。所述系统包括与所述方法步骤对应的模块。

摘要： 本发明涉及一种联盟链的Kerberos及PKI安全域间的跨域认证方法，属于计算机安全技术领域。包括构建基于联盟链的Kerberos及PKI域间身份认证模型、Kerberos安全域到PKI安全域初次跨域身份认证、PKI安全域到Kerberos安全域初次跨域身份认证、Kerberos安全域到PKI安全域的跨域重身份认证。本发明以区块链模型作为基础，采用联盟链的共识机制，提出PKI域与Kerberos域间实体认证方法，使得跨域认证证书可以可靠、防篡改地存放在不同安全域中，在保证安全性、可靠性的同时实现了跨域的身份认证。

摘要： 本发明涉及一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法，该方法中安全域内的实体节点在发起跨域认证请求时，首先通过协议认证目标域实体身份信息，然后将实体的身份信息生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现实体认证信息存储的去中心化；安全域中实体节点请求认证一个已经经过跨域认证的实体节点时，为了提高认证效率，可以直接将跨域证书发送至目标实体节点，目标实体节点经过区块链验证合法性之后，即可完成实体身份的重认证服务。解决了Kerberos与IBC间跨域认证中心化模型复杂、认证信息管理困难等技术问题。

摘要： 本发明涉及跨域认证技术领域，其公开了一种基于Bulletproofs的Kerberos跨域认证方法，在进行跨域认证时，用户无需提交含自身身份信息的相关票据也能证明自己的合法身份，避免了用户身份信息的泄露。该方法包括：a.用户向本域认证服务器AS1请求访问服务器S；b.AS1向用户发送访问域内票据许可服务器TGS1的票据；c.用户向TGS1请求访问外域票据许可服务器TGS2的票据；d.TGS1向用户发送访问TGS2的票据；e.用户通过构造非交互Bulletproofs的参数向TGS2请求访问服务器S；f.TGS2通过非交互Bulletproofs的验证方法验证用户信息的合法性，然后向用户发送访问服务器S的票据；g.用户向服务器S发送认证请求；h.服务器S接受用户的认证，并向用户发送建立通信的消息，双方建立正式通信。